В основе любой фишинговой атаки лежат методы психологического воздействия на человека. Какое бы техническое исполнение ни выбрали мошенники, они всегда стремятся к тому, чтобы жертва совершила необходимое им действие – перешла по ссылке, скачала и запустила вредоносное вложение, ввела конфиденциальные данные или перевела деньги. И чтобы схема обмана максимально сработала, человека вводят в такое состояние, когда все действия совершаются на эмоциях.
Что такое социальная инженерия?
В информационной безопасности под термином социальная инженерия подразумевают комплекс манипулятивных приемов и техник воздействия на человека с целью получить его личные данные и конфиденциальную информацию. По сути, это совокупность знаний из социологии и психологии, которая позволяет прогнозировать и управлять поведением людей, играя на их эмоциях, чувствах, страхах и рефлексах.
Любопытство, жадность, жалость и страх – это основные чувства и эмоции, которые используют мошенники, чтобы завладеть вниманием жертвы, отключить объективное и логическое восприятие реальности. Дополняя это такими факторами как срочность, раздражение или авторитет, они усиливают эффект эмоций и невнимательности. «Все было как в тумане», «сам(а) не понял(а), как это произошло», «сделал(а) все на автомате» – так чаще всего вспоминают свои действия жертвы фишинговых атак, сетуя на состояние, близкое к аффекту.
На чём “играют” мошенники?
Любопытство. Это различные сообщения, интригующие получателя, подогревающие его интерес к тому, что скрыто по ссылке: «Хотите узнать больше?», «А это не ты на фотографии?», «У меня для вас уникальное предложение».
Жадность. Это различные сообщения о призах и выгоде, которые подогреваются к тому же эффектом срочности. Скидки, акции, розыгрыши и выигрыши, которые нашли вас и действуют только сейчас – нужно только перейти по ссылке, авторизоваться, ввести данные банковской карты для зачисления. А еще обещания больших денег за легкую работу.
Жалость. Одна из самых коварных схем обмана построена вокруг желания помочь: «Нужно собрать деньги на операцию», «Помогите приюту выжить», «Помогите выиграть в конкурсе» и т.д.
Страх. Этот мотив очень часто сочетают с фактором авторитета и срочности, например, это письма от государственных организаций или сообщения от начальника, в которых от получателя требуется срочно что-то сделать, в том числе, чтобы не допустить беды: «Срочно оплатите штраф», «Срочно осуществите перевод денег на счет компании», «Срочно изучите документ во вложении» и т.д. Так работают бесконечные схемы обмана с оповещениями о штрафах, налогах, задолженностях, личных кабинетах и пр.
Как понять, что это фишинг?
Наравне с основными техническими признаками фишинговых атак – имитация имен отправителей, стиля и оформления, наличие ссылки или вложения – необходимо всегда критически оценивать содержание и психологическую составляющую сообщения:
· Какую эмоцию оно у меня вызывает?
· Есть ли акцент на срочность?
· Почему меня просят совершить то или иное действие?
· Нужно ли мне переходить по ссылке или открывать присланный документ?
Перед тем, как совершить любое действие из сообщения, ответьте себе на эти вопросы и, если хоть в чем-то сомневаетесь, возьмите паузу и обдумайте, как можно проверить полученную информацию. Можно ли связаться с отправителем альтернативным способом, например, позвонить и уточнить, действительно ли он/она написал(а) мне, или зайти на официальный сайт компании и уточнить условия акции или причину оповещения.
Фишинг, в основном, – это массовая рассылка, и злоумышленники используют в своих сообщениях темы, которые могут быть понятны и применимы к большому количеству людей. Где массовый спрос и ажиотаж – там и больше возможностей обмануть. Поэтому самый главный способ защиты от мошеннических действий – это бдительность и настороженность.
Целевые атаки
Еще одна из главных психологических уловок мошенников – это принцип доверия, построенного на знании. Мошенники тщательно готовятся к целевым атакам: собирают информацию из открытых источников, персонализируют свои сообщения под каждую новую жертву, чтобы выглядеть максимально правдоподобно. Поэтому если в письме к вам обращаются по имени и фамилии, указывают личные данные, например, электронную почту, номер телефона или адрес проживания – это не повод сразу верить всему, что написано.
Если же подозрительное сообщение приходит в социальной сети или мессенджере от вашего знакомого, коллеги или начальника, не забывайте, что злоумышленники могут либо взломать, либо клонировать его аккаунт. Не спешите с ответом и уж точно действием – позвоните или напишите в другом мессенджере этому контакту, чтобы выяснить все детали.
Как не попасться на уловки мошенников:
Самое главное – критически оценивать любую входящую информацию. Если вы сомневаетесь, чувствуете, что вас подгоняют срочностью решения – возьмите паузу, не спешите отвечать. Помните, что самый первый признак в общении с мошенниками – это их настойчивость.
Проверьте отправителя и полученную информацию любым альтернативным способом, уточните все детали из других источников.
Следите за новостями о популярных схемах обмана и следуйте простым правилам кибергигиены. Рекомендации о том, как защитить себя в сети, можно найти в официальных сообществах
«Безопасность» в соцсети ВКонтакте и в канале
«VK о безопасности» на платформе Дзен,
«Безопасность – это ОК» в соцсети Одноклассники.