В основу многих инструкций по информационной безопасности заложена практика расследования шаблонных преступлений. Многие из этих преступлений построены на самых простых реакциях человеческой психики. Именно о таких реакциях пойдёт речь в этой статье.
"Социальный шпионаж", как преступное использование технологий социальной инженерии, существовал задолго до появления компьютерных технологий. Целью использования приёмов расположения к себе реципиента (жертвы) было, как правило, получение сведений, необходимых для совершения преступления. В современном мире закрытые сведения часто требуются для совершения информационных преступлений.
Древние способы обмана
Внушение чувства доверия
Самый распространённый способ, но что он означает в современном мире? Лучший способ объяснения - это иллюстрирующие примеры.
Любая социальная группа, любой сайт собирающий сведения, для преступных целей прекрасно владеет способами "имитации добропорядочности". При столкновении с сайтами-разведчиками у жертвы может создаваться благоприятное впечатление от наличия историй помощи, предложения бесплатных услуг и внешнего лоска, использующего известные имена, названия официальных организаций и даже сообщения достоверных контактных данных.
Сайты или группы, требуя заполнить анкету или пройти собеседование, могут:
- проводить социально-исследовательские работы (анкетирование);
- предлагать помощь психологического или социального характера;
- могут предупреждать о мошеннических действиях;
- могут предлагать бесплатные услуги населению.
Распознать в этих сайтах и группах мошенников пользователю может быть трудно, поэтому нужно внимательно контролировать сообщаемую информацию о себе.
При проверке любознательных сервисов нужно получить ответы на два вопроса:
- Не избыточны ли сведения, запрашиваемые для совершения предлагаемых услуг, оказания помощи?
- В чём заключается выгода организации от общения со своими посетителями и откуда у организации средства для своей бесплатной деятельности?
Получение информации в доверительных беседах - это очень древний способ взаимодействия. Одним из самых ярких примеров доверительных бесед являются разговоры в очереди людей в какой-нибудь организации, магазине и др.
Создание ложной реальности
В отличие от создания ложной добропорядочности мошеннические сайты владеющие техникой создания ложных реальностей создают впечатление реальности несуществующих событий.
То есть, если в первом случае для получения сведений мошенникам достаточно было убедить жертву в своей легальности и надёжности, то в этом случае мошенники идут дальше и создают имитации: успеха; акций; тендеров; аукционов; больших выигрышей; ложного спроса и ажиотажа.
Если у пользователя возникают хотя бы малейшие сомнения в происходящих событиях, представленных на чьём-нибудь сайте, то нужно искать их реальное подтверждение в официальных новостных источниках, физическом мире людей и контролирующих государственных органах.
Приведу пример мошенничества из коммерческой сферы. Существовали целые мошеннические SEO-компании, которые проводили крупные акции, убеждающие клиентов в успешности действий по продвижению их сайтов. Под определённые промо-схемы с клиентов взимались крупные суммы денег, которые никогда не оспаривались клиентами, убеждёнными в развитии своих интернет-ресурсов.
Если пользователь потеряет бдительность, оказавшись в ложной реальности "всеобщего успеха" и "благонадёжности", то он может ошибочно сообщить о себе лишние сведения, предоставить лишние полномочия представителям, перечислить аванс денежных средств за несуществующие услуги или вложить свои средства в мошеннический проект.
Использование образов: "Простака" и "Униформы"
В Интернете, как и в любом месте где общаются люди, ценится оперативное реагирование и простое решение вопросов. Если в социальном сервисе произошёл сбой, а затем на почту пользователя пришло сообщение о подтверждении учётных данных (ФИО, пароль и др.) путём отправки их по почте администратору для оперативного устранения проблемы, то некоторые пользователи могут откликнуться на такие подозрительные "оперативные меры".
Все ли пользователи в такой ситуации станут проверять достоверность присланного почтового сообщения путём связи с поддержкой через проверенные контакты?
Если по номеру телефона, указанному в открытом доступе в социальной сети, перезвонит представитель службы поддержки сервиса с просьбой подтвердить права доступа в соцсеть, то каждый ли пользователь заподозрит превышение полномочий со стороны любопытного?
Возможно, только после предупреждений о том, что обычно сервисные службы не спрашивают персональные данные пользователей, указанные для их идентификации техническим способом, а также другую персональную информацию.
"Наглый напор" (Простак) или "угроза/обещание применения полномочий" (Униформа) использовались мошенниками на протяжении многих столетий и у многих людей выработался психический иммунитет к таким действиям, но стоит сменить аналоговую обстановку на цифровую, как выясняется, что эти древние методы снова эффективны.
Вот почему СМС по мобильному телефону "Ваш счет в (таком-то) банке заблокирован в результате мошеннических действий, срочно перезвоните по телефону (такой-то номер)" собирает своих откликнувшихся абонентов.
Инструкции многих банков в таких ситуациях не рекомендуют перезванивать по указанным номерам, а в целях уточнения ситуации предлагают использовать проверенные телефонные номера, указанные непосредственно в банке, в договоре, на карте, на визитке банка.
Классификация угроз
Стандартно атаки "социального шпионажа" классифицируются на угрозы, связанные с применением:
- телефона;
- сервисов обмена мгновенными сообщениями;
- социальных сетей;
- электронной почты.
Основными мерами защиты от "социального шпионажа" является:
- информированность о преступных схемах;
- безопасное поведение пользователя в сервисах общения и безопасное использование средств связи;
- оперативная связь с подтвержденной службой поддержки сервиса, через который прошла атака;
- своевременное заявление в правоохранительные органы при обнаружении признаков преступных действий.
Дополнительные материалы по теме этой статьи:
- Мифология информационной безопасности (часть 1)
- Утечка данных тренирует общество
9 августа 2019 года.
автор: юрист Демешин Сергей Владимирович.
Участвуйте в обсуждении, пройдите опрос об интересных темах будущих публикаций (ссылка опроса в описании канала, также в описании указаны правила комментирования публикаций).