Россияне ежегодно теряют сотни миллионов рублей из-за мошенников, использующих методы социальной инженерии. Какие приёмы обмана используют аферисты и какие способы защиты от социальной инженерии существуют? Об этом в статье.
СОДЕРЖАНИЕ
1. Что такое социальная инженерия простыми словами.
2. Приемы социальной инженерии.
3. Классификация угроз социальной инженерии.
4. Способы защиты от социальной инженерии.
Что такое социальная инженерия простыми словами
Чтобы защититься от социальной инженерии нужно, для начала, понимать что это такое и как она работает.
Социальная инженерия — это комплекс методов склонить поведение человека в выгодную для манипулятора сторону: заставить жертву делать то, чего в обычном состоянии она никогда не стала бы.
Для аферистов социальная инженерия — психологическая отмычка, с помощью которой они взламывают человека, вынуждая его отдать деньги, оказать безвозмездно ценные услуги или сообщить конфиденциальную информацию.
По сути, такая инженерия существовала всегда, как один из главных профессиональных инструментов мошенников. Но с развитием интернета она обрела небывалые масштабы. Жулики буквально не по дням, а по часам стали генерировать новые криминальные сценарии, применяя творческий подход и различные методы управления поведением.
Без знания основных принципов подобного «развода» есть большой риск рано или поздно угодить в расставленные сети.
Большинство людей искренне уверены, что достаточно умны, чтобы держать любую ситуацию под контролем и способны отличить контакт с мошенником с первых слов. Однако мошенникам известны все модели поведения людей и подобная самоуверенность клиента для них — не преграда. Поэтому никогда не стоит пренебрегать предосторожностями, напротив, мошеннические схемы полезно подробно изучать, они постоянно совершенствуются.
Приемы социальной инженерии
Прямому контакту мошенника с предполагаемой жертвой — грамотной атаке, предшествует подготовка. Только начинающие жулики действуют наудачу, охотники за крупным кушем разрабатывают эффективные схемы.
Применяемые методы:
- сбор информации о жертве: ее полное имя, имеющиеся платежные инструменты, как вариант: профессия, возраст и т. д;
- внедрение средств атаки для похищения информации с персонального компьютера, гаджетов: фишинговые приложения, вирусы;
- разработка сценария для общения по телефону: для наиболее доверительного контакта, оказания психологического давления, запугивания.
Социальный инженер, то есть, мошенник, действует ли он в одиночку или в группе, заранее знает, к какой категории людей принадлежит его клиент, каким способом он свяжется с ним, кем представится, на какую тему заведет разговор. Наивно предполагать, что с мошенническими целями звонят и пишут исключительно малограмотные люди с маргинальной речью. На самом деле отличить охотника за чужими деньгами от должностного лица какой-либо организации по лексикону или интонации практически невозможно. Мошенник будет говорить о ваших финансах так же грамотно и уверенно, как опытный сотрудник банка.
Учитывая настороженность, которая сформировалась у населения в связи с частыми телефонными атаками на банковские карты, мошенники прекратили бить в лоб прямыми запросами вроде: «назовите ваш пин-код», «сколько у вас средств» и т.д. Напротив, сейчас они сами призывают к бдительности, убеждают, что обеспокоены странной активностью на счетах.
Основная финансовая информация и личные данные уже могут быть в распоряжении мошенников, им необходимы лишь коды безопасности карт или подтверждения транзакций. Выудить заветные цифры они стараются, воздействуя на психику жертвы:
- ввергнуть в стресс: «быстрее, быстрее, у нас только 2 минуты для отмены перевода всех ваших денег, говорите код»;
- испугать;
- сыграть на жадности, доброте, тщеславии, жалости, обидчивости.
Распространенные методы манипуляций
1. Игра на авторитетности. Большинство людей привыкло доверять авторитетным для себя источникам: например, федеральным телеканалам, ведущим или блогерам. Нет надежнее способа привлечь клиентов в сомнительное предприятие вроде онлайн-казино или пирамиды, прорекламировав его в ролике на канале с миллионным количеством подписчиков. Поклонники любимого блогера доверяют кумиру и не верят, что он запросто может обмануть, так как получает вознаграждение за рекламу.
2. Игра на жалости. Псевдоблаготворители заводят фонды в соцсетях сотнями и все они полнятся слезоточивыми, рвущими душу историями безнадежно больных детишек, одиноких нищих многодетных мам, брошенных животных. Отличие таких ресурсов от настоящих: все истории и герои сборов выдуманы, а все донаты идут не на благо несчастным, а в карманы мошенникам. Но людям часто бывает неудобно требовать у благотворителей отчетные документы и адреса нуждающихся.
3. Угрозы. Любимый способ воздействия «банковских служащих» и «работников силовых структур». Самые распространенные схемы: якобы утечка денег с банковского счета в подозрительном направлении или беда, случившаяся с кем-то из родных. Как правило, здравый смысл и хладнокровие в подобных ситуациях бывает трудно сохранять долго, этим и пользуются злоумышленники.
Под влиянием острого стресса люди забывают о предосторожности, не обращают внимания на нестыковки и нелогичные заявления. А когда разум все-таки включается, бывает поздно: деньгами уже завладевают аферисты.
Попытка выудить паспортные данные, любые цифры с карты или SMS, а также просьбы перевести любую сумму для спасения от уголовного преследования: 100-процентный развод.
Столкнувшись с подобным, действовать можно так:
- оборвать связь и самостоятельно позвонить в отделение банка по официальному номеру или обратиться туда лично;
- попытаться выяснить у собеседника все подробности правонарушения или ДТП (имя родственника, номер машины, в каком городе и на кокой улице произошло ДТП, в каком отделении служит звонивший сотрудник полиции и т.п.). Почти гарантированно после этого мошенник пропадет.
4. Завоевание симпатии. Метод работает с чрезмерно доверчивыми, добрыми или пожилыми людьми. Мошенник в ходе разговора выявляет, склонен ли человек реагировать на дружественные заявления, несколько впечатлителен, можно ли его растрогать.
Если так — дело в шляпе, у него легко выудить необходимую информацию. Пара выражений в духе: «вы спасете меня, если поможете уладить это недаразумение», «не переживайте, мы спасем вас от этой неприятности», — и жертва переведет деньги, отдаст все пароли и коды.
5. Чувство вины. В отношении мошенничества метод таков: манипулятор, не получив желаемого, пишет, звонит и заявляет раздосадованным тоном, что по вашей вине он терпит некие неудобства. Артистичные натуры могут разряжаться, затем обрывают связь, создавая атмосферу обиды. Редко кто захочет чувствовать себя виноватым. Чтобы загладить ущерб, жертва бросается выполнять просьбу мошенника, чего он и добивался.
Тот или иной метод воздействия у социальной инженерии есть практически для каждого человека. Поэтому бдительность необходима всем, а не только чрезмерно наивным или малообразованным людям.
Классификация угроз социальной инженерии
В зависимости от используемых средств коммуникации все пути воздействия социальной инженерии на жертв можно разделить на несколько основных групп:
- Телефонные угрозы. Самый доступный и наиболее популярный тип связи, есть практически у всех. По телефону люди привыкли решать бытовые и другие неотложные вопросы, получать необходимую информацию от различных организаций.
Убедительно звучащий голос — все, что нужно для умело проведенной манипуляции и аферисты охотно этим пользуются. Жертвами телефонного мошенничества ежедневно становятся тысячи людей, а ущерб, который наносят аферы, исчисляется миллиардами.
- СМС или смишинг. Текстовые сообщения по сотовой связи тоже очень популярны, большинство различных компаний использует такой вид связи для оповещения целевой аудитории и клиентских баз о каких-то важных событиях, акциях и выгодных предложениях.
Мошенники тоже давно оценили преимущества СМС. Рассылками о неожиданных выигрышах в лотерею, блокировках банковских карт или подозрительных действиях с деньгами редко можно кого-то удивить. Но среди людей всегда находится немало наивных или испуганных. Звонок на предлагаемый ворами номер или переход по ссылке обычно приводит к крупным денежным потерям или заражению гаджетов вирусами.
- Электронные письма с фишинговыми ссылками. Послания якобы от банков или государственных структур настойчиво требуют зайти на предлагаемый сайт для уточнения учетных данных, решения неких важных проблем и т. д. Ни о чем не подозревающие жертвы послушно переходят по ссылкам, после чего с их компьютера похищают все данные. Потерей могут быть не только финансы, но и документы, а также доступ к конфиденциальной информации. Письмо может поступить и от друзей в соцсетях, чьи аккаунты взламываются хакерами. Подобные схемы становятся классикой: просьбы о деньгах, предложения скачать классную музыку или видео вот на этом ресурсе и много чего еще.
- Угрозы с мессенджеров. Ресурсы мгновенного обмена сообщениями — не только большое достижение IT-индустрии, но и огромные возможности для мошенничества. Получить в тексте можно все, что угодно: от фейковых объявлений о блокировке банковского счета до фишинговых кодов.
Способы защиты от социальной инженерии
На самом деле оградить себя от посягательств даже самых совершенных методов мошенничества не слишком сложно. Достаточно всегда помнить несколько правил и действовать, никогда от них не отклоняясь.
Кратко
Во избежание потери финансов и важной информации необходимо соблюдать осторожность: не открывать странных посланий, не переходить на неизвестные ресурсы до полной их проверки, не откровенничать с обаятельными добрыми незнакомцами даже на отвлеченные темы. В компьютере, планшетах и смартфонах должны действовать эффективные программы-антивирусы.
Не стоит давать возможность потенциальным мошенникам вовлекать себя в беседу даже уверенным и юридически грамотным людям. С той стороны может быть тонкий психолог, умеющий просчитывать слабые места и играть на самоуверенности. Можно не заметить, как в безобидном разговоре проскользнет важная для мошенников информация.
Подробнее
- Запрещено сообщать коды, пароли доступа и содержание авто — SMS, присылаемых сервисами банков и никакую другую информацию личного характера: точное ФИО, серию и номер паспорта, реквизиты документов. Кому бы то ни было. Похитить деньги с карты мошенники могут с помощью трех цифр CVC на обратной ее стороне или пароля в сообщении. Все возникающие подобные вопросы банки и другие организации решают в личном присутствии клиентов. Подтверждать или отменять транзакции по телефону или электронной почте они не имеют права. Для связи с горячей линией на пластике напечатаны официальные номера банков. На них и нужно звонить при необходимости.
- Звонки о бедах, постигших родственников, от компетентных органов — всегда развод. Договоритесь с близкими об альтернативных контактах для связи на случай потери или кражи действующих телефонов, тщательно проверяйте любую информацию об авариях, преступлениях, в которых якобы замешан близкий человек. Обычно бывает достаточно перезвонить ему лишний раз, чтобы ложь выяснилась.
- Нельзя вносить полную или частичную предоплату за товары, покупаемые через интернет. Особенно если это продает магазин незнакомый или вообще частное лицо. Электронный кошелек или номер карты в качестве платежных реквизитов — лишнее подтверждение мошеннической сделки. Рекомендуется использовать услуги специализированных торговых площадок или договариваться о посредничестве третьей стороны: например, о пересылке товара наложенным платежом.
- Нельзя открывать и бездумно переходить по ссылкам в письмах от «налоговой», «банков» с требованиями погасить кредиты, задолженности, исправить учетные данные и прочей неотложной информацией. Безопаснее связаться с инстанцией самостоятельно или явиться в отдел обслуживания лично, чтобы выяснить, существует ли проблема вообще.
Лучший выход: обрывать связь и игнорировать странные послания. Безопаснее показаться недостаточно вежливым собеседником, чем оказаться в дураках. А установить, жулик контактировал с вами или добросовестный сотрудник, легко, позвонив на официальную горячую линию компании.
В этой статье мы рассмотрели само понятие и способы защиты от социальной инженерии, а также привели примеры наиболее популярных атак. Однако тема эта очень обширная, а разнообразие возможных сценариев ограничено лишь фантазией атакующих. Большинство успешных атак на информационные системы включали в себя методы социальной инженерии и будут включать до тех пор, пока человек остается человеком со всеми свойственными ему инстинктами и эмоциями. Тем не менее, помимо инстинктов, у нас есть разум: нужно пользоваться его возможностями. Старайтесь всегда сохранять бдительность. Не поленитесь лишний раз позвонить коллеге и убедиться, что полученный email — действительно от него, а также обращайте внимание на ссылки, по которым переходите.
