Сегодня во всем мире интернетом пользуются более 5 миллиардов человек, и это число постоянно растет. В 2021 году в России насчитывалось 124 миллиона интернет-пользователей — на 6 миллионов больше, чем в предыдущем. Почти 70% россиян регулярно заходят в соцсети: именно там (а еще в онлайн-магазинах и на прочих интернет-платформах) мы нередко выкладываем конфиденциальную информацию о себе. Неудивительно, что в сети появляется все больше тех, кто охотится за нашими личными данными. Что такое социальная инженерия и как не попасться на уловки манипуляторов, рассказывают доктор психологических наук, ведущий научный сотрудник факультета социальных наук и департамента психологии Софья Нартова-Бочавер и доктор психологических наук, заведующий Лабораторией когнитивных исследований Факультета психологии ИОН РАНХиГС Владимир Спиридонов.
Фишинг, вишинг, смишинг
Самый распространенный способ манипуляции в интернете — это фишинг (от англ. phishing, искаженного fishing «рыбная ловля», «вылавливание», «выуживание»). В этом случае злоумышленник отправляет пользователю электронное письмо, которое выглядит, как сообщение от банка, онлайн-магазина, социальной сети или другой вызывающей доверие организации. В письме говорится, что аккаунт пользователя пытались взломать, замечена подозрительная активность, требуется подтвердить личные данные или пройти по ссылке, чтобы оплатить покупку или получить купон на скидку. Заглотив «наживку», получатель нажимает на ссылку или открывает вложение к письму — и оказывается «на крючке» у тех, кто таким образом получает доступ к конфиденциальной информации.
Другой распространенный прием — это фишинг по телефону, или вишинг (от англ. voice «голос» и phishing). Человеку звонят и, представившись следователем, специалистом техподдержки или сотрудником службы безопасности банка, выманивают у него личную информацию, например, реквизиты банковской карты. Жертва добровольно сообщает номера и коды, с помощью которых можно получить доступ к денежному счету. Еще одна разновидность фишинга — смишинг (от англ. SMS и phishing), то есть использование смс-переписки и мессенджеров в тех же целях, чаще всего, для выманивания финансовой информации. Такие текстовые сообщения содержат ссылки на вредоносный сайт или программное обеспечение, которое крадет персональные данные.
Претекстинг (от англ. pretext «предлог», «повод») предполагает, что автор атаки основательно подготовился и будет действовать по сценарию, заранее разработанному для конкретного человека. Он мог выяснить его имя, дату рождения, номер паспорта или карты человека, чтобы войти в доверие и выудить другие ценные сведения: CVV-код или пароль от интернет-банкинга. Кстати, большую часть подготовительной информации можно собрать из открытых интернет-источников вроде социальных сетей, пользователи которых добровольно выкладывают в свободный доступ самые разные сведения. В конце концов, некоторые используют так называемый «плечевой серфинг»: он распространен в транспорте, магазинах, кафе, барах и прочих общественных местах.
Как нас стремятся обхитрить
Большинство техник социальной инженерии основано на одних и тех же приемах, призванных активировать бессознательную ступень принятия решений и помешать рациональной оценке происходящего. Для этого часто используют эффект неожиданности, например, звонят среди ночи, чтобы застать человека в уязвимом физиологическом состоянии: в силу слабой включенности сознания он вряд ли сможет защитить свои интересы. Или нас ловят в определенном эмоциональном состоянии: например, почти каждый человек периодически находится в стрессе и потому не может вовремя дать отпор, или пребывает в состоянии умиротворения и полного доверия миру, — а в этот период мы вовсе не намерены защищаться от недоброжелателей. Другая техника заключается в том, чтобы дать понять: времени нет, нужно действовать быстро, иначе случится нечто ужасное. Например, женщине, у которой есть сын подросткового возраста, поступает звонок: в трубке испуганный юношеский голос очень быстро, сбивчиво, полушепотом что-то говорит, произнося “ключевые слова” (мама, проблема, срочно). Голос трудно узнаваем, и подавляющее большинство матерей в первые секунды пойдут на поводу у обманщика.
Пользователям также могут присылать одинаковые безликие письма или смс, похожие на стандартную рассылку, в расчете на то, что человек машинально кликнет на вредоносное вложение, пропустив процесс рационализации своего действия. Казалось бы, прием совершенно иной, но он тоже обращен к спящим участкам нашего сознания — как и мягкое гипнотизирование тоннами бессвязной информации. В этом случае манипулятор быстро заваливает собеседника большим объемом противоречивых или сложных для усвоения данных, тем самым сбивая его с толку. Например, человек сидит в офисе и занят работой; раздается телефонный звонок из банка: ему начинают рассказывать, что замечена подозрительная активность с его картой и нужно перевести все деньги на запасной счет. Поскольку нечто подобное действительно могло произойти, а фокус внимания жертвы направлен на рабочие задачи, велика вероятность того, что обман удастся. Воспринимая сразу несколько слоев информации, мы часто пропускаем важные детали и реагируем с опозданием.
Еще одна типичная технология — провокация ответов согласия. В начале разговора просят подтвердить несколько деталей: «Я разговариваю с Иваном Ивановичем?» — «Да», «Это ваш номер телефона?» — «Да», «Я правильно понимаю, что у вас есть счет в таком-то банке?» — «Да». Считается, что после трех таких «да», доверительный контакт уже наполовину установлен и вероятность того, что мы назовем звонящему, например, секретный код, возрастает.
Еще одна категория людей, которым трудно говорить «нет», — это авторитетные фигуры вроде полицейских, банковских служащих, представителей международных организаций; мошенники могут представиться ими, чтобы вызвать у жертвы доверие и желание слушаться. Кроме того, мы начинаем доверять собеседнику, когда чувствуем себя в комфортной ситуации: например, если нам дают понять, что-то или иное действие — это способ обезопасить всех участников сделки. В любом случае, стоит помнить, что обманщики используют эти и другие манипулятивные стратегии в расчете усыпить критическое мышление и спровоцировать на опрометчивые стереотипные реакции.
Как противостоять мошенникам? Читайте в материале, который мы подготовили вместе с «Авито»: https://postnauka.ru/longreads/157080