35media.ru

Доверяй, но проверяй: основные техники «социальной инженерии» и защита от них

Успешно отбивать атаки мошенников и манипуляторов всех мастей поможет знание психологических уловок, используемых злоумышленниками против владельцев банковских карт и счетов.

Павел Самиев, заместитель Директора Ассоциации развития финансовой грамотности (АРФГ), специально для газеты СЕВЕРГАЗБАНКА (6+) «О финансах и не только»

Мошенники сегодня очень часто «взламывают» не компьютеры, а самих людей. Воры находят психологические уязвимости и получают доступ к конфиденциальной информации. Гражданам это приносит финансовые и репутационные потери, а манипуляторам — незаконную прибыль. Поэтому в данном случае особенно актуальным становится принцип: кто осведомлен — тот вооружен. Чтобы при встрече с обманщиком не «повестись» на приманки и уловки, стоит заранее их изучить. Конечно, манипуляции возможны в любой сфере человеческих отношений, но чаще всего речь идет о сфере финансов. Классика жанра — целители, лечащие своих пациентов от несуществующих страшных болезней, а также профессиональные нищие с их «сами мы не местные, помогите люди добрые».

Поскольку люди все больше проводят времени в Сети, а деньги постепенно из портмоне перемещаются на банковские карты и онлайн-кошельки, мошенники осваивают новые технологии. В таком случае говорят о «социальной инженерии» — манипуляциях с целью получения конфиденциальной информации в Сети, открывающей доступ к чужим деньгам. Причем в основе своей модный термин «социальная инженерия» — все та же игра на эмоциях. В ход идут манипуляции чувством страха, жалости, ложного доверия, любопытства, желания легких денег.

Несколько лет назад мошенники активно эксплуатировали чувство страха и тревоги. Приходило сообщение с чужого номера примерно такого содержания: «Мама, я попал в аварию, срочно скинь мне денег». Лишь немногие додумывались до элементарного — перезвонить на номер абонента. Сегодня на слуху тема взлома страниц в социальных сетях. Казалось бы, все знают о том, что просьбы о деньгах со страницы друга могут рассылать мошенники, но довольно много людей скидывают деньги, «попавшим в беду», не перезванивая им на телефон, не уточняя деталей. То есть мошенники получают неплохие дивиденды от тех, кто поддался на манипуляцию доверием, сочувствием, жалостью. Любопытство — тоже мощный крючок, на который попадаются легковерные граждане.

Мошенники воруют логины и пароли с помощью вредоносных программ, но доступ к компьютеру им изначально дают сами пользователи, открывающие на своих ПК и смартфонах «увлекательные» ссылки. Распространенная манипуляция основана на стремлении к быстрому обогащению. Жертвами финансовых пирамид становятся люди, которые склонны верить в чудо в виде 100 % годовых. Этими людьми движет желание получить баснословную прибыль и нежелание проанализировать риски, реальные ставки на рынке, потратить время на изучение истории и документации финансовой компании. Разберем наиболее распространенные манипулятивные техники, используемые «социальными инженерами».

1 ПРЕТЕСТИНГ — в переводе с английского «предварительный тест». Мошенничество заключается в том, что готовится сценарий общения с владельцем банковского счета, аккаунта соцсети, держателя карты, «хранителя» корпоративного пароля. Связь мошенника с потенциальной жертвой осуществляется посредством смс-сообщений или звонка по телефону, скайпу, ватсапу. Наиболее распространенный сегодня пример претестинга — звонок от лжесотрудника банка, сообщающего о несанкционированном снятии денег со счета клиента. Человека буквально зомбируют «потоком сознания»: кончается все предложением помочь предотвратить преступление. Если возвращаться к вопросу о методах, то в данном случае используется манипуляция страхом, погружение человека в стресс. Мошенник выступает в роли «спасателя», предлагающего мгновенное решение сложной проблемы.

СОВЕТ — прекратить общение, перезвонить в банк самостоятельно по телефонам горячей линии. Важно помнить: служба безопасности банка никогда не связывается с клиентом напрямую и тем более не запрашивает ПИН-коды и CVV-коды (цифры на карте с обратной ее стороны).

2 ФИШИНГ — в переводе с английского «ловля рыбы». Это интернет-мошенничество, основанное на невнимательности потенциальной жертвы, слепом доверии к авторитетным и известным компаниям. Мошенники высылают письма от банков, налоговых органов, сообщения о штрафах ГИБДД и так далее. Главное для «ловцов», чтобы пользователь ввел секретные данные в заранее заготовленную в письме форму, или перешел по ссылке на заранее изготовленный поддельный сайт, где размещена эта «заготовка». Зачастую здесь преступникам приходится попотеть, ведь необходимо изготовить кальку с известного пользователю сайта.

СОВЕТ — не вводить данные в «левых» предложенных формах. На сайты госорганов, банков, компаний входить не по предложенной ссылке, а самостоятельно набрав адрес в адресной строке браузера.

3 «ТРОЯНСКИЙ КОНЬ» — практически всем известная техника, основанная на любопытстве людей и склонности к бесплатным подаркам. Обычно пользователю предлагается бесплатная защита от компьютерных вирусов, призыв получить выигрыш или гонорар за заполнение анкеты. При клике на письмо в компьютер загружается вредоносное ПО, способное собрать секретную информацию с компьютера или заменить ее на ложную.

СОВЕТ — помнить про бесплатный сыр в мышеловке, не открывать письма с вложенными файлами от незнакомых адресатов.

4 «ДОРОЖНОЕ ЯБЛОКО» — разновидность «троянского коня». Чаще всего используется для атаки на систему предприятия. В общедоступное место на территории компании подкидывается флешка, на которой значится увлекательная надпись, например, «зарплата сотрудников за февраль». Итог все тот же — если нашлись любопытные, происходит загрузка на компьютер вредоносных программ.

СОВЕТ — не проявлять излишнего любопытства, помнить о должностных инструкциях, касающихся кибербезопасности и конфиденциальности информации предприятия.

5 «КВИ ПРО КВО» — техника, основанная на стремлении человека поскорее решить проблему с помощью специалиста. В переводе с латинского — «то за это», «одно вместо другого». Проблему «создают» сами мошенники, вернее, придумывают на пустом месте. Чаще всего злоумышленники представляются сотрудниками техподдержки, сообщают о возникшей проблеме и тут же предлагают ее устранить. Есть якобы два способа: один долгий — когда пишется заявление от клиента, проблема устраняется в течение двух дней, второй легкий — скоростной, дистанционный. Для этого пользователя просят выполнить под диктовку определенные действия на компьютере. В итоге жертва собственными руками закачивает вирус себе на компьютер или «сливает» доступы к Сети, аккаунтам, счетам.

СОВЕТ — помнить, что мощной приметой мошенников является как раз помещение человека в ситуацию, когда нужно сказать «да» немедленно. В 90 % случаев такая спешка означает, что на том конце провода находятся преступники.

ОБЩИЙ СОВЕТ — независимо от того, происходит ли коммуникация в реальной жизни или в Сети, стоит насторожиться, если незнакомый человек явно пытается вызвать у партнера по общению какие‑то эмоции, торопит, предлагает бесплатную помощь. Это не значит, что надо вообще перестать доверять людям — так можно и до паранойи дойти. Но включать критическое мышление нужно обязательно. А это значит — не спешить с действием, перепроверять информацию. Как правило, дополнительные вопросы и уточнение полученной информации через другие источники дают обильную пищу для ума и проясняют ситуацию.

Как видим, иногда мошенники выходят на связь лично, иногда предпочитают дистанционные сценарии. Наибольший интерес хакеры-психологи питают к банковским картам граждан. Именно в этом сегменте совершается львиная доля кибермошенничеств с использованием «социальной инженерии». Все вышеперечисленные уловки преступники используют для того, чтобы выманить у потенциальной жертвы логины и пароли, позволяющие проводить операции по карточному счету.