Кто такие социальные инженеры, и почему тысячи людей теряют из-за них деньги

1546
Кто такие социальные инженеры, и почему тысячи людей теряют из-за них деньги
Вы можете прослушать эту статью в аудио формате в нашем подкасте:

Если рассматривать термин «социальная инженерия» с точки зрения информационной безопасности — это манипулирование людьми. Мошенники проводят психологическое воздействие на жертву с целью получить деньги и склонить к совершению нужных действий. Аферисты применяют разные методы, в деталях продумывают действия и играют на человеческих чувствах и эмоциях. Кто же такие социальные инженеры, и почему тысячи людей теряют из-за них свои деньги, расскажет эксперт Банксток.

Откуда появились социальные инженеры

Необходимость в компьютерной безопасности появилась одновременно с интернетом. Но добиться полной защищенности не удавалось ни тогда, ни сейчас. Даже если представить идеальную картину, что безопасность данных обеспечена в полном объеме, в системе все равно остается слабое звено — человек. Именно он предпринимает действия, которые невозможно предугадать. Пользователи сами нарушают правила безопасности, устанавливают сомнительные программы и компрометируют данные карт.

С развитием технологий увеличивается количество схем киберпреступников. Психологическое манипулирование аферистов с целью получения наживы обрело название социальной инженерии. Кибермошенники не вламываются в дом и не ждут в подворотне. Они пишут или звонят жертве под видом кого-то другого. Их задача — получить информацию, которая даст доступ к деньгам.

Методы социальной инженерии уходят корнями глубоко в историю. В Древней Греции и Риме, к примеру, риторы умело убеждали собеседника в его «неправоте». И чем искуснее у них это получалось, тем больше желающих приходило этому учиться. В 70-х годах XX века появилось телефонное хулиганство. «Шутники» не только нарушали покой, но и часто выведывали важную информацию, которую потом использовали в разных целях.

Социальные инженеры появились с популяризацией компьютеров. Этот вид мошенничества базируется на опыте телефонных хулиганов из 70-х годов. Но с тех пор методы аферистов с каждым днем становятся все эффективнее, так как самые популярные схемы раскрывают и широко тиражируют в СМИ, и поэтому они перестают работать.

На каких чувствах и эмоциях построены схемы обмана

Социальные инженеры с помощью различных приемов выводят людей на эмоции. А информацию, которую удалось выведать, мошенники используют для вывода денег со счетов и карт. Жертвами социальных инженеров могут стать даже самые осторожные и бдительные люди, если аферисту удастся найти тот самый триггер, который выведет человека из равновесия.

Источник: Обзор операций, совершенных без согласия клиентов финансовых организаций

Самые распространенные схемы и легенды социальных инженеров:

  • реклама услуг по решению определенных проблем;
  • создание ситуации, когда люди сами обращаются за помощью к мошенникам;
  • проявление псевдозаботы, о которой никто не просил.

На эту основу накладывают продуманный до мелочей сценарий, который потом отрабатывают на разных «целевых аудиториях». Социальные инженеры досконально изучают группы, к которой принадлежит потенциальная жертва. Исследуют «боли» и желания, вычисляют потребности и подбирают «ключики».

Источник: Обзор операций, совершенных без согласия клиентов финансовых организаций

Помните: если человек сам нарушает правила безопасности, передает конфиденциальные данные мошенникам или создает пароль, который легко взломать, банк не поможет вернуть похищенные деньги. 

Втереться в доверие

Главная задача социального инженера — втереться в доверие к жертве. Чтобы этого достичь, мошенники выдают себя за представителей должностей и профессий, от которых никто не ждет подвоха. Например, сотрудниками полиции, Центробанка, налоговой службы, известных коммерческих банков, прокуратуры, следственного комитета и других организаций, с громкими и весомыми названиями.

Источник: Обзор операций, совершенных без согласия клиентов финансовых организаций

Иногда мошенники используют другую схему — представляются дальними родственниками или другом, братом, мужем, родителем. Чтобы легенда звучала достовернее, предварительно изучают информацию в открытых источниках. Больше всего данных берут в соцсетях. Злоумышленники могут взломать аккаунт и действовать от имени человека или пойти другим путем —  сделать дубликат страницы, с которой и станут писать жертве. 

Чтобы втереться в доверие, социальные инженеры собирают максимум информации. Киберпреступники используют фишинговые сайты, программное обеспечение, прибегают к различным психологическим трюкам и уловкам. Иногда пользуются данными из готовых баз, которые мошенники взламывают сами или покупают у ненадежных сотрудников компаний. В этих базах содержатся персональные данные сотен и тысяч клиентов. 

В отдельных ситуация жертвы сами помогают мошенникам. Они публикуют номера телефонов, электронные адреса, выкладывают фото банковских карт, сканы документов, снимки с важной персональной информацией. И этого вполне достаточно, чтобы войти в доверие и выведать остальные данные, которых хватит, чтобы украсть деньги. 

Выдать себя за кого-то другого

Чтобы выглядеть правдоподобно, социальные инженеры копируют манеру разговора сотрудников реальных с организации. Жертва до последнего может не сомневаться, что общается с представителем ведомства или компании, которой ему представились. Однако это не единственное, что аферисты используют для маскировки. Кроме манеры общения:

  1. Подделывают официальные сайты компаний. Самый распространенный вариант — известный банк. Преступники продумывают все до мелочей: платят за схожий по написанию доменный адрес, оформляют страницу так же, как в оригинале, используют логотипы, брендовые шрифты и цвета. Неопытный пользователь даже не сможет отличить подделку от оригинала. Тут поможет только внимательность к странице, на которой вы вводите свои платежные данные.
  2. Подменяют телефонный номер. Телефоны, с которых звонят или пишут смс-сообщения преступники, похожи на номера банков и других организаций. Для этого используют специальные программы, которые прячут или заменяют настоящий телефонный номер на нужный мошенникам. Поэтому будьте бдительны при любых входящих звонках, даже если они внесены в список ваших контактов в смартфоне.
  3. Подделывают документы. Для этого используют фотошоп и другие графические редакторы. Преступники заменяют в сканах и ксерокопиях настоящих документов данные, подделывают квитанции о штрафах, счета на оплату коммунальных платежей и налоговые уведомления. Фейковые документы преступники присылают в смс, на e-mail или прямо на домашний адрес. При оплате такого счета деньги пойдут не компании, а мошенникам. И вернуть их уже не удастся. Чтобы «облегчить» процесс перевода, на липовых платежках часто размещают QR-коды, чтобы особенно бдительные плательщики ничего не заподозрили, что могло бы случиться, если б им пришлось вручную вводить расчетный счет получателя.

Социальные инженеры мастерски копируют сайты, документы, онлайн-магазины, порталы объявлений, ресурсы с лотереями, выигрышами и казино. Они делают всё, чтобы завладеть данными, и используют их пока человек не опомнился и не предпринял меры безопасности.

Вызвать страх и панику

Помимо доверия, социальные инженеры играют и на других чувствах. Излюбленный прием — вызвать панику или страх. В измененном состоянии жертва думает лишь о том, как решить проблему, теряет бдительность и легко поддается внушению. 

Известная схема развода: мошенники представляются сотрудниками службы безопасности банка и говорят, что «прямо сейчас» с карты клиента списывается крупная сумма. И сразу предлагают решение. Чтобы прервать операцию, просят назвать данные банковской карты и CVC-код с оборотной стороны пластика, что категорически запрещено делать. 

Паника за свои деньги отключает логику, и жертва произносит всё, что от нее требуют. После этого счет пустеет. Клиент сам нарушил правила безопасности и подарил деньги преступникам.

Пообещать выгоду

Многие любят «халявные деньги», а потому легко поддаются на еще одну популярную уловку: внезапный выигрыш в лотерее или приз в конкурсе. Причем на «крючок» попадают даже те, кто не покупал лотерейные билеты и не участвовал ни в каких конкурсах. 

Социальные инженеры создают сайты, при переходе на который открывается страница с выигрышем. Жертве предлагают заполнить поля, чтобы перечислить деньги. После введения данных карты никакого выигрыша «победителю» не поступает. Наоборот, он теряет всё, что хранилось на счетах. Еще хуже, если введены данные не дебетовой, а кредитной карты. Тогда аферисты выводят не только сбережения, но и весь доступный клиенту кредитный лимит. В итоге выигрыша нет, накоплений нет, а долг есть, и его придется возвращать банку.

Иногда вместо выигрыша жертве предлагают вернуть налоговый вычет или получить социальную выплату. Обман может скрываться и под предложением «быстро и легко заработать». Человеку обещают платить за просмотр рекламы, на его виртуальный счет начисляют баллы или монеты, но для вывода «организаторы» просят перевести им реальные деньги. После того как жертва внесет запрошенную сумму,  никаких переводов она не получит.

Попасть в сети киберпреступников проще всего через ссылки в соцсетях, мессенджерах и из писем в электронных ящиках. Также активную ссылку могут прислать в смс. Чтобы убедить поучаствовать, рекламу снабжают яркими картинками и фото, отзывами выигравших, снимками и цитатами медийных личностей.

Сыграть на чувстве справедливости

Все, кто хоть раз передавал данные киберпреступникам, попадают в специальные базы. Их вновь и вновь «проверяют на прочность». Расчет на то, что жертва, которая допустила ошибку один раз, может сделать это снова. 

Тем, кто уже терял крупные суммы на финансовых пирамидах, лохотронах и других мошеннических схемах, социальные инженеры предлагают «восстановить справедливость»: 

  • получить денежную компенсацию;
  • вернуть часть потерянной суммы;
  • наказать преступников с помощью «юристов», «адвокатов» и любых других «правозащитников».

Опять же цель преступников одна — получить деньги. Могут попросить оплатить комиссию или внести деньги в благотворительный фонд, который занимается восстановлением прав обманутых участников. 

Подстроиться под информационный повод

Киберпреступники следят за новостной повесткой. Основой для легенды могут стать стихийные бедствия, катастрофы, пожары, эпидемии, несчастные случаи. Обманщики собирают деньги для «пострадавших», на новые вакцины и другие «полезные» разработки. На самом деле деньги идут напрямую преступникам, а не нуждающимся. В 2022 году появились схемы связанные с частичной мобилизацией.

Источник: Обзор операций, совершенных без согласия клиентов финансовых организаций

В письмах и сообщениях социальных инженеров часто встречаются ссылки на несуществующие законы и нормы. Они работают от имени не только российских компаний, но могут использовать международные организации — ВОЗ, ГРИНПИС, ЮНЕСКО. 

Жертвам также могут звонить от лица турфирмы, авиакомпании, магазина, салона красоты и любого другого продавца или поставщика услуги, которому когда-либо переводили оплату.

Торопить и не дать опомниться

Отличительная особенность социальных инженеров — торопить жертву, не давать подумать или с кем-то посоветоваться. Человека всеми способами вынуждают сказать нужную информацию здесь и сейчас, и такое давление срабатывает.

Киберпреступники могут кричать, угрожать, пугать штрафами или, наоборот, вводить в ступор казенными фразами, которые произносят безапелляционным тоном. 

Если в любом телефонном разговоре с незнакомцем чувствуете давление, прервите разговор. Если возникают какие-либо сомнения, кладите трубку и перезванивайте, но не ответным дозвоном, а на официальные номера банка или другой организации, из которой вам якобы звонили. 

Как работает обратная социальная инженерия

Обратная социальная инженерия — выстроена иначе. Для реализации преступной схемы мошенники разрабатывают программное обеспечение для какой-либо компании. Аферисты настраивают ПО так, чтобы оно работало без сбоев и не вызывало подозрений в первые 2-3 недели, в этот период заполняются базы данных и идет активный сбор любой другой информации.

Когда заданные срок истекает, у ПО ничают вылезать проблемы и баги. Сотрудники компании обращаются к разработчикам, чтобы устранить неполадки. В итоге преступники получают доступ к конфиденциальным данным клиентов компании и используют их для мошенничества.

Такая схема более трудоемка. Реализовать ее сложнее, так как потребуется репутация, опыт и знания. Однако и получить аферисты смогут намного больше денег, чем при работе с «индивидуальными» жертвами. 

Приемы обратной инженерии также используют для изучения конкурентов, манипулирования и шантажа, воровства информации, финансовых махинаций и других преступных действий.

Можно ли защититься от социальных инженеров

Чтобы защититься от махинаций социальных инженеров, придерживайтесь следующих правил:

  1. Будьте бдительны. Смотрите адрес сайта, где собираетесь оплачивать покупки или квитанцию. Читайте отзывы в сети на компанию, которая гарантирует «выигрыш в беспроигрышной лотерее» или раздает слишком щедрые обещания.
  2. Помните, что мошенник может подглядеть данные из-за спины, поэтому не вводите их в общественных местах. 
  3. Не переходите по подозрительным ссылкам в письмах, сообщениях, мессенджерах, не скачивайте файлы из ненадежных источников.
  4. Не спешите. Если поступило выгодное предложение или срочный запрос, дайте себе время подумать и принять взвешенное решение.
  5. Подбирайте надежные пароли. Используйте разные комбинации для каждого сайта и не передавайте их посторонним.
  6. Пользуйтесь антивирусами и блокировщиками рекламы, обновляйте базы этих программ.
  7. Если работаете в крупной компании, ознакомьтесь с политикой конфиденциальности и соблюдайте правила, которые в ней прописаны.
  8. Не публикуйте снимки и сканы документов, банковских карт, не храните эти данные в открытом доступе на компьютере и в облачных хранилищах. Также фильтруйте, что указываете о себе в соцсетях, так как мошенники могут воспользоваться той информацией.
  9. Если пришел штраф и другие квитанции для оплаты, проверяйте подлинность. Если в документе дана ссылка на закон, поищите его в интернете.
  10. Запретите на компьютере использование фоновых окон в браузере и автосохранение паролей.
  11. Если пользуетесь картой для оплаты услуг в интернете, не храните на ней крупные суммы. Используйте виртуальную дебетовую карту и вносите на нее только сумму, которой хватит ровно на оплату.
  12. Если потеряли телефон, который используете как средство авторизации в банках, воспользуйтесь советами из этой статьи.

Изучите статистику Банка России за 2022 год. Не становитесь очередной жертвой социальных инженеров. Никому не доверяйте, когда дело касается денег и конфиденциальной информации. Не участвуйте в сомнительных акциях, конкурсах и не верьте «выгодным кредитам». Сохраняйте бдительность и включайте логику. Анализируйте, что вам говорят или пишут, внимательно читайте и слушайте. Это убережет от потери времени и денег.

На этом пока всё, спасибо, что читаете наши статьи. Новые знания сделают вашу жизнь легче, ещё больше интересных статей в Экономических советах.

Трескова Клавдия
Материал создан специалистом в сфере экономики, инвестиций и банковского сектора Тресковой Клавдией
Комментарии (0)