Технологии “социальной инженерии” в мошеннических схемах

Начиная с 2016 года, мошенничество в сфере информационно-телекоммуникационных технологий с использованием методов социальной инженерии, подразумевающее под собой кражу личных данных и применение разнообразных психологических техник манипулирования людьми для достижения корыстных результатов, демонстрирует тенденцию к увеличению. Преступные действия направлены на то, чтобы обманом заставить отдельных лиц или организации выполнить действия по предоставлению им конфиденциальной информации, такой как паспортные данные, номер социального страхования, записи о состоянии здоровья, пароли, секретные сведения банковских карт и др. Социальная инженерия – одна из самых серьезных проблем, стоящих перед сетевой и компьютерной безопасностью, поскольку она использует естественную склонность человека к доверию и манипулированию.

В наши дни значительно увеличилось количество научных работ, посвященных рассмотрению обозначенной проблемы, и это является достаточным доказательством того, что социальная инженерия приобрела глобальные масштабы и ее тщательное исследование имеет значение для обеспечения информационной безопасности всего общества.

В статистических данных о состоянии преступности в России за период с января по октябрь 2020 года обращается внимание на рост преступлений, совершенных в сфере информационно-телекоммуникационных технологий, где неправомерное завладение персональными данными является основным мотивом мошенников для атак.

Скомпрометированные личные, медицинские и финансовые данные являются основными ресурсами, востребованными киберпреступностью, а еще в большей степени преступностью, связанной с использованием киберпространства, а также мошенничеств с использованием социальной инженерии. Именно указанные данные лежат в основе таких преступных технологий, как фишинг, финансовые мошенничества и т.п.

В связи с этим необходимо более детально рассмотреть смысловое содержание мошенничества с использованием социальной инженерии. Прежде чем ответить на вопрос, что собой представляет данное преступное явление, а также каковы его сущность и цель, следует провести анализ общих положений о понятии социальной инженерии.

Общеизвестно, что понятие социальной инженерии содержится в научных положениях социологии и обозначает совокупность подходов прикладных социальных наук, направленных на модификацию организационных структур, поведение человека и отвечающих за его контроль.

Словарь толкует слово «социальный» (образовано от лат. socialis общий, общественный) как понятие всего межчеловеческого, т.е. того, что имеет связь с коллективной жизнью общества, разнообразными формами общения людей и обладает общественным и общностным характером, а слово «инженерия» (образовано от лат. ingenium – «искусность» и лат. ingeniare – «изловчиться, разработать», «изобретательность») как сфера деятельности, включающая в себя множество специальных отраслей и дисциплин, которые преимущественно направлены на прагматичное использование и употребление научных, практических, социальных и экономических сведений на пользу человека.

Истории возникновения понятия социальной инженерии известны случаи использования ее приемов в правомерных целях в Древней Греции и Древнем Риме. В те времена ценились ораторские способности выступающих, имеющих специальное умение убеждать в дипломатических переговорах. Термин «социальная инженерия» также находит свое применение в политической жизни начала XX века в области науки, где под этим термином понимались психологические методы, позволяющие решать социальные проблемы.

С годами, особенно после Второй мировой войны, этот термин приобрел более негативный оттенок и стал ассоциироваться со стереотипами, используемыми политиками для получения электорального преимущества. Сегодня отрицательный термин все еще сохраняется, но получил распространение в области безопасности информационных систем для описания случаев, когда мошенники обманным путем убеждают людей предоставлять им важную конфиденциальную информацию, а также доступ к денежным средствам.

Одним из первых социальную инженерию в противозаконной деятельности стал применять известный всему миру К.Д. Митник. Успешно применяя методы социальной инженерии, К.Д. Митник осуществлял доступ к электронно-вычислительным машинам компаний, проникал в их телефонные линии, воровал корпоративную конфиденциальную информацию и даже получал доступ к национальной системе предупреждения атак. К.Д. Митник является автором известных книг в сфере киберпреступности, таких как «Искусство обмана» и «Искусство вторжения». В них детально описаны способы и мошеннические схемы злоумышленников по использованию социальной инженерии в корыстных целях в информационно-телекоммуникационной среде.

В указанных трудах социальная инженерия понимается как способ воздействия на человека без применения технических средств.

В свою очередь, эти способы базируются на использовании уязвимого эмоционально-психологического состояния человека.

В понимании К.Д. Митника целью социальной инженерии признается получение неправомерного доступа к секретным данным личности или отдельной организации.

Необходимо отметить, что социальная инженерия включает большое количество разнообразных техник и методик, взятых из практической психологии, нейролингвистического программирования, гипноза и других наук, позволяющих благополучно контролировать поведение людей в преступных целях.

Социальная инженерия представляет собой систему различных психологических методик и мошеннических приемов, целью которых является получение конфиденциальной информации о человеке обманным путем. Это своеобразный метод (атак) несанкционированного доступа к информации или системам хранения информации с помощью техник, основанных на использовании слабостей человеческого фактора. Кроме того, данные техники являются очень эффективным оружием мошенников на сегодняшний день. Известный ученый В.С. Овчинский в своем труде «Мафия. Новые мировые тенденции» отметил, что социальная инженерия превратилась в один из самых распространенных векторов атак на информацию, от которых сложнее всего защититься. Защититься от атак социальной инженерии становится непросто в связи с тем, что мошенники применяют различные способы воздействия, психологического давления на жертву. Зачастую потерпевший до последнего момента не осознает, что передает конфиденциальную информацию преступнику, способную причинить материальный ущерб, так как последний выстраивает доверительные отношения, используя определенные уловки.

Введение в заблуждение – основной «компонент» социальной инженерии, который включает целый ряд разнообразных техник, таких как выдача себя за другое лицо, отвлечение внимания, нагнетание психологического напряжения и т.д. Злоумышленники научились использовать свои методы воздействия на жертву, исходя из особенностей ее поведения.

Под социальной инженерией также понимается обман информационной системы безопасности с помощью данных, получаемых от контактов с обслуживающим персоналом и пользователями на основе введения их в заблуждение за счет разных уловок, обмана и др. Социальная инженерия также определяется, как метод хищения конфиденциальной информации пользователей.

Социальная инженерия часто рассматривается как манипулирование поведением человека с помощью использования социальных и психологических навыков в целях достижения корыстного результата.

Специфика методов социальной инженерии кроется в том, что зачастую они обходят особенности критического и аналитического мышления и направлены в первую очередь на эмоциональную сферу личности жертвы. В связи с этим так эффективны методы социальной инженерии у мошенников. Вместе с тем причины, в связи с которыми мошенники предпочитают использовать методы социальной инженерии, следующие:

• манипулирование людьми в целях получения прибыли кажется для них весьма простым и быстрым способом преступной деятельности, поскольку получить доступ к технической системе безопасности, усовершенствованной новейшими средствами защиты информации, намного сложнее, чем получить ту же информацию от обычного пользователя обманным путем.

• мошеннические схемы с использованием социальной инженерии являются более результативными, дешевыми и эффективными. Кроме того, степень вероятности быть пойманным, применяя методы психологического воздействия на жертву, для их инициаторов гораздо ниже, нежели вероятность, возникшая в связи с взломом технического средства.

• самонадеянная убежденность людей в том, что проблему информационной безопасности можно успешно решить с использованием технических программ и аппаратных средств.

Необходимо подчеркнуть, что методы социальной инженерии оказываются весьма разнообразными и с течением времени могут совершенствоваться и развиваться в зависимости от появления новых схем мошенничества, при этом их цели всегда будут оставаться одинаковыми. К числу основных целей социальной инженерии можно отнести следующие:

1. Получение конфиденциальной информации, такой как Ф.И.О., номер телефона, номер банковской карты, секретные пароли из СМС, сведения о состоянии здоровья и другие личные данные, которые можно использовать для достижения корыстного результата.
2. Получение неправомерного доступа к мобильному банку жертв и их электронным денежным средствам.
3. Получение паролей от социальных сетей пользователей.

Цели мошенников достигаются за счет использования прямой и обратной социальной инженерии, которые отличаются друг от друга спецификой вступления во взаимодействие с жертвой. Прямая социальная инженерия характеризуется использованием мошенником техник непосредственно при совершении преступлений.

Под прямой социальной инженерией необходимо понимать совокупность действий злоумышленника по совершению с корыстной целью деяния, содержащего психологические техники и приемы воздействия, направленные на введение человека в заблуждение и побуждение его выполнять определенные действия для достижения преступного результата в виде предоставления мошеннику персональных данных и (или) конфиденциальных сведений, повлекших причинение имущественного ущерба собственнику.

Кроме того, существует и обратная социальная инженерия, представляющая совокупность действий злоумышленника, направленных на создание такой ситуации, при которой потерпевшее лицо само вынуждено обратиться к мошеннику и, не подозревая об истинности его преступных намерений, сообщить свои персональные данные и (или) конфиденциальные сведения, в результате чего причиняется имущественный ущерб собственнику.

Обратная социальная инженерия выражена в умышленном создании у пользователя технических проблем, для решения которых он вынужден прибегнуть к помощи преступника и обеспечить ему доступ к наиболее важной информации.

Выделяют три фазы обратной социальной инженерии:

1. «диверсию» (создание определенной нештатной ситуации, требующей привлечение специалиста для устранения неполадок в системе),
2. «рекламу» (информирование пользователя о том, что определенное лицо способно помочь в устранении его проблемы),
3. «помощь» (получение полного доступа к компьютеру).

В атаке обратной социальной инженерии злоумышленник не инициирует контакт с жертвой. Ее обманом заставляют связаться с нападающим. В результате между преступником и жертвой устанавливается высокая степень доверительных отношений. Как только атака обратной социальной инженерии оказалась успешной, злоумышленник установил дружеские отношения с жертвой, он запускает широкий спектр техник социальной инженерии, таких как убеждение жертв перейти по вредоносным ссылкам, шантаж, кража личных данных, фишинг и др.

“Социальные инженеры” для реализации своих целей играют на эмоциях, чувствах, страхах и рефлексах людей. Обычно воздействие происходит через наиболее яркие чувства: жадность, страх, любопытство и жалость. Мошенникам необходимо создать такие условия, чтобы мозг жертвы сработал автоматически, без использования критического мышления.

Профессор психологии Роберт Чалдини описал шесть базовых принципов психологического влияния:

1. Взаимность (мошенники зачастую ставят свою жертву в ситуацию, чтобы человек чувствовал, что ему оказали услугу и нужно ответить взаимностью, даже если оказанная услуга была ему не нужна или вообще не представляла из себя ценности.
2. Последовательность (злоумышленники составляют неверные логические цепочки, согласно которым жертву убеждают в том, что она должна совершить какое-то действие, если ранее был сделан тот или иной выбор).
3. Социальное доказательство (принцип заключается в убеждении, что принятие решения зависит от того, как поступает большинство в похожей ситуации – ведь, «большинство не может ошибаться» и «все так делают»).
4. Власть и авторитет (люди зачастую склонны следовать примерам тех, кто обладает властью и авторитетом. Ярким примером является реклама, которую осуществляют блогеры).
5. Дефицит (большинство предпочитает избегать потерь вместо получения прибыли, поэтому, чем больше жертву убедят в дефиците товара/услуги тем больше вероятность покупки, даже если сам продукт человеку изначально не был нужен).
6. Благорасположение (люди охотнее соглашаются выполнять требования тех, кого знают или
   кто им нравится).

Этими уловками активно пользуются злоумышленники: они всегда выглядят максимально привлекательно и авторитетно, стараются найти точки соприкосновения. Большинство атак “социальных инженеров” в той или иной степени планируются, о жертве собирается информация.

Для подготовки будет полезна любая информация: телефонный номер, домашний адрес, место работы, круг общения, хобби, услугами каких компаний жертва пользуется, где бывает на отдыхе и т.д. Много информации можно собрать из социальных сетей: люди сами выкладывают в открытый доступ множество фотографий, пишут о планах на будущее, хвалятся покупками и достижениями.

Чаще всего методы социальной инженерии используются в мошеннических схемах, вот только несколько возможных сценариев:

— жертве поступает звонок якобы с техподдержки банка, и мошенник пытается узнать конфиденциальные данные: количество денег на карте, подключена ли карта к мобильному банку, приходят ли уведомления о свершившихся операциях по переводам, иногда даже пытаются узнать pin-код карты.

Здесь нужно понимать, что ни один сотрудник банка не имеет права задавать такие вопросы и получать такого рода информацию. Если же у вас действительно закрались сомнения и вы не уверены, можно ли доверять звонящему, лучше завершить разговор и перезвонить по номеру, указанному на самой банковской карте.

— в социальных сетях появляется сообщение о конкурсе, который проводит блогер или разного рода знаменитости, но переходя по этой ссылке пользователь попадает на ресурс, содержащий вредоносную программу, что может привести к выходу из строя компьютера. Выход один: если вас действительно заинтересовала новость, то лучше зайти через поисковик на официальную страницу
блогера или знаменитости, а не переходить по сомнительным ссылкам.

В 2020 году, согласно данным международной компании Group-IB, специализирующейся на предотвращении кибератак, среди звёзд поп-культуры, чей бренд чаще других используют мошенники, эксперты отмечают Ольгу Бузову, Юрия Дудя, Ивана Урганта, Басту, Тимати, Анастасию Ивлееву, Михаила Галустяна, Андрея Малахова и др.

Защититься от атак с использованием социальной инженерии достаточно сложно, т.к. задача мошенника сделать все так, чтобы жертва не осознала, что ей манипулируют. Еще у социального инженера есть большое преимущество – он заранее может спланировать развитие событий и именно он делает первый ход. Однако нет ничего невозможного. Рассмотрим способы защиты от атак с использованием социальной инженерии.

Мы рекомендуем предпринимать следующие профилактические меры, чтобы повысить уровень своей защищенности и не попасться на уловки “социальных инженеров”:

1. Закрывать свои профили в социальных сетях, не добавлять в друзья незнакомых людей, не публиковать информацию, которая может помочь злоумышленникам (билеты на ж/д- и авиатранспорт, даты отпусков, фотографии дорогих покупок и т. д.).
2. Не переходить по незнакомым ссылкам в интернете, не выключать антивирусные программы на компьютере.
3. Не откровенничать с незнакомыми людьми, даже если на первый взгляд они нам симпатичны и располагают к доверительному разговору.
4. Никогда не предпринимать активных действий на эмоциях, особенно после разговора с незнакомым человеком, всегда перепроверять информацию, перезванивать своим родственникам, друзьям, в техническую поддержку, чтобы удостовериться в достоверности полученных данных.

Однако всегда нужно помнить, что вышеприведенные советы помогут вам стать более защищенными, они образуют дополнительный барьер для мошенников, но они не могут гарантировано защитить вас от попыток манипуляции со стороны злоумышленников.

Не стоит забывать, что главным инструментом защиты от психологического воздействия и социальной инженерии всегда выступает умение критически осмыслить информацию, проанализировать ее, и принять самостоятельное обдуманное решение.