Учебное пособие по финансовой грамотности Учебное пособие
по финансовой
грамотности
logo

5.5.4. Претекстинг

В этой схеме мошенники связываются с владельцем карты либо через телефон, либо по смс и обманным путем узнают от него данные по его карте по заранее заготовленному сценарию. Именно поэтому способ называется претекстинг (от англ. pretext, предварительный текст): мошенник озвучивает заранее заготовленный текст со всеми заготовленными психологическими ловушками.

Это может выглядеть следующим образом: вам звонит злоумышленник, представляясь сотрудником банка, утверждает, что с вашей карты произведен несанкционированный платеж, либо ваша карта заблокирована, либо у вас образовался непогашенный долг и так далее, детали не уточняются, и вас просят сообщить конфиденциальные данные по вашей карте (ПИН-код, CVV-код и так далее), чтобы решить эту проблему.

Общая схема воздействия этого подхода «напугать — спасти». Неожиданная новость об угрозе финансовой безопасности (возможное списание средств, блокировка карты) вводит жертву в сильное эмоциональное состояние (тревога, страх), в котором затруднен спокойный анализ ситуации.

И именно в результате этого жертвы часто совершают ошибки — чтобы «спастись» они бездумно делают то, что им говорят, при этом память о том, что сотрудники банка не могут спрашивать ПИН- или CVV-код, блокируется. Кроме того, сейчас все чаще банковские сотрудники просят ввести или назвать код из смс-подтверждения - причем не только при личном визите в банк, но и при звонке клиента в колл-центр, в чатах поддержки. В результате у людей формируется представление, что это нормально и безопасно сообщать банковскому сотруднику коды, приходящие в смс. Это облегчает задачу мошенникам, стратегия которых построена на «вызнавании» секретных данных. Эта заветная информация, дающая доступ к деньгам жертвы на карте, узнается не с помощью технических средств, а «выуживается» из человека с помощью психологических манипуляций. Это и называется социальной инженерией.

Социальная инженерия

Социальная инженерия - это совокупность приёмов, методов и технологий создания такого пространства, условий и обстоятельств, которые максимально эффективно приводят человека к необходимому результату. Подобно инженерам-конструкторам, разрабатывающим механизмы, которые, согласно законам механики и физики, будут выполнять определенные действия, социальные инженеры проектируют социальную среду, оказываясь в которой люди, согласно психологическим и физиологическим особенностям выполняют определенные действия.

В общем случае социальная инженерия направлена на формирование таких условий, в которых становится возможным изначально недостижимый результат, или в которых человеку легче совершать позитивные и полезные для себя действия, например, не забывать принимать лекарства или выполнять необходимые действия для собственной безопасности на рабочем месте и т. д.

Оборотная сторона социальной инженерии — это использование этих приемов и технологий формирования поведения для преступных целей. Благодаря этому, социальная инженерия также получила известность как наука и искусство «взлома» человеческого сознания. В сфере информационной безопасности данный термин был популяризован в начале 21 века бывшим компьютерным преступником, ныне консультантом по безопасности Кевином Митником, который справедливо утверждал, что самое уязвимое место любой системы безопасности — человеческий фактор.

Все техники социальной инженерии основаны на когнитивных искажениях, о которых мы рассказывали вам в первой главе нашего учебника. Эти ошибки в поведении используются социальными инженерами для моделирования «правильной» среды, а злоумышленниками — для создания атак, направленных на получение конфиденциальной информации.

При этом мошенники не обязательно представляются банковскими сотрудниками — они могут представляться работником любого органа, внушающего авторитет, которому нужно повиноваться: от сотрудников службы безопасности ЦБ и прокуратуры до представителей Пенсионного фонда или Красного Креста. Использование авторитета известной, желательно государственной структуры, еще один элемент социальной инженерии, обеспечивающий эмоциональное давление на жертву.

Также в схеме «эмоции – действия по компрометации данных карты» прекрасно работают и положительные эмоции, такие как радость (и даже алчность) от возможного получения денег или выгоды.

Наверняка вы все-таки недоумеваете: как же так происходит, что люди, находясь в здравом уме и в светлой памяти, называют данные своей банковской карты, с CVV-кодом, с паролями из смс-подтверждений? Дело в том, что схема воздействия на человека рассчитана именно таким образом, чтобы вывести его из состояния спокойного рассудочного мышления – поэтому о здравом уме здесь говорить не приходится, скорее, о временном помутнении рассудка, как мы видим в реальной истории «Звонок по объявлению».

Звонок по объявлению

«Полагаю, с подобным каждый успел столкнуться, дошла очередь и до меня. С одной стороны, можно выдохнуть спокойно — все обошлось, а с другой — обидно, что такое случилось.

Дневной сон прервал звонок девушки по объявлению с Avito. Покупательница спрашивала про детскую кроватку. Говорила, что в течение часа ее заберет, но только не лично, а с помощью сторонней компании. Меня накрыла волна смешанных чувств. Я сказала, что перезвоню ей, так как нужно посоветоваться с мужем, которого в данный момент нет дома.

В результате наших телефонных переговоров я назвала три карты. Три, Карл! Две из которых с CVV-кодами и СМС-подтверждениями. Свою просьбу сообщить ей коды из СМС она объяснила тем, что у нее двойная аутентификация на карте из-за застрахованного вклада.

Мошенница скрылась сразу после того, как в ответ на ее вопрос, правильные ли у меня карты, я сказала, что все они с нулевым балансом… Опаньки, ловить оказалось нечего. Позвонила в Почта Банк — там сказали, что никакой двойной аутентификации при переводе у них нет. Все карты я заблокировала. В отделении банка узнала, что на Avito кто-то из знакомых операциониста потерял так 50 тысяч рублей. Благодарю Вселенную за этот урок».

Героиня этой непридуманной истории, опубликованной редакцией Банки.ру, является тьютором проекта Минфина России по повышению финансовой грамотности среди населения и уж точно обладает всеми необходимыми знаниями. Но и она не устояла под воздействием грамотно примененных техник социальной инженерии.

Возможна также многоходовая комбинация: мошенники могут сначала представиться покупателем по объявлению и запросить одну порцию информацию, а в следующем телефонном разговоре назваться представителями банка и запросить недостающую порцию информации. Еще одна непридуманная история, опубликованная на портале Банки.ру.

«Буквально недели две назад была похожая ситуация с Avito. Нашелся покупатель на станок для изготовления керамзитоблоков. Мужу позвонил мужчина, сказал, что готов купить, только нужно будет отправить транспортной компанией в соседнюю республику. Затем спросил номер карты, куда переводить деньги. Естественно, супруг сообщил. Далее последовал звонок якобы из банка, причем номер действительно был московский. «Сотрудник банка» представился и поинтересовался, ждет ли муж поступления денег. После этого он назвал верную сумму и попросил продиктовать ему код из СМС-сообщения, которое он сейчас отправил. После этого сразу стало понятно, с кем мы имеем дело».

Полный текст статьи с комментариями экспертов можно найти тут.

Вот общая схема механики воздействия на человека, которая подталкивает его к раскрытию конфиденциальной информации о банковской карте, даже если он знаком с правилами безопасности:

  1. Предъявляется «приманка», которая вызывает у нее положительные эмоции, в частности, радость, алчность (выигрыш в лотерею, оплата выставленного вами на продажу товара), или негативные эмоции, такие как страх потери, тревога (претензия Федеральной Налоговой службы по неоплаченному налогу, взыскание по долгу Национальным коллекторским агентством, несанкционированное списание средств со счета и блокировка карты).
  2. Злоумышленник представляется сотрудником авторитетной организации (государственных органов, банка, страховой компании) или известной коммерческой компании (оператора сотовой связи, электронного магазина и т.д.). Другими словами, мимикрия под что-то известное, солидное или авторитетно-грозное. Это усиливает эмоции жертвы, снижает бдительность и воспринимается как более правдоподобное.
  3. Создается дефицит времени для принятия решения: «чтобы приз не ушел к другому, перезвонить или сообщить свои данные нужно в ближайшие пять минут», «чтобы избежать повестки суд, необходимо оплатить задолженность в течение 24 часов» и т.д. В условиях необходимости быстрого реагирования наш мозг автоматически переводится в режим стресса, называемый «бей или беги». Это механизм, выработанный в ходе эволюции и направленный на лучшее выживание. Для этого все ресурсы направляются на поддержание систем активных действий: сердце учащенно бьется, чтобы мышцы были готовы к действиям, легкие работают интенсивнее, чтобы обеспечить приток кислорода к тем же мышцам. При этом аналитические системы мозга оказываются «выброшенными за борт» — они в таких обстоятельствах не нужны, поэтому связь с ними не поддерживается. Внимание также сильно сужается и именно поэтому жертва не замечает признаки поддельного сайта (например, ошибку в написании адреса веб-сайта PayPai вместо PayPal) или неправомерность вопросов мошенников о данных банковской карты.

В таких условиях аналитическая и медленная Система 2 блокируется и решения принимает быстрая Система 1, которая использует эвристические рассуждения (типа «Он из банка – ему виднее, что надо сделать, чтобы разблокировать платеж», «Я знаю эту компанию, они не могут быть обманщиками»).

В результате, человек следует инструкциям злоумышленников, даже если они идут в разрез с теми правилами безопасности, которые, как ему казалось, он знал наизусть.

Представим в виде схемы основные компоненты воздействия на жертву в случае применения техник социальной инженерии, процессы, которые они провоцируют в жертве, и результат.

Социальная инженерияСоциальная инженерия

Что делать, чтобы не стать жертвой техник социальной инженерии?

Во-первых, необходимо осознать, что тебя ставят в условия немедленного принятия решения, и зажечь «красную лампочку». Сложно представить ситуацию покупки-продажи, особенно финансовых продуктов и услуг, которую нужно разрешить в течение ближайших 5 минут. Сама такая постановка вопроса должна насторожить — скорее всего, какой-то подвох.

Во-вторых, необходимо любыми способами убрать влияние дефицита времени. Для этого нужно под любым предлогом (и даже без него) взять паузу, чтобы успокоиться, выйти из возбужденно-эмоционального состояния и трезво оценить ситуацию. Можно сказать собеседнику, например, «Мне сейчас неудобно говорить, давайте я вам перезвоню через 20 минут» и, не вступая в дальнейшие переговоры, положить трубку. Человек может говорить вам «Сейчас или никогда!», и тут смотри пункт первый.

Что сделать в эти 20 минут, а то и час, а то и полдня?

  • Медленно подышать – это один из способов снизить частоту пульса и перевести свой организм и мозг из режима быстрого (и порой опрометчивого) реагирования в спокойный режим, что позволит «разблокировать» аналитические системы мозга;
  • проверить информацию, которую вы успели получить от звонившего (например, про двойную аутентификацию, если анализировать кейс «Звонок по объявлению», или позвонить по официальному номеру в компанию, которая якобы проводит розыгрыш призов, в котором вы выиграли);
  • позвонить родным, другу, кому-то, кто мог бы посмотреть на ситуацию взглядом, не замутненным эмоциями, и указать вам на риск мошенничества.