2021/07/01 13:52:26

Как кибермошенники применяют социальную инженерию: сценарии обмана и методы воздействия

Понимание психологических методов преступников - один из главных способов противодействия им

Содержание

Основная статья: Социальная инженерия

О фишинговых атаках известно уже даже тем, кто профессионально далек от сферы информационной безопасности. Их проведение не обходится без применения социальной инженерии – манипулирования людьми с целью получения несанкционированного доступа к информации.

Такие атаки являются основным механизмом для мошеннических финансовых операций. Они весьма успешны, поскольку основаны на особенностях принятия решений людьми. Секрет заключается в свойствах психологии человека, которыми пользуются злоумышленники.

Немного цифр

Банк России в обзоре об основных видах компьютерных атак в кредитно-финансовой сфере отметил рост количества мошеннических сайтов в условиях коронавируса. Он обусловлен увеличением использования дистанционных сервисов и услуг, а также потерей гражданами работы и снижением уровня их доходов. Это повысило потребность в социальных выплатах, вызвало интерес к кредитным продуктам и иным способам улучшения финансового положения.

Согласно данным ЦБ РФ, злоумышленники активно используют тему коронавируса с целью создания сайтов лжебанков и иных фишинговых ресурсов для хищения денежных средств граждан. Так, за три весенних месяца 2020 года, когда условия изоляции были предельно строги, было выявлено 2200 мошеннических сайтов, создатели которых эксплуатировали тему коронавируса для обмана. Количество посетителей таких ресурсов приблизилось на июнь 2021 года к 100 тысячам человек в сутки. TAdviser Security 100: Крупнейшие ИБ-компании в России 59.7 т

За 2020 год Банк России инициировал блокировку 7680 сайтов. Большинство из них – 6256 единиц – составляли, как и годом ранее, мошеннические сайты, которые мимикрировали под сайты продаж авиа- и железнодорожных билетов, сервисы p2p-переводов, онлайн-обменники. Также были заблокированы более 1 тысячи сайтов лжебанков и почти полсотни сайтов лжестраховых организаций, причем по этим категориям был отмечен двукратный рост количества мошеннических ресурсов. За указанный период ФинЦЕРТ, Центр мониторинга и реагирования на компьютерные атаки в ЦБ РФ, запросил у операторов связи блокировку более 26 тысяч телефонных номеров, что на 86% больше, чем в предыдущем году.

Сценарии обмана

К сожалению, реализовать успешную атаку несложно: достаточно иметь немного информации о клиенте кредитной организации (например, ФИО и номер телефона). Злоумышленники приобретают базы с персональными данными клиентов, затем жертве поступает звонок по одному из заранее продуманных сценариев.

Злоумышленники могут представляться, например, сотрудниками финансовых организаций, страховых компаний, государственных учреждений, заинтересованными покупателями с «Авито» или «Юлы» или вообще друзьями родственников.

ФинЦЕРТ проанализировал характер фишинговых звонков за 2020 год, чтобы понять, кем чаще всего представляются злоумышленники.

«
Выяснилось, что в большинстве случаев мошенники или представляются сотрудниками службы безопасности определённой финансовой компании (порядка 57%), или сообщают, что звонят из кредитной организации, обслуживающей счет гражданина (41% случаев), - сказано в обзоре Банка России.
»

С конца 2020 года также отмечен значительный рост случаев мошенничества, когда звонки поступали якобы от сотрудников правоохранительных органов.

Злоумышленники также связывались с потенциальными жертвами посредством СМС и мессенджеров при совершении мошеннических действий на таких сервисах, как «Юла» или «Авито». По данным ФинЦЕРТ, в большинстве случаев (около 83%) мошенники используют переписку с потерпевшим под предлогом покупки или продажи товаров или услуг. 15% всех инцидентов приходится на мошеннические СМС-сообщения с информацией о блокировке карты.

Вот несколько примеров наиболее распространенных мошеннических сценариев из отчета Банка России, данных «Лаборатории Касперского» и других открытых источников:

  1. Злоумышленник, представившийся сотрудником экономической безопасности финансовой организации, заявляет, что ему удалось отследить операцию, проводившуюся без согласия клиента. Для остановки операции злоумышленник просит жертву сообщить данные карты, коды из СМС-сообщений и другую информацию. Этой информации достаточно для мошеннического снятия средств с вашей карты.
  2. В другом варианте речь идет об ошибочном переводе денег на ваш счёт и просьбе снять их в банкомате, чтобы затем перевести на «безопасный счет кредитной организации».
  3. Мошенник, назвавшийся работником банка, звонит клиентам, ожидающим одобрения кредита, как правило потребительского, и предлагает проверить данные карты для подтверждения кредита. В процессе разговора он просит назвать номер карты и CVV, потому что «в базе не найдена карта с таким номером». Если жертва раскрывает данные – деньги со счёта исчезают.
  4. Псевдосотрудник финансовой организации сообщает о компрометации мобильного устройства или личного кабинета в системе дистанционного банковского обслуживания. И под предлогом безопасной смены пароля просит продиктовать необходимый для входа код из СМС.
  5. Аналогичный вариант с просьбой от злоумышленника установить на телефон якобы безопасное приложение, которое впоследствии позволит удаленно подключиться к мобильному телефону жертвы и совершить хищение средств.
  6. Сотрудник ранее отказавшего в кредите банка неожиданно информирует по телефону о пересмотре решения. Кроме того, звонящий предлагает открыть карту, для чего настаивает на переводе определенной суммы на новый счет или даже отправке ее курьерской доставкой.


Отдельно стоит отметить, что не следует переходить и по ссылкам в мессенджерах, например, в сообщениях о различного рода розыгрышах и тем более распространять среди друзей такие ссылки. Ввод платежных и персональных данных в них, например, для службы доставки или оплаты комиссии, может обернуться хищением денег.

Кроме того, как уже говорилось ранее, мошенники активно используют тематику коронавирусной инфекции и ее экономических последствий при обзвонах, в электронных сообщениях. Например, они могут рассказывать о мерах государственной поддержки, предлагать способы легкого заработка и тому подобное.

Перечень реальных историй мошенничества можно найти и пополнить на организованным Центральным Банком России сайте: fincult.info/rake/ в разделе «Грабли».

Сценарии мошенничества в отношении сотрудников юридических лиц сложнее. Несколько примеров – далее. Так, атака на российские финансовые организации в 2020 году началась электронным сообщением с темой «Всероссийское исследование банковского сектора в период пандемии» от имени фейковой платежной системы и информационного агентства. В первом письме не было вредоносных вложений, однако оно способствовало пробуждению интереса жертвы и установлению ассоциативной связи в ее памяти. Второе сообщение с предложением об участии в аналогичном опросе пришло якобы от корреспондента крупного информационного агентства. И только третье и последующие сообщения уже содержали фишинговые ссылки или вредоносное ПО.

Часто хакеры ловят сотрудников организаций на фишинговых страницах ввода учетных данных, выскакивающих при открытии присланного злоумышленником документа. Цель злоумышленников в таком случае – нелегитимный доступ к почтовому ящику пользователя. А приманкой выступают различные финансовые документы, «проверки безопасности» и т.д.

Эти впечатляющие цифры указывают на масштабы распространения мошенничества. Они объясняют, почему несмотря на активную работу ЦБ РФ и экспертного ИБ-сообщества все же существует необходимость в организации самостоятельной защиты у граждан от посягательств киберпреступников.

Image:Фишинг_0630.png

Показательный пример реальной атаки, обнаруженной экспертами «Лаборатории Касперского», связан с методом двойного вымогательства. После кражи персональных данных детей у компании, работавшей как поставщик услуг со школами, злоумышленники направили пострадавшим от утечки учебными учреждениями письма с угрозами опубликовать информацию об учениках, если те не окажут давление (например, подадут судебные иски) на уже пострадавшую от кражи компанию и не обяжут ее выплатить выкуп злоумышленникам.

Однако содействие злоумышленникам вряд ли убережет от публикации похищенных данных. Поэтому в подобной ситуации жертвам атаки необходимо решать проблему дальнейшей защиты детей с учетом уже случившейся утечки.

Объектом фишинговых атак зачастую становятся новые сотрудники компаний, поскольку они не знакомы с большинством коллег и эмоционально более открыты для общения с неизвестными адресатами как по почте, так и по телефону. Поводы для начала диалога мошенники выдумывают самые разные: от подарков в честь приема на работу до связи «с внутренней службой ИБ» из-за возникших вопросов. Как правило, первым приходит письмо-представление, затем следует вовлекающая переписка и только в третьем или четвертом письме содержится фишинговое вложение. Аналогично выстраиваются схемы мошенничества по телефону.

Таким образом, мошенничества, как правило, имеют целевой и многоступенчатый характер и используют ассоциативную память. Кроме того, они эксплуатируют различные человеческие чувства: излишнее доверие профессионалу, страх перед службами безопасности, надежда на получение той или иной выгоды или что-то иное. Злоумышленники пользуются тем, что жертва не понимает некоторых процессов и находится во фрустрации, что вместе с нагнетанием обстановки и необходимостью быстрой реакции приводит к ошибке. Поэтому наиболее подвержены мошенничествам социально незащищенные слои населения. И поэтому в период разгара пандемии, когда все граждане оказались в некоем информационном вакууме и одновременно в стрессовой ситуации, мошенничество так расцвело.

Методы социально-психологического воздействия

В теории маркетинга и социальной психологии давно известны психологические инструменты влияния на принятие решения. Маркетинговые инструменты описаны во множестве работ, включая книгу Роберта Чалдини «Психология влияния» (Robert B. Cialdini. Influence: The Psychology of Persuasion) 1984 года. Подобные подходы применимы и в отношении мошеннических схем.

В частности, люди склонны отвечать на одолжение, поэтому на подсознательном уровне они готовы оказать содействие в благодарность за подарок или помощь. В маркетинге самый простой способ повысить лояльность – предложить бесплатный образец товара. Мошенники же используют этот прием для создания ощущения доверия, предлагая подарки или сообщая об одобренных кредитах.

Принцип приверженности и последовательности заставляет человека придерживаться идеи, которую он посчитает своей, даже если первоначальный стимул или мотивация не исходит от него самого. Достаточно привести человека к определенной мысли как к его собственной, и он будет добровольно ее отстаивать, отключив механизм критического мышления.

Мошенники могу воспользоваться и такой особенностью поведения людей, названной социальном доказательством, то есть желанием принадлежать или соответствовать определенной социальной группе, повторять за социумом.

В то же время человек склонен больше доверять тем, кого посчитает привлекательным или харизматичным. Например, он может поддаться уговорам злоумышленника, если тот обладает приятным и уверенным голосом.

Дефицит и страх потери – пожалуй, один из наиболее используемых инструментов мошенников для создания чувства ограниченности времени, что притупляет критичность восприятия.

«
Социальные и психологические механизмы, благодаря которым на нас влияют мошенники, давно изучены и описаны, – комментирует директор НИИ «Защиты интеллектуальной собственности» Анастасия Власова-Ягодина, – в частности, в таких базовых трудах, как «Мнение окружающих и социальное давление» Соломона Э. Аша, «Бихевиаристское исследование подчинения» Стэнли Милграма, «Эпоха пропаганды: Механизмы убеждения повседневное использование и злоупотребление» Э. Аронсона и Э.Р. Пратканис, «Психология лжи» П. Экмана, в исследованиях Гарольда Гарфинкиля по этнометодологии, и ряде исследований, описанных в книге Дэвида Майерса «Социальная психология».
»

Среди основных механизмов, продолжает Анастасия, можно выделить следующие:

  • Использование cильных эмоций. Разумное принятие решений блокируется при стрессе. Например, если матери говорят, что ее сын попал в аварию и просит о срочной помощи, как тут не помочь?
  • Излишняя самоуверенность. Многие люди думают, что умнее окружающих, и на уловки не попадутся. В реальности даже сотрудники спецслужб могут не распознать ложь.
  • Доверие авторитету. Звонок следователя или сотрудника спецслужбы настраивает на слепое повиновение. Американский психолог Стенли Милгрэм (Stanley Milgram) в 1963 году изучал этот механизм в своём известном эксперименте, когда по приказу незнакомого экспериментатора в белом халате люди готовы были бить током невинных людей.
  • Взаимность. Человеку якобы делают что-то хорошее (например, заботятся о его безопасности), и он чувствует необходимость отблагодарить благодетеля. Спорить с ним и ставить под сомнение его авторитет – неудобно, так как это противоречит древним инстинктам кооперации, поэтому критическая оценка взаимоотношений отключается.
  • Социальное давление. Мошенники часто действуют группой, чтобы создать численное преимущество, убеждающее в своей правоте просто потому, что большинство не может ошибаться. Так, в экспериментах Соломона Аша (Solomon Asch) в 1951 году человек соглашался, что одинаковые отрезки на самом деле разные исключительно под давлением подставного большинства.
  • Обобщенные утверждения и самостоятельное додумывание. Обычный пользователь получает письмо от хакера, который пишет, что взломал его компьютер, наблюдал за ним через веб-камеру и собрал таким образом серьезный компромат, который может стать достоянием общественности, если не будут выполнены его требования. Получателю письма же предоставляется возможность самостоятельно додумать, какой компромат у хакера, и испугаться своих предположений.
  • Дезориентация. Интенсивный поток информации приводит к расфокусировке и потере бдительности.
  • Создание дефицита времени. Человеку говорят о необходимости действовать быстро, иначе шанс будет упущен, чтобы у него не было времени проанализировать ситуацию и принять правильное решение. Этот метод практически всегда кооперируется с любым из других перечисленных выше.

Противодействие

«
Способы влияния в социальной инженерии доступны для понимания любым человеком. Их эффективность кроется не столько в каких-то глубоких таинственных приемах, сколько в неожиданном применении. Когда вы с ними сталкиваетесь, у вас часто просто не хватает времени и внимания для принятия правильного решения и реакции. И злоумышленники именно к этому и стремятся, – считает Анастасия Власова-Ягодина.
»

Она полагает, что разветвленные рекомендации по разным техникам противостояния социальной инженерии могут оказаться малополезны, потому что при возникновении ситуационной необходимости нет возможности к ним обратиться, выбрать и применить.

По ее словам, есть один универсальный и самый полезный совет: необходимо остановиться и подумать, желательно буквально прервав разговор и любой контакт с подозрительным лицом.

«
В любой сомнительной ситуации, когда кто-то позвонил, кто-то написал, кто-то что-то требует – лучше взять паузу, попросить перезвонить, отвлечься любым способом и подумать. Это позволит понять, что перед вами – реальная ситуация или разыгрываемый сценарий. Или, если это все еще не ясно, предпринять меры для проверки – найти нужную информацию в Интернете, позвонить более осведомленному другу, связаться с родственниками, – советует Анастасия Власова-Ягодина.
»

В отношении сотрудников организаций эффективно работает механизм повышения их осведомленности через обучение с использованием имитации фишинговых атак. Оно позволяет выявить тех, кто наиболее подвержен атакам социальной инженерии и провести их обучение на контролируемых фишинговых атаках, созданных по образу и подобию реальных мошеннических сценариев.

Автор: Анна Михайлова.