Социальная инженерия. Почему люди сами отдают мошенникам деньги

Современные мошенники изобрели столько способов незаконно завладеть нашими данными и деньгами, что для этого придумали специальный термин – социальная инженерия.

Это набор определённых приёмов и действий, направленный на то, чтобы человек сам предоставил весь необходимый доступ к данным о себе или о своих денежных средствах. Мошенников, которые используют эти приёмы на практике, называют социальными инженерами.

Иллюстрацию того, на что способен умелый социальный инженер, можно найти в кинематографе. Возможно, вы смотрели фильм «Поймай меня, если сможешь», основанный на реальных событиях – на истории легендарного мошенника Фрэнка Уильяма Абигнейла-младшего. За пять лет преступной деятельности его фальшивые чеки на общую сумму 2,5 миллионов долларов оказались в обращении 26 стран мира.

Скрываясь от уголовного преследования, Фрэнк проявил удивительные способности в перевоплощении и убеждении людей, выдавая себя за пилота авиалиний, профессора социологии, врача и адвоката.

Сегодня социальная инженерия приобрела прочную связь с киберпреступностью, но на самом деле это понятие появилось давно и изначально не имело выраженного негативного оттенка. Люди использовали социальную инженерию с древних времён. Например, в Древнем Риме и Древней Греции очень уважали специально подготовленных ораторов, способных убедить собеседника в его «неправоте». Эти люди участвовали в дипломатических переговорах и работали на благо своего государства. Позже социальную инженерию взяли на вооружение спецслужбы, агенты которых с успехом выдавали себя за кого угодно и выведывали государственные тайны.

Даже в повседневной жизни мы можем столкнутся с проявлениями социальной инженерии. Например, в некоторых крупных городах мира, когда водитель останавливается на красный свет, к нему подлетает мойщик стёкол – с разбрызгивателем и щёткой. Сперва, конечно, водитель говорит ему: «Отойди, мне не надо мыть машину», а мойщик, не обращая внимания на эти слова, продолжает мыть. И вот – работа сделана, и сделана на совесть, и когда мойщик заглядывает в окошко водителя, он уже думает: «Ну ладно, он действительно вымыл мне ветровое стекло, дам я ему пару купюр». Этот мойщик применил приём социальной инженерии и заставил водителя дать ему деньги.

А с вами разве не случалось, что вы получали от кого-то неожиданный подарок на день рождения и думали: «Да, не забыть теперь что-нибудь подарить на день рождения и Андрею»? Такие формы социальной инженерии могут раздражать, но, в общем-то, они безопасны.

Современное понятие социальной инженерии пришло к нам из сферы хакинга. Хакер – это человек, который ищет уязвимости в компьютерных системах, по-другому говорят – «взламывает». Какое отношение, казалось бы, к этому имеет социальная инженерия? Всё очень просто. Однажды хакеры осознали, что главная уязвимость в любой системе – это человек, а не машина. Человек, точно так же, как и компьютер, работает по определённым законам. Используя накопленный человечеством опыт в психологии, манипуляциях и механизмах влияния, хакеры стали «взламывать людей».

Одним из самых знаменитых социальных инженеров в истории является Кевин Митник. Сегодня он работает консультантом по компьютерной безопасности, а 30 лет назад был первым социальным инженером в США и самой желанной добычей для ФБР.

В 2001 году вышла книга «Искусство обмана» под его авторством, повествующая о реальных историях применения социальной инженерии. В ней он утверждает, что намного проще получить пароль путём обмана, нежели пытаться взломать систему безопасности.

Митник пишет, что «К семнадцати годам я развил свои навыки социальной инженерии до такой степени, что способен был уговорить большинство сотрудников Telco на что угодно. Причём независимо от того, говорил я с ними лично или по телефону».

В итоге телефонная компания буквально выдернула телефонный провод из его квартиры, взбешённая тем, что парень взломал их систему с помощью приёмов социальной инженерии. Потому что других законных способов воздействия на такого рода специалистов в то время ещё не существовало.

Кевина арестовали в 1995 году по многочисленным обвинениям в компьютерном и телефонном мошенничестве, взломах, незаконном доступе к устройствам и так далее. Кстати, во время судебного процесса обвинители убедили судью, что если Митнику удастся добраться до телефона, то он запросто дозвонится до командования воздушно-космической обороной США и свистом в трубку запустит межконтинентальную баллистическую ракету. Такой образ складывался во многом и потому, что Кевин занимался взломом словно ради удовольствия и спортивного интереса, ничего толком не зарабатывая этим занятием.

В январе 2000 года Кевин вышел на свободу и больше никогда не возвращался к деятельности социального инженера. По крайней мере, официально...

Как вы могли уже понять, главная опасность социальной инженерии состоит в том, что она построена на человеческих слабостях: наших страхах, уважении, заботе о близких, переживаниях за своё благополучие и работу. Используя эмоции, злоумышленники без труда получают банковские, личные и иные конфиденциальные данные.

Профессор психологии Роберт Чалдини в своей книге «Психология влияния» описал шесть принципов влияния, которые применяют социальные инженеры:

· Взаимность: мы предпочитаем платить добром за добро.

· Последовательность: мы придерживаемся убеждений, соответствующих нашим ценностям.

· Социальное доказательство: мы соглашаемся с тем, что делает большинство.

· Власть и авторитет: мы готовы идти за людьми, которым доверяем и которых уважаем.

· Симпатия: мы с удовольствием выполняем просьбы людей, которые нам нравятся.

· Дефицит: мы желаем того, что нам недоступно.

Основываясь на данных принципах, социальные инженеры пользуются тем, что психологические манипуляции не требуют больших затрат и специфических знаний (кроме нескольких психологических приёмов), их можно применять в течение длительного времени, а ещё их сложно обнаружить.
Людей, которые владеют ценной информацией или имеют к ней доступ, социальные инженеры сравнивают с низко висящим на ветке яблоком: оно на виду и до него очень легко дотянуться.

Основную группу риска составляют граждане с высоким уровнем доверчивости, которые не задумываются о своей финансовой безопасности. Когда такой человек получает СМС якобы от банка, в котором говорится, к примеру, что его карта заблокирована, он первым делом звонит по указанному в сообщении телефону. И попадает под психологическое воздействие профессионала на той стороне линии. В результате он выполняет полученные по телефону инструкции и сам переводит деньги преступникам.

Атаки с использованием социальной инженерии крайне опасны ещё и потому, так как происходят в совершенно обыденных ситуациях. Поскольку в информационный век манипулировать людьми стало проще, ведь есть Интернет и мобильная связь, которые позволяют взаимодействовать без непосредственного контакта с жертвой.

Даже самые умные и осторожные люди попадаются на крючок к социальным инженерам. Однако, полностью понимая механизм их работы и принимая элементарные меры предосторожности, вы гораздо меньше рискуете быть обманутым.

Примерная схема действий социальных инженеров может выглядеть выглядит так:

· Во-первых, мошенникам необходимо спровоцировать у жертвы сильные эмоции, например, страх за то, что третьи лица получили доступ к его личным финансам. Мошенники рассчитывают, что под влиянием эмоций жертва не сможет критически оценить ситуацию.

· Во-вторых, мошенникам нужно вызвать доверие. Для этого они могут представиться сотрудниками службы безопасности банка, Федеральной налоговой службы, Центрального банка и иной авторитетной организации. Иногда жертве звонят сразу несколько мошенников, представляясь сотрудниками нескольких учреждений. Например, после звонка из «службы безопасности банка» с сообщением о попытке перевода денег со счёта следует звонок от якобы сотрудника Центрального банка, который должен оформить заморозку средств на едином депозите.

· В-третьих, мошенникам надо убедить человека, что время для решения проблемы ограничено. Как правило, аферисты утверждают, что для защиты средств нужно сообщить данные карты или оформить перевод в течение нескольких минут. При этом злоумышленники стараются оставаться с человеком на связи, чтобы у него не было времени спокойно обдумать ситуацию.

Если все три этапа проходят гладко, то с большой вероятностью мошенники получат деньги своей жертвы. По статистике в большинстве случаев люди теряют свои сбережения не потому, что их счета взламывают хакеры. А потому, что владельцы банковских карт чаще всего сами сообщают мошенникам их полные реквизиты, включая номер, срок действия, трёхзначный CVV/CVC-код, а также пароли и коды из СМС, которые банки присылают для подтверждения операций.

Только в России, по словам заместителя председателя правления Сбербанка Станислава Кузнецова, в 80 % случаев злоумышленники пытаются таким образом похитить средства клиентов банков. Кибератаки на банки и их клиентов с использованием социальной инженерии ежемесячно растут на 4-6 %, при этом в подавляющем большинстве случаев – 79 % – люди отдают кибермошенникам свои деньги сами, поддавшись на уловки недоброжелателей.

Кстати, специалисты по безопасности говорят и том, что существует и обратная социальная инженерия. Что же это такое?

Об обратной социальной инженерии упоминают тогда, когда жертва сама предлагает мошеннику нужную ему информацию. Это может показаться абсурдным, но на самом деле лица, обладающие авторитетом в технической или социальной сфере, часто получают логины, пароли пользователей и другую важную личную информацию просто потому, что никто не сомневается в их порядочности.

Например, сотрудники службы поддержки никогда не спрашивают у пользователей логин или пароль; им не нужна эта информация для решения проблем. Однако многие пользователи ради скорейшего устранения проблем добровольно сообщают эти конфиденциальные сведения. Получается, что злоумышленнику даже не нужно спрашивать об этом.

Примером обратной социальной инженерии может служить следующий простой сценарий. Мошенник, работающий вместе с жертвой, изменяет на её компьютере имя файла или перемещает его в другой каталог. Когда жертва замечает пропажу файла, злоумышленник заявляет, что может всё исправить. Желая быстрее завершить работу или избежать наказания за утрату информации, жертва соглашается на это предложение. Недобросовестный коллега заявляет, что решить проблему можно, только войдя в систему с учётными данными жертвы. Теперь уже жертва просит злоумышленника войти в систему под её именем, чтобы попытаться восстановить файл. Злоумышленник неохотно соглашается и восстанавливает файл, а по ходу дела крадёт логин и пароль жертвы.
Таким образам, «взломав» одного работника, социальный инженер может получить доступ ко всей внутренней инфраструктуре и информации организации: списку партнёров и клиентов, финансовой отчётности, личным данным сотрудников, планам на следующий год, сведениям о собственных разработках и так далее.

Более того, успешно осуществив атаку, он даже улучшил свою репутацию, и вполне возможно, что после этого к нему будут обращаться за помощью и другие коллеги, которые с большой вероятностью тоже станут жертвами злоумышленника.
Для того чтобы не стать жертвой социального инженера, прежде всего нужно задумайтесь о вашем присутствии в Интернете. Согласитесь, что связь цифровой и реальной жизни человека, как известно, с каждым годом становится всё более тесной.

Дело в том, что, публикуя много личной информации, например, в социальных сетях, вы помогаете злоумышленникам. Так, некоторые социальные инженеры входят в доверие, упоминая недавние события, которыми человек поделился на своей странице.

«Привет, это Андрей? Ну, Андрей, мы вместе были на дне рождения у Димы. Он нас знакомил с тобой и Машей. У меня есть предложение…». Большинство людей примят такое сообщение за чистую монету, так как день рождения у Димы действительно был, да и новые знакомства на нём тоже. Ну а дальше, как говорится, войти в доверие – дело техники.

Поэтому специалисты по безопасности советуют сдержаннее рассказывать о себе и сделать ваши публикации доступными только для друзей. Так же, как и добавлять в друзья людей, которых вы точно знаете.

Если человек ищет работу и разместил своё резюме на сайте, то стоит удалить оттуда свой адрес, номер телефона, дату рождения – то есть любую полезную информацию, которой может воспользоваться мошенник.

Некоторые социальные инженеры очень тщательно готовятся к атаке, собирая все возможные данные о жертве, чтобы поймать её на крючок. Не стоит давать им такой возможности. Не подавайтесь сиюминутным порывам и помните, что социальная инженерия работает только потому, что она выглядит и звучит очень правдоподобно.

В конце нашего занятия попробуйте ответить на следующие вопросы:

1. Что такое социальная инженерия?

2. Как выглядит схема действий социальных инженеров?

3. Что нужно сделать для того, чтобы не быть обманутым с помощью приёмов социальной инженерии?