Психология целевого фишинга

[bogdan_63]

Как правило, говоря об уязвимостях, мы подразумеваем разного рода ошибки программирования или недостатки информационных систем, возникшие на этапе их проектирования. Однако есть целый ряд других уязвимостей, существующих непосредственно в голове у человека.

И мы сейчас говорим не о недостаточной осведомленности или халатном отношении к кибербезопасности - как справляться с этими проблемами, более-менее понятно. Просто мозг пользователя иногда срабатывает не так, как хотелось бы экспертам по информационной безопасности, а так, как его вынуждают специалисты по социальной инженерии.

По сути, социальная инженерия - это сплав социологии и психологии. Совокупность приемов, методов и технологий создания такого пространства, условий и обстоятельств, которые максимально эффективно приводят к конкретному необходимому результату. Благодаря этому злоумышленники, играя на эмоциях, чувствах, страхах и рефлексах людей, получают доступ к интересующей их информации. И именно на этой «науке», по большому счету, базируется большая часть современных целевых атак.

Среди чувств, к которым обычно взывают мошенники, можно выделить четыре основных:

• Любопытство
• Жалость
• Страх
• Жадность

Однако их сложно назвать уязвимостями - все-таки это естественные для человека чувства. Это скорее каналы воздействия, через которые манипуляторы пытаются влиять на жертву. В идеале - так, чтобы мозг сработал автоматически, не применяя критическое мышление. Для этого у злоумышленников припасено немало трюков. Разумеется, против каждого человека различные приемы работают с разной эффективностью. Но мы решили рассказать о нескольких самых распространенных и объяснить, как именно их используют.
Подчинение авторитету

Это одно из так называемых когнитивных искажений - систематических отклонений в поведении, восприятии и мышлении. Его суть заключается в склонности людей беспрекословно подчиняться человеку, обладающему опытом или определенной властью, игнорируя свои собственные суждения о целесообразности действия.

На практике это может выглядит как фишинговое письмо, написанное от имени вашего начальника. Разумеется, если в таком письме потребуют станцевать лезгинку на камеру и разослать это видео десяти друзьям, то получатель задумается. Но вот если прямой руководитель просит подчиненного ознакомиться с содержащимися в письме материалами для нового проекта, то скорее всего получатель автоматически откроет вложенный файл.
Дефицит времени

Один из наиболее частых приемов в психологии манипуляций - создание ощущения дефицита времени. Часто для того, чтобы принять взвешенное, рациональное решение, требуется изучить информацию подробнее. А на это нужно время. Именно его и пытаются лишить жертву мошенники.

Как правило, манипуляторы в таких случаях взывают к чувству страха («В ваш аккаунт пытались зайти, если вход был произведен не вами, немедленно перейдите по ссылке…») или к жажде легкой наживы («Скидка доступна только первым десяти кликнувшим, не упусти свой шанс…»). Тогда появляется высокая вероятность поддаться чувствам и принять эмоциональное, а не рациональное решение.

Письма, пестрящие словами «срочно» и «важно», как раз из этой категории. Ключевые моменты в них любят выделять красным цветом для пущего устрашения или для демонстрации фантастического везения, которое вот-вот можно упустить.
Автоматизмы

Автоматизмы в психологии - это действия, реализуемые без непосредственного участия сознания. Автоматизмы бывают первичные (врожденные, никогда не осознававшиеся) и вторичные (прошедшие через сознание и переставшие осознаваться). А еще автоматизмы делятся на моторные, речевые и интеллектуальные.

Злоумышленники пытаются использовать автоматизмы, присылая письма, реакция на которые могла автоматизироваться. Сообщения типа «не получилось доставить сообщение, нажмите для повторной доставки», безумные рассылки с большой кнопкой «отписаться», фальшивые уведомления о новых комментариях в соцсетях. Реакция на письма классифицируется как вторичные моторные и интеллектуальные автоматизмы.
Неожиданное откровение

Это еще один, достаточно часто встречающийся вид манипуляций. Суть его заключается в том, что информация, которая следует после некоего признания, воспринимается гораздо менее критически, чем если бы она была подана независимо.

На практике это может выглядеть, как письмо типа: «У нас случилась утечка паролей, проверьте, нет ли вас в списке потерпевших».
Что с этим делать?

1. Возьмите за правило тщательно обдумывать письма от начальства. Зачем руководитель просит вас открыть запароленный архив и присылает ключ к нему в том же письме? Почему он просит вас перевести деньги новому партнеру, хотя у него есть доступ к платежному счету? Почему он ставит вам необычную задачу по почте, а не по телефону, как обычно? Если вы заметите какую-нибудь странность, то лучше лишний раз уточнить задание по другому каналу связи, чем слить мошенникам корпоративные данные или деньги.
2. Не реагируйте сразу на письма, побуждающие к немедленным действиям. Здесь важно сохранять хладнокровие и спокойствие, даже если содержание письма вызвало у вас страх. Обязательно перепроверьте, от кого пришло это письмо, соответствует ли ссылка отображаемому адресу, легитимен ли домен, прежде чем переходить по ней. Если все равно сомневаетесь - лучше обратиться к специалистам.
3. Если вы заметите за собой склонность к автоматической реакции на какие-то письма, попробуйте выполнить те же действия, только осознанно. Это может привести к «деавтоматизации», нужно лишь активировать свое сознание в нужный момент.
4. Не забывать о ранее данных нами советах о том, как не попасться на удочку фишеров:
   • Как распознать целевой фишинг.
   • Как защититься от фишинга.
5. Используйте защитные решения с надежными антифишинговыми технологиями. В таком случае большую часть писем от злоумышленников вы просто не увидите.