Социальная инженерия Почему люди отдают пароли сами
Что такое «социальная инженерия», знает каждый, читавший бессмертные книги Ильфа и Петрова «12 стульев» и «Золотой теленок». Остап Бендер знал «400 способов относительно честного отъема денег» и был отменным «социальным инженером» задолго до того, как родился этот термин. В эпоху интернета поменялись инструменты и цели, но не методики, потому что они нацелены на самое слабое звено в кибербезопасности – людей. А люди не меняются.
Самое удивительное в социальной инженерии то, что она работает. Казалось бы, каждый человек абсолютно точно знает и многократно предупрежден, что нельзя называть CVV карты и код из СМС, что банк никогда не запрашивает такие данные. Это крупными буквами написано везде, об этом каждый день предупреждают из каждого утюга, у любого человека есть знакомые, пострадавшие таким образом, – и все равно срабатывает раз за разом. Почему? Как? Неужели люди настолько необучаемы?
Увы, срабатывает и будет срабатывать, потому что в «социальной инженерии» используются чрезвычайно эффективные «подкорковые» психологические механизмы, не позволяющие человеку осознать происходящее. Каковы же они?
Высшие приматы
В социальной инженерии используют социальные же механизмы – то есть психологические паттерны, необходимые каждому человеку для функционирования в обществе себе подобных. Большинство этих механизмов сформировались раньше, чем сам человек, являясь общими для всех стайных приматов. Это настолько древние поведенческие паттерны, что они срабатывают раньше осознания происходящего, что когда-то было залогом выживания в дикой природе, а сейчас часто используется во вред.
Маркеры опасности – вот первый и главный прием мошенников. Ввести человека в состояние стресса, убедив, что ему или близким угрожает опасность, – уже половина выигрыша. Опасность потери денег – само по себе стресс, а когда к этому добавляют угрозу здоровью, безопасности близких и так далее, то человек переходит из нормального режима "осознанного функционирования» в «аварийный». Это режим «вскочили-побежали», который очень помогает выживать в джунглях – если собрат по стае завопил: «Тигр!» ― то эволюционное преимущество имеет тот, кто не стал спрашивать: «Где? Почему? А ты точно уверен?», ― а подхватил детеныша и ломанулся бежать. У него было больше шансов передать свои гены в потомстве, и эта реакция закрепилась в популяции. Поэтому если нас убедить, что мы в опасности, то мы сначала действуем, а потом думаем. В случае мошенничества задумываемся мы тогда, когда уже поздно.
Поэтому в «социальной инженерии» так педалируется «срочность» происходящего – кредит на ваше имя оформляют «прямо сейчас», подозрительную операцию надо «немедленно отменить», а наследство нигерийского принца буквально завтра уйдет в фонд поддержки диких обезьян. Жертве изо всех сил внушают: «Некогда думать! Беги! В кустах тигр!» И она, разумеется, бежит. Прямо в расставленные силки.
Маркеры жадности – обезьяна полезет за бананом в банку с узким горлом и не выпустит банана, даже если не сможет вытащить лапу. Хотя бананов вокруг полно, но этот «на халяву», и потому особенно сладок. Так ловят обезьян в Африке и так ловят людей в интернете. «Айфон за полцены? – Заткнись и возьми мои деньги!» «Принц Ivanoff из Нигерии оставил мне состояние? – Уже бегу!» «Мой номер телефона выиграл миллион в лотерею? – Очень мило с его стороны, вот вам CVV кредитки, чтобы вы могли туда перечислить…»
Все это мы слышали не раз, удивляясь людям, которые ведутся на такой «тупой развод», но когда в банке лежит халявный банан, мы с высокой вероятностью сунем туда руку. Только в России и только за один год люди потеряли несколько миллиардов рублей, заплатив за подозрительно дешевый товар на сомнительных сайтах. Мысль «А почему этот телефон продается за половину его реальной цены» редко приходит в голову вовремя.
Маркеры авторитета – люди, будучи социальными приматами, склонны безоговорочно подчиняться авторитетам. Если альфа-самец, вожак стаи шимпанзе, подает команду: «Все срочно делаем так!», то остальные немедленно подчиняются, потому что ему виднее. Сначала подчиняются, а потом задумываются «С чего бы это?». Это важный механизм выживания стаи. Вожаком, как правило, является самый авторитетный самец с большим опытом выживания, и если поступить так, как он скажет, это, скорее всего, поможет избежать проблем.
Злоумышленник получит нужный ответ, если человек уверен, что спрашивающий имеет власть, право или служебную обязанность задавать этот вопрос. Он представится сотрудником банка, полицейским, специалистом по IT-безопасности, и если его авторитет будет признан жертвой, она расскажет ему все, и только потом задумается: «А зачем сотруднику банка эта информация?»
Или не задумается.
Маркеры «свой-чужой» ― еще один механизм выживания стайных приматов. К члену своей стаи относятся с умолчальным доверием: «Это наш макак, он свой, он желает нам добра». Поэтому жулики часто выдают себя за земляков, одногруппников и одноклассников, знакомых общих знакомых, используя любую информацию о прошлом жертвы, которая может быть получена из открытых источников.
Сейчас мы склонны включать в число «своих» и онлайн-знакомых, которых никогда не видели, просто по факту общения, например, в социальных сетях. Поэтому возможна ситуация: «Такой милый и открытый человек, с которым мы так долго общались на форуме, оказывается, занял у всех денег и исчез». Разумеется, потом оказывается, что все, что рассказывал о себе мошенник, выдумано, фотографии чужие и так далее. Но того времени, в течение которого он был «своим», достаточно, чтобы завоевать доверие.
Как убежать от «инженера»?
Избежать приемов «социальной инженерии» сложнее, чем кажется. И «тупой развод», на который попался ваш знакомый, может оказаться вовсе не таким тупым, когда на него попадетесь вы. Более того, даже попавшись один раз, вы можете попасться снова, наступая раз за разом на те же грабли. Рефлексы работают быстрее разума.
Поэтому первый и главный совет, который дают пользователям: «Избегайте рефлективного поведения, остановитесь и задумайтесь!», ― совершенно правильный. Одна беда – он не работает. Мы не можем избежать рефлективного поведения, так же как не можем не отдернуть руку, коснувшись горячего. Это работает мимо мозга.
Поэтому единственное, что мы действительно можем сделать, – усложнить работу «социальных инженеров», минимизировав количество личных данных, выкладываемых в свободный доступ. Вам не позвонят с паническим призывом: «Мама, это я, твой сын Вася, срочно переведи денег на левый номер…» ― если мошенникам неизвестно, что у вас есть сын, и зовут его Василий. Социальные сети – лучшее, что подарили технологии мошенникам, так что стоит соблюдать элементарную сетевую гигиену.
Например, в качестве проверочного слова многие сервисы предлагают использовать кличку вашего домашнего животного, и первое, что сделает мошенник, – проверит ваш аккаунт в «Одноклассниках». Люди любят писать о своих питомцах. Адрес, номер телефона, дата рождения – зацепки для жуликов.
Все это, как говаривал Остап Бендер, «ключи от квартиры, где деньги лежат». Так не разбрасывайте их на виду!
Использованные источники: