Хотел уделить этой теме одну статью на своём блоге, так как это довольно актуальная тема, и нужно понимать, как мошенники могут манипулировать Вами!
Социальная инженерия - это крайне мощный и действенный инструмент, который используют хакеры. Он способен оказывать колоссальное влияние на людей, заставляя их делать то, что им нужно
Социальная инженерия” (social engineering) — это набор различных психологических методик и мошеннических приемов, целью которых является получение конфиденциальной информации о человеке обманным путем. Конфиденциальная информация — это логины/пароли, личные интимные данные, компромат, номера банковских карт и все, что может принести финансовые или репутационные потери.
⚠️ Для справки: на сегодняшний день большинство (около 70%) хакерких атак так или иначе совершаются с использование социальной инженерии.
Социальная инженерия заимствует большинство своих концепций из психологии.
Влияние
Влияние – это нейтральный термин, обозначающий деятельность человека, которая побуждает других к определенному результату. Влияние может быть положительным или отрицательным. Примером влияния может служить врач, беседующий с пациентом о его состоянии здоровья, изменениях в образе жизни, которые он должен предпринять, и рисках, с которыми он сталкивается, чтобы вдохновить пациента вести более здоровый образ жизни.
Манипуляции
За пределами мира психологии люди обычно не видят разницы между манипуляцией и влиянием. Но среди специалистов эти термины имеют совершенно разные значения. Манипуляция – это пагубное влияние, обычно направленное на причинение вреда.
✅ В социальной инженерии злоумышленники часто используют манипуляции вместо влияния из-за недостаточной подготовки или по недомыслию.
Взаимопонимание (раппорт)
Если коротко, взаимопонимание – это взаимное доверие. Большинство словарей определяют взаимопонимание как «дружеские, гармоничные отношения» и добавляют, что такие отношения обычно «характеризуются соглашением, взаимным доверием или сопереживанием, которые делают общение возможным или легким».
Американская психологическая ассоциация (АПА) основывается на этом определении, говоря, что «установление взаимопонимания с клиентом в психотерапии часто является важной промежуточной целью для терапевта, чтобы облегчить и углубить терапевтический опыт и способствовать оптимальному прогрессу и улучшению».
Как и психотерапевты, специалисты по социальной инженерии пытаются установить контакт со своими объектами для завоевания их доверия. Чтобы построить взаимопонимание, они часто полагаются на общий опыт (реальный или выдуманный), играют на интересах жертвы и подчеркивают свои собственные черты характера.
Семь принципов влияния на людей
Если разобраться в теме, то можно выделить основные принципы влияния: авторитет, привлекательность, срочность и дефицит, постоянство и последовательность, социальное доказательство, взаимность.
Давайте рассмотрим подробнее эти принципы.
1️⃣ Авторитет
Люди склонны совершать определенные действия, когда кто-то, наделенный властью, просит их об этом или когда их заставляют поверить (правдиво или под ложным предлогом), что такое же действие совершает авторитетная фигура.
✅ Злоумышленники могут позвонить жертве и сказать, что действуют по распоряжению генерального директора, директора по информационной безопасности или в соответствии с определенным законом.
2️⃣ Привлекательность
Люди, как правило, стремятся помочь тем, кого считают милым и привлекательным. Вы когда-нибудь встречали продавца, который хотя бы не пытался выглядеть приятным человеком? Скорее всего, он будет делать вам комплименты по поводу одежды, внешности и интеллекта, чтобы завоевать ваше расположение
3️⃣ Срочность и дефицит
Если есть риск, что человек чего-то не получит, он начинает хотеть этого намного сильнее.
Давайте объясню на примере: недавно я воспользовался рекламной акцией местного спортзала. В процессе регистрации на странице сайта появился таймер, предупреждающий о том, что осталась одна минута, чтобы завершить процедуру, иначе я буду исключен из списка льготных клиентов. В качестве эксперимента я прошел процедуру регистрации трижды. Первые два раза я проделал регистрацию с одного и того же IP-адреса в течение минуты. В третий раз я потратил около пяти минут, и таймер просто сбрасывался без последствий каждый раз, когда минута заканчивалась.
Мораль этой истории: спортзал пытался использовать срочность, чтобы заставить нам подписаться на что-то, что могло принести мне пользу, а могло и не принести. Таймер дает потенциальным клиентам искусственное ограничение по времени и ощущение, что они потеряют что-то важное, если не будут действовать быстро.
✅ Занимаясь фишингом, многие мошенники заявляют, что продают или раздают что-то такое, чего существует лишь небольшое количество. Чтобы соблазнить жертву действовать, будь то переход по ссылке или ввод информации, они предлагают нечто ценное в сделке, которая слишком хороша, чтобы быть правдой, но с оговоркой, что жертва должна действовать в кратчайший срок.
✅ В других случаях преступник может попытаться заставить заплатить выкуп за свою программу-вымогатель, выделяя жертве всего несколько часов на оплату, прежде чем безвозвратно удалить, украсть или обнародовать данные, – независимо от того, собирается ли он исполнить угрозу. В любом случае преступник надеется напугать жертву и заставить ее действовать до того, как она успеет все обдумать.
4️⃣ Постоянство и последовательность
Люди ценят постоянство и в большинстве своем не любят перемены.
✅ Специалисты по социальной инженерии иногда остаются последовательными, а иногда нарушают постоянство и последовательность, чтобы влиять на жертву.
Простой пример из жизни: продавец может утверждать, что больше заинтересован в успехе своего клиента, чем в комиссионных, говоря что-то вроде: «Я всегда заботился о своих клиентах. Я понимаю ваши потребности с первого дня сотрудничества. Я всегда работаю с вами по принципу “что обещано, то и сделано”». Этот прием особо распространен среди продавцов, успех которых зависит от прочных долгосрочных отношений.
5️⃣ Социальное доказательство
Общество требует от нас «не отставать от соседа». Другими словами, мы часто делаем что-то исключительно потому, что остальные считают это нормальным, уместным или статусным.
✅ Хакер может попытаться убедить свою жертву в том, что определенное поведение или действие повышает социальный статус или что все другие эффективные сотрудники выполняют некое нужное вам действие.
Убеждение собеседника в желательности чего-либо называется социальным доказательством.
Простой пример из жизни: продавец автомобилей может попытаться уговорить вас купить роскошную машину, сказав, например, что на ней ездят успешные люди вашего возраста.
✅ Злоумышленник может придумать социальное доказательство, используя информацию, полученную от взлома. Например, он может определить, кто в компании является влиятельным лицом. Затем отправит вам электронное письмо, утверждая, что разговаривал с авторитетным человеком, который восторженно отзывался о вас и предоставил вашу контактную информацию, чтобы вы помогли «решить проблему».
6️⃣ Взаимность
Согласитесь, мы более охотно помогаем людям, которые помогли нам
7️⃣ Симпатия или эмпатия
Отличным способом установить взаимопонимание является проявление симпатии – это забота о человеке, который чувствует себя плохо или испытывает стресс, например после потери любимого человека или домашнего животного.
В отличие от симпатии, эмпатия – это способность испытывать те же чувства, что и другие люди, как будто вы оказались на их месте. Эмпатия означает общие эмоции или точки зрения, тогда как симпатия выражает сочувствие и заботу с вашей стороны.
То и другое важно для установления взаимопонимания при определенных обстоятельствах.
✅ Взаимодействуя с жертвой, хакер может поделиться историей (будь то реальность, вымысел или какая-то приукрашенная комбинация) о похожей ситуации, в которой он оказался, и о том, как он себя чувствовали при этом.
Это позволит жертве проявить встречное сочувствие к вашей ситуации и улучшит их взаимопонимание. В качестве альтернативы, если кто-то рассказывает о ситуации, к которой мошенник не имеет никакого отношения, он просто задаваёт уточняющие вопросы, а потом говорит, что сожалеет о том, что это произошло, выражая таким образом сочувствие.
Основные виды социальной инженери
Претекстинг
Это набор действий, отработанных по определенному, заранее составленному сценарию, в результате которого жертва может выдать какую-либо информацию или совершить определенное действие. Чаще всего данный вид атаки предполагает использование голосовых средств, таких как Skype, телефон и т.п.
Для использования этой техники хакеру необходимо изначально иметь некоторые данные о жертве (имя сотрудника; должность; название проектов, с которыми он работает; дату рождения). Все эти данные можно добыть, используя взлом и уже упомянутую соц. инженерию. В данной атаке хакер изначально использует реальные запросы с именем сотрудников компании и, после того, как войдет в доверие, получает необходимую ему информацию.
Фишинг
Техника интернет-мошенничества, направленная на получение конфиденциальной информации пользователей - авторизационных данных различных систем.
Основным видом фишинговых атак является поддельное письмо, отправленное жертве по электронной почте, которое выглядит, как официальное письмо от платежной системы, банка или любой другой интересующей хакера организации. В письме содержится форма для ввода персональных данных (пин-кодов, логина и пароля и т.п) или ссылка на web-страницу, где располагается такая форма.
Причины доверия жертвы подобным страницам могут быть разные: блокировка аккаунта, поломка в системе, утеря данных и прочее.
Троянский конь
Это техника основывается на любопытстве, страхе или других эмоциях пользователей. Хакер отправляет письмо жертве посредством электронной почты, во вложении которого находится «обновление» антивируса, ключ к денежному выигрышу или компромат на сотрудника. На самом же деле, во вложении находится вредоносная программа, которая после того, как пользователь запустит ее на своем компьютере, будет использоваться для сбора или изменение информации злоумышленником.
Quid pro quo (услуга за услугу)
Данная техника предполагает обращение злоумышленника к пользователю по электронной почте или корпоративному телефону. Злоумышленник может представиться, например, сотрудником технической поддержки и информировать о возникновении технических проблем на рабочем месте. Далее он сообщает о необходимости их устранения. В процессе «решения» такой проблемы, хакер подталкивает жертву на совершение действий, позволяющих атакующему выполнить определенные команды или установить необходимое программное обеспечение на компьютере жертвы.
Дорожное яблоко
Этот метод представляет собой адаптацию троянского коня и состоит в использовании физических носителей (флешек и прочего). Хакер обычно подбрасывает такой носитель в общедоступных местах на территории компании (парковки, столовые, рабочие места сотрудников, туалеты). Для того, чтобы у сотрудника возник интерес к данному носителю, хакер может нанести на носитель логотип компании и какую-нибудь подпись. Например, «данные о продажах», «зарплата сотрудников», «отчет в налоговую» и другое.
Обратная социальная инженерия
Данный вид атаки направлен на создание такой ситуации, при которой жертва вынуждена будет сама обратится к злоумышленнику за «помощью». Например, злоумышленник может выслать письмо с телефонами и контактами «службы поддержки» и через некоторое время создать обратимые неполадки в компьютере жертвы. Пользователь в таком случае позвонит или свяжется по электронной почте с злоумышленником сам, и в процессе «исправления» проблемы злоумышленник сможет получить необходимые ему данные.
Необходимо распознавать фишки социальной инженерии в общении и пресекать манипуляции мошенников.
