За даними Центру реагування на злочини в інтернеті ФБР, майже 800 тис. людей стали жертвами кібершахрайств у 2020 році, що на 69% більше, ніж роком раніше, а збитків було зафіксовано на $4 млрд. Протягом 2020 року з банківських карток українців шахраї викрали 271,4 млн грн. З них 19,4 млн грн припадає на шахрайство в інтернеті. WSJ розбирався, як злочинці користуються несвідомими автоматичними процесами, на які покладається наше мислення, аби заманити розумних людей у свої пастки.
Як хакери використовують проти нас наш мозок і як цьому завадити
Неправильно інтерпретувати інформацію та робити хибні та нераціональні висновки змушують нас когнітивні упередження, які виникають під впливом дії так званого «рептильного мозку», що відповідає за інстинкти.
Усвідомити наявність цих упереджень — перший крок до перемоги над ними. Але для початку потрібно зрозуміти найзначніші з них.
Неприйняття втрат (Urgency aversion)
Ідея проста: біль від втрати перевершує радість від набуття. Дайте людині $100 і запропонуйте кинути монетку, щоб вона мала рівну ймовірність подвоїти цю суму або втратити її. Ймовірніше, вона відмовиться — втрата $100 аж надто болюча.
Як результат, каже Клеотильда «Коті» Гонсалес, професор теорії рішень в Університеті Карнегі-Меллона, «якщо подати щось як втрату, ми готові піти на риск аби її уникнути; якщо подати це як набуття, ми воліємо обрати безпечний шлях».
Гонсалес каже, що шахраї використовують це упередження для фішингу. Якщо вам надійшов електронний лист, який попереджає про відключення сигналізації за несплату щомісячного внеску, ви можете перейти за посиланням, аби уникнути цього. Якщо ж лист пропонує знизити ваш щомісячний внесок, ви радше його проігноруєте.
Або шахрай може надіслати на вашу робочу електронну пошту повідомлення з попередженням, що проблема з обліковим записом одного з корпоративних постачальників спричинить затримку відправлення, на яке розраховує ваш керівник. Щоб уникнути цього, вам запропонують підтвердити свої дані за вказаним посиланням. Посилання веде на сайт, який видається справжнім, але належить шахраям. І ось — зігравши на вашому страху, злодії виманили ваші персональні дані.
Читайте також: Олександр Карпов: Якщо самі віддали шахраю реквізити картки, гроші ніхто не поверне
Ефект авторитету (Authority bias)
Ми схильні довіряти визнаним авторитетам. Коли ми отримуємо лист від надійного джерела, ми втрачаємо прискіпливість. І хакерам це відомо.
«Прикладом цього упередження є „Business Email Compromise“ (BEC)», — каже Кевін Хейлі, директор Symantec, підрозділу Broadcom Inc. Цей метод використовує електронні листи, які нібито надіслані від авторитетної фігури та містять правдоподібні прохання.
Читайте також: Соціальна інженерія та інтернет: шахраї збагатилися на 271 мільйонів
Наприклад, ви отримуєте електронний лист від керівника з проханням надіслати поточний платіж на новий номер банківського рахунку. Оскільки ви вважаєте, що вже бачили цю адресу електронної пошти, і ваше завдання — виконати прохання керівництва, ви можете зробити те, що від вас просять. Ви не помітили, що ця електронна адреса дещо відрізняється від справжньої. Або гірше, додає містер Хейлі, «більш майстерні зловмисники виманять справжню адресу у вашого боса».
За даними ФБР, такі BEC-атаки за минулий рік призвели до близько $1,8 млрд збитків.
Читайте також: Інтернет-шахрайство зростає. З початку року до чорного списку потрапило 27 фішингових та 22 шахрайських сайтів
Ефект терміновості (Urgency bias)
Ми всі схильні пріоритезувати невідкладні справи. Але відчуття невідкладності може зробити нас менш уважними.
«Якщо ваш бос звертається безпосередньо до вас та каже, що щось має бути зроблено швидко, ви відразу кинетеся це робити. Ви не звертатимете увагу на якісь маленькі неточності в електронній адресі, бо надто зайняті завданням від боса. Це бездоганна соціальна інженерія», — каже містер Хейлі.
За словами Алани Маурушат, професорки кібербезпеки та поведінки в Університеті Західного Сіднея, емоції додають відчуття терміновості. Якщо у листі від нібито-керівника йдеться про обуреного контрагента, ваша тривога зростає.
«Чим більше емоцій може викликати зловмисник, тим імовірніше, що жертва почне йому підігравати. Коли в гру вступають емоції, людська поведінка кардинально змінюється», — каже вона.
Читайте також: У 2020 році кількість виявлених фішингових сайтів стала рекордною за 10 років
Гало-ефект (Halo effect)
Ми довіряємо брендам та організаціям, які нам подобаються, і зловмисники можуть цим скористатися. Якщо вам прийде запрошення до елітного клубу або на відому конференцію, вірогідно, що ви перейдете за посиланням та заповните анкету, можливо надавши забагато інформації про себе або вашу компанію. Тим більше, коли це запрошення надіслане організацією, якою ви захоплюєтеся.
Род Сіммонс, віцепрезидент із продуктової стратегії Omada, наводить інший приклад: шахрай, що видає себе за представника фінустанови, де у вас відкрито рахунок, повідомляє, що виявив підозрілу активність з вашої картки. Він просить вас перейти за посиланням та підтвердити ваші останні перекази. Оскільки ви маєте позитивний досвід роботи з фінустановою та довіряєте їй, то не ставитимете під сумнів справжність листа, а перейдете за посиланням та надішлете дані.
Читайте також: Інтерпол по всьому світу заморозив понад 1600 банківських рахунків кібершахраїв
Упередження миттєвої вигоди (Present Bias)
Цінувати маленькі, негайні вигоди більше за великі та віддалені у часі — цілком природно.
«Люди дбають про себе теперішніх більше, ніж про себе майбутніх», — описує це місс Шортбридж.
Уявіть, каже вона, що зараз — останній тиждень кварталу і є команда, якій майже вдалося залучити великого нового клієнта. Якщо керівнику відділу продажів надійде лист, пов’язаний із угодою, він надасть перевагу закриттю угоди зараз, а не можливому витоку даних у майбутньому. Особливо, враховуючи, що витік виглядає малоймовірним. Зрештою, відділ продажів отримує багато листів і більшість з них цілком безпечні.
Читайте також: 57% українців не знають, як захистити свої платіжні дані та уникнути шахрайства в інтернеті
Евристика доступності (Availability bias)
Ми схильні ухвалювати рішення, спираючись на наш найсвіжіший досвід. Якщо ми ніколи не стикалися із якимось шахрайським методом, ми навряд чи його розпізнаємо.
За словами Патріка Мюррея, директора з розвитку продукту в Tugboat Logic, зловмисники мають більше шансів на успіх, якщо вони застосовують новітні методи соціальної інженерії, невідомі співробітникам конкретної компанії.
Вірогідно, що працівники навчені помічати типові фішингові схеми, що здійснюються через електронну пошту. Інша справа, коли їм телефонують «співробітники з відділу IT-підтримки», щоб звернути увагу на якусь проблему. Шахраї можуть витягнути з жертви всю необхідну інформацію і отримати доступ до всієї бази чи системи компанії.
Читайте також: Коронавірусні «трюки» від карткових шахраїв
Упередженість оптимізму (Optimism bias)
Люди схильні вважати, що проблеми трапляються з іншими і навряд чи торкнуться них самих.
«Є приказка, що люди діляться на два типи: ті, кого зламали, і вони про це знають, а є ті, кого зламали, і вони про це не знають», — каже Мюррей.
За словами доктора Маурушат, кіберзлочинці рекомендують новачкам орієнтуватися на чоловіків за 40. Цю категорію обрали «тому що вони думають, що саме їх ніколи не ошукають», каже професор.
Читайте також: Плати, або заразимо коронавірусом: як шахраї виманюють гроші в українців
Як перемогти «рептилячий мозок»
Позбутися цих упереджень — справа нелегка, адже вони міцно вбудовані у людське мислення. Але експерти з кібербезпеки кажуть, що допомогти може тренування, особливо у ігровій формі, коли потенційні мішені мають відреагувати на реалістичні атаки.
Ефекти упереджень також можна нейтралізувати за допомогою технологій: багатофакторна ідентифікація, менеджери паролів, зміна каналів комунікації при виникнені підозри.
Але найефективніші рішення — ті, що не покладаються на технології та працюють у довгостроковій перспективі.
Одне з них — навчитися не поспішати, коли швидкість не є критичною.
Ще один шлях — будувати корпоративну культуру, яка заохочує правильну реакцію на атаки. Наприклад, доповідати про підозрілу активність та прискіпливо перевіряти запити, що видаються підозрілими.
Читайте також: Олександр Гринчак про афери з «криптою»: «Ми в цій ситуації безсилі»
Коментарі - 7