Как распознать и противостоять социальной инженерии?

Суперкомпьютеры и сверхсложные программы для взлома банковских счетов — это картинка для кино. Чаще мошенники действуют, полагаясь на психологию, и жертва сама сделает всё, что им нужно. Так получается дешевле, надёжнее и проще для преступников. Расскажу о том, как мошенники манипулируют людьми, как распознать хитрые приёмы и как противостоять социальной инженерии.

Что такое социальная инженерия?

Ряд специальных психологических техник, призванных заставить человека совершить какие-то действия или изменить своё поведение, называется социальной инженерией. Мошенники используют эти техники во зло, заставляя жертв выбалтывать данные и совершать поступки, которые они в нормальной жизни не сделали бы по своей воле.

Их цель — персональные данные, данные карт, пароли и просто деньги. Когда всё закончилось, жертвы порой не могут даже понять, как их обвели вокруг пальца и как они не поняли, что с ними делают. Но в этом и состоит «искусство» мошенника.

Технология обмана

«Работают» преступники обычно по телефону или через мессенджеры, реже — через электронную почту, пользуясь набором психологических заготовок. Вся «тёмная» социальная инженерия строится по следующей схеме.

1. «Нулевой», самый важный этап: набрать как можно больше данных о будущей жертве, чтобы понимать её потенциал для мошенника, в каких банках счета, представлять, о чём и от чьего имени говорить с человеком.
2. Войти в доверие, представившись авторитетной, дружелюбной или ценной фигурой.
3. Завладеть вниманием, сообщив некую важную информацию.
4. Вызвать сильную эмоциональную реакцию, снизив критичность мышления жертвы.
5. Под прикрытием эмоций и иной информации выведать нужные данные или понудить к нужным мошеннику действиям.

Заготовки

Рычаги, которыми действуют манипуляторы, основаны на том, что люди довольно предсказуемо реагируют в ситуации социального взаимодействия. Творческих вариантов подобных заготовок может быть очень много, но, по сути, они все очень похожи. Чаще всего используют авторитет, страх и жажду обогащения, смешанные в разных пропорциях.

Типичные «страшилки»:

• «Вам звонят из ФСБ, на вас заведено дело, разговор строго конфиденциальный…»
• «Я сотрудник сотового оператора, у вас истекает срок контракта, ваш номер будет заблокирован, но могу помочь продлить договор…»
• «Ваш компьютер заражён, свяжитесь с нами, чтобы мы могли вам помочь…»

Ложный авторитет:

• «Вас беспокоит служба безопасности банка, на вас оформлена кредитная заявка, давайте уточним или отменим…»
• «Здравствуйте, я ваш новый системный администратор, мы сейчас во всей компании обновляем систему после вирусной атаки, подскажите ваш старый пароль, я вам через пять минут пришлю новый…»
• «Братан, помогай, за мной коллекторы пришли, надо всего-то 5000, в конце месяца верну…»

Манипуляции с жадностью:

• «Вы выиграли в лотерею, перейдите по ссылке, чтобы подтвердить и оплатить налог на выигрыш…»
• «Ваш дальний родственник оставил вам наследство, давайте уточним персональные данные…»
• «Вам положена выплата по государственной программе, давайте уточним данные счёта, куда перевести выплату…»

Как бороться с социальной инженерией

Проще всего одолеть мошенников на «нулевом» этапе и не дать им собрать достаточно информации о вас. Сегодня, когда принято всем делиться в социальных сетях и приложениях, это непросто, но тем не менее нужно обязательно ограничить доступную информацию о себе.

• Думайте, что вы выкладываете в соцсети и другие открытые источники. Мошенники внимательно изучают их, чтобы составить ваш «портрет» и понять, как вами можно манипулировать. Профили лучше держать открытыми только для друзей.
• Помните, что 90 и более процентов информации, которой пользуются преступники на «нулевом» этапе, жертвы тоже выбалтывают сами. Поэтому если кто-то внезапно активно набивается к вам в друзья в глобальной сети и «хочет вас получше узнать» — это может быть признаком внимания со стороны жуликов.
• Подглядеть через плечо — тоже метод сбора информации. Будьте внимательны, общаясь и вводя пароли на компьютере, в смартфоне или в банкомате, особенно в общественных местах.
• Не делитесь никакой финансовой информацией: ни тем, что вы подали на кредит, ни вашей зарплатой, ни проблемами с деньгами. Если у вас есть деньги, вы становитесь интересной целью, если у вас проблемы с деньгами, мошенники попробуют втереться в доверие, пообещав поддержку.
• Никогда не выкладывайте в общий доступ никаких деталей, связанных с безопасностью: логины и пароли, коды, уведомления и т. п.

Второй уровень защиты: умение распознавать социальную инженерию. Самый характерный признак того, что вами манипулируют, — сочетание давления на эмоции и навязывания каких-то шагов из-за срочности или секретности. Как только вы заметили, что вас пытаются пугать или торопить, можно быть уверенным: вас пробуют на устойчивость «социальные инженеры». Раскрытая манипуляция сразу теряет свою эффективность.

Третий уровень защиты — будьте информированы. Если вы в курсе того, какая нынче «мода» у мошенников, вам гораздо легче будет заметить признаки социальной инженерии и не попасться на крючок.