В современных электронных системах учитывают человеческий фактор пользователя при разработке систем защиты информации. Под "человеческим фактором" часто подразумевается совершение в человеко-машинной системе ошибочных действий пользователем, на которого повлияли: усталость, невнимательность, неосведомлённость и другие человеческие качества.
Мошенники тоже учитывают человеческий фактор пользователя, например, при воздействии на владельца аккаунта с помощью убеждения, дезинформации или запугивания для реализации мошеннических схем.
Если сравнивать человека и механизм, подчинённый строгим правилам, то механизм невозможно убедить против его алгоритмов, а человек может создать новое правило под влиянием психического воздействия. Поэтому в электронной платёжной системе пользователь является элементом с возможной уязвимостью в виде человеческого фактора.
Человек обладает самостоятельностью, поэтому в незнакомой ситуации он может принимать новые решения на основе новых правил, утверждённых им самим. Чтобы мошенники не могли убедить пользователя в совершении вредоносных действий (например, сообщить СМС-код, установить незнакомое приложение), ему нужно следовать общеизвестным правилам безопасности.
Правило безопасности 1: Не являясь специалистом в области безопасности, пользователь обязан руководствоваться только теми инструкциями, которые получены им из официальных источников.
Аналитические службы банков и виртуальных торговых площадок оперативно отслеживают новые мошеннические схемы и своевременно информируют пользователей на страницах своего сайта о мерах предосторожности.
Современные цифровые отношения могут быть настолько сложными, что практически все реальные действия можно осуществить удалённо. Например, процесс купли/продажи вещей может содержать несколько вероятных схем мошенничества на каждом этапе: поиск товара, обсуждение товара, оплата, передача товара.
Информационные службы больших торговых площадок регулярно публикуют сообщения о новых мошеннических схемах. Такая просветительская активность связана с тем, что многие пользователи не имеют системных знаний в сфере информационной безопасности и эффективным способом их обучения является сообщение примеров совершённых мошенничеств.
* На сервисе Avito можно ознакомиться с подробным архивом реализованных мошеннических схем в разделе Новости безопасности.
Правило безопасности 2: В случае получения инструкций от позвонившего или приславшего сообщение лица, нужно проверить безопасность предлагаемых действий у проверенных консультантов.
Чтобы перезвонить проверенному специалисту, нужно воспользоваться контактами с официального сайта электронного сервиса и не перезванивать по телефонам, продиктованным позвонившими лицами или приславшими контакты в СМС-сообщении или мессенджере.
Правило безопасности 3: Если контактное лицо не желает прерывать общение и всячески убеждает своего собеседника совершить важные действия "прямо сейчас", то в случае сомнений нужно сделать такой перерыв.
Зная о вероятности срыва общения, мошенники обычно стараются ускорить принятие решения атакуемым человеком, поддерживая постоянный темп вопросов или советов, усиливая нажим словесного давления в случае замешательства человека.
Разумеется, существуют маркетинговые акции, "горячие предложения" и навязчивые продавцы, которые не являются мошенниками, но никто из них не может принуждать человека к совершению сделки. На основании статьи 421 Гражданского кодекса РФ граждане и юридические лица свободны в заключении договора.
Согласно вышеуказанной статье 421 понуждение к заключению договора не допускается за исключением случаев, когда обязанность заключить договор добровольно принята сторонами или предусмотрена законодательством.
Иногда совершению небезопасных действий способствует заблуждение человека относительно своих знаний о безопасности. Злоумышленники, предлагающие пользователю совершить действия по раскрытию важных данных, могут пытаться убедить его в защищённости, безопасности и полезности совершаемых им действий.
Фразы типа: "Вы же знаете, что нельзя сообщать посторонним свои персональные данные?" или "Мы - служба безопасности сервиса, предупреждаем вас о возможных мошеннических действиях и предлагаем предпринять защитные меры...", могут успокоить собеседника и сформировать доверие к лицу, которое является мошенником и предлагает под его руководством совершить какие-либо действия.
Правило безопасности 4: Для поддержания своей компетентности в вопросах безопасного пользования сервисом, нужно регулярно изучать новые инструкции из официальных источников сервиса (банка, интернет-магазина, платёжной системы и др.).
Знания пользовательской безопасности должны быть актуальны (обновлены) также, как и программное обеспечение используемого смартфона, планшета, стационарного компьютера.
Специалисты смогут объяснить пользователю важность постоянного обучения. Начатое обучение нельзя прекращать, чтобы не потерять актуальность знаний.
Работа с сервисом является частью обучения - это практические знания. Если практика выполняется в соответствии с инструкциями, то навыки безопасного поведения пользователя повышаются. Полезно проходить тестирование в разделах безопасности на сайтах сервисов и изучать видеоролики с полезной практической информацией по использованию предлагаемых сервисом функций.
Пользователю нужно знать правила безопасности вне защищённой системы, потому что мошенники могут вовлекать собеседников в длительные дискуссии в соцсетях, форумах и чатах мессенджеров, с целью получения контактных данных для совершения мошенничества.
Правило безопасности 5: Чтобы получить новые знания, повышающие личную безопасность, не понижайте свой существующий уровень сообщением лишних для общения персональных данных.
Пять вышеприведённых правил являются основными для первичных инструктажей по информационной безопасности пользователей разных систем. Чтобы узнать о комфортной работе в цифровой среде, изучите все пользовательские инструкции, размещённые на официальных сайтах сервисов, с которыми вы работаете.
Другие интересные статьи этого канала:
20 декабря 2020 года.
Автор: Демешин Сергей Владимирович (юрист).
Участвуйте в обсуждении, пройдите опрос об интересных темах будущих публикаций (ссылка опроса в описании канала, также в описании указаны правила комментирования публикаций).