Когда мы слышим слово «хакер», то представляем загадочного немногословного человека, сидящего в опутанной проводами комнате, освещённой лишь сиянием мониторов. В два клика мышки он способен взломать любой компьютер, на лету читает машинный код — в общем, настоящий сверхчеловек. Но в реальности главный инструмент хакера — психология. Он пытается «взламывать» мозг человека, манипулировать чужим поведением. К счастью, от этого тоже можно защититься, и сейчас мы расскажем, как это сделать.
Набор приёмов для «взлома мозга» часто называют социальной инженерией. Даже если вы в первый раз слышите такую формулировку — знайте, к вам эту инженерию наверняка применяли. Ведь термин «социальная инженерия» выходит далеко за рамки информационной безопасности. По сути, так можно назвать любое манипулирование людьми. Этим во все времена активно занимались политики, военные, торговцы — и, естественно, различного рода злоумышленники. Одним из самых известных примеров социальной инженерии можно назвать легенду о захвате Трои. Кстати, она подарила нам вполне современный термин, популярный в сфере информационной безопасности — «троянский конь», он же «троян».
Эпизод с троянским конём является отличным примером сложной составной атаки хакера. В нём использовали техническое средство со скрытым функционалом (деревянный конь) — и ту самую социальную инженерию. Ведь именно агент атакующей стороны коварно убедил троянцев привезти коня в город.
Несмотря на то, что с Троянской войны прошло уже более трёх тысяч лет, принципиально в этой схеме ничего не поменялось. Разве что конь стал цифровым, а прислать его в дар может любой школьник, имеющий доступ в интернет.
Согласно подсчётам американской компании Purplesec, в минувшем году 98% всех кибератак были совершены с использованием социальной инженерии. И это совсем не удивительно. Если организация уделяет мало-мальски достойное внимание техническим вопросам кибербезопасности, то взломать её с наскока вряд ли получится. Поэтому злоумышленники ищут «слабое звено», а им в большинстве случаев оказываются легкомысленные сотрудники. Всего одна ошибка — переход по ссылке из письма, ввод пароля на нелегитимном сайте или запуск вредоносного вложения — и вот хакеры получают доступ во внутреннюю сеть организации.
Но социальную инженерию используют не только для хакерских атак на крупные компании. Целью злоумышленников может стать абсолютно любой человек.
Давайте составим список того, что может угрожать лично вам:
- Фишинг — почтовые рассылки или интернет-сайты, предназначенные для неправомерного получения конфиденциальной информации;
- Вишинг—голосовой фишинг. Всем известные надоедливые звонки якобы от имени реально существующих банков или других компаний;
- Фальшивые банки и биржи—когда мошенники «создают» кредитную организацию или инвестиционную платформу с чересчур привлекательными для клиента условиями. Сюда же относим всевозможныефейковые лотереи, акции и интернет-магазины;
- Троянские компьютерные программы—вредоносные программы, замаскированные под легитимное ПО;
- Сетевые мошенничества—психологическое манипулирование жертвой. Например, претекстинг—когда злоумышленник выдаёт себя за другого человека и выведывает необходимую информацию.
Естественно, это далеко не полный перечень: каждую категорию можно поделить на несколько отдельных ветвей. Но именно эти сценарии — основа 80% атак с использованием социальной инженерии.
Мошенники могут использовать одно лишь психологическое воздействие на жертву для достижения необходимого результата. Например, по телефону убедить человека перевести деньги на их счёт или продиктовать номер карты. А могут сочетать различные техники. Злоумышленники звонят, представляются сотрудниками банка и заявляют, что в целях безопасности жертве следует установить на смартфон программу Team Viewer. Дальше они просят сообщить её уникальный ключ, тактично умалчивая, что программа предназначена для удалённого управления устройством. Значительная часть жертв ничего не знает про Team Viewer и доверяет «звонку из банка».
Какие ещё психологические приёмы могут использовать мошенники? Их мотивационные стратегии можно поделить на две основные категории:
- позитивную;
- негативную.
Первая вызывает у жертвы положительные эмоции – человек сам хочет поскорее совершить требуемые действия. Очень часто злоумышленники играют на жажде наживы: так лиса Алиса и кот Базилио убеждали Буратино закопать все деньги, чтобы они проросли денежным деревом. Сейчас для этих же целей используют акции и скидки, премии и бонусы, выигрыши в лотерею и госпособия, невероятно выгодные кредиты и инвестиционные программы... Сюда же можно отнести предложения скачать «секретную программу», получить тайное знание о результатах «договорных» спортивных состязаний, приобрести уникальный прибор — да и просто решить сложные проблемы, не затрачивая на это усилий.
Любопытство кошку сгубило, гласит пословица. И здесь речь идёт как раз о стратегии позитивной мотивации. Фейковые письма с информацией о заработной плате начальника или коллег, рассылки чужих интимных фото- и видеоматериалов, подбрасывание флешек и других носителей данных — в общем, атака через интерес к чужим конфиденциальным сведениям.
Ну и классика жанра — манипулирование желанием помочь ближнему. Здесь чаще всего используются фальшивые объявления о сборе помощи на лечение.
Негативная мотивация пытается вызвать у жертвы панику и заставить её совершать необдуманные поступки. Тут вас может поджидать шантаж: угрозы распространения компрометирующих сведений или уничтожения важной информации. Часто встречается эксплуатация страха за близких — сообщение о том, что родственник или знакомый попал в беду, поэтому срочно нужны деньги. Менее распространено давление авторитетом — фальшивое послание от имени руководителя или публичной личности.
Как видите, основной приём социальной инженерии—«эмоциональная раскачка» жертвы с целью отключения рационального мышления. Но эта особенность социотехнических атак одновременно является и ключом к защите от них.
Как же защититься от социальной инженерии?
- Не доверять собеседникам, даже если сообщение пришло от знакомого человека. Проверять и перепроверять информацию, помнить о возможных рисках;
- Тщательно оценивать последствия своих действий. Ни в коем случае не совершать поступков, цели или результаты которых вам неизвестны или не в полной мере ясны;
- Учиться, учиться и ещё раз учиться. Интересоваться тем, какие новые уловки используют злоумышленники. «Прокачивать» свой уровень финансовой грамотности и помнить про цифровую гигиену;
- Не торопиться — спешка играет на руку злоумышленникам. Все требования и призывы сделать что-то немедленно имеют лишь одну цель — не дать вам трезво оценить ситуацию;
- Не бояться обратиться за консультацией к специалистам. Никто не может знать всего на свете;
- Не считать себя самым опытным и умным. Жертвами «хакеров-психологов» часто становятся именно руководители или ответственные лица. Излишняя самоуверенность притупляет бдительность, а значит, создаёт дополнительную уязвимость. Если вы думаете, что вас невозможно обмануть — вы уже находитесь в зоне риска. Помните, что к каждому человеку можно подобрать свой уникальный ключ. Лишь от вас зависит, насколько сложным будет этот процесс для злоумышленника.