5.5.3. Скимминг5.5.5. Фишинг 



5.5.4. Претекстинг

В этой схеме мошенники связываются с владельцем карты либо через телефон, либо по смс и обманным путем узнают от него данные по его карте по заранее заготовленному сценарию. Именно поэтому способ называется претекстинг (от англ. pre­text, предварительный текст): мошенник озвучивает заранее заготовленный текст со всеми заготовленными психологическими ловушками.

Это может выглядеть следующим образом: вам звонит злоумышленник, представляясь сотрудником банка, утверждает, что с вашей карты произведен несанкционированный платеж, либо ваша карта заблокирована, либо у вас образовался непогашенный долг и так далее, детали не уточняются, и вас просят сообщить конфиденциальные данные по вашей карте (ПИН-код, CVV-код и так далее), чтобы решить эту проблему.

Общая схема воздействия этого подхода «напугать — спасти». Неожиданная новость об угрозе финансовой безопасности (возможное списание средств, блокировка карты) вводит жертву в сильное эмоциональное состояние (тревога, страх), в котором затруднен спокойный анализ ситуации.

И именно в результате этого жертвы часто совершают ошибки — чтобы «спастись» они бездумно делают то, что им говорят, при этом память о том, что сотрудники банка не могут спрашивать ПИН- или CVV-код, блокируется. Таким образом, заветная информация, дающая доступ к деньгам на карте, узнается не с помощью технических средств, а «выуживается» из человека с помощью психологических манипуляций. Это и называется социальной инженерией.

Социальная инженерия

При этом мошенники не обязательно представляются банковскими сотрудниками — они могут представляться работником любого органа, внушающего авторитет, которому нужно повиноваться: от сотрудников службы безопасности ЦБ и прокуратуры до представителей Пенсионного фонда или Красного Креста. Использование авторитета известной, желательно государственной структуры, еще один элемент социальной инженерии, обеспечивающий эмоциональное давление на жертву.

Также в схеме «эмоции – действия по компрометации данных карты» прекрасно работают и положительные эмоции, такие как радость (и даже алчность) от возможного получения денег или выгоды.

Наверняка вы все-таки недоумеваете: как же так происходит, что люди, находясь в здравом уме и в светлой памяти, называют данные своей банковской карты, с CVV-кодом, с паролями из смс-подтверждений? Дело в том, что схема воздействия на человека рассчитана именно таким образом, чтобы вывести его из состояния спокойного рассудочного мышления – поэтому о здравом уме здесь говорить не приходится, скорее, о временном помутнении рассудка, как мы видим в реальной истории «Звонок по объявлению».

Звонок по объявлению

Вот общая схема механики воздействия на человека, которая подталкивает его к раскрытию конфиденциальной информации о банковской карте, даже если он знаком с правилами безопасности:

  1. Предъявляется «приманка», которая вызывает у нее положительные эмоции, в частности, радость, алчность (выигрыш в лотерею, оплата выставленного вами на продажу товара), или негативные эмоции, такие как страх потери, тревога (претензия Федеральной Налоговой службы по неоплаченному налогу, взыскание по долгу Национальным коллекторским агентством, несанкционированное списание средств со счета и блокировка карты).

  2. Злоумышленник представляется сотрудником авторитетной организации (государственных органов, банка, страховой компании) или известной коммерческой компании (оператора сотовой связи, электронного магазина и т.д.). Другими словами, мимикрия под что-то известное, солидное или авторитетно-грозное. Это усиливает эмоции жертвы, снижает бдительность и воспринимается как более правдоподобное.

  3. Создается дефицит времени для принятия решения: «чтобы приз не ушел к другому, перезвонить или сообщить свои данные нужно в ближайшие пять минут», «чтобы избежать повестки суд, необходимо оплатить задолженность в течение 24 часов» и т.д. В условиях необходимости быстрого реагирования наш мозг автоматически переводится в режим стресса, называемый «бей или беги». Это механизм, выработанный в ходе эволюции и направленный на лучшее выживание. Для этого все ресурсы направляются на поддержание систем активных действий: сердце учащенно бьется, чтобы мышцы были готовы к действиям, легкие работают интенсивнее, чтобы обеспечить приток кислорода к тем же мышцам. При этом аналитические системы мозга оказываются «выброшенными за борт» — они в таких обстоятельствах не нужны, поэтому связь с ними не поддерживается. Внимание также сильно сужается и именно поэтому жертва не замечает признаки поддельного сайта (например, ошибку в написании адреса веб-сайта PayPai вместо PayPal) или неправомерность вопросов мошенников о данных банковской карты.

В таких условиях аналитическая и медленная Система 2 блокируется и решения принимает быстрая Система 1, которая использует эвристические рассуждения (типа «Он из банка – ему виднее, что надо сделать, чтобы разблокировать платеж», «Я знаю эту компанию, они не могут быть обманщиками»).

В результате, человек следует инструкциям злоумышленников, даже если они идут в разрез с теми правилами безопасности, которые, как ему казалось, он знал наизусть.

Представим в виде схемы основные компоненты воздействия на жертву в случае применения техник социальной инженерии, процессы, которые они провоцируют в жертве, и результат.

Социальная инженерия
Социальная инженерия

Что делать, чтобы не стать жертвой техник социальной инженерии?

Во-первых, необходимо осознать, что тебя ставят в условия немедленного принятия решения, и зажечь «красную лампочку». Сложно представить ситуацию покупки-продажи, особенно финансовых продуктов и услуг, которую нужно разрешить в течение ближайших 5 минут. Сама такая постановка вопроса должна насторожить — скорее всего, какой-то подвох.

Во-вторых, необходимо любыми способами убрать влияние дефицита времени. Для этого нужно под любым предлогом (и даже без него) взять паузу, чтобы успокоиться, выйти из возбужденно-эмоционального состояния и трезво оценить ситуацию. Можно сказать собеседнику, например, «Мне сейчас неудобно говорить, давайте я вам перезвоню через 20 минут» и, не вступая в дальнейшие переговоры, положить трубку. Человек может говорить вам «Сейчас или никогда!», и тут смотри пункт первый.

Что сделать в эти 20 минут, а то и час, а то и полдня?

  • Медленно подышать – это один из способов снизить частоту пульса и перевести свой организм и мозг из режима быстрого (и порой опрометчивого) реагирования в спокойный режим, что позволит «разблокировать» аналитические системы мозга;

  • проверить информацию, которую вы успели получить от звонившего (например, про двойную аутентификацию, если анализировать кейс «Звонок по объявлению», или позвонить по официальному номеру в компанию, которая якобы проводит розыгрыш призов, в которой вы выиграли);

  • позвонить родным, другу, кому-то, кто мог бы посмотреть на ситуацию взглядом, не замутненным эмоциями, и указать вам на риск мошенничества.

Оцените материал
Ваша оценка

{{comment}}

 5.5.3. Скимминг5.5.5. Фишинг