Социальная инженерия в психологии: методы и средства атаки на человека

Социальная инженерия это сложная и многоступенчатая психологическая атака на человека, целью которой является доступ к конфиденциальной и персональной информации. Это манипулирование на уровне подсознания при котором индивид попадает в полный контроль мошенника и сам сообщает всю необходимую информацию. Жертвы подобных атак позже сообщают, что буквально не отдавали себе отчёт в действиях и выполняли просьбы не задумываясь о последствиях.

В частности люди утверждают, что не испытывали ни малейших сомнений и максимально доверяли манипулятору. Также социальную инженерию называют побуждением к действию, которое наносит урон жертве. Согласно статистике центрального банка, свыше 47% фактов кражи денежных средств с дебетовых и кредитных карт граждан произошло именно таким способом.

Кто такой социальный инженер

В отличии от всем известной профессии инженера, который использует технические средства для создания и поддержания рабочего процесса, киберпреступники применяют методы реализации мошенничества. Так как в данном случае для достижения результата, а именно хищения денежных средств и получения персональной информации, используется человек, то и само название жулика получается своеобразное. Так зародилась совершенно новая профессия социального инженера.

Используя людей в своей схеме мошенник на выхлопе получает абсолютно выстроенную систему, со всеми винтиками и болтиками. Строит инфраструктуру для хищения, после чего добавляет самую главную деталь — человека, сообщающего необходимые пароли. Конструкция настолько идеальная, что сбои случаются крайне редко. Проблема только одна — подобрать правильный способ обмана.

Социальные инженеры существовали в древние времена. Это были люди, обладающие навыками внушения и переубеждения. Таких использовали на переговорах,чтобы склонить партнеров к принятию нужного решения. Голос, тон, эмоциональный интеллект, способность выявлять истинные потребности и воздействовать на собеседника, всё это ценилось во все времена.

С появлением телефона успешные ораторы нашли для себя новый способ заработка. Всегда можно было позвонить определенному человеку, представиться кем угодно и попросить выполнить какое-либо задание. Сложно отказать своему начальнику или высокопоставленному партийному чиновнику. А уж убедить бедолагу в том, что ему звонят именно с самого верха, не составляет труда для умельцев.

В 2015 году на емейл адрес крупной компании The Ubiquiti Networks поступило письмо от топ менеджера, который попросил своих сотрудников перевести крупную сумму денег на указанный счет. Те подчинились руководителю и выполнили поручение. Так свыше 40 миллионов долларов улетело мошенникам, а о том, что топ менеджер ничего не знал о происходящем, выяснили многим позже.

На первый взгляд всё это выглядит абсурдно, однако наша психика расслабляется и перестаёт защищаться, когда имеет дело с чем-то знакомым и привычным. В письме указано хорошо известное имя, сам адрес также все знали, а письмо не вызывало никаких подозрений, потому что было стандартным. Задача социального инженера состоит в создании условий, при которых психика жертвы выключит все защитные механизмы.

Методы социальной инженерии

Оратор использовал определенные техники, которые вряд ли сработали бы с сотрудниками компании The Ubiquiti Networks. Убедить их перечислить деньги во время переговоров даже звучит как утопия. Поэтому для каждого отдельного инструмента подбирают собственную методику. Обсудим самые популярные и разберём в чём их эффективность.

Фишинг

Фишинг это визуальный обман интернет пользователя, основанный на создании полной копии формы ввода логина и пароля. Самый популярный метод социальной инженерии на сегодня.Заключается в том, что мошенник копирует привычный для пользователя интерфейс и преподносит взамен реальному. Чаще всего ложный ресурс отправляют в личные сообщения или на адрес электронной почты.

Для примера — на ваш емейл приходит сообщение о проведении какой-то акции в интернет магазине, которым вы часто пользуетесь. Вы, ничего не подозревая, переходите по ссылке и попадаете на тот самый ресурс. Это точная копия, но в адресную строку сайта почти никто не смотрит, потому что всё, что находится в поле зрения, привычно и знакомо. Далее вводите логин с паролем, которые тут же получают мошенники.

Теперь у них есть доступ к вашему реальному аккаунту, а там вся персональная информация, данные карт и так далее. Что будет, если таким способом человек авторизуется на сайте своего банка? Очевидно доступ к счетам окажется в руках социального инженера и все средства будут переведены туда, откуда их уже никто не достанет.

С точки зрения психологии этот трюк работает, потому что психика не сталкивается ни с чем новым и подозрительным. Абсолютно весь интерфейс сайта привычен и поэтому действия по авторизации легко пролетают все защитные барьеры сознания. Таким образом воруется львиная доля денег граждан и противостоять фишингу крайне сложно. Чаще смотрите доменное имя ресурса, на котором вводите конфиденциальные данные.

Претекстинг

Претекстинг это форма мошенничества, при которой злоумышленник представляется другим человеком и просит предоставить ему необходимую информацию с разной целью. Здесь творческий подход играет ключевую роль. Самый известный вариант — представиться сотрудником банка и сообщить о вероятной краже всех средств с карты клиента. Чтобы это предотвратить, нужно срочно сообщить данные карты и код из смс.

В компании The Ubiquiti Networks жулик представился топ менеджером,что произвело нужное впечатление на сотрудников. В социальных сетях популярна другая методика — социальные инженеры взламывают странички пользователей, а затем рассылают сообщения друзьям с просьбой выручить в непростой ситуации. Дают номер карты на которую необходимо перечислить денежные средства, которые вскоре якобы будут возвращены.

Несколько лет назад в России прокатился бум смс сообщений, в которых мошенники представлялись ближайшими родственниками жертвы и сообщали о том, что они попали в неприятность. Сбил человека и срочно нужны деньги. Изнасиловал девушку и меня поймали, просят 50 000 рублей, иначе заявят в полицию.

Сам метод является технически сложным, так как для его реализации нужно собрать огромное количество информации. Знать как зовут жертву и того родственника, от чьего имени нужно представиться. Быть уверенным, что этот родственник в данный момент не ответит на телефон. Страницы в соцсетях нужно уметь взламывать. А воображая из себя банковского сотрудника, необходимо знать ФИО и паспортные данные жертвы.

С точки зрения психологии претекстинг эффективен по двум причинам. Во-первых человек в трубке или переписке сообщает информацию, которую по логике не могли знать посторонние. Чем больше таких фактов, те сильнее доверие. Было бы глупо, если бы звонящий утверждал, что ваш сын сбил человека, а у вас не сын, а дочь и за рулём она никогда не ездила. Социальный инженер хорошо знает что говорить и это серьёзная ловушка.

Во-вторых всегда работает эффект неожиданности, подкрепленный дедлайном. Жертву ставят в положение, когда у неё есть выбор, но риски слишком высоки. Конечно вы можете дойти до банка и всё узнать у менеджера, но за это время все деньги с карты будут похищены. Хотите рискнуть своими сбережениями или прекратите ломать комедию и сообщите сотруднику банка грёбаный cvc код?!

Можете подождать до утра и разыскать своего сына, чтобы всё расспросить, но в таком случае забирать его будете с полицейского участка, а спустя пару недель состоится суд и ваш родственник отправится за решетку лет на 5. Или всё же включите голову и заплатите изнасилованной девушке за молчание, чтобы не доводить дело до правоохранительных органов?!

Конечно я сообщу все детали позже, но сейчас моя дочь умирает, потому что мы попали в ДТП и требуется срочная операция, на которую у меня нет денег. Завтра я возьму кредит и вы все узнаете что конкретно произошло, но вы реально готовы из-за пары тысяч рублей оставить моего ребенка умирать?

Так как психика сталкивается с тяжелым выбором, эта задача выводится в приоритет. Подавляется логика и критическое мышление, ресурсность резко снижается и человек не обращает внимание на мелочи. Всё, что находится перед глазами не вызывает подозрений. Это страница моего друга, это фото дочери моей подруги, номер банка на экране телефона, множество фактов по сути.

Включается страх потери. На одной чаше весов 50 000 рублей, на другой судьба сына. Или цена вопроса вообще 2-3 тысячи, а на другой стороне жизнь ребенка. В случае с банковскими картами для многих ситуация вовсе абсурдная — могут похитить 100 000 рублей со счета, чтобы этого избежать нужно сотруднику сообщить какой-то код из смс, это же так просто. Сомневаться в том, что это звонок именно из банка, не приходится. Говорит убедительно, номер высветился знакомый, сообщили мои фио и дату рождения.

Плечевой серфинг

Иногда конфиденциальную информацию можно просто подсмотреть. Этот вид хищения персональных данных используют в публичных местах, когда жертва ничего не подозревая вводит логины и пароли не догадываясь, что за ней следят. Преступник как правило находится сзади и не привлекая к себе внимания запоминает увиденное.

Кроме банальной невнимательности играет роль ощущение безопасности. Находясь в кафе или общественном транспорте мы чувствуем полное отсутствие угрозы, так как вокруг много людей и присутствуют сотрудники охраны. О том, что объектом атаки могут стать пароли и номера карт думать не приходится.

Данный метод социальной инженерии не является популярным по нескольким причинам. Если вы случайно заметили и запомнили все данные банковской карты, то воспользоваться ей всё равно будет проблематично, так как в большинстве случаев вам потребуется код из смс, доступа к которому естественно нет.

Разве что украденный логин и пароль от социальных сетей принесёт немного пользы в виде похищения переписок и доступа к каким-либо фотографиям. Если же вести целенаправленную охоту за жертвой, то заниматься этим придётся очевидно очень долго. И результат чаще всего не стоит потраченных усилий. Тот же фишинг в разы проще и в десятки раз прибыльнее. Социальные инженеры делают ставку именно на него.

Вместо итога

Технический прогресс движется семимильными шагами и хакеры имеют в своём арсенале самое современное оборудование, способное взломать практически любую систему. Мошенникам противостоят не менее опытные и знающие профессионалы, создающие сложные системы защиты персональных данных. Но главная битва по-прежнему идёт не в интернет пространстве, а за компетентность пользователя.

Самый известный хакер в истории Кевин Митник, провернувший десятки операций по хищению данных и написавший книгу «Искусство обмана», сделал громкое заявление, в котором признался, что даже самые гениальные схемы взлома могут оказаться не столь эффективными, как обычный обман доверчивых людей.

Если сравнивать объёмы хищений основанных на взломе и обмане, то второй метод окажется несопоставим по масштабу с первым. Технический грабёж требует слишком много усилий и приносит не слишком большие результаты. Психологическое давление и выведение критического мышления из строя куда проще, а суммы украденных средств выглядят заоблачными. Официальная статистика банков лишь подтверждает этот факт.