Психология цифровых атак: почему кибератаки против людей так эффективны

Психология цифровых атак: почему кибератаки против людей так эффективны

Как ни печально признавать, в борьбе людей и технических средств победили люди. Даже лучшие файерволы не всегда справляются с защитой корпоративных сетей, если атака направлена против сотрудника и активно эксплуатирует особенности человеческой психики. Защита беспомощно наблюдает за тем, как очередной пользователь передаёт свой логин и пароль злоумышленникам или вставляет заражённую флешку в USB-порт. Современные киберпреступники всё реже взламывают компьютеры, потому что гораздо эффективнее взламывать людей.

Объединение цифровых технологий и социальной инженерии породило новую разновидность кибератак — цифровые атаки на людей. Они отличаются от привычных хакерских нападений тем, что решающее значение в них имеет психологический аспект, а не уязвимости программ, операционных систем и оборудования.

Цифровые атаки на сотрудников относительно просты в реализации, но эффективны и приносят мошенникам серьёзный доход. Например, преступная группировка Silence атакует банки в 25 странах мира с помощью фишинга, используя электронные письма. По данным Group IB, только подтверждённый ущерб от деятельности Silence по состоянию на сентябрь 2018 года составил 52 млн рублей.

С 16 по 18 января 2019 года Silence запустила очередную кампанию против российских банков, в ходе которой только Сбербанк получил свыше полутора тысяч фишинговых писем. Особенностью этой атаки стала более качественная социальная инженерия. Осознав высокую результативность цифровых атак на людей, преступники сместили акцент с инструментальных средств на психологическую составляющую.

Существующая литература в области информационной безопасности не даёт полного понимания влияния личностных черт на поведение сотрудников при столкновении с цифровыми атаками, поэтому разработка и внедрение психологической модели, объясняющей манипулятивное воздействие киберпреступников на пользователей, является важнейшим направлением работы организационной кибербезопасности, дающим универсальный инструмент для обучения методам обнаружения цифровых атак.

ФАКТОРЫ КРИМИНАЛЬНОГО МАНИПУЛИРОВАНИЯ

Цифровые атаки на людей имеют множество форм. Это и классические электронные письма, которые предлагают открыть вложенный файл или перейти по ссылке, и мошеннические сайты, имитирующие интернет-ресурсы известных брендов, и даже точки доступа, внедряющие в трафик вредоносные скрипты.

В статье мы рассмотрим психологические манипуляции в цифровых атаках на примере фишинговых писем. Этот выбор не является случайным и имеет под собой весьма логичное обоснование.

Чтобы добраться до корпоративных систем с ценными данными — CRM, бухгалтерии или интернет-банка — мошенники могут найти и взломать внутреннюю сеть компании, которая хорошо защищена или вообще недоступна извне, либо взломать хотя бы одного пользователя, у которого уже есть нужные права.

Второй вариант проще и эффективнее: достаточно найти адреса электронной почты нескольких сотрудников и отправить им специально подготовленные письма. Во вложении к таким письмам будет вредоносная программа, которая заражает компьютер и даёт хакеру удалённый доступ, или шифрует все данные и требует выкуп. Такая же программа ждёт пользователя по ссылке в письме. Часто никаких дополнительных действий не требуется: компьютер будет заражён сразу после клика.

Таким образом, чтобы взломать компанию мошенникам приходится решить относительно простую задачу: сделать так, чтобы получатель письма захотел открыть вложение или перешёл по ссылке. 

Для реализации этой манипуляции преступники используют рабочий инструментарий целого ряда дисциплин: психологии личности и социальной психологии, нейролингвистического программирования, маркетинга и других.

Основные «крючки» для проведения манипуляций — это эмоции, потребности людей, их личностные особенности и морально-этические установки. Важную роль играют демографические параметры потенциальных жертв, а также используемые в атаках атрибуция и усилители.

ЭМОЦИОНАЛЬНОЕ ВОЗДЕЙСТВИЕ

Среди всех способов манипулирования самым результативным являются эмоции.

Эмоции — это психофизиологические, субъективно переживаемые состояния, которые моделируют поведение человека и позволяют адаптироваться к окружающей среде.

Все эмоции обладают специфическими мотивационными функциями и побуждают к определённому виду поведения. 

В зависимости от происхождения эмоции разделяют на базовые и вторичные. Возникновение базовых эмоций обеспечивает самая древняя часть нашего мозга — лимбическая система, включающая миндалину, гипоталамус и таламус. Этот тип эмоций сыграл важную роль в процессе эволюции, обеспечивая быструю оценку ситуации и соответствующую реакцию, позволяя первобытным людям выживать в опасном диком мире.

К базовым эмоциям относятся злость, отвращение, страх, счастье, печаль, удивление, любопытство.

Вторичные или социальные эмоции — результат интерпретации опыта более сложных переживаний, имеющих когнитивный компонент. На физиологическом уровне вторичные эмоции задействуют лобные доли коры головного мозга.

Среди вторичных эмоций можно выделить интерес-возбуждение, стыд-застенчивость, вину-раскаяние и другие.

Базовые эмоции проходят более короткий путь обработки информации и задействуют меньше областей мозга, нежели вторичные:  

Формирование базовых эмоций происходит в таламусе и амигдале, в то время как вторичные эмоции проходят более длинный путь: таламус — лобная кора — амигдала.

Это и объясняет, почему воздействие мошенников через примитивнейшие из эмоций столь эффективно в получении быстрой обратной связи от жертвы.

Удар по базовым эмоциям — самый простой способ обеспечить быструю реакцию на предоставленный стимул. Чтобы усыпить бдительность жертвы и создать эффект типовой ситуации и логичности требуемых действий, давление на базовые эмоции применяется в сочетании с методами лингвистического манипулирования:

• предвзятыми категоричными формулировками,
• приписыванием или изменением акцентов,
• недосказанностью,
• умалчиванием.

Перечислим самые интенсивные по воздействию базовые эмоции.

Страх — требует быстрой защитной реакции и снижает порог критического мышления из-за погружения в активное предвосхищение негативного развития ситуации.

Пример: «Ваш компьютер заражён и заблокирован. Кликните здесь»

Злость — провоцирует на активные действия и «разбирательства».

Пример: «Что Вы понаписали в отчёте? Что за безграмотность? Немедленно исправьте!»

Любопытство — провоцирует поисковое и ориентировочное поведение.

Пример: «Смотри, как ты отжигаешь на видео»

Счастье — стимулирует к расширению социальных контактов и притупляет критическое мышление, оценивание.

Пример: «Привет! Приглашаю тебя на нашу свадьбу свидетелем. Вся информация во вложении».

Жадность — стимулирует поисковое поведение, направленное на удовлетворение актуальной ситуативной потребности.

Пример: «Скидка 50% при оплате прямо сейчас».

Чтобы повысить мощность эмоционального воздействия на жертву, преступники могут использовать усилители — специальные элементы манипулирования, применяемые маркетологами и рекламщиками. Среди них наиболее часто встречаются

• Срочность — когда требуется выполнить действие как можно быстрее.
• Авторитет — когда отправитель письма — значимый для жертвы источник.
• Уникальность — фиксация внимания на редкости и особой ценности предложения.

Рисунок 1. Эффективность кибератак с различными усилителями. Источник: статистика ООО «Антифишинг».

Собранные статистические данные по цифровым атакам на корпоративных пользователей демонстрируют, что наиболее мощным усилителем эмоционального воздействия можно считать авторитет (Рисунок 1).

ПОТРЕБНОСТИ

Следующим по значимости манипулятивным фактором являются актуальные потребности жертвы атаки. Именно они определяют, какую стратегию поведения выберет субъект в той или иной ситуации.

В соответствии с моделью Абрахама Маслоу потребности человека условно можно разделить на:

• Физиологические — голод, жажда, сон, активность, секс.
• Безопасность — защита от страданий, боли, разрушения, неустроенности
• Социальные — потребность в общении, принадлежность к группе, любовь и доверие.
• Уважение — одобрение, признание, принятие себя, положительная самооценка.
• Самореализация — достижение своих целей и понимание смысла жизни.

Влияние потребностей на поведение сотрудников при цифровых атаках представлено на Рисунке 2, который демонстрирует взаимосвязь средней заработной платы по федеральным округам России и результативность атак с психологическим вектором воздействия на эмоцию Жадность:

Рисунок 2. Эффективность фишинговых атак и средний уровень заработной платы. Источник: статистика ООО «Антифишинг».

Чем ниже уровень средней заработной платы сотрудников (внешние условия, формирующие актуальную потребность личности на уровне простейшей физиологической нужды — финансовой обеспеченности), тем эффективнее проявляют себя цифровые атаки с психологическим вектором воздействия на эмоцию Жадность.

ЛИЧНОСТНЫЕ ЧЕРТЫ И МОРАЛЬНО-ЭТИЧЕСКИЕ УСТАНОВКИ

Морально-этические установки отвечают за глубинную мотивацию поведения, обуславливая определённую реакцию на манипулятивные воздействия. Как показывают исследования, есть личностные черты, делающие людей более уязвимыми к цифровым атакам, и наоборот. Полное раскрытие значимости данного фактора требует дальнейшего дополнительного изучения, поскольку в общем случае тактику «взлома» можно найти к любому характерологическому портрету, если собрать необходимую информацию.

Примером могут служить рассогласующиеся результаты исследований об уязвимости экстравертов и интровертов, показывающие, что те и другие могут быть особо уязвимы.

Уязвимость экстравертов обусловлена тем, что они гораздо чаще и в большем объёме, чем интроверты, публикуют личную информацию в социальных сетях и прочих онлайн-ресурсах, а также легче откликаются на инициацию коммуникативной активности с незнакомыми людьми.

Интроверты чаще, чем экстраверты страдают от социальной изолированности, более подвержены интернет-зависимости и нейротизму, что также может делать их менее устойчивыми к цифровым атакам.

Тем не менее, это не мешает выделить ведущие характеристики, к которым следует проявлять особое внимание:

• Экстраверсия – интроверсия. Существует значимая положительная связь между экстраверсией и эффективностью цифровой атаки.
• Эмоциональная неустойчивость (нейротизм) – эмоциональная устойчивость. Эмоционально неустойчивые люди более уязвимы к цифровым атакам.
• Доброжелательность (дружелюбие, способность прийти к согласию) – обособленность (недоверчивость, эгоизм, враждебность). Доброжелательные люди более доверчивы.
• Добросовестность (сознательность, организованность, ответственность, надёжность) – импульсивность (беззаботность, небрежность, ненадёжность). Импульсивные личности чаще становятся жертвами кибермошенников.
• Открытость опыту (креативность, любознательность, независимость) – практичность (конформность, консерватизм, узость интересов). Консерваторы значительно реже поддаются на уловки организаторов цифровых атак.

АТРИБУЦИЯ

Важную роль в восприятии цифровой атаки играет атрибуция — источник, от имени которого производится манипулятивное воздействие.

По атрибуции можно выделить следующие варианты атак:

• Внешняя — от имени внешних партнёров или подрядчиков, сторонних известных организаций с узнаваемыми брендами.
• Личная — имитация личного обращения от знакомого или родственника, ссылка от друга в социальной сети.
• Корпоративная — от имени коллег из своей организации.

На рисунке 3 представлены результаты исследования эффективности цифровых атак в зависимости от атрибуции. Из полученных данных видно, что письма, написанные от имени коллег или руководства, подвергаются меньшему критическому осмыслению и вызывают больше доверия.

Рисунок 3. Эффективность атак по атрибуции. Источник: статистика ООО «Антифишинг».

ДЕМОГРАФИЧЕСКИЕ ПОКАЗАТЕЛИ

Анализ цифровых атак выявил, что демографические показатели существенно влияют на их результативность:

Пол. Женщины чаще, чем мужчины, переходят по ссылкам фишинговых писем и предоставляют личные данные мошенническим сайтам даже со всплывающим предупреждением о существующей угрозе.

Возраст. Более уязвимы пользователи в возрасте 18-25 лет.

Культурная и территориальная принадлежность. По предварительным данным представители разных культур проявляют разную устойчивость к цифровым атакам. Атаки на жителей отдалённых районов более эффективны.

ПСИХОЛОГИЧЕСКАЯ МОДЕЛЬ ЦИФРОВЫХ АТАК

Обобщив собранные данные о поведении людей, специалисты Антифишинга разработали модель психологического воздействия цифровых атак, которая концентрирует в себе ключевые элементы когнитивного и эмоционального воздействия, учитывает личностные особенности и актуальные потребности, предлагая деление атак на вектора (Рисунок 4).

Вектора в модели представлены по мере возрастания «себестоимости» реализации цифровой атаки для мошенников: учёт большего количество факторов воздействия требует индивидуализации подхода и сбора дополнительной информации о жертве.

Рисунок 4. Модель психологического воздействия цифровых атак. Авторы: Богданов А. В., Волдохин С. А., Лимонова О. И.

В соответствии с моделью человек, столкнувшийся с цифровой атакой, проходит пять стадий: оценка внешнего вида, формирование эмоционального отношения, наложение личностных черт и опыта на восприятие письма, активация внимания с мышлением и реакция.

Рассмотрим эти стадии более подробно на примере фишинг-письма с имитацией рассылки от сервиса ЯндексЕда. Письмо предлагает получить солидную скидку «здесь и сейчас».

Оценка внешнего вида

Получив письмо, человек оценивает его внешний вид и пытается классифицировать в соответствии с приобретённым опытом. Важную роль играет отправитель письма, в нашем примере — авторитетный бренд. Качественное оформление также повышает степень доверия, поскольку многие пользователи автоматически воспринимают такие письма как легитимные.

Формирование эмоций

Чаще всего авторы цифровых атак обращаются к базовым эмоциям, чтобы избежать «длинного» пути осмысления содержания. В примере используются две базовых эмоции: любопытство и жадность. Увеличить мощность воздействия помогают два усилителя — срочность и уникальность предложения. Сочетание эмоций и усилителей направляют пользователя как можно скорее совершить целевое действие, чтобы получить желанную скидку.

Наложение личностных особенностей

Эффективность воздействия сильно зависит от того, насколько мошенник учёл актуальные потребности, личностные черты и опыт пользователя, так как это сильно влияет на его восприятие атаки и последующие действия по отношению к ней. Кроме того, важное значение имеет регион проживания и предыдущий опыт цифровых атак.

Активация произвольного внимания

На этой стадии объект атаки понимает, что столкнулся с каким-то новым явлением и, если не поддался своим эмоциям, пытается выработать объяснение выявленной разнице между привычным и наблюдаемым. В его сознании рождается гипотеза, с достаточной степенью достоверности объясняющая происходящее. Выработав гипотезу, человек различными способами проверяет логичность этих объяснений. Оценив все гипотезы, человек принимает окончательное решение, которое глобально сводится к доверию или недоверию.

Реакция

Результатом принятого на предыдущей стадии решения становится действие, которое выполняет человек. Это может быть переход по ссылке, установка вредоносного обновления, ввод учётных данных в форму или наоборот, удаление фишингового письма или оповещение службы безопасности о факте атаки.

ЗАКЛЮЧЕНИЕ

Обеспечение информационной безопасности в организациях — комплексная задача. От специалистов ИБ требуются не только технические навыки, но и понимание логики действия мошенников, а также наиболее вероятной реакции коллег на цифровые нападения.

Использованные в статье статистические данные, собранные нами в процессе работы с многопрофильными организациями на территории РФ, позволяют уловить существующие тенденции в сфере цифровых атак, а также понять ключевые уязвимости сотрудников. Эта информация поможет компаниям сформировать группы риска для обучения и тренировки навыков сотрудников в сфере ИБ, а предложенная модель разбора цифровых атак позволит повысить эффективность обучения сотрудников распознаванию мошеннических нападений и правильным действиям при их обнаружении.

Также важно понимать ключевые идеи, которыми нужно руководствоваться при выстраивании грамотной системы обучения ИБ в своей компании:  

1. Устойчивость компании к цифровым атакам определяется не только функциональностью технических средств защиты, но и уровнем подготовленности персонала.
2. Теоретические знания о цифровых атаках не всегда помогают противостоять реальным случаям кибернападений.
3. Обеспечить эффективную защиту от цифровых атак может только сочетание знаний принципов информационной безопасности и навыков их применения, отработанных на близких к настоящим атаках.
4. Проверить результативность тренировки сотрудников можно с помощью тестирования. Оно также выявит «слабые звенья», для которых необходимо повторное обучение.
5. Чтобы сохранять мотивацию, сотрудники должны понимать конечную цель обучения и тренировок, а также их личные бонусы.