Психология фишинга: как противостоять мошенникам

Что такое социальная инженерия?

В информационной безопасности под термином социальная инженерия подразумевают комплекс манипулятивных приемов и техник воздействия на человека с целью получить его личные данные и конфиденциальную информацию. По сути, это совокупность знаний из социологии и психологии, которая позволяет прогнозировать и управлять поведением людей, играя на их эмоциях, чувствах, страхах и рефлексах.

Любопытство, жадность, жалость и страх – это основные чувства и эмоции, которые используют мошенники, чтобы завладеть вниманием жертвы, отключить объективное и логическое восприятие реальности. Дополняя это такими факторами как срочность, раздражение или авторитет, они усиливают эффект эмоций и невнимательности. «Все было как в тумане», «сам(а) не понял(а), как это произошло», «сделал(а) все на автомате» – так чаще всего вспоминают свои действия жертвы фишинговых атак, сетуя на состояние, близкое к аффекту.

На чём “играют” мошенники?

Любопытство. Это различные сообщения, интригующие получателя, подогревающие его интерес к тому, что скрыто по ссылке: «Хотите узнать больше?», «А это не ты на фотографии?», «У меня для вас уникальное предложение».

Жадность. Это различные сообщения о призах и выгоде, которые подогреваются к тому же эффектом срочности. Скидки, акции, розыгрыши и выигрыши, которые нашли вас и действуют только сейчас – нужно только перейти по ссылке, авторизоваться, ввести данные банковской карты для зачисления. А еще обещания больших денег за легкую работу.


Страх. Этот мотив очень часто сочетают с фактором авторитета и срочности, например, это письма от государственных организаций или сообщения от начальника, в которых от получателя требуется срочно что-то сделать, в том числе, чтобы не допустить беды: «Срочно оплатите штраф», «Срочно осуществите перевод денег на счет компании», «Срочно изучите документ во вложении» и т.д. Так работают бесконечные схемы обмана с оповещениями о штрафах, налогах, задолженностях, личных кабинетах и пр.

Как понять, что это фишинг?

· Какую эмоцию оно у меня вызывает?
· Есть ли акцент на срочность?
· Почему меня просят совершить то или иное действие?
· Нужно ли мне переходить по ссылке или открывать присланный документ?

Перед тем, как совершить любое действие из сообщения, ответьте себе на эти вопросы и, если хоть в чем-то сомневаетесь, возьмите паузу и обдумайте, как можно проверить полученную информацию. Можно ли связаться с отправителем альтернативным способом, например, позвонить и уточнить, действительно ли он/она написал(а) мне, или зайти на официальный сайт компании и уточнить условия акции или причину оповещения.

Фишинг, в основном, – это массовая рассылка, и злоумышленники используют в своих сообщениях темы, которые могут быть понятны и применимы к большому количеству людей. Где массовый спрос и ажиотаж – там и больше возможностей обмануть. Поэтому самый главный способ защиты от мошеннических действий – это бдительность и настороженность.

Целевые атаки

Еще одна из главных психологических уловок мошенников – это принцип доверия, построенного на знании. Мошенники тщательно готовятся к целевым атакам: собирают информацию из открытых источников, персонализируют свои сообщения под каждую новую жертву, чтобы выглядеть максимально правдоподобно. Поэтому если в письме к вам обращаются по имени и фамилии, указывают личные данные, например, электронную почту, номер телефона или адрес проживания – это не повод сразу верить всему, что написано.
Если же подозрительное сообщение приходит в социальной сети или мессенджере от вашего знакомого, коллеги или начальника, не забывайте, что злоумышленники могут либо взломать, либо клонировать его аккаунт. Не спешите с ответом и уж точно действием – позвоните или напишите в другом мессенджере этому контакту, чтобы выяснить все детали.

Как не попасться на уловки мошенников:

Самое главное – критически оценивать любую входящую информацию. Если вы сомневаетесь, чувствуете, что вас подгоняют срочностью решения – возьмите паузу, не спешите отвечать. Помните, что самый первый признак в общении с мошенниками – это их настойчивость.
Проверьте отправителя и полученную информацию любым альтернативным способом, уточните все детали из других источников.
Следите за новостями о популярных схемах обмана и следуйте простым правилам кибергигиены. Рекомендации о том, как защитить себя в сети, можно найти в официальных сообществах «Безопасность» в соцсети ВКонтакте и в канале «VK о безопасности» на платформе Дзен, «Безопасность – это ОК» в соцсети Одноклассники.