Как взломать мозг

16.10.2017

Представьте, что вам неожиданно вручают подарок на день Рождения: наверное, где-то в мыслях пронесётся: «Теперь бы не забыть подарить ему(ей) что-то». Неосознанно, но вас заставили сделать то, что не собирались делать. Это называется социальной инженерией.

Когнитивные искажения: как не попасться

Для того, кто правильно пользуется приемами социальной инженерии, не составит труда проникнуть в наш мозг, а точнее, понять, как мы мыслим. Алчность, щедрость, любопытство, наивность — все эти и некоторые другие эмоции помогают управлять нами. Чувство страха «спасает» от беды — оно заставляет спасаться от огня или убежать от преследователя, но может сыграть против нас. Как результат, человек обманывает себя и становится заложником своих когнитивных искажений.

Самый простой пример — с подбрасыванием монетки: если девять раз подряд выпадет «решка», большинство людей будут в следующий раз ставить на «орла», как будто слишком частое выпадение «решки» увеличивает вероятность его выпадения. Но это не так — на самом деле шансы остаются одинаковыми — 50/ 50.

Если говорить проще, то когнитивные искажения — это логические ловушки. В определенных ситуациях мы склонны действовать по иррациональным шаблонам, даже когда исходим из здравого смысла.

Они происходят тогда, когда нам надо быстро принять какое-то решение, это полезно в некоторых ситуациях — когда надо быстро уйти от опасности, как в случае с горящим зданием. Но когнитивные искажения куда менее полезны, когда нас пытаются обмануть. На принятие решения влияет великое множество самых разных искажений, но зная об их существовании, осознавая, какими они могут быть, можно их избежать.

Эвристический аффект

Эвристический аффект — это немедленная, «животная» реакция, когда вы принимаете решение мгновенно, на уровне эмоций. Эмоциональное состояние большинства людей способно сильно влиять на принимаемые решения, приводя к каким-нибудь последствиям.

Ваши ощущения, связанные с происходящим, напрямую воздействуют на вашу реакцию.
Ваши ощущения, связанные с происходящим, напрямую воздействуют на вашу реакцию.

Например, человек, переживающий приливы счастья, в большей мере склонен начинать новое. С другой стороны, тот, кто сильно обеспокоен, как правило, расположен совершать привычные вещи, сохраняя консервативный настрой.

Эффект приманки

Эффект приманки возникает, когда надо сделать выбор между двумя вариантами и вдруг появляется третий вариант. Этот третий вариант становится своеобразным мерилом двух предыдущих. Люди склонны считать товар более привлекательным, если кроме него им предложен менее подходящий вариант.

Еще не так давно при заказе кофе в «Starbucks» имелось три варианта выбора: кофе маленький, средний или большой. Теперь ввели еще два варианта: супербольшой и «высокий». Что вы выберете?  Чаще всего выбирают средний, хотя раньше выбирали маленький.

Эффект обманки заставляет наш мозг сравнивать старые и новые возможности и выбирать порцию, пусть ненамного, но большую, чем выбирали ранее.

Эффект Барнума

Вы проходите тест на определение личностных качеств в Интернете или натыкаетесь на гороскоп. Конечно, не особо серьезно относитесь к результатам, но, как ни странно, итоги теста или характеристики знака зодиака, оказывается, описывают именно Вас.+

Такие вещи случаются даже со скептиками: психологи назвали это явление «эффектом Барнума» — в честь американского шоумена и ловкого манипулятора XIX века Финнеаса Барнума. Большинство людей склонны воспринимать довольно общие и расплывчатые описания, как точные описания своей личности. И, конечно, чем позитивнее описание, тем больше совпадений. Этим эффектом и пользуются астрологи и гадалки.

Эффект страуса

Решение игнорировать опасную или неприятную информацию, пряча голову в песок, как страус. Страх для них допустим исключительно в виде фильмов, игр, книг. Если же это нечто объективное, то такую информацию обычно стараются как можно дольше игнорировать. Исследования подтверждают, что инвесторы значительно реже проверяют ценность своих активов во время плохих продаж.

Доверие: ключ к обману

Основы социальной инженерии не претерпели существенных изменений за века — менялись только формы и детали приемов.

Чем естественней социальный инженер общается с жертвой, тем больше он ослабляет подозрение. Когда у людей нет причины для подозрений, социальному инженеру становится легко приобрести доверие жертвы. Как только он получает ваше доверие, разводной мост опускается и дверь замка распахивается, и он может зайти и взять то, что хочет.

Суть подобных афер лежит гораздо глубже. Они всегда работают на уровне психологии людей независимо от страны их проживания и актуальны по сей день.
Суть подобных афер лежит гораздо глубже. Они всегда работают на уровне психологии людей независимо от страны их проживания и актуальны по сей день.

Например, в 1906 году в предместье Берлина безработный Вильгельм Фойгт купил на рынке изношенную форму прусского капитана и направился к ближайшим казармам. Там он встретил незнакомого сержанта с четырьмя гренадерами и приказал им захватить ратушу. Фойгт забрал у сдавшегося бургомистра без малейшего сопротивления всю городскую казну — четыре тысячи марок. Затем он отдал распоряжение всем оставаться на местах еще полчаса, после чего уехал из города на поезде уже в гражданской одежде. Английские газеты долго вспоминали эту историю, указывая с сарказмом на заведенные в Германии столь странные порядки, что человек в форме обладает непререкаемым авторитетом.

Всё просто!

Раньше для выполнения атаки с применением социальной инженерии приходилось подолгу собирать сведения о жертве. Покупать справочники, копаться в корпоративном мусоре в надежде обнаружить ценный документ, знакомиться с секретаршами и даже взламывать телефонные коммутаторы, как это описывает Кевин Митник в своей книге «Искусство обмана». Сегодня львиную долю грязной работы за хакера выполняют соцсети. Просто зайди в LinkedIn и узнаешь многое о компании и ее сотрудниках: откуда они пришли, где учились, как долго и кем работают, Фейсбук расскажет все про их интересы и семьи, Twitter — о привычках и распорядке. Основная часть «кражи личности» теперь происходит еще до начала атаки.

Человек уязвим к методам социального инжиниринга из-за своих предубеждений. Люди склонны замечать только то, что ожидают или что боятся увидеть. Они домысливают пробелы в легенде и помогают хакеру.

Для основателя Global Digital Forensics Джо Карузо соцсети и социальный инжиниринг — просто идеальное сочетание. Представь, что ты нашел в Facebook страницу руководителя компании, который только что уехал в отпуск. Посмотрев список его френдов, легко найти подчиненных и отправить им письмо с невинным текстом вроде: «Здесь невероятно круто! Только взгляни на эти фото!» Далее следует фишинговая ссылка, по которой сотрудник точно перейдет, потому что это письмо пришло якобы от его босса, желающего поделиться с ним своей радостью.

Фирюза Курбаналиева, редакция Include

Фотографии из архива редакции