Новости

Как хакеры манипулируют сотрудниками и что с этим делать

8 октября 2020
На фоне пандемии количество киберпреступлений в России увеличилось на 85%. При этом главной целью мошенников стали не технические системы и программные уязвимости, а люди, оказавшиеся в новых для себя условиях.

Согласно исследованию Positive Technologies об актуальных киберугрозах, за второй квартал 2020 года в 59% случаев объектами атак стали люди, а методом атак — социальная инженерия (психологические манипуляции). В случае целевых атак этот процент еще выше. Самые распространенные виды таких атак — целевой фишинг с использованием актуальных инфоповодов, рассылка вредоносных программ и вирусов-вымогателей.

Один из недавних примеров — деятельность хакерской группировки RedCurl, которая занималась корпоративным шпионажем через электронные письма. При открытии вложенных в письма документов о премировании на компьютере жертвы запускался троян. После этого злоумышленники анализировали содержимое жестких дисков пользователей и крали информацию. Прежде всего их интересовали деловые переписки, представляющие коммерческую тайну документы, персональные данные сотрудников, их пароли.

Другой пример — хакеры, которые отправляли письма в банки с предупреждением о второй волне COVID-19. Сотрудникам также предлагали дать интервью — злоумышленники маскировались под журналистов. Для получения дополнительной информации адресату предлагали пройти по внешней ссылке. Встречались также варианты фишинговых писем, имеющих четкий таргетинг: сообщение напрямую относится к деятельности организации и выглядит «вполне убедительно», однако также содержит вредоносную ссылку.

В любой подобной атаке киберпреступники с помощью манипулятивного воздействия играют на эмоциях человека. При этом они пользуются реальными инструментами ряда дисциплин, таких как психология личности и социальная психология, нейролингвистическое программирование, маркетинг и другие. «Взломав» слабое звено в лице сотрудника с определенным набором личностных черт, мошенник получает доступ к системам компании или корпоративной информации.

Продумывая цифровую атаку, мошенники осознанно или интуитивно опираются на пять факторов — объектов психологического воздействия:

  • эмоции;
  • потребности;
  • личностные черты и морально-этические установки;
  • атрибуция;
  • демографические характеристики.


Давайте подробно разберем механизм психологического воздействия.

1. Эмоции

Эмоции моделируют поведение человека. Их можно разделить на две категории:

  • базовые — злость, отвращение, страх, счастье, печаль, удивление, любопытство;
  • вторичные (социальные) — интерес-возбуждение, стыд—застенчивость, вина—раскаяние и другие.


Мошенники используют первую категорию, так как это наиболее эффективный способ получить быструю и необдуманную реакцию.

  • Страх. Именно на нем играют мошенники, предлагая перейти по ссылке, чтобы предотвратить заражение компьютера вирусом. Так, хакеры рассылали письма от имени департамента национальной безопасности США, в которых уведомляли пользователя о возможном несанкционированном доступе к Apple Facetime и предлагали пройти верификацию, чтобы узнать, стал ли он жертвой атаки.
  • Раздражение — ее может вызвать, например, письмо от имени руководителя, который недоволен отчетом и требует немедленно его исправить. Еще один пример — атака на высшее руководство ФБР, которое получало письма с повесткой в суд. Для того чтобы полностью ее просмотреть, нужно было скачать надстройку для браузера. Около 2 тыс. сотрудников из 20 тыс. попались на уловку.
  • Любопытство — к этой базовой эмоции апеллирует ссылка на интересный для пользователя файл, видео или любой другой контент.
  • Жадность — ссылка на выгодную акцию. Во время пандемии, например, хакеры рассылали фишинговые электронные письма о том, что правительство «раздает» деньги.


Эмоциональное воздействие может усиливаться ощущением, что действие нужно выполнить срочно, а также авторитетом отправителя или уникальностью предложения. По нашей статистике, авторитет — самый эффективный усилитель.

Так, мошенник через e-mail от лица управляющего директора заставил сотрудника Nikkei America перевести $29 млн на сторонний счет.

Другой пример — первая известная атака с использованием технологии deepfake (подделки голоса с помощью технологий искусственного интеллекта). Руководителю компании в Великобритании позвонил «директор» головной компании из Германии, разговаривал со знакомым акцентом и потребовал перевести деньги подрядчику в Венгрии. Ущерб от атаки составил порядка $243 тыс.

2. Потребности

Потребности определяют стратегию поведения человека в той или иной ситуации.

Опираясь на пирамиду Маслоу, выделяют пять категорий:

  • физиологические потребности;
  • потребности в безопасности;
  • социальные потребности;
  • потребность в уважении;
  • потребность в самореализации.


Базовые потребности (физиологические, безопасность) приоритетнее остальных. Человек стремится удовлетворить их в первую очередь. Поэтому мошенники успешно играют на отсутствии финансовой обеспеченности или апеллируя к жадности. По нашей статистике, атаки с этим вектором эффективнее в тех регионах России, где средняя заработная плата невысокая.

К базовым потребностям апеллировали мошенники во время пандемии, прибегая к разным уловкам: от продажи защитных масок со скидкой до самых абсурдных — установке программы Corona Antivirus, которая якобы помогает защититься от COVID-19.

3. Личностные черты и морально-этические установки

Мошенникам проще иметь дело с определенными категориями людей. Среди них:

  • экстраверты (они более открыты для коммуникации с незнакомцами, а также, как правило, публикуют больше личной информации о себе в социальных сетях, что позволяет мошенникам лучше определить их уязвимости);
  • эмоционально неустойчивые личности, которые часто встречаются среди интровертов (они более социально изолированы, интернет-зависимы и подвержены нейротизму — переживанию негативных эмоций);
  • доброжелательные люди, отличающиеся дружелюбием и доверчивостью;
  • импульсивные личности, которым часто присущи такие черты, как ненадежность, небрежность, беззаботность, что делает их более уязвимыми, в отличие от добросовестных, сознательных и организованных;
  • открытые новому опыту — любознательные и независимые, креативные люди чаще консерваторов попадаются на уловки кибермошенников.

4. Атрибуция

Речь идет об источнике, от имени которого производится манипуляция. Атрибуция бывает трех типов:

  • корпоративная — атака от имени коллег или руководителей;
  • внешняя — от имени реальных или потенциальных партнеров, подрядчиков и контрагентов;
  • личная — если манипуляция не связана с работой и не зависит от того, где и с кем работает человек.


По нашим наблюдениям, кибератаки от имени коллег или руководителей более эффективны, так как они вызывают больше доверия. Именно этот фактор вполне мог стать решающим в недавней целевой атаке на Twitter. Группу сотрудников ввели в заблуждение подростки, которые представились сотрудниками Twitter и получили нужную информацию для доступа к внутренним системам, в том числе с возможностью публикации сообщений от имени любых аккаунтов.

5. Демографические характеристики

Пол, возраст и территориальная принадлежность — важные факторы, которые влияют на эффективность атаки. Женщины попадаются на уловки мошенников чаще, чем мужчины. Они охотнее переходят по ссылкам и оставляют личные данные, даже если видят предупреждения об угрозе. Что касается возраста, то наиболее уязвимой категорией считаются 8–25-летние сотрудники. Также с большей вероятности жертвами кибермошенников могут стать жители отдаленных регионов.

Психологическая модель цифровых атак

Сталкиваясь с цифровой атакой, человек проходит пять стадий. Рассмотрим их на примере электронного письма.

Стадия 1: оценка внешнего вида. На первом этапе пользователь оценивает визуальные компоненты письма. Доверие повышают авторитетный отправитель и качественное оформление. Такой прием использовал хакер, отправляя письмо, идентичное официальному e-mail от Microsoft Teams, которое скачивало вредоносное ПО, когда пользователь кликал кнопку «открыть»

Стадия 2: формирование эмоций. Как описано выше, мошенники апеллируют к базовым эмоциям и для повышения эффективности используют усилители. Согласно отчету Symantec’s 2019 Internet Security Threat Report (ISTR), слово «срочный» (англ. urgent) чаще всего встречается в теме письма в BEC–атаках (атаки с корпоративной атрибуцией, которые происходят из-за компрометации деловой переписки).

Стадия 3: наложение личностных особенностей. Личностные черты, актуальные потребности, опыт пользователя, регион проживания и предыдущий опыт цифровых атак сильно влияют на эффективность атаки. Чем лучше мошенник изучил человека, тем выше вероятность успеха.

То же правило работает и для целых организаций. Например, литовский хакер погрузился в бизнес-процессы «объекта» и выяснил, что тайваньская компания Quanta поставляет оборудование для Google и Facebook, после чего создал компанию с аналогичным именем в Латвии. Мошенник имитировал поставщика, посылая ИТ-гигантам счет-фактуры на оплату услуг, которые он не оказывал. Ему удалось украсть суммарно $122 млн.

Стадия 4: активация произвольного внимания. На этой стадии пользователь понимает, что столкнулся с чем-то новым. И если эмоции не взяли верх, он пытается объяснить разницу между привычным явлением и наблюдаемым. Когда объяснение находится, человек оценивает, насколько оно логично и принимает решение: доверять письму или нет.

Стадия 5: реакция. Определяется решением, принятым на предыдущей стадии. Сотрудник либо становится жертвой атаки, — делает то, что от него хотят мошенники, — либо удаляет письмо и сообщает об атаке в службу безопасности.

***

Сегодня кибермошенники атакуют и небольшие компании, и крупные мировые организации вроде ВОЗ. Защита от современных цифровых атак — комплексная задача, которую нельзя решить только техническими средствами или «повышением осведомленности» персонала. Сотрудникам нужно помогать тренировать навыки безопасной работы, которые помогут защитить компанию от любых манипуляций.

Автор: Сергей Волдохин, директор компании «Антифишинг»

РБК, 08.10.2020: https://pro.rbc.ru/news/5f6cc33e9a79470dfc8ec69b