Искусство обмана - Кристофер Хэднеги

После того как вы разберетесь в механизмах, задействованных в процессе принятия решений, вы начнете понимать, как злоумышленники используют эмоциональные триггеры и психологические принципы, на практике воплощая искусство и науку социальной инженерии. И все это — чтобы вы «предприняли действие, которое может вам навредить».

В 44-м эпизоде СИ-подкаста участвовал доктор наук, профессор Пол Зак, автор книги «Молекула морали» (The Moral Molecule; Dutton, 2012). В своей книге и в нашем подкасте он рассказывал об исследованиях процесса доверия и о роли в нем гормона под названием окситоцин. Доктор Зак озвучил очень важное для нас наблюдение: оказывается, когда мы чувствуем, что кто-то нам доверяет, в кровь выделяется окситоцин. Пожалуйста, отнеситесь к этой информации предельно серьезно. Ваш мозг выделяет окситоцин не только когда вы доверяете кому-то, но и когда вам кажется, что кто-то доверяет вам. Согласно исследованиям Пола Зака, этот феномен наблюдается не только при личном, но и во время телефонного или письменного общения, иными словами, даже когда вы не видите человека, который вам якобы доверяет.

Наш мозг производит и еще одно важное вещество — дофамин. Этот нейромедиатор выделяется в моменты удовольствия, счастья и получения положительной стимуляции. Смешайте окситоцин с дофамином, и вы получите идеальный для социального инженера коктейль, который распахнет перед вами любые двери.

Дофамин и окситоцин обычно выделяются в мозге в процессе близкого общения, но это не обязательное условие. Цель социального инженера — создание располагающей к такому взаимодействию обстановки.

Я уверен, что мы, сами того не зная, применяем эти принципы ежедневно по многу раз: с супругами, начальниками, коллегами, священниками, терапевтами, обслуживающим персоналом — короче говоря, со всеми. А значит, понимание СИ и того, как выстраиваются процессы общения с другими людьми, важны для каждого из нас.

В мире, где в результате развития технологий мы научились общаться с помощью смайликов и сообщений, состоящих из менее чем 280 символов, нарабатывать навыки общения становится все сложнее. И уж совсем сложно выявлять ситуации, в которых эти навыки используются против нас. К тому же благодаря социальным сетям изменилось наше общество: стало нормальным и даже поощряемым рассказывать о себе абсолютно все всем подряд.

Итак, когда я говорю об использовании социальной инженерии в мошеннических целях, я обычно подразумеваю следующие направления деятельности:

СМС-мошенничество (SMiSHing), или фишинг с использованием текстовых сообщений. Когда в 2016 году атаке подверглась банковская компания Wells Fargo, я получил СМС-сообщение, скриншот которого изображен на илл. 1.2.

Самое смешное, что я даже не пользовался услугами Wells Fargo и тем не менее якобы попал в список этой рассылки (и нет, названия своего банка я вам ни за что не выдам, даже не спрашивайте).

Всего один клик — и мошенники получали возможность собрать ваши идентификационные данные и/или загрузить на ваше мобильное устройство вирус.

Вишинг, или голосовой фишинг, о котором мы уже говорили выше. С 2016 года этот тип мошенничества стали применять намного чаще. Это простой, дешевый и очень выгодный для мошенников прием. Злоумышленников, использующих поддельные номера из других стран, практически невозможно найти и привлечь к ответственности.

Фишинг — самая обсуждаемая тема из мира социальной инженерии. Мы подробно писали о ней с техническим консультантом этой книги, Мишель Финчер, в другой нашей совместной работе — книге под названием «Темные воды фишинга: Нападение и защита» (Phishing Dark Waters: The Offensive and Defensive Sides of Malicious Emails; Wiley, 2016). (Ладно, признаю, я только что беззастенчиво прорекламировал другую свою книгу.) С помощью фишинга закрывали целые заводы, взламывали системы числового программного управления (ЧПУ), обманывали системы безопасности Белого дома и десятков крупнейших корпораций, крали миллионы долларов. На данный момент фишинг считается самым опасным из четырех форм СИ.

Имперсонация[8], или подражание. Метод можно отнести к числу самых эффективных. А в конец этого списка он попал лишь потому, что отличается от остальных. Однако не стоит наивно полагать, будто вы не столкнетесь с ним в жизни. За последний год мы собрали сотни историй о том, как злоумышленники изображали полицейских, агентов федеральных служб или сотрудников еще каких-то ведомств, чтобы совершать поистине ужасные преступления. Например, в апреле 2017 года один из них попался на том, что выдавал себя за полицейского: сначала находил покупателей детского порно, а потом шантажировал их, пользуясь «служебным положением».

Любой громкий случай СИ-атаки, который попадает в новости, можно отнести к одной из этих четырех категорий. В последнее время злоумышленники все чаще комбинируют эти методы для достижения максимальной эффективности.

Анализируя случаи подобных атак, я ищу в них общие схемы — не только для того, чтобы понять, какие инструменты и процессы задействовал преступник. Я стараюсь разобраться, как объяснить механизмы реализации атаки специалистам по безопасности, чтобы эту информацию можно было в дальнейшем использовать для саморазвития и защиты. Процесс анализа я выстраиваю по так называемой пирамиде СИ.

Давайте я сразу объясню суть схемы, а уже потом расскажу, почему выделяю именно эти элементы и что означает каждый из них. Сама пирамида изображена на илл. 1.3.