Основы риск- и бизнес-ориентированной информационной безопасности. Часть 6. Основные понятия и парадигма - продолжение


 
Руслан Рахметов, Security Vision

Рассмотрев в предыдущей публикации основные технические и организационные меры, применяемые при защите информации, предлагаем читателям ознакомиться также и с другим, не менее важным аспектом как корпоративной, так и личной информационной безопасности. Речь пойдёт о способах противодействия психологическим манипуляциям и методам социальной инженерии, которые всё чаще используют злоумышленники при попытках получения несанкционированного доступа.

Такие приёмы дают результаты, поскольку именно люди зачастую являются самым слабым звеном в системе обеспечения информационной безопасности компании - все дорогостоящие технические средства защиты оказываются бесполезны в случае, если сотрудник компании «открывает двери в замок» злоумышленнику, кликая по вредоносной ссылке в фишинговом email-сообщении.

Кроме того, именно приёмы социальной инженерии используются при атаках на физических лиц и попытках несанкционированных переводов денежных средств: мошенники звонят и пишут сообщения, представляясь друзьями, родственниками, сотрудниками банка или иной организации, всеми силами стараясь побудить человека сообщить конфиденциальные данные, предоставить доступ к информации, осуществить денежный перевод и т.д. В ход идут самые разнообразные способы: подделка адреса отправителя в email и СМС-сообщениях, звонки с подменой номера звонящего, демонстрация детальных знаний бизнес-процессов и ключевых лиц компании или личных данных атакуемого, подмена голоса звонящего, многоходовые атаки с привлечением целых преступных Call-центров и прочее.

Хакеры не гнушаются атаками на самые незащищенные слои населения - пенсионеров и пожилых людей, а также на людей, находящихся в стрессовой ситуации, поскольку, к сожалению, справедливо полагают, что именно такие группы граждан наиболее уязвимы к методам психологического воздействия. Излагаемые далее сведения мы рекомендуем донести до как можно большего числа ваших родственников, знакомых, друзей, коллег, т.к. самый верный и простейший способ защититься от психологических манипуляций - знать об их существовании и уметь их распознавать. Всем следует знать, какие бывают типы манипуляций (а их конечное количество, более того, они давно описаны в специальной литературе и учебниках), а также освоить приёмы противодействия. Иными словами, кто предупрежден - тот вооружен. Итак, приступим.

Согласно классическому определению, психологическая манипуляция - это тип социально-психологического воздействия, представляющий собой стремление изменить восприятие или поведение других людей при помощи скрытой, обманной и насильственной тактики. Цель манипуляции - заставить объект манипуляции (того, кем пытаются манипулировать) сделать то, что выгодно для манипулирующего, но не выгодно для объекта манипуляции. Главное свойство манипуляции состоит в том, что она должна оставаться незамеченной для атакуемого (объекта манипуляции). Как правило, распознанный атакующий (манипулятор) не представляет большой опасности, поскольку лишается доверия со стороны атакуемого и более не воспринимается им всерьёз.

Все манипуляции базируются на:

1. Слабостях и пристрастиях объекта манипуляции

2. Ограничениях, стереотипах, социокультурных нормах поведения

3. Потребностях объекта манипуляции.

Слабости и пристрастия (фактически «уязвимости» в терминологии ИБ) объекта манипуляции предварительно выявляются атакующими путем сбора максимального количества доступной информации об атакуемом. Далее, атакующий давит на найденные «болевые точки» жертвы, например, угрожая минимизировать (или, наоборот, обещая существенно расширить) доступ к интересующему предмету, и заставляет жертву выполнять выгодные манипулятору действия. Допустим, хакер, узнав, что один из ИТ-сотрудников банка увлекается игрой в онлайн-покер, отправляет ему фишинговый email с уведомлением о якобы крупном выигрыше в онлайн-казино, для получения которого требуется всего лишь перейти по ссылке (разумеется, вредоносной). Более простая атака - узнать о неком компрометирующем факте из личной жизни высокопоставленного сотрудника и, угрожая обнародовать эту информацию, заставлять его сообщать внутрикорпоративную конфиденциальную информацию. Предварительные сведения об атакуемом могут быть получены из открытых источников, например, из социальных сетей, однако для успешной атаки манипуляторам зачастую и не обязательно собирать какую-либо дополнительную информацию об объекте воздействия - у всех людей есть общие «болевые точки», такие как семья, близкие, какие-то материальные ценности, терять которые не хочется никому.

Ограничения, стереотипы, социокультурные нормы поведения свойственны определенным группам людей, объединенным по географическому, национальному, культурному, половому или иному принципу. Например, восточноевропейские правила воспитания предполагают помощь женщине, которая забыла пропуск в офис и теперь растерянно стоит у дверей: сотрудник компании поможет злоумышленнице проникнуть внутрь периметра контролируемой зоны компании, галантно открыв перед ней дверь своим пропуском (классический способ Piggybacking). Есть более общие для всех людей шаблоны (паттерны) поведения - например, оказанная незнакомцем услуга предполагает оказание ответной услуги или помощи: угостивший клерка сигаретой у входа в офис незнакомец, представившийся новым сотрудником, вполне может рассчитывать на предоставление «новичку» информации о правилах внутреннего распорядка или названиях IT-систем. Ограничения, заложенные правилами корпоративной этики, не позволяют офис-менеджеру уточнить имя и внутренний идентификатор у звонящего, представляющегося новым топ-менеджером, говорящего властно и требующего немедленно отправить ему квартальный финансовый отчет.

Потребности объекта манипуляции могут быть категоризированы в соответствии с пирамидой Маслоу (иерархической модели потребностей человека, предложенной психологом Абрахамом Маслоу): от физиологических потребностей (пища, вода), потребностей в безопасности (кров, комфорт), социальных потребностей (общение, привязанность) к стремлениям более высокого порядка - уважению (в т.ч. самоуважению, уважению со стороны других, признанию заслуг) и развитию личностных способностей (познание, совершенствование, самовыражение). Каждая из этих ступеней пирамиды Маслоу может являться базой для манипуляции. Например, потребность в наличии материальных ценностей может привести к попытке сотрудника продать конкурентам клиентскую базу компании, а стремление к признанию заслуг и всеобщему уважению может заставить топ-менеджера рассказать в интервью популярному изданию больше, чем заранее планировалось и было бы разумным.

Рассмотрим далее некоторые популярные способы манипуляций и меры противодействия им.

1. Явная ложь - достаточно простой способ психологического воздействия, который, однако, обладает интересной особенностью, заключающейся в том, что в более невероятную ложь люди, как ни странно, верят даже больше, чем в более правдоподобные истории. Мерами противодействия будут использование здравого смысла, проверка сообщенных сведений, скептическое отношение по умолчанию ко всему, особенно к непроверенным и ненадежным источникам.

2. Повторение, заговаривание зубов -  ещё один примитивный метод манипуляции, заключающийся в свойстве человека верить тому, что было повторено неоднократно, а особенно, если это было сделано разными людьми и на протяжении длительного периода времени. Мерами противодействия будут использование «своего ума» во всем, проверка сообщаемых фактов, скепсис и разумное отрицание общепринятых норм, не осознанных самостоятельно.

3. Раздражение - метод выведения человека из состояния покоя, когда некое абсурдное, несколько раз озвученное предложение после явного несогласия объекта манипуляции заменяется на более разумное, которое и было целевым. В данной схеме могут быть задействованы два манипулятора, один из которых предлагает явно абсурдный вариант, а второй «успокаивает» манипулируемого и предлагает выгодный атакующим вариант как относительно более разумный. Для борьбы с данным типом атаки можно порекомендовать обращать внимание на своё внутреннее состояние, меняющееся в подобных ситуациях - если атакуемый чувствует, что готов согласиться на какое-то предложение только чтобы от него отстали, следует сделать перерыв в обсуждении и оценить предлагаемый якобы более разумный вариант не как альтернативный абсурдному, а как если бы он был предложен изначально - устроил бы он в таком случае? В целом, если человек во время обсуждения какого-либо вопроса начинает ощущать, что готов принять не устраивающее его предложение, следует сделать перерыв в обсуждении, взять тайм-аут (даже если оппоненты будут против) и оценить ситуацию с позиции техник социальной инженерии.

4. Угроза и устрашение - методы «жесткого» воздействия, которые в том числе могут быть классифицированы в соответствии с нормами Уголовного Кодекса. Угроза сопровождается прямым требованием, как правило, незаконным. В случае поступления прямых угроз атакуемый должен немедленно обратиться в полицию. Устрашение от угрозы отличается тем, что не содержит прямых требований, но результатом воздействия является страх. Страх, как и раздражение, способствует потере контроля над эмоциями. Пример - получаемый сотрудником намёк, что на него будут жаловаться из-за его действия или бездействия, при этом целью является выведение человека из состояния спокойствия и незаметное побуждение к выполнению выгодного атакующему действия. Более «мягким» аналогом устрашения является манипуляция «Недовольство», когда атакуемому не угрожают напрямую, а вербально или невербально выражают недовольство. Мерой противодействия будет доскональное знание атакуемым своих должностных прав и обязанностей, внутренних нормативных документов, а также основных положений текущего законодательства.

5. Стыд, обида и чувство вины - достаточно популярные методы психологического воздействия, применяемые в том числе и на бытовом уровне. Данный тип манипуляций основывается на том, что человек, которому стыдно или который виноват (или думает, что виноват, т.к. его в этом убедили) - слабее, а следовательно, больше поддаётся манипулированию. Атакуемого намеренно могут делать виноватым, причём зачастую в том, к чему он не имеет отношения; чем сильнее он чувствует вину, тем более становится внушаем и зависим. Оппонент может также изображать обиженного путем своего молчания либо явной демонстрации обиды, провоцируя атакуемого «загладить вину». Мерами противодействия могут быть четкое знание и понимание своих прав, в том числе и неформального «права на ошибку», а также некоторые практические лингвистические приемы - «сбивки» стандартных шаблонов атакующих: например, в случае манипулирования чувством вины подойдут вербальные контрмеры «бесконечное уточнение» и «парафраз», когда атакуемый требует от манипулятора досконального уточнения его обвинений и стремится перефразировать слова атакующего с помощью словесных конструкций вида «Я правильно Вас понимаю, что...» (разумеется, можно пойти дальше и «понять» по-своему, перефразировав слова атаки в свою пользу). Кроме того, разумным будет вообще избегать целенаправленно созданных заведомо конфликтных ситуаций, в которых атакуемый может оказаться в положении совершившего ошибку; если такая ситуация всё же произошла, то следует трезво оценить степень своего участия в создании предпосылок к возникновению конфликтной ситуации и действия других сторон конфликта. Следует помнить, что культивируемое в атакуемом чувство вины является ненормальным и заведомо приводит его к проигрышной позиции в угоду манипулятору.

6. Лесть - также популярный способ манипуляции, достаточно «мягкий», но от этого не менее опасный. Его особенность в том, что зачастую объектами такого типа манипуляций становятся лица, занимающие лидирующие и руководящие посты, часто обладающие завышенной самооценкой. Смысл данной манипуляции заключается в воздействии на «эго» человека, при котором атакуемому сообщаются приятные ему сведения, в том числе выдуманные, с целью заставить его подкрепить создаваемый образ действиями, выгодными манипулятору. Примером может быть лесть IT-администратору со стороны пользователя, который просит такого компетентного и крутого специалиста всего лишь скопировать пару файликов на личную флэшку. Мерами противодействия будут трезвая самооценка (мерилами которой могут быть опыт работы, карьерный рост, достигнутые результаты, образование, профессиональные сертификации) и, опять же, лингвистические сбивки: например, в ответ на очевидную лесть можно якобы отшутиться, сделав ответный (зеркальный) комплимент аналогичным качествам оппонента, дав таким образом ему понять, что его попытка манипуляции обнаружена.

7. Жалость - еще один «мягкий» способ манипуляции, при котором атакующий пытается вызвать жалость к себе или наоборот начинает выражать жалость по отношению к атакуемому. Например, сотрудник может поведать душещипательную историю о забытом дома пропуске и работе по 80 часов в неделю с целью получения несанкционированного доступа в обход внутренних регламентов. Для борьбы с данной манипуляцией человеку следует повышать собственную внутреннюю бдительность по отношению к вызываемым в нём эмоциям, а также неукоснительно выполнять все положения внутренних нормативных документов, несмотря на возможные просьбы и иные «исключительные» случаи.

8. Неуверенность - скорее тактика ведения спора, которую также можно считать способом манипуляции. При использовании данной тактики манипулятор стремится нащупать область, в которой оппонент не очень хорошо разбирается, и далее «играть на своём поле», делая упор на свои якобы экспертные познания в данной области. Разумеется, никаких глубоких знаний может и не быть, однако сбитый с толку атакуемый не сможет этого распознать, будучи уверенным в компетентности соперника. Мерой противодействия может быть тайм-аут, во время которого атакуемый сможет проверить факты, сообщенные якобы экспертом-манипулятором. Если же паузу не предоставляют, имеет смысл не давать поспешных ответов и обещаний, а перепроверить озвученное своими силами и в других источниках, предварительно запомнив сказанное оппонентом.

9.. Доверие - способ использовать ранее сложившиеся отношения на благо манипулятора, который рассчитывает, что предыдущий позитивный опыт общения жертвы с ним скажется на текущем восприятии ситуации (психологический эффект прайминга). Данная манипуляция сложна для атакующего, т.к. требует определенных трудозатрат, а риск потери выстроенных отношений достаточно велик в случае, если манипуляция будет разоблачена. Контрмерой для атакуемого может быть критическое отношение к людям, настойчиво пытающимся войти в «ближний круг», и трезвая оценка их потенциальной, возможно корыстной заинтересованности в общении.

10. Срочность - попытка вывести атакуемого из состояния равновесия жёстким цейтнотом, заставляя быстрее принимать решения и не давая времени на раздумья и  анализ. Иначе говоря, оппонент будет торопить собеседника с ответом, ставя условия «сейчас или никогда». Данная техника активно используется хакерами при осуществлении попыток мошенничества, когда жертв ставят в искусственно созданные стрессовые условия, не давая времени одуматься. Например, мошенники звонят от имени банка и сообщают о том, что минуту назад якобы произошло несанкционированное списание денежных средств, и для остановки этой финансовой транзакции требуется немедленно сообщить звонящему данные банковской карты, иначе будет уже поздно. Мерой противодействия может послужить правило не принимать никаких решений в спешке, не бежать за толпой, а если спешка искусственно создаётся, то следует, наоборот, ещё тщательнее всё проверить.

11. Дозированная информация - сообщение атакуемому не всех фактов, а лишь тех кусков, которые выгодны манипулятору, т.е. того достаточного минимума информации, который необходим, чтобы жертва приняла нужное атакующему решение. Сюда же можно отнести и метод ложной дихотомии (иллюзии выбора), когда жертве предоставляют на выбор два варианта решения, но они оба неверные, а верное решение не показывают вообще. Такие методы могут использовать, например, инсайдеры при обосновании получения расширенного доступа к информационным системам, когда якобы существует бизнес-необходимость в таком доступе, однако использоваться полученные привилегии будут совсем для других целей (например, для торговли персональными данными клиентов). Контрмерами могут послужить постоянная бдительность в вопросах интерпретации входящей информации, стремление проверить и проанализировать сообщаемые данные самостоятельно, развитие навыков логического мышления и повышение интеллектуального уровня.

12.. Мнения вместо фактов - одна из часто встречающихся техник, когда манипулятор выдает своё мнение за факт и создаёт затем целую логическую цепочку из таких утверждений, которая с виду выглядит правдивой, но на самом деле ошибочна. Для борьбы с данной техникой манипуляции следует исходить из приоритета фактов над мнениями, а также стараться проверять все сообщаемые ненадежным источником сведения.

13. Авторитетность - в данном случае используется социокультурная норма поведения, предполагающая безоговорочное доверие общепризнанным авторитетам. Например, звонящий офис-менеджеру злоумышленник может представиться новым акционером, говорить уверенным и властным тоном человека, занимающего высшую ступень в корпоративной иерархии, а далее потребовать выполнить некоторые действия - сообщить информацию, переслать файл, открыть недавно полученное письмо. Мерой противодействия будет чёткое знание сотрудниками своих должностных прав, обязанностей и внутренних нормативных документов.

14. Стереотипы - аналогично манипуляции «Авторитетность», данная техника базируется на шаблонах поведения людей, в соответствии с которыми якобы «общепринятые мнения» безоговорочно принимаются и ни у кого не должны вызывать сомнений. Такая бездоказательная вера может сыграть на руку мошенникам: так, при поступлении звонка якобы из банка предполагается, что клиент каким-либо образом должен подтвердить свою личность, например, сообщив звонящему «менеджеру» код из СМС-сообщения. Для борьбы с таким видом воздействия следует стараться всегда руководствоваться собственной логикой и здравым смыслом, не оглядываясь на заложенные социумом паттерны.

Подводя итоги перечисления основных (разумеется, далеко не всех) способов психологических манипуляций, стоит ещё раз назвать основные типы мер противодействия:

1. Помните, что легко можно манипулировать только слабым человеком: некомпетентным, излишне предсказуемым, неуверенным в себе или наоборот слишком самонадеянным, зависимым от вредных привычек, воспринимающим всё слишком серьезно. Избавьтесь от таких качеств, и шансов у атакующих будет гораздо меньше.

2. Постарайтесь помнить перечисленные приёмы манипулирования и старайтесь подмечать их в жизни. Как говорилось выше, если вы обнаружили манипуляцию, то она уже не сработала на вас.

3. Старайтесь больше анализировать, читать, а не слушать или смотреть. Когда человек читает или пишет, он мыслит критичнее, чем когда слушает или говорит, и его сложнее ввести в заблуждение.

4. Получив информацию, не поленитесь ее проанализировать и узнать о ее источнике.

5. Ни одному источнику не стоит доверять безусловно. Проверяйте и перепроверяйте, если нужно. Это же относится и к посторонним людям - старайтесь избавиться от принципа «доверия по умолчанию».

6. Старайтесь пересказать услышанное или прочитанное своими словами, как вы это поняли. Если не удаётся самостоятельно выстроить чёткую картину, возможно, фактов или вашего их понимания недостаточно.

7. Требуйте конкретизировать понятия и старайтесь оперировать единым с оппонентом понятийным аппаратом.

8. Не делайте скоропалительных выводов и не принимайте быстрых решений. Когда возможно - требуйте тайм-аут.

9. Не стесняйтесь менять своё мнение. Изменение мнения является признаком гибкого и пытливого ума, а не инфантильности или непоследовательности.

10. Не бойтесь остаться в меньшинстве при выражении своего мнения. Вы и только вы должны самостоятельно принимать решения и нести за них ответственность, ведь в противном случае это будут уже не ваши решения.