Скрытая угроза, на которую следует ответить «внимание»!

(Ди Орацио Данило Руссо)
31/01/22

Некоторое время назад я читал об увеличении случаев "Вишинг": кража учетных данных, осуществляемая посредством телефонного звонка с предлогом, при котором самозванец (или специально настроенный для незаконных целей автоответчик) выдает себя за администратора информационной системы, такой как онлайн-банк.

Новость сама по себе вызывает сенсацию, потому что жертвы, часто пенсионеры и с низким доходом, оказались с опустошенными мошенниками текущими счетами, у которых были украденные во время телефонных звонков коды пользователей и пароли; но это бросается в глаза, потому что в той же статье подчеркивается, что Abf -Финансово-банковский арбитр к которым можно обращаться для разрешения споров между клиентами и кредиторами - договорились бы с банками, которые обвинили бы клиентов в излишней доверчивости.

Несомненно, атаки социальная инженерия - определен американским экспертом Кристофером Хаднаги как «любое действие, направленное на то, чтобы повлиять на человека, подтолкнуть его к действию, которое не обязательно отвечает его интересам» - они представляют собой актуальную и опасную угрозу. Этому способствуют, в частности, три аспекта: распространение информационных технологий и онлайновых услуг; состояние общей технологической безграмотности и легкомыслия в обмене личными данными в сети; и, наконец, общей неинклюзивностью пользовательских интерфейсов программного обеспечения, что создает серьезные технологические барьеры для пожилых людей, детей и инвалидов.

Но, с другой стороны, надо сказать, что это не новые угрозы: например, аферы в домах престарелых со стороны самозваных чиновников ENEL — результат тех же манипулятивных приемов. А сам Хаднаги в своей книге «Социальная инженерия: наука о взломе человека» указывает, что это техники, древние как мир, ссылаясь в качестве первого исторического источника атаки на социальную инженерию на отрывок из Бытия 27, в котором Иаков, переодевшись и выдав себя за своего брата Исава, он обманывает своего слепого и престарелого отца - Исаака, похитив его благословение.

Но давайте рассмотрим два аспекта, представляющие особый интерес: что нового и что устарело в сегодняшних атаках социальной инженерии.

Аспекты новизны являются результатом современного состояния: компьютеры, смартфоны и планшеты создали параллельную вселенную, а социальная деятельность переместилась в виртуальный мир. Возникли новые векторы атаки и эволюционировали наступательные процедуры. Вот что, помимо уже упомянутого Вишинг, родился «фишинг» - то есть атака, осуществляемая с помощью мошеннической электронной почты, направленная на кражу личности жертвы или заражение его клиента компьютерными вирусами - и «смишинг», эквивалент первого, реализованный однако через текстовое сообщение на мобильный телефон жертвы.

Эксплуатируемая уязвимость устарела: естественный процесс расслабления, меньшего присутствия самого себя, который характеризует большую часть часов бодрствования нашего мозга и который физиологически реализуется из соображений экономии когнитивных процессов. Когда мы находимся в обычной ситуации, которую не считаем опасной, сознание автоматически переходит в «эко-режим» и реагирует на раздражители по заранее заготовленному ответу, результату опыта, полученного в подобных случаях: в сущность, энергия сохраняется психическая на случай, если, наоборот, вы окажетесь в необычной ситуации, воспринимаемой как опасность, и в которой для реагирования на угрозу потребуется максимум внимания и энергии - "адаптивный режим" в соответствии с поведением, которое на этот раз не предустановлено, а адаптировано к конкретному контексту.

Это искусство мошенника, социального инженера: умение преподнести жертве информационный контекст, который не воспринимается как необычный, опасный, ненормальный; напротив, он помнит сходство с широко пережитым опытом или с приобретенными в прошлом представлениями; и на которые поведенческая реакция может быть «автоматической», неосознанной.

По этому аспекту социальные психологи написали страницы соображений и провели тысячи исследований. Американский психолог Эллен Лангер, в частности, представила результаты знаменитой лаборатории, известной в библиографии как фотокопировальный эксперимент (Langer, 1978), в которых она говорила о «бессмыслице рефлекторных действий». И он показал, что в социальных взаимодействиях, как вербальных, так и письменных, человеческий разум обычно действует рефлекторным действием, совершенно не связанным с содержательным смыслом просьбы; и связаны только с формальным, структурным соответствием коммуникативной парадигмы.

Точнее, ученый показал, что, когда мы спокойны и погружены в свои мысли, мы отвечаем на сделанную просьбу простым анализом формально-стилистической структуры предложения: если это кажется нам «условным» и не тревожит нас, мы входим в состояние молчаливости, фактически открывая двери для убеждения и, к сожалению, также и для манипуляции.

Теперь было бы слишком просто и очевидно просто восклицать: «вы должны быть внимательны» или «вы не должны быть доверчивыми». Те, кто так говорят, не принимают во внимание упомянутые выше психические механизмы. С другой стороны, необходимо разработать четкую социальную политику и политику в области безопасности, которая опирается как минимум на три основных краеугольных камня.

Прежде всего, ускорить ликвидацию «цифрового разрыва», который характерен для больших слоев населения, и, в частности, с помощью целенаправленных и повторяющихся информационных кампаний, которые вызывают автоматическую поведенческую безопасность, не в последнюю очередь обучение конфиденциальности в Интернете.

Кроме того, инвестиции в технологии и программные приложения, привлекающие внимание пользователя в случае возникновения элементов ненадежности собеседника или компрометации устройств.

Наконец, поощрять промышленность и рынок ИТ-услуг к разработке более инклюзивных пользовательских интерфейсов, которые обеспечивают безопасный доступ к технологиям даже для самых уязвимых пользователей в социальных отношениях.

Для получения дополнительной информации:

https://www.repubblica.it/economia/2021/07/26/news/sembra_la_banca_ma_e_un_truffatore_occhio_al_vishing_c_e_chi_ha_perso_migliaia_di_euro-311160470/

https://www.social-engineer.org/framework/general-discussion/social-engineering-defined/

https://www.researchgate.net/publication/232505985_The_mindlessness_of_ostensibly_thoughtful_action_The_role_of_placebic_information_in_interpersonal_interaction

https://www.difesaonline.it/evidenza/cyber/diversity-inclusion-la-cyber-tutela-delle-fasce-deboli 

Медленные и быстрые мысли - Даниэль Канеман | Оскар Мондадори

Фото: веб