Победить нельзя защитить. Понимание законов психики заставляет вносить коррекцию в методы борьбы с социальной инженерией

Победить нельзя защитить. Понимание законов психики заставляет вносить коррекцию в методы борьбы с социальной инженерией

Непримиримое сражение с мошенниками незаметно превращается в борьбу с обычными людьми, с теми самыми потенциальными жертвами — доверчивыми, сомневающимися, готовыми помочь. Даже бывалые борцы с фишингом в определённой жизненной ситуации могут пострадать, потому что не в состоянии победить самих себя. У каждого найдётся слабость, за которую могут зацепиться мастера социальной инженерии в ходе разработки сценария очередной цифровой атаки.

В этой статье мы разберём особенности человеческой психики, которые во многом превращают борьбу с фишингом и мошенниками в фарс, а затем попробуем сформулировать меры противодействия, которые действительно будут работать на широкой аудитории.

МОЗГ-ОБМАНЩИК

Первая причина, по которой люди настолько уязвимы к профессионально подготовленным мошенническим схемам, состоит в том, что мозг часто обманывает нас. Когда мы попадаем в критические ситуации или оказываемся в непредвиденных обстоятельствах, мозг стремится выдать ответ «на скорую руку», поскольку на поиск идеального решения нет времени. Ему приходится искать кратчайшие пути и довольствоваться допущениями.

В этом нет ничего криминального: такой обман в большинстве случаев вполне допустим и даже полезен, но это также ведёт к вполне предсказуемым ошибкам. Например, мы воспринимаем огромное количество информации, но быстро её забываем, потому что мозг отбрасывает большую часть данных, как только решает, что они не нужны.

Помимо отбрасывания лишней информации, мозгу также приходится решать, стоит ли делать выводы «по-быстрому». Решение он принимает, отталкиваясь от того, что важнее в конкретной ситуации: скорость или точность. Разумеется, в большинстве случаев мозг выбирает скорость, опираясь на сформированные в ходе эволюции эмпирические правила, которые далеко не всегда подчиняются законам логики.

Представим, к примеру, ситуацию, когда сотрудник получает фишинговое письмо с напоминанием сменить пароль для входа в сеть. Если письмо выглядит как привычные системные уведомления, никаких сомнений в его подлинности, скорее всего, не возникнет.

Поскольку логическое или рациональное мышление требует больших усилий, мозг выбирает более простой в реализации интуитивный ответ, поскольку знает, что в большинстве случаев такого ответа вполне достаточно. Даже если он ошибочен.

Таким образом, мозг весьма избирательно обрабатывает информацию из окружающего мира, выбирая ту, которая, по его мнению, наиболее важна для выживания, и в связи с этим уделяя особое внимание неожиданным событиям. При этом мозг редко говорит нам правду, сообщая лишь то, что, по его мнению, нам необходимо знать.

ПРИНЯТИЕ РЕШЕНИЙ — ПУТЬ НАИМЕНЬШЕГО СОПРОТИВЛЕНИЯ

Вторая причина уязвимости человеческой психики — особенности работы системы самоконтроля и принятия решений. Система самоконтроля сформировалась в человеческом мозге постепенно, дополнив древнюю систему желаний и инстинктов.

Эволюция сохранила нам все инстинкты, которые когда-либо приносили пользу, но в современном мире некоторые из них могут создавать проблемы. Один из таких инстинктов — «бей или беги». Его смысл в том, что, когда мозг перегружен, мы принимаем решения, руководствуясь импульсами, а не долгосрочными целями или рациональными рассуждениями.

Вот что происходит на физиологическом уровне, когда мы видим угрозу. Информация от глаз передаётся в зону мозга, которая называется миндалевидным телом и действует как система оповещения о тревоге. Она находится в глубине мозга и распознаёт возможные опасности. В момент угрозы такое расположение помогает ей быстро связываться с другими участками мозга и тела.

Получив информацию от сетчатки, на которой фиксируется опасность, система оповещения посылает серию сигналов в мозг и тело, запуская реакцию «бей или беги». Надпочечники выделяют гормоны стресса. Из печени в кровоток подаётся энергия в виде жиров и сахаров. Дыхательная система активизирует работу лёгких, чтобы дать организму больше кислорода. Кровеносная система работает на полную мощность, чтобы энергия из кровотока поступала в мышцы, которые и отвечают за бегство или борьбу.

Пока тело готовится защищать жизнь, в мозге система оповещения о тревоге старается, чтобы наш рассудок не помешал телу. Она приковывает наше внимание к опасности и внешней среде, чтобы не возникало посторонних мыслей, которые отвлекли бы от близкой угрозы. Параллельно система оповещения запускает сложные реакции в мозге для подавления префронтальной коры, отвечающей за контроль над импульсами. В режиме «бей или беги» организм переключается в импульсивный режим. Рассудительная и рациональная префронтальная кора засыпает, чтобы мы не струсили перед боем или не передумали бежать.

Реакция «бей или беги» спасала людей в течение миллионов лет эволюции, бросая все силы на то, чтобы спасти нас в случае опасности. Однако это значит, что все процессы в организме, не направленные на выживание, функционируют «на минималках». Нам просто не дают потратить ни капли физической или душевной энергии на то, что не поможет выжить.

Теперь в свете сказанного попробуем представить сотрудника, получившего письмо с уведомлением о компрометации пароля и требованием немедленно сменить его в течение 15 минут под угрозой увольнения. Обострим ситуацию: допустим, что у этого сотрудника жена в декрете, кредит на машину и ипотека. С большой вероятностью угроза увольнения станет тем самым угрожающим фактором, который вызовет реакцию «бей или беги», а значит, подавит рациональную часть мозга и активизирует импульсивные реакции.

ХРУПКИЙ САМОКОНТРОЛЬ

Третьим фактором, который затрудняет борьбу с мошенниками, является, как это ни удивительно, ещё одна инстинктивная реакция, которую можно назвать «остановись и подумай».

Главная задача этой системы — сдерживать нас от совершения поступков, которые могут нам навредить на рациональном уровне. Именно эта система сдерживает нас, когда мы готовы нагрубить начальнику, напоминает о неуплаченных налогах и просроченных платежах по кредиту. Мозг распознаёт подобные угрозы, и префронтальная кора активизируется, чтобы помочь сделать правильный выбор. Но реакция «остановись и подумай» не отсылает энергию в мышцы. Её цель — мозг, а точнее, префронтальная кора, которая включает самоконтроль.

Ответ «остановись и подумай» далеко не всегда ощущается столь же инстинктивным, как реакция на опасность. Причина в том, что самоконтроль ослабляется из-за недосыпа, неправильного питания, недостаточной физической активности и множества других факторов.

Так, если сахар в крови упадёт, мозг получит сигнал об опасности, снизит уровень самоконтроля и перейдёт в режим краткосрочного планирования и импульсивного поведения, примерно как в известной рекламе «ты не ты, когда голоден». Мозг будет искать способы поесть, а не раздумывать над далёкими стратегическими целями. Именно поэтому перед обедом биржевые трейдеры могут неожиданно для себя вложиться в безнадёжные акции, люди на диете закупаются лотерейными билетами и берут ненужные кредиты, а забывшие позавтракать руководители отправляют свой пароль мошенникам.

УДИВИТЕЛЬНЫЙ КОНТЕКСТ ИЛИ ПАРАДОКС СТАРШЕГО ПОКОЛЕНИЯ

Недавнее исследование ВТБ показало, что люди старшего поколения (55+) более устойчивы к фишингу, чем более технически продвинутые люди в возрасте от 35 до 50. Они реже переходят по вредоносным ссылкам, реже нажимают на кнопки и практически никогда не передают свои логины и пароли преступникам.

Причина такого, на первый взгляд, парадоксального явления в том, что люди 55+ привыкли к живому общению. Электронные уведомления не являются привычным элементом их жизни, поэтому либо игнорируются, либо становятся событием и поводом для обсуждения с кем-то, кто понимает. Фишинговые письма и сообщения просто находятся вне привычного для этой категории людей контекста, создавая видимость особой устойчивости.

Важность контекста объясняется уже рассмотренными выше режимами работы мозга. Находясь в рациональном режиме, например, размышляя на рабочем месте, люди с лёгкостью распознают уловки мошенников, не верят телефонным аферистам и с удивлением читают новости об очередном мошенническом инциденте, отмечая про себя, что они-то точно на такую ерунду не повелись бы. Но в другом контексте, например во время решения серьёзных проблем, те же самые люди совершают необдуманные поступки — вводят данные банковской карты на сайте мошенников или сообщают пароль от корпоративной сети на вредоносном ресурсе.

НРАВСТВЕННАЯ ПОБЛАЖКА

Ещё одна особенность психики, которая, пусть и косвенным образом, но помогает мошенникам обманывать людей, — эффект нравственной поблажки. Смысл этого эффекта состоит в том, что человек, совершивший какое-то правильное действие, настолько доволен собой, что позволяет себе совершить что-то неправильное, отпуская контроль.

Типичный пример: девушка на диете после двухчасовой тренировки на беговой дорожке идёт в кафе и заказывает пирожное. Она доказала себе, что она молодец, разве она не заслужила маленького послабления?

Представим теперь сотрудника компании, который только что прошёл курс по информационной безопасности или прочитал памятку о безопасной работе с почтой от отдела ИБ. Потратив время на безопасность, он чувствует себя молодцом и позволяет себе перейти по ссылке в письме или открыть вложенный в письмо документ. Конечно, он знает, что это может привести к проблемам, он же только что прошёл курс. Но ещё он помнит, что он молодец, а значит, с ним ничего такого произойти не может.

Худшее в нравственных поблажках — не их сомнительная логика, а то, что они обманом вовлекают в совершение вредных или даже опасных действий. Они убеждают, что любое отступление от правильного поведения — диеты, бюджета, правил работы с почтой — это поощрение, которого мы заслужили.

А КАК ЖЕ РЕКОМЕНДАЦИИ И ОБУЧЕНИЕ?

Реальная эффективность информирования и рекомендаций примерно такая же, как в случае с правильным питанием и регулярной физкультурой. Все знают, что это полезно, но крайне мало людей последовательно выполняют эти рекомендации и тем более превращают их в образ жизни.

По данным исследований «Антифишинга», через год после прохождения обучающих курсов без практических тренировок всего 9% сотрудников ведут себя безопасно. Но несмотря на это, заблуждение о том, что путём информирования можно научить людей противостоять фишингу и телефонным мошенникам, демонстрирует неожиданную популярность на всех этажах власти.

Возможно, такая популярность информирования объясняется простотой реализации и возможностью наглядно продемонстрировать выполненное: «Вот мы сделали сайт, сняли ролик, напечатали плакат и листовку, теперь фишинг не пройдёт, а про мошенников можно забыть…»

К сожалению, реальность далека от оптимистичных отчётов сторонников массированного информационного наступления на злоумышленников. В некоторых случаях мошенники используют растиражированные правила безопасного поведения в своих сценариях. Например, в одной из компаний телефонные аферисты предлагали жертве не называть код голосом, поскольку это небезопасно, а ввести его в режиме тонального набора на клавиатуре телефона. Результат тот же — защитный код попал к преступникам, но с точки зрения жертвы всё нормально, ведь она же никому ничего не сказала.

ЧТО ДЕЙСТВИТЕЛЬНО ПОМОЖЕТ?

Эффективность мошеннических сценариев напрямую зависит от того, насколько изучена целевая аудитория, в адрес которой отправляются фишинговые сообщения или поступают телефонные звонки. Знание организационной структуры, бизнес-процессов и традиций организации позволяет разработать практически безотказные варианты воздействия на сотрудников. Аналогичным образом в случае с физическими лицами наличие информации о счетах, остатках, картах и других персональных сведений позволяет агрессивно манипулировать жертвой, принуждая её к нужным преступникам действиям.

Таким образом, важнейшей мерой для защиты граждан и организаций от мошеннических атак должна стать борьба с утечками на государственном уровне. Нужно максимально затруднить доступ преступников к конфиденциальным данным.

Ужесточить ответственность за утечки персональных данных ранее предлагал глава Минцифры Максут Шадаев. По его мнению, дополнительная ответственность в виде оборотных штрафов должна побудить бизнес инвестировать в развитие инфраструктуры информационной безопасности и защиту персональных данных пользователей.

Свой вклад в борьбу с мошенниками должны внести и социальные сети. Сейчас социальные платформы представляют собой отличное место для проведения информационной разведки (Open Source INTelligence, OSINT). Причина этого состоит в максимальной открытости настроек пользовательских профилей по умолчанию. Простое изменение настроек профилей в соцсетях на приватные по умолчанию может стать ещё одним шагом к защите от мошенников.

Критически важным фактором повышения уровня безопасности людей является тренировка навыков. Как мы уже говорили в предыдущих публикациях, никакие лекции, видеоролики и плакаты не дают долговременного эффекта. Наглядная агитация с третьего раза превращается в белый шум, который уже не воспринимается сознанием.

Чтобы победить реакцию «бей или беги», нужна тренировка навыков в условиях, максимально приближенных к реальным. С учётом влияния контекста такие тренировки должны проводиться в случайные моменты времени, поскольку человек, находящийся в рациональном режиме, успешно пройдёт тренировку, но не получит закрепления навыка.

Ещё один навык, который поможет противостоять мошенникам, — это развитие самоконтроля, той самой реакции «остановись и подумай». Добиться этого можно путём длительной фиксации внимания на каком-то несложном повторяющемся в течение дня действии. Например, для правши можно открывать двери или чистить зубы левой рукой.

Несмотря на кажущуюся бессмысленность, эти относительно простые действия вырабатывают у людей привычку осознанно следить за тем, что они делают, и выбирать то, что правильнее (хотя иногда и труднее), а не то, что легче. Прокачанный с помощью такого упражнения самоконтроль в итоге позволит в критической ситуации выбрать рациональный, а не импульсивный вариант поведения.