Кадуйский потоп.
Мозг мой — враг мой. Как устроена социальная инженерия хакеров
С их помощью только в одном 2020 году, по данным ФБР, жертвами кибер-мошенников стали более 800 тыс. американцев.
Преступники заманивают вполне адекватных людей в свои ловушки, используя бессознательные, автоматические процессы, существующие на самом деле для того, чтобы сделать принятие решений более эффективным. В определённых ситуациях эти когнитивные искажения могут помешать правильно интерпретировать информацию — в результате мы делаем поспешные суждения, которые могут быть иррациональными или неточными.
Эти метальные ловушки находятся в так называемом рептильном мозге человека — наиболее древней сформировавшейся в процессе эволюции части мозга человека, которая отвечает за биологическое выживание и телесное функционирование. Располагается она в задней и центральной частях мозга, включая в себя мозговой ствол и мозжечок.
«Киберпреступники сделают все возможное, чтобы запустить работу нашего рептильного мозга, — цитирует WSJ Келли Шортридж, старшего директора компании Fastly, поставщика услуг облачных вычислений. — Они будут использовать нашу лояльность знакомым корпоративным логотипам или стимулировать нас действовать без особых раздумий под угрозой того, что наш банковский счёт будет закрыт. Они попытаются захватить нашу личную информацию из социальных сетей, чтобы потом выдать себя за друга или руководителя. И всё для того, чтобы заставить пользователей нажать на ссылку, открыть вложение, перевести деньги или передать личные данные».
По мнению эксперта издания, признание того, что у нас есть предубеждения, является первым шагом к их преодолению. Хотя это бывает нелегко, даже если эти предубеждения иногда болезненно очевидны.
Уловка № 1. Неприятие потерь
Её идея проста: для многих часто боль потери превосходит радость от эквивалентного по ценности выигрыша. Вот почему люди отказываются играть, когда у им предлагают попытаться подбросить монету с вероятностью 50/50: потерять100 долларов или выиграть 200-ти. Идею потерять 100 долларов слишком трудно проглотить.
По свидетельству Клеотильды Гонсалес, профессор Университета Карнеги-Меллона, мы в большей степени склонны рисковать, чтобы избежать потери, чем получить выигрыш.
Именно это наше свойство мошенники используют при отправке фишинговых писем. Например, с сообщением об отключении системы безопасности, потому что вы не заплатили ежемесячную плату. И вы послушно нажимаете на ссылку, чтобы предотвратить потерю вашей системы безопасности... Однако вы с лёгкостью проигнорируете предложение нажать на ссылку, чтобы снизить ежемесячные платежи.
Играя на вашем страхе потерять доступ к своей учетной записи, мошенник может получить ваши учётные данные, если вы, по его просьбе, перейдёте по поддельной ссылке на поддельный веб-сайт, который выглядит совсем, как настоящий.
Уловка№ 2. Уловка авторитета
По своей природе люди склонны доверять власти. Хакеры прекрасно знают: если мы получаем электронное письмо из надёжного (чаще всего «официального») источника, мы тут же ослабляем бдительность.
Директор Symantec, подразделения Broadcom Inc., глобального бизнеса полупроводников и программного обеспечения, Кевин Хейли утверждает, что обычно преступники отправляют сообщение электронной почты, которое выглядит так, как будто оно исходит от хорошо знакомого нам человека, который делает узнаваемый запрос.
Так «босс» может отправить бухгалтеру электронное письмо с привычного адреса с просьбой отправить текущий платеж на новый номер банковского счета. И бухгалтер выполняет просьбу, не обращая внимание на то, что адрес полученной электронной почты немного отличается от реального.
По данным ФБР, мошенничества с подобной компрометацией деловой электронной почты нанесли в прошлом году компаниям США ущерб в размере около 1,8 миллиарда долларов.
Уловка № 3. Уловка срочности
Многие из нас привыкли в первую очередь делать то, что кажется срочным. И эта привычка ослабляет наше внимание.
«Если босс обращается к вам с просьбой сделать что-то быстро, вы обычно сразу начинаете действовать, чтобы угодить боссу. И это идеальная социальная инженерия», — говорит Хейли.
Эксперт приводит в пример ситуацию, когда мошенник может забросать жертву несколькими электронными письмами, которые якобы приходят от генерального директора. Этот факт повышает срочность задания (за счёт дополнительного использования «уловки авторитета»).
В первом письме может быть вопрос: «Вы за своим столом?» И вы тут же задумываетесь: а почему генеральный директор спрашивает? Я сделал что-то не то?
Во втором письме следует обескураживающее «продолжение»: «Я только что отправил вам запрос. Разве вы не получили его?.
В третьем письме говорится: «Я перешлю вам счёт, как только буду у своего компьютера. А пока срочно отправьте этот банковский перевод». Наверное, это на самом деле настолько срочно, думаете вы, что босс хочет, чтобы я игнорировал протокол. Пожалуй, мне лучше сделать это прямо сейчас.
Алана Маурушат, профессор кибербезопасности и стереотипов поведения в Университете Западного Сиднея в Австралии, говорит, что эмоциональность сообщений хакеров способствует созданию ощущения срочности. Если в электронном письме от вашего «босса» упоминается, что поставщик «недоволен», уровень тревоги повышается.
«Чем больше эмоций киберпреступник сможет привнести в контекст, тем больше вероятность того, что кто-то ему подыграет», — говорит эксперт. — Когда эмоции запускаются, человеческий мозг переходит в другой режим«.
Уловка № 4 Эффект ореола
У всех нас есть бренды, компании и люди, которые нам нравятся. Мошенники могут этим воспользоваться. Если в ваш почтовый ящик попадает приглашение присоединиться к элитному клубу или выступить на эксклюзивной конференции, особенно, если электронное письмо приходит от имени организации, которой вы симпатизируете, существует большая вероятность, что вы нажмете на ссылку, чтобы зарегистрироваться, и, возможно, предоставите злоумышленнику слишком много личной или корпоративной информации.
Род Симмонс, вице-президент по продуктовой стратегии в Omada, компании по управлению и администрированию личных данных, приводит другой пример: мошенник, выдавая себя за представителя банка, выпустившего вашу кредитную карту, отправляет электронное письмо, в котором предупреждает: он обнаружил мошенническое использование вашей карты, и предлагает нажать на ссылку для проверки последних транзакций. Благоприятный опыт работы с банком вряд ли заставит вас сомневаться в законности запроса от его имени — вы нажимаете на ссылку, и в конечном итоге вас просят войти в свою учётную запись...
Уловка № 5. Мгновенное удовлетворение
Для нас так естественно выбирать маленькие, но быстрые победы, чем большие, но удалённые по времени награды. Все дело в мгновенном удовлетворении.
«Люди заботятся о настоящем больше, чем о будущем», — говорит г-жа Шортридж.
Представьте себе, говорит она, что это последняя неделя квартала, и команда собирается заполучить нового крупного клиента. Если руководитель продаж получит вложение электронной почты, которое, по-видимому, связано со сделкой, он скорее отдаст приоритет своему желанию немедленно закрыть сделку. И не станет придавать большое значение беспокойству о том, чтобы избежать утечки данных в будущем.
Уловка № 6. Смещение доступности
Мы склонны делать суждения, основанные на собственном опыте. Если мы не видели чего-то раньше, наш тревожный звоночек не сработает.
Патрик Мюррей, директор по продуктам tugboat Logic, платформы управления безопасностью, говорит: эта особенность нашей психики означает, что более успешными становятся атаки мошенников, использующие приёмы социальной инженерии, с которыми сотрудники конкретной компании раньше не сталкивались. Даже, если сотрудники были обучены выявлять типичные фишинговые атаки по электронной почте, их может обмануть звонок из «своей» службы ИТ-поддержки, предупреждающей о какой-то проблеме. Они вполне могут передать мошеннику свои учётные данные.
Уловка № 7. Иллюзия полной неуязвимости
Иногда её ещё называют «уловкой оптимизма». Она возникает, когда люди думают, что с ними вряд ли случится что-то плохое, поэтому передают свои полномочия «коллеге», который на самом деле является мошенником.
«Существует поговорка, что есть два типа людей: те, кто был взломана и знает об этом, и те, кто был взломан и даже об этом не подозревает», — говорит Мюррей.
А доктор Маурушат напоминает, что в учебных пособиях киберпреступников учат выбирать своей целью «белого мужчину старше 40 лет». Именно они становятся идеальным объектом воздействия хакеров из-за своей уверенности, что «уж их-то никогда не смогут обмануть».
Преодолеть уловки хакеров бывает нелегко, потому что они «дёргают» за ярлыки, «зашитые» в нашем сознании. Но эксперты по кибербезопасности говорят, что есть способы, которые могут помочь помимо технических решений для противодействия, к примеру, «уловке авторитета». Это могут быть, например, многофакторная аутентификация, менеджеры паролей и изменение каналов связи, если что-то кажется подозрительным.
Но потенциально наиболее эффективными решениями являются нетехнические и долгосрочные. Одно из них — намеренное «замедление» сотрудников, когда скорость принятия решений не имеет большого значения. Количество успешных фишинговых атак может уменьшить создание корпоративной культуры, позволяющей сотрудникам «отдышаться» и включить рациональное мышление.
Другой путь — создание в компании культуры, вознаграждающей за сообщения о подозрительной активности и сомнения по поводу необычных запросов.
Подготовил Антон Юрьев
СамолётЪ