Игры на нервах: какие приемы используют социальные инженеры и как на них не попасться

Звонки от «родных, попавших в беду», SMS-сообщения о выигрыше в лотерее, письма с вирусной рассылкой… Каждый из нас не раз сталкивался с подобными манипуляциями.. Все это социальная инженерия, то есть уловки, направленные на то, чтобы человек выполнил те или иные действия — и в итоге перевёл мошенникам деньги или раскрыл конфиденциальную информацию. 

На что воздействуют социальные инженеры и почему люди на это ведутся? Как обезопасить себя с технической точки зрения и вовремя понять, что тобой пытаются манипулировать? Разбираемся вместе с консультантом по безопасности Теплицы социальных технологий Михаилом Ивановским и психотерапевтом Марией Стромновой.

Как работают злоумышленники 

Социальная инженерия — это метод манипуляции человеком. Мошенники, обращающиеся к этому приёму, используют особенности психологии: ищут слабые места людей и целенаправленно воздействуют на них.

Обычно цель мошенников — финансовая выгода, и добиваться ее они могут разными методам. Распространено прямое воровство — перехват банковских данных и паролей к личным кабинетам. Встречаются и «косвенные» кражи — социальные инженеры захватывают конфиденциальную информацию человека, чтобы в дальнейшем шантажировать его. Бывают, что аккаунт пользователя в соцсети взламывают, и уже от его имени публикуют просьбы перевести деньги. Реже целью мошенников может быть захват контроля над сайтом конкретного человека или компании/организации (обычно жертвы таких атак именно юридические лица) для дискредитации или получения конфиденциальной информации в своих интересах.

Способов обмануть человека множество, и с развитием технологий их становится все больше. Например, большинству знакомо телефонное мошенничество, которое используется для получения конфиденциальных данных по телефону. Человека вынуждают сказать свои банковские данные и секретные коды для получения доступа к счету. Но с распространением интернета и смартфонов все больше мошенников рассылают фишинговые ссылки по электронной почте или в мессенджерах. Жертве отправляют ссылки на поддельные сайты и предлагают ввести на нем личные данные (логин и пароль, банковские данные). Опасность может поджидать и офлайн: например, в объявлениях на улице или в подъезде с QR-кодом, который ведёт на поддельный сайт или вирусную страницу.

Технически мошенники действуют по нескольких схемам. Например, присылают ссылку либо документ, содержащие вирус. После запуска такого файла или перехода по ссылке, компьютер заражается, и данные пользователя уже не защищены. Так на устройство могут установить программу, которая следит за ходом данных — кейлоггер. Она ждет, когда пользователь введет данные, и перехватывает их. Еще проще работает фишинговая страница (чаше всего это имитация какого-то привычного пользователю сайта): на ней человек сам вводит свои данные, и они попадают к злоумышленнику, а не настоящей организации.

«Методы и способы социальной инженерии могут быть разными, но принцип один и тот же. Все приёмы построены на том, чтобы вывести человека из равновесия, заставив его испытывать сильные эмоции — радость, восторг, ужас, страх, — говорит эксперт по безопасности «Теплицы социальных технологий» Михаил Ивановский. — Злоумышленники могут использовать и дополнительные факторы: например, звонить/писать ночью или рано утром, когда человеку сложнее соображать. Либо могут использовать незнание каких-либо механизмов и процессов пользователем: например, банковской системы другой страны только что переехавшим в нее человеком. Так или иначе, социальные инженеры ловят человека в беззащитном состоянии, в котором им легче управлять. И важно понимать, что найти “ключ” можно к каждому, и попасться в теории может любой». 

Самые распространенные атаки — именно массовые. Социальные инженеры звонят по базе всем и говорят одно и то же — даже если поверит один из тысячи или вовсе никто. А адресные, направленные на определенную категорию пользователей или даже отдельного человека, взломы встречаются реже. Но если у зломышленников есть конкретная цель, то для атаки мошенники могут купить какую-либо базу данных и, например, узнать имена родственников или марки машин людей, клиентами каких банков они являются, какими операторами связи пользуются. Используя личные данные, социальные инженеры могут придумать развернутую правдоподобную легенду, которая заставит даже недоверчивого человека поверить в сказанное или написанное ими. Допустим, мошенники могут рассказать, что и где недавно купил пользователь — и прислать ему информацию якобы от этого магазина, что среди покупателей провели розыгрыш и его победителем стал именно этот человек. Такие детали порой могут отключить критическое мышление даже у самых осторожных.

Почему люди ведутся

Социальная инженерия работает так же, как и обычные манипуляции в межличностном общении, объясняет Мария Стромнова. И то, и другое — невыгодная для вас коммуникация, направленная на то, чтобы что-то от вас получить. Разница в том, что при личной манипуляции человек находит слабые места собеседника, а социальные инженеры практически всегда обращаются к более широкой аудитории. Даже если атака целевая, мошенники, как правило, воздействуют на группу людей, объединенных одним признаком, а не на одного человека: так выше шанс получения выгоды.

Мария Стромнова сранивает уязвимости человека, на которые давят мошенники, с семью смертными грехами: почти всегда это гордыня, жадность, гнев, зависть, прелюбодеяние, чревоугодие и уныние. Дело в том, что время от времени все подвержены подобным слабостям, и построить манипуляцию на них и “поймать” на этом человека проще всего. Например, самый частый прием — обещание больших выгод: пользователю заявляют, что он выиграл крупный приз и предлагают перейти по ссылке, чтобы его получить. Этим мошенники воздействует на жадность пользователя. Поддаваясь соблазну, человек отключает критическое мышление и не может противостоять давлению.

Другая распространенная манипуляция — заставить человека бояться, выбить у него почву из-под ног. Например, ему могут позвонить от лица его родственника или близкого — и сказать, что тот в опасности и срочно нужны деньги. Мошенники могут и сказать, что на саму жертву якобы взяли кредит/завели уголовное дело. Здесь же могут использовать авторитет, пытаясь таким образом вызвать доверие жертвы: представиться руководителем банка, сотрудником МВД или полиции. Затем человеку пообещают избавление: «ты вернешься в безопасность, если сделаешь то, что я скажу». У жертвы отключается возможность критически мыслить, у него начинается паника, и он действует «на эмоциях». А после может сказать:«Я сам не помню, как это получилось».

В ответ на стресс есть три основные реакции: бей, беги или замри. Запугивая человека, мошенники пытаются спровоцировать реакцию «беги»: торопят жертву, ставят ей временные ограничения: «Надо быстро сделать то, что я скажу». Пользователь испытывает тревогу и неуверенность, а в такие моменты люди не очень хорошо соображают, как будто «в тумане». Сказывается здесь и скорость реакции, которая у всех разная — если одни успевают сразу сообразить, что в сообщении есть что-то подозрительное и надо проверить информацию, то другие подумают об этом намного позже. Возможно, уже после того, как нажмут на опасную ссылку. 

Наиболее «продвинутые» социальные инженеры объединяют различные методы влияния: например, создание срочности, апелляцию к авторитету, психологическое давление и обещание выгоды. «Например: «Вы обязаны открыть эту ссылку прямо сейчас. Правительство, наконец, заставило Газпром поделиться прибылью с простыми россиянами. Успей получить свою долю!» Тут мы видим все эти техники», —  объясняет Мария Стромнова. 

Как обезопасить себя

Полностью избежать мошеннических атак едва ли получится. Но вы можете подготовить свои устройства и сохранять осторожность, чтобы сократить риски.

• Не оставляйте по возможности о себе никакой информации в сети: ее социальные инженеры могут использовать против вас. При регистрации на различных сайтах необязательно указывать настоящие данные и основной номер телефона;

• Заведите отдельную электронную почту и номер телефона. Используйте их для регистрации в онлайн-магазинах и других сервисах, для связи с банком. Таким образом вы будете знать, что любая информация от них может приходить только через эти каналы связи. Ваши же основные контактные данные никто не будет знать, и риск их взлома существенно снизится;

• Используйте менеджер паролей - например, Bitwarden. Он запоминает сайты, где надо ввести сохраненные на нем данные. Если вы перейдете на поддельную страницу, данные не введутся автоматически - так вы сможете понять, что перед вами фишинговая страница и ее лучше закрыть;

• Установите надёжный антивирус и спам-фильтр и регулярно обновляйте их. Они защитят вас от нежелательного контента;

• Работайте только в проверенных браузерах и также регулярно обновляйте их. Например, Brave: он следит за конфиденциальностью и не так активно собирает данные о пользователе, как другие браузеры;

• Придумывайте разные пароли для разных сайтов, чтобы мошенники, узнав один из них, не получили доступ сразу ко всем вашим аккаунтам;

• Обязательно используйте двухфакторную аутентификацию: любой вход в ваш аккаунт должен быть подтвержден кодом, который вы видите в TOTP-аутентификаторе, установленном на смартфон. Старайтесь избегать небезопасных каналов дополнительной аутентификации — например, кодов в SMS или звонков по открытой линии. «Обычные» сообщения и телефонные звонки передаются и хранятся в открытом виде, и есть риск перехвата этой информации как на стороне провайдера услуг связи, так и с помощью дублирования SIM-карты;

• Создавайте резервные копии данных: тогда вы не потеряете их в случае кражи мошенниками.

«Безопасность — комплекс правил и технологий, — подчеркивает Михаил Ивановский. — Нельзя поставить надежный браузер и думать: «всё отлично, мы себя защитили». Надо использовать сложные пароли, двухфакторную аутентификацию, вырабатывать привычки безопасного поведения и заранее предпринимать все возможные шаги для минимизации последствий вероятной атаки»

Если вы уже столкнулись с атакой, не действуйте на эмоциях, не спешите отвечать на сообщение или вступать в диалог по телефону. Если звонят якобы из банка, скажите, что сейчас не можете говорить, а позже перезвоните сами — по номеру, указанном на официальном сайте банка. Если в соцсети друг пишет вам, что ему срочно нужны деньги, свяжитесь с ним по другому каналу связи: позвоните, напишите общим знакомым. Если вам отправили ссылку на фишинговую страницу, копию другого сайта, внимательно посмотрите на URL-адрес: он отличается от привычного вам, часто находится в другом домене.

Будьте готовы к опасности. Помните: когда происходит что-то действительно серьезное, вас стараются успокоить. Если вас, наоборот, пытаются вывести из равновесия — это всегда сигнал, что что-то здесь не так. С другой стороны, и настойчивое повторение — «не волнуйтесь, сохраняйте спокойствие» — должно вызвать как минимум настороженность. Прислушайтесь к себе — если вы чувствуете, что на вас давят, запугивают, требуют что-то быстро сделать, обещают немедленную выгоду, мысленно скажите «стоп». Спросите себя: что сейчас происходит? Зачем человеку это надо? Придумайте ритуал — например, ущипнуть и таким образом «отрезвить» себя. Давайте себя время на раздумье — так вы включите критическое мышление, успокоетесь и перестанете действовать на эмоциях.

«Любая манипуляция работает только до тех пор, пока мы на нее ведемся, — рассказывает Мария Стромнова. — Будьте готовы правильно отреагировать на провокацию. А еще лучше — заранее подумайте, где ваши слабые места и на что вы потенциально сможете отреагировать. «Подстелите соломку» там: поищите информацию, какие бывают мошеннические схемы в этой области, как обычно действуют социальные инженеры, как пытаются воздействовать на эту слабость. И затем, встретив подобное, вы моментально распознаете социальную инженерию и не поведетесь на уловки мошенников».

Фото: Gil Ribeiro, Emmeli, Brands People/Unsplash