Наверное, в нашем обществе не осталось ни одного человека, которому бы не звонили мошенники. Однако, не все замечают, как развивается сфера социальной инженерии, и какие методы используют мошенники.
Что такое социальная инженерия?
Социальная инженерия или «атака на человека» — это совокупность психологических и социологических приёмов, методов и технологий, которые позволяют манипулировать людьми с целью совершения определенных действий или разглашения конфиденциальной информации.
Массовое проявление социальной инженерии в интернете началось еще со времен так называемых «Нигерийских писем счастья». Жертве приходило письмо, о том что её разыскивает адвокат (банкир, поверенный и т.д.) с целью вручить наследство в миллионы долларов. И вот новоиспеченный миллионер уже в уме тратит большое наследство. Всего-то надо – перечислить небольшую сумму для страховки банковского перевода.
Телефонные мошенники
С развитием телефонии и массового использования мессенджеров мошенники перешли в эту область. Теперь уже не письма, а массовые обзвоны стали основным источником получения дохода мошенников. Если сначала это были просто «сотрудники службы безопасности Сбербанка», то в дальнейшем возникли «сотрудники Центробанка», «оперуполномоченные МВД», «сотрудники ФСБ».
Применение искусственного интеллекта
В сентябре 2023 года по Санкт-Петербургу прокатилась волна новой мошеннической схемы. Мошенники создавали закрытые аккаунты в Telegram, маскировали их под аккаунты генеральных директоров и топовых руководителей компаний и писали в личные сообщения сотрудникам этих компаний.
Представьте, что вам пишет генеральный директор и дает указания на те или иные действия. При этом даже на картинке аккаунта стоит фотография генерального директора. Естественно, вы, как исполнительный сотрудник, броситесь исполнять указания генерального директора.
Кстати! Есть стереотип, что жертвами телефонных мошенников чаще всего становятся люди пожилого возраста. Однако, статистика говорит о противоположном. Чаще всего ведутся на мошеннические схемы люди в возрасте от 30 до 40 лет.
Если в отношении простых граждан работают одни и те же скрипты, то в отношении компаний требуется предварительная подготовка:
- мошенникам необходимо установить ФИО генерального директора или топовых руководителей;
- найти их актуальные фотографии;
- найти в сети действующих сотрудников компании.
И этот элементарный набор информации требует усилий. Вы скажете, что же тут сложного? Ведь данная информация в большинстве своём публичная. Да, не сложно если вы собираете информацию об одной компании. А если вам требуется собрать и подготовить подобную информацию о нескольких тысячах компаний? Сбор информации и предварительную подготовку осуществлял искусственный интеллект. Мошенники тоже не сидят на месте и используют новые и продвинутые технологии. И то, что ранее требовало больших усилий, теперь делает ИИ.
Что стоит ожидать в будущем от мошенников?
В начале 2020 года менеджеру банка в Гонконге позвонил человек, которого он сразу узнал – это был голос директора компании. У того были хорошие новости: компания совершает крупную сделку, но для этого нужно, чтобы банк санкционировал переводы на 35 000 000 долларов. Менеджер банка увидел в своем почтовом ящике электронные письма, подтверждающие эту сумму, и перевел деньги на счета преступников. Следователи считают, что в операции участвовали 17 человек. Грабители отправили украденные деньги в банки по всему миру.
Нейронные сети вполне могут подделать голос человека. Для этого необходимо лишь набрать достаточное количество записей образца голоса человека. Вполне вероятно, что уже в ближайшее время мы столкнемся с тем, что мошенники будут звонить нам и разговаривать голосами наших руководителей или близких!
Что делать?
Основной принцип борьбы с социальной инженерией – это повышение осведомленности людей в области информационной безопасности.
Чем больше люди будут знать о методах социальной инженерии, чем больше они будут слышать о примерах применения мошеннических схем, тем выше вероятность не повестись и не стать жертвой.
Компании, которые занимаются информационной безопасностью тоже не стоят на месте и внедряют комплексы борьбы с мошенниками и киберпреступниками.
Автор статьи: Иван Бируля, руководитель Департамента корпоративной безопасности
