Психология целевого фишинга

18 января 2019

Как правило, говоря об уязвимостях, мы подразумеваем разного рода ошибки программирования или недостатки информационных систем, возникшие на этапе их проектирования. Однако есть целый ряд других уязвимостей, существующих непосредственно в голове у человека.

И мы сейчас говорим не о недостаточной осведомленности или халатном отношении к кибербезопасности — как справляться с этими проблемами, более-менее понятно. Просто мозг пользователя иногда срабатывает не так, как хотелось бы экспертам по информационной безопасности, а так, как его вынуждают специалисты по социальной инженерии.

По сути, социальная инженерия — это сплав социологии и психологии. Совокупность приемов, методов и технологий создания такого пространства, условий и обстоятельств, которые максимально эффективно приводят к конкретному необходимому результату. Благодаря этому злоумышленники, играя на эмоциях, чувствах, страхах и рефлексах людей, получают доступ к интересующей их информации. И именно на этой «науке», по большому счету, базируется большая часть современных целевых атак.

Среди чувств, к которым обычно взывают мошенники, можно выделить четыре основных:

  • Любопытство
  • Жалость
  • Страх
  • Жадность

Однако их сложно назвать уязвимостями — все-таки это естественные для человека чувства. Это скорее каналы воздействия, через которые манипуляторы пытаются влиять на жертву. В идеале — так, чтобы мозг сработал автоматически, не применяя критическое мышление. Для этого у злоумышленников припасено немало трюков. Разумеется, против каждого человека различные приемы работают с разной эффективностью. Но мы решили рассказать о нескольких самых распространенных и объяснить, как именно их используют.

Подчинение авторитету

Это одно из так называемых когнитивных искажений — систематических отклонений в поведении, восприятии и мышлении. Его суть заключается в склонности людей беспрекословно подчиняться человеку, обладающему опытом или определенной властью, игнорируя свои собственные суждения о целесообразности действия.

На практике это может выглядит как фишинговое письмо, написанное от имени вашего начальника. Разумеется, если в таком письме потребуют станцевать лезгинку на камеру и разослать это видео десяти друзьям, то получатель задумается. Но вот если прямой руководитель просит подчиненного ознакомиться с содержащимися в письме материалами для нового проекта, то скорее всего получатель автоматически откроет вложенный файл.

Дефицит времени

Один из наиболее частых приемов в психологии манипуляций — создание ощущения дефицита времени. Часто для того, чтобы принять взвешенное, рациональное решение, требуется изучить информацию подробнее. А на это нужно время. Именно его и пытаются лишить жертву мошенники.

Как правило, манипуляторы в таких случаях взывают к чувству страха («В ваш аккаунт пытались зайти, если вход был произведен не вами, немедленно перейдите по ссылке…») или к жажде легкой наживы («Скидка доступна только первым десяти кликнувшим, не упусти свой шанс…»). Тогда появляется высокая вероятность поддаться чувствам и принять эмоциональное, а не рациональное решение.

Письма, пестрящие словами «срочно» и «важно», как раз из этой категории. Ключевые моменты в них любят выделять красным цветом для пущего устрашения или для демонстрации фантастического везения, которое вот-вот можно упустить.

Автоматизмы

Автоматизмы в психологии — это действия, реализуемые без непосредственного участия сознания. Автоматизмы бывают первичные (врожденные, никогда не осознававшиеся) и вторичные (прошедшие через сознание и переставшие осознаваться). А еще автоматизмы делятся на моторные, речевые и интеллектуальные.

Злоумышленники пытаются использовать автоматизмы, присылая письма, реакция на которые могла автоматизироваться. Сообщения типа «не получилось доставить сообщение, нажмите для повторной доставки», безумные рассылки с большой кнопкой «отписаться», фальшивые уведомления о новых комментариях в соцсетях. Реакция на письма классифицируется как вторичные моторные и интеллектуальные автоматизмы.

Неожиданное откровение

Это еще один, достаточно часто встречающийся вид манипуляций. Суть его заключается в том, что информация, которая следует после некоего признания, воспринимается гораздо менее критически, чем если бы она была подана независимо.

На практике это может выглядеть, как письмо типа: «У нас случилась утечка паролей, проверьте, нет ли вас в списке потерпевших».

Что с этим делать?

  1. Возьмите за правило тщательно обдумывать письма от начальства. Зачем руководитель просит вас открыть запароленный архив и присылает ключ к нему в том же письме? Почему он просит вас перевести деньги новому партнеру, хотя у него есть доступ к платежному счету? Почему он ставит вам необычную задачу по почте, а не по телефону, как обычно? Если вы заметите какую-нибудь странность, то лучше лишний раз уточнить задание по другому каналу связи, чем слить мошенникам корпоративные данные или деньги.
  2. Не реагируйте сразу на письма, побуждающие к немедленным действиям. Здесь важно сохранять хладнокровие и спокойствие, даже если содержание письма вызвало у вас страх. Обязательно перепроверьте, от кого пришло это письмо, соответствует ли ссылка отображаемому адресу, легитимен ли домен, прежде чем переходить по ней. Если все равно сомневаетесь — лучше обратиться к специалистам.
  3. Если вы заметите за собой склонность к автоматической реакции на какие-то письма, попробуйте выполнить те же действия, только осознанно. Это может привести к «деавтоматизации», нужно лишь активировать свое сознание в нужный момент.
  4. Не забывать о ранее данных нами советах о том, как не попасться на удочку фишеров:
  5. Используйте защитные решения с надежными антифишинговыми технологиями. В таком случае большую часть писем от злоумышленников вы просто не увидите.