Социальная инженерия: почему люди сами отдают мошенникам деньги

Социальная инженерия в контексте информационной безопасности представляет собой совокупность приемов психологического манипулирования людьми с целью совершения ими определенных действий либо разглашения необходимых данных. От обычного мошенничества она отличается тем, что нередко сама является одним из шагов в более сложной схеме.

В контексте экономической безопасности последовательное применение различных приемов социальной инженерии позволяет злоумышленникам добиться от человека добровольной передачи полных реквизитов его банковской карты, в том числе номера, срока действия, трехзначного CVV/CVC-кода, а также паролей и кодов из СМС, отправленных банком для подтверждения операции. Это, в свою очередь, позволяет вывести деньги со счета жертвы.

Инструменты социальных инженеров

Перед выходом на контакт с жертвой социальные инженеры стремятся получить о ней максимальное количество информации, которая позволит им начать разговор и усыпить бдительность. Для этого они используют фишинговые сайты, похищенные информационные базы с персональными данными. В ход также идут доступные источники. Например, в соцсетях можно узнать номер телефона и адрес электронной почты.

Чтобы достоверно выйти на контакт и остаться при этом нераспознанными, социальные инженеры применяют различные ухищрения. Рассмотрим наиболее распространенные способы.

1. Подмена номера телефона. Злоумышленники делают это посредством специального программного обеспечения. На экране у жертвы во время звонка или получения СМС отображается, например, телефонный номер банка.
2. Создание фейковых сайтов. Чтобы ввести жертву в заблуждение и заставить ее раскрыть нужную конфиденциальную информацию, социальные инженеры создают сайты-двойники банков и других финансовых организаций, страховых компаний, онлайн-магазинов.
3. Подделка платежных документов. Злоумышленники нередко используют созданные ими фейковые платежные страницы, налоговые уведомления, квитанции о штрафах, счета на оплату жилищно-коммунальных услуг. Такие «платежки» с QR-кодами они отправляют своим жертвам на домашние адреса, а также ссылки на интернет-страницы через электронную почту или СМС.

Психологические уловки социальных инженеров

Рассмотрим основные применяемые на практике психологические уловки социальных инженеров, которые они задействуют в зависимости от того, на каких чувствах жертвы хотят сыграть.

1. Доверие. Чтобы вызвать у своей жертвы доверие, злоумышленник представляется лицом, от которого она не ожидает подвоха. Как правило, это сотрудник банка, в котором у жертвы открыт счет, налоговый инспектор, сотрудник силового ведомства, представитель юридической фирмы и иной официальной организации. При этом человека называют по имени и отчеству, сообщают номер банковской карты и иные конфиденциальные данные. Кроме того, социальный инженер может представиться другом или родственником жертвы, если обладает доступом к их аккаунтам в соцсетях.
2. Страх и прессинг. Злоумышленник стремится напугать свою жертву, так как последняя в таком случае лучше поддается внушению. Для этого человеку сообщают, что по его банковской карте идет подозрительная финансовая операция. При этом жертву специально торопят, оказывают на нее психологическое давление, не позволяя принять обдуманное решение, и требуют немедленно назвать CVV/CVC-код, код из СМС, перевести деньги или срочно оплатить какую-либо услугу.
3. Жажда наживы. Желание легкого обогащения также является излюбленной темой социальных инженеров для осуществления манипуляций. Для этого они создают, например, специальные сайты с опросами за вознаграждение и «беспроигрышными» конкурсами. Когда жертва заходит на такой сайт, ее просят ввести данные банковской карты, например, для оплаты «налога на выигрыш» или «комиссии за участие». Таким образом злоумышленники получают доступ к деньгам на банковском счете.
4. Чувство справедливости. Уловки, основанные на чувстве справедливости, обычно используют в отношении людей, которые ранее уже теряли деньги в финансовых пирамидах, псевдолотереях и т. д. Социальные инженеры ведут базы данных по таким лицам. В качестве приманки жертвам предлагают получить «компенсацию» через фишинговый сайт. Оставить на таком сайте финансовую информацию их убеждают необходимостью оплаты якобы комиссии за перевод возвращаемых денежных средств или «услуг юриста».

Приемы защиты от социальных инженеров

При встрече с социальными инженерами следует всегда сохранять спокойствие и критическое мышление, не спешить в принятии решений, а также стремиться перепроверять полученную информацию. Далее рассмотрим основные способы защиты от действий злоумышленников.

1. Не следует размещать в открытом доступе такие персональные данные, как номер телефона, электронную почту, домашний адрес и паспортные данные. Если эти данные где-то уже размещены, их следует удалить. Такие действия снизят риск попадания информации к злоумышленникам.
2. Установка самозапрета на кредиты не позволит злоумышленникам набрать долгов на имя жертвы в случае взлома ее онлайн-банка. Когда кредит потребуется, самозапрет можно легко снять.
3. Ни при каких обстоятельствах не следует разглашать реквизиты банковской карты, в том числе CVV/CVC-код, ПИН-код и пароли из СМС-сообщений от банка.
4. Нельзя переходить по сомнительным ссылкам из сообщений, полученным по электронной почте и через мобильный телефон, а также осуществлять оплату по QR-кодам из сомнительных бумажных писем.
5. Если звонят из банка или иной финансовой организации со срочным вопросом или предложением, следует положить трубку и позвонить туда по номеру, указанному на обратной стороне банковской карты или на официальном сайте. При этом номер следует набрать вручную.
6. Когда какая-либо компания прислала выгодное предложение, не следует сразу на него соглашаться. Нужно взять паузу для обдумывания и при этом собрать всю доступную информацию об этой организации.

Данная информация носит исключительно информационный (ознакомительный) характер и не является индивидуальной инвестиционной рекомендацией.