Каждый из нас сталкивался со звонками «сотрудников» банков или других финансовых организаций, которые просят подтвердить транзакцию, назвать кодовое слово или CVC-код карты. Но это только вершина айсберга в океане способов обмана. Мошенники подделывают сайты знакомых компаний и брендов, имитируют переписки с родными и друзьями, то есть легко могут заставить жертву самостоятельно принести деньги, основываясь на психологии человека.
Давайте разберемся, по каким принципам работает социальная инженерия, как злоумышленники заставляют передавать личные данные, почему мы до сих пор ведемся на эти уловки.
Социальная инженерия — это способ психологической манипуляции человеком для получения выгоды — например, доступа к личной информации, конфиденциальным данным или даже денежным средствам.
Мошенники строят обман на слабостях человека: торопливости, жадности, страхе, доверчивости. Они до мелочей продумывают поведение, реакцию жертвы на любые действия. Порой обманутый до конца уверен в том, что контролирует ситуацию и сам решает, как ею управлять.
Пять главных уловок мошенников
Главная цель мошенников — персональные данные и деньги. Чтобы это заполучить, они готовы пойти на многое.
1. Создают сайты, внешне похожие на ресурсы известных компаний. Ничего не подозревающий клиент, думая, что зашел на реальный сайт, вводит свои данные, которые тут же оправляются аферистам. Мошенники способны создавать вымышленные интернет-магазины или даже благотворительные акции.
2. Рассылают письма с вредоносными кодами, ссылками на ложные ресурсы или даже файлами для скачивания сведений с вашего компьютера. Причем в теме письма может быть сообщение о выигранной лотерее, полученном наследстве или файл с якобы обновлением антивируса. Такие схемы называют «троянским конем»: под видом стандартного письма приходит настоящий шпион, который охотится за вашими личными данными.
3. Звонят по телефону, воссоздавая реальный звонок из банка или другой организации. Это может быть предварительно записанное голосовое сообщение либо разговор по заранее подготовленному сценарию. Чаще всего в ходе таких звонков мошенники просят ввести логин или пароль для подтверждения какого-либо действия: входа в онлайн-банк, оплаты покупки, проверки перевода средств. Это называется «вишинг».
4. Пишут в социальных сетях от имени знакомого с просьбой поделиться личными данными для выполнения какой-то важной задачи или же перечислить деньги, потому что оказались в неприятной ситуации. Так жулики «оглушают» жертву срочностью и безвыходностью ситуации, поэтому человек не успевает хорошо обдумать действия и ведется на эту уловку. Такой вид мошенничества называется «претекстинг».
5. Заставляют жертву обратиться к ним за помощью. Например, заражают компьютер вирусом, перед этим направив рекламу с контактами якобы службы поддержки. Человек сам позвонит мошенникам и в процессе расскажет необходимую информацию для решения проблемы с поломкой компьютера. Такой прием называется «обратной социальной инженерией».
Три причины: почему мы до сих пор верим злоумышленникам
В основе результативности схем злоумышленников — человеческий фактор: доверчивость, недостаточная грамотность или слабая осведомленность в сфере безопасности. Часто люди сами передают данные или средства аферистам.
Во-первых, многие любят «бесплатный сыр» и забывают, что таким он бывает только в мышеловке. Еще мы мечтаем о выигрыше в лотерею и получении бонусов без усилий. А после внезапного «подарка» спешим ввести личные данные для скорейшего получения приза, даже не подозревая, что передаем их напрямую мошенникам.
Во-вторых, мы сами публикуем конфиденциальные данные в соцсетях и на публичных ресурсах: сообщаем телефонные номера, адреса, дату рождения, электронную почту, даже номера банковских карт. Этого, конечно, недостаточно, чтобы сразу украсть деньги, но так мошенники получают возможность начать разговор и узнать необходимую информацию у владельца.
В-третьих, все мы готовы помочь другому, особенно, если это человек со схожими интересами, проблемами. Мошенники заранее выясняют увлечения и интересы жертвы. К тому же людям свойственно желание угодить авторитетной личности. В этом случае злоумышленник пытается выдать себя за руководителя подразделения организации или за его представителя.
Как понять, что вас обманывают
Выявить мошенника, на самом деле, не так уж и сложно. Для этого помните о трех вещах, свойственных злоумышленникам:
- Будут подгонять и лишать жертву возможности здраво мыслить, принимая решение.
- Могут врать или юлить, отвечая на дополнительные вопросы. Жулик знает о вас не так много, ему важно получить как можно больше информации. Иногда мошенники намеренно дают неверную информацию, надеясь, что вы опровергните ее и назовете верные сведения.
- Будут гарантировать доходность по финансовому продукту. В то время как действующий сотрудник компании описывает условия договора и предупреждает клиента о возможных рисках, мошенник указывает на то, что вы упускаете выгодное предложение.
Чек-лист защиты от мошенников
✅ Уделять внимание написанию адресов сайтов: сверять названия ресурса с официальной страницей компании или бренда.
✅ Проверять наличие лицензии финансовой организации на сайте Банка России.
✅ Когда звонят из банка или другой финансовой организации, выяснить как можно больше деталей у собеседника: по какой причине звонят, почему необходимы личные данные. Даже если ответ покажется аргументированным, не раскрывать сведения вроде номера карты и CVV/CVC-кода. Лучше сразу прекратить разговор и перезвонить в банк по проверенному номеру.
✅ Подключить SMS-оповещения, чтобы моментально узнавать о транзакциях по счетам и картам. При несанкционированном списании можно позвонить в банк, сообщить о мошеннической транзакции и при необходимости заблокировать карту.
✅ Оставлять на карте для онлайн-покупок сумму, необходимую для совершения нужных операций.
✅ Не размещать в публичном доступе конфиденциальную информацию: номер телефона, адрес проживания, паспортные данные.
✅ Принимая инвестиционные решения, изучать актив, в который намерены вложиться, и посредника для такого сотрудничества.
✅ Не переходить по сомнительным ссылкам из сообщений, электронных писем. Проверять подлинность отправителя и домена прежде, чем предпринимать какие-либо действия.
✅ Получив просьбу друга в соцсети или мессенджере срочно перевести деньги, задать наводящие вопросы, чтобы проверить, что это действительно ваш знакомый. Лучше позвонить лично и подтвердить ситуацию.