5. Лекция: Противодействие методам социальной инженерии (4)

Желание помочь у пользователя

Чувство сострадания или желание помочь заложено во многих людях. Еще родители прививают своим детям черту, которая заставляет их делать добро и помогать другим людям. К сожалению, злоумышленники активно пользуются подобной чертой и не брезгуют этим ради своей цели. Злоумышленник знает, что если он предстанет перед пользователем несчастным, разбитым и унылым, то пользователь обязательно попытается ему помочь, иначе он будет чувствовать угрызения совести. Одним из таких примеров может быть диалог, который приведен ниже:

- Алло, здравствуйте, Кристина, чем могу помочь?

- Кристин, привет, тут меня в отделе ругают сильно.

- А какой отдел? И за что?

- Да дело в том, что я уронил центральный сервер, я с отдела связи.

- Ничего себе, ты уронил центральный сервер??????

- Да, так получилось, случайно.

- Мда уж, не завидую тебе, и что теперь?

- Да получаю втык от начальства, говорят, если я все не поправлю через 20 минут, могут и уволить.

- Это печально.

- Ты сможешь мне помочь?

- Каким образом?

- Мне нужно, чтобы кто-то проверил работоспособность сервера. Проверить должен не администратор.

- Хорошо, конечно, а что надо сделать?

- Я тут вроде поднял сервер, зайди под своей учетной записью.

- Хорошо, я зашла.

- Теперь зайди в свои настройки.

- Зашла.

- И поменяй пароль на 123456.

- Что???

- Послушай, мне надо проверить, как работает система смены паролей. У нас в отделе часто меняют пароли…. Ну, пожалуйста, Кристин, помоги мне.

- Пфффф хорошо….. я поменяла.

- Спасибо большое, он поменялся, точно?

- Да, думаю, что да.

- Хорошо, через 10 минут вернешь обратно свой пароль, ok?

- Хорошо.

Вот такая вот небольшая история, которая ярко иллюстрирует то, как злоумышленник давит на жалость девушки, работающей в другом отделе. К сожалению, девушка не смогла распознать злоумышленника и поэтому сделала в точности все, как он просит, хотя на некоторых этапах у нее появлялись подозрения относительно правильности и честности своих действий. Но злоумышленник пытался убедить ее в том, что ничего страшного не случится, а он может рассчитывать только на помощь Кристины, иначе он окажется уволенным из своего отдела за свою оплошность. У Кристины даже появились мысли насчет правильности того, что она должна сменить пароль на 123456, но злоумышленник пытается ловко ее убедить, что это ненадолго, а также использует фразы, которые давят на жалость Кристины (ну, пожалуйста, Кристин, помоги мне). Здесь, также как и в некоторых прошлых случаях, есть один примечательный факт. Злоумышленник старается использовать имя своей жертвы в ключевых моментах и просьбах (при условии, что он знает имя жертвы). Это является достаточно мощным психологическим трюком, так как если обращаться к человеку по его имени, то он лучше и "чище" воспринимает информацию, так как в психике человека заложено острое восприятие своего имени, а также слов, которые находятся рядом с ним в контексте предложения. Этим очень часто пользуются злоумышленники в охоте на своих жертв. Они специально употребляют имя своей жертвы в тех предложениях, где необходимо совершить что-то более или менее абсурдное с точки зрения обычного пользователя. Как это ни странно, но психологического барьера к такому трюку, по сути, не существует. Хотя человек должен обдумывать различные просьбы, которые поступают к нему от незнакомцев. Другим примером, когда злоумышленник воздействует на жалость, может быть следующий пример (переписка в соц. сети):

- Привет, извини, что беспокою, пишу первому, кто попал.

- Привет, а что тебе нужно?

- Дело в том, что мне нужна помощь.

- Ну вот, опять, небось, денег хотите?

- Да нет, нет, не денег, я офисный работник, мне деньги не нужны.

- А что тогда?

- Помоги мне, пожалуйста. Начальство сказало протестировать программу на десяти различных компьютерах, а у меня тут только 5 в отделе. А через 20 минут надо предоставить результаты теста.

- Ты думаешь, у меня есть 5 свободных компьютеров?

- Да, нет, конечно. Я нашел уже 4 компьютера у таких незнакомцев, как ты, остался еше 1 компьютер.

- Мммм, а что надо делать? Раз уж тебе помогли незнакомцы….

- Все просто, необходимо поставить наш программный продукт к себе на компьютер, предварительно отключив антивирусную программу, а затем сделать некоторые действия, которые я дам тебе в инструкции вместе с программой. Я думаю, у тебя все получится.

- Да, это все, конечно, неплохо, но зачем отключать антивирус?

- Ну, дело в том, что это ведь разработка программного средства, понимаешь?

- То есть еще "сырая" версия?

- Да, да, да, именно так. И антивирус может посчитать эту программу злым вирусом. Потом после того, как протестируешь, можешь удалить ее и восстановить работу антивируса.

- Ну, я как-то неуверен.

- Слушай, я потратил очень много времени на разговоры, ты последний, кто мне нужен. Давай, помоги мне, иначе все, что я делал, было сделано зря, и меня уволят, в конечном счете. Ну, пожалуйста, я тоже помогу тебе, если тебе это будет нужно где-то.

- Ну ладно, хорошо, ты меня уговорил.

- Вот и отлично, сейчас перешлю тебе программу.

Достаточно интересный пример, который показывает, как абсолютно незнакомому человеку позволили сделать с компьютером пользователя все, что угодно. Вначале, естественно, пользователь неуверен в том, что ему нужно помогать какому- то незнакомцу. Но злоумышленник путем методичного убеждения и использования таких фраз о том, что его уволят, что он под угрозой, ему сейчас тяжело и прочих фраз, склоняет на свою сторону пользователя, и тот готов сделать то, что просит у него злоумышленник. Хотя в некоторых моментах ближе к концу диалога пользователь показывает свою неуверенность (насчет того, что ему необходимо остановить работу антивируса). Но и тут злоумышленник опять старается надавить на то, что уже слишком много времени потрачено на пустые разговоры, необходимо действовать, иначе он будет под угрозой, а пользователь в свою очередь будет мучиться от угрызений совести. Ведь он мог предотвратить беду другого человека, но не сделал этого. Именно поэтому пользователь, в конечном счете, пытается помочь незнакомому человеку, хоть тот и предлагает условия, которые невыгодны самому пользователю. К сожалению, такая практика взывания к жалости используется повсеместно, не только в случаях, когда необходимо украсть персональные данные пользователя. Уличные мошенники и попрошайки используют подобную тактику, чтобы вызвать жалость у окружающих людей, и ведь она обязательно будет вызвана. Чтобы противостоять подобным методам злоумышленника, пользователь должен всегда отдавать себе отчет о возможных последствиях того, что именно просит его сделать незнакомец. Пользователь должен помнить, что его доброту и жалость могут использовать в своих целях злоумышленники.