Социальная инженерия. Психология фишинга

Как правило, говоря об уязвимостях, мы подразумеваем разного рода ошибки программирования или недостатки информационных систем, возникшие на этапе их проектирования. Однако есть целый ряд других уязвимостей, существующих непосредственно в голове у человека.

И дело здесь не о недостаточной осведомленности или небрежном отношении к кибербезопасности – как справляться с этими проблемами, более-менее понятно. Просто мозг пользователя иногда срабатывает не так, как хотелось бы экспертам по информационной безопасности, а так, как его вынуждают специалисты по социальной инженерии.

social-psix-3

Социальная инженерия подразумевает манипуляции действиями человека без использования технических средств. В контексте кибербезопасности – незаметное пользователя сделать что-то, что подвергает риску их безопасность или безопасность организации, в которой которую они работают.

Цель – вызвать ответную реакцию у жертвы: открыть зараженное вложение электронной почты, перейти по вредоносной ссылке или ответить на ложное уведомление. Успех в значительной степени зависит от удачной маскировки вредоносных и нежелательных сообщений под легитимные.

По сути, социальная инженерия — это сплав социологии и психологии. Совокупность приемов, методов и технологий создания такого пространства, условий и обстоятельств, которые максимально эффективно приводят к конкретному необходимому результату. Благодаря этому злоумышленники, играя на эмоциях, чувствах, страхах и рефлексах людей, получают доступ к интересующей их информации. И именно на этой «науке», по большому счету, базируется большая часть современных целевых атак.

social-psix-2

Среди чувств, к которым обычно взывают мошенники, можно выделить четыре основных:

  • Любопытство
  • Жадность
  • Страх
  • Жалость

Однако их сложно назвать уязвимостями – все-таки это естественные для человека чувства. Это скорее каналы воздействия, через которые манипуляторы пытаются влиять на жертву. В идеале – так, чтобы мозг сработал автоматически, не применяя критическое мышление. Для этого у злоумышленников припасено немало трюков. Вот несколько самых распространенных.

Подчинение авторитету

Это одно из так называемых когнитивных искажений – систематических отклонений в поведении, восприятии и мышлении. Его суть заключается в склонности людей беспрекословно подчиняться человеку, обладающему опытом или определенной властью, игнорируя свои собственные суждения о целесообразности действия.

На практике это может выглядеть как фишинговое письмо, написанное от имени вашего начальника. Например, если он просит подчиненного ознакомиться с содержащимися в письме материалами для нового проекта, то скорее всего получатель автоматически откроет вложенный файл.

Дефицит времени

Один из наиболее частых приемов в психологии манипуляций – создание ощущения дефицита времени. Часто для того, чтобы принять взвешенное, рациональное решение, требуется изучить информацию подробнее. А на это нужно время. Именно его и пытаются лишить жертву мошенники.

Как правило, манипуляторы в таких случаях взывают к чувству страха («В ваш аккаунт пытались зайти, если вход был произведен не вами, немедленно перейдите по ссылке…») или к жажде легкой наживы («Скидка доступна только первым десяти кликнувшим, не упусти свой шанс…»). Тогда появляется высокая вероятность поддаться чувствам и принять эмоциональное, а не рациональное решение.

Письма, пестрящие словами «срочно» и «важно», как раз из этой категории. Ключевые моменты в них часто любят выделять красным цветом для устрашения или для демонстрации фантастического везения, которое вот-вот можно упустить.

social-psix-1

Автоматизмы

Автоматизмы в психологии – это действия, реализуемые без непосредственного участия сознания. Автоматизмы бывают первичные (врожденные, никогда не осознававшиеся) и вторичные (прошедшие через сознание и переставшие осознаваться). А еще автоматизмы делятся на моторные, речевые и интеллектуальные.

Злоумышленники пытаются использовать автоматизмы, присылая письма, реакция на которые могла автоматизироваться. Сообщения типа «не получилось доставить сообщение, нажмите для повторной доставки», безумные рассылки с большой кнопкой «отписаться», фальшивые уведомления о новых комментариях в соцсетях и т.д.

Неожиданные откровения

Это еще один, достаточно часто встречающийся вид манипуляций. Суть его заключается в том, что информация, которая следует после некоего признания, воспринимается гораздо менее критически, чем если бы она была подана независимо.

На практике это может выглядеть, как письмо типа: «У нас случилась утечка паролей, проверьте, нет ли вас в списке потерпевших».

social-psix-4

Как не поддаться на уловки мошенников

  1. Возьмите за правило тщательно обдумывать все письма, в том числе и от начальства. Зачем руководитель просит вас открыть запароленный архив и присылает ключ к нему в том же письме? Почему он просит именно вас перевести деньги новому партнеру? Почему он ставит вам необычную задачу по почте, а не по телефону, как обычно? Если вы заметите какую-нибудь странность, то лучше лишний раз уточнить задание по другому каналу связи, чем подарить мошенникам корпоративные данные или деньги.
  2. Не реагируйте сразу на письма, побуждающие к немедленным действиям. Здесь важно сохранять хладнокровие и спокойствие, даже если содержание письма вызвало у вас желание действовать немедленно. Обязательно перепроверьте, от кого пришло это письмо, соответствует ли ссылка отображаемому адресу, легитимен ли домен, прежде чем переходить по ней. Если все равно сомневаетесь – лучше обратиться к специалистам.
  3. Если вы заметите за собой склонность к автоматической реакции на какие-то письма, попробуйте выполнить те же действия, только осознанно. Это может привести к «деавтоматизации», нужно лишь активировать свое сознание в нужный момент.
  4. Используйте защитные решения с надежными антифишинговыми технологиями. В таком случае большую часть писем от злоумышленников вы просто не увидите.

По материалам сайта kaspersky.ru

Яндекс.Метрика