Сегодня во всем мире интернетом пользуются более 5 миллиардов человек, и это число постоянно растет. В 2021 году в России насчитывалось 124 миллиона интернет-пользователей — на 6 миллионов больше, чем в предыдущем. Почти 70% россиян регулярно заходят в соцсети: именно там (а еще в онлайн-магазинах и на прочих интернет-платформах) мы нередко выкладываем конфиденциальную информацию о себе. Неудивительно, что в сети появляется все больше тех, кто охотится за нашими личными данными. Что такое социальная инженерия и как не попасться на уловки манипуляторов, рассказывают доктор психологических наук, ведущий научный сотрудник факультета социальных наук и департамента психологии Софья Нартова-Бочавер и доктор психологических наук, заведующий Лабораторией когнитивных исследований Факультета психологии ИОН РАНХиГС Владимир Спиридонов.
Два способа принять решение
В последнее десятилетие стало ясно, что такие этические категории, как ложь и обман, вполне уместны и в научном контексте — так, ими особенно интересуются поведенческая экономика и социальная психология. В психологии область, которая изучает феномен обмана, лежит на пересечении психологии индивидуальности, психологии принятия решений, психологии управления и психологии морали. Здесь исследуют различные варианты воздействия, которые включают манипуляцию чужим сознанием и поведением, ведь обманом можно назвать любую ситуацию, при которой манипулятор побуждает нас принять решение, отвечающее не нашим, а его интересам.
В информационном пространстве — главным образом, в интернете и по телефону — обманным путем у пользователя чаще всего пытаются выманить деньги или личную информацию. Манипулятор в данном случае — это нарушитель закона, а его «жертва» — это, человек, принимающий решение, о котором десять минут назад даже не задумывался. В социальной инженерии существует целый набор социально-психологических рецептов, цель которых — проманипулировать сначала сознанием, а потом и поведением человека. Главным в психологии обмана оказывается воздействие на процесс принятия решений.
Психолог Даниэль Канеман первым описал двухступенчатую модель принятия решения, согласно которой, делая выбор, человек может задействовать два уровня мышления. Система первого уровня отталкивается от стереотипов и позволяет нам очень быстро, хоть и не всегда рационально, реагировать на ситуацию: мы применяем выученный паттерн поведения и в новых обстоятельствах действуем как обычно. Например, когда человеку рассказывают, что ему грозит опасность или что у него крадут деньги, он, чтобы этого избежать, в первую очередь прибегает к набору стереотипных действий.
Система второго уровня — это рациональное мышление, которое и позволяет разобраться, что нас обманывают. На этом этапе человек сопоставляет и фильтрует информацию, отделяя полезные сведения от бесполезных или даже вредоносных, и в итоге принимает взвешенное осознанное решение. Но так как на этом уровне задействуется более медленный и энергозатратный когнитивный процесс, сознательный контроль над принятием решения, как правило, включается позже и реже. Исследования в области экономической психологии говорят о том, что мы малорациональные и достаточно спонтанные существа — например, часто покупаем совсем не то, за чем пришли.
Злоумышленники стараются всячески стимулировать первый автоматизированный механизм принятия решений, поэтому в ситуации стремительного манипулятивного воздействия жертва зачастую не успевает критически оценить входящую информацию. Более того, психология обмана состоит в том, чтобы побудить человека принять невыгодное для него решение, сочетая правдоподобную информацию с неправдоподобной, истинную — с ложной. Кроме того, фокус внимания у человека довольно узкий, и если он направлен на работу, бытовые задачи или управление автомобилем, на критический анализ информации ресурсов остается немного. Большинство манипуляторов в попытках повлиять на процесс принятия решения апеллируют именно к такой ситуации.
Фишинг, вишинг, смишинг
Сегодня самый распространенный способ манипуляции в интернете — это фишинг (от англ. phishing, искаженного fishing «рыбная ловля», «вылавливание», «выуживание»). В этом случае злоумышленник отправляет пользователю электронное письмо, которое выглядит, как сообщение от банка, онлайн-магазина, социальной сети или другой вызывающей доверие организации. В письме говорится, что аккаунт пользователя пытались взломать, замечена подозрительная активность, требуется подтвердить личные данные или пройти по ссылке, чтобы оплатить покупку или получить купон на скидку. Заглотив «наживку», получатель нажимает на ссылку или открывает вложение к письму — и оказывается «на крючке» у тех, кто таким образом получает доступ к конфиденциальной информации.
Другой распространенный прием — это фишинг по телефону, или вишинг (от англ. voice «голос» и phishing). Человеку звонят и, представившись следователем, специалистом техподдержки или сотрудником службы безопасности банка, выманивают у него личную информацию, например, реквизиты банковской карты. Жертва добровольно сообщает номера и коды, с помощью которых можно получить доступ к денежному счету. Еще одна разновидность фишинга — смишинг (от англ. SMS и phishing), то есть использование смс-переписки и мессенджеров в тех же целях, чаще всего, для выманивания финансовой информации. Такие текстовые сообщения содержат ссылки на вредоносный сайт или программное обеспечение, которое крадет персональные данные.
Претекстинг (от англ. pretext «предлог», «повод») предполагает, что автор атаки основательно подготовился и будет действовать по сценарию, заранее разработанному для конкретного человека. Он мог выяснить его имя, дату рождения, номер паспорта или карты человека, чтобы войти в доверие и выудить другие ценные сведения: CVV-код или пароль от интернет-банкинга. Кстати, большую часть подготовительной информации можно собрать из открытых интернет-источников вроде социальных сетей, пользователи которых добровольно выкладывают в свободный доступ самые разные сведения. В конце концов, некоторые используют так называемый «плечевой серфинг»: он распространен в транспорте, магазинах, кафе, барах и прочих общественных местах.
Личное информационное пространство
В современном мире, перенасыщенном информацией, мы тратим огромное количество усилий на то, чтобы защититься от нее, выбрать из нее первостепенное и истинное, а остальное отвергнуть. Попросту говоря, информации слишком много — как и каналов ее распространения. В таких условиях на человека очень легко оказать воздействие; более того, на основе личных данных, которые пользователь сам выкладывает в открытый доступ, манипулятору не составит труда нарисовать психологический портрет, чтобы затем установить с человеком доверительный контакт.
Все осложняется еще и тем, что феномен приватности, то есть неприкосновенности личного (в т. ч. информационного) пространства, сегодня обесценен — так же, как и понятие психологических границ. Между тем, вопросы информационной безопасности и психогигиены исключительно важны и связаны между собой. Психология давно изучает такое качество, как открытость — открытость опыту, или интеллектуальную открытость, — которая хороша в меру. Помимо открытости человек должен владеть навыком периодически «закрываться», выстраивать личное пространство и фильтровать информацию. Люди, не умеющие выстраивать информационные границы, с большей вероятностью оказываются объектами воздействия.
Как нас стремятся обхитрить
Большинство техник социальной инженерии основано на одних и тех же приемах, призванных активировать бессознательную ступень принятия решений и помешать рациональной оценке происходящего. Для этого часто используют эффект неожиданности, например, звонят среди ночи, чтобы застать человека в уязвимом физиологическом состоянии: в силу слабой включенности сознания он вряд ли сможет защитить свои интересы. Или нас ловят в определенном эмоциональном состоянии: например, почти каждый человек периодически находится в стрессе и потому не может вовремя дать отпор, или пребывает в состоянии умиротворения и полного доверия миру, — а в этот период мы вовсе не намерены защищаться от недоброжелателей. Другая техника заключается в том, чтобы дать понять: времени нет, нужно действовать быстро, иначе случится нечто ужасное.
Например, женщине, у которой есть сын подросткового возраста, поступает звонок: в трубке испуганный юношеский голос очень быстро, сбивчиво, полушепотом что-то говорит, произнося “ключевые слова” (мама, проблема, срочно). Голос трудно узнаваем, и подавляющее большинство матерей в первые секунды пойдут на поводу у обманщика.
Пользователям также могут присылать одинаковые безликие письма или смс, похожие на стандартную рассылку, в расчете на то, что человек машинально кликнет на вредоносное вложение, пропустив процесс рационализации своего действия. Казалось бы, прием совершенно иной, но он тоже обращен к спящим участкам нашего сознания — как и мягкое гипнотизирование тоннами бессвязной информации. В этом случае манипулятор быстро заваливает собеседника большим объемом противоречивых или сложных для усвоения данных, тем самым сбивая его с толку. Например, человек сидит в офисе и занят работой; раздается телефонный звонок из банка: ему начинают рассказывать, что замечена подозрительная активность с его картой и нужно перевести все деньги на запасной счет. Поскольку нечто подобное действительно могло произойти, а фокус внимания жертвы направлен на рабочие задачи, велика вероятность того, что обман удастся. Воспринимая сразу несколько слоев информации, мы часто пропускаем важные детали и реагируем с опозданием.
Еще одна типичная технология — провокация ответов согласия. В начале разговора просят подтвердить несколько деталей: «Я разговариваю с Иваном Ивановичем?» — «Да», «Это ваш номер телефона?» — «Да», «Я правильно понимаю, что у вас есть счет в таком-то банке?» — «Да». Считается, что после трех таких «да», доверительный контакт уже наполовину установлен и вероятность того, что мы назовем звонящему, например, секретный код, возрастает.
Еще одна категория людей, которым трудно говорить «нет», — это авторитетные фигуры вроде полицейских, банковских служащих, представителей международных организаций; мошенники могут представиться ими, чтобы вызвать у жертвы доверие и желание слушаться. Кроме того, мы начинаем доверять собеседнику, когда чувствуем себя в комфортной ситуации: например, если нам дают понять, что-то или иное действие — это способ обезопасить всех участников сделки. В любом случае, стоит помнить, что обманщики используют эти и другие манипулятивные стратегии в расчете усыпить критическое мышление и спровоцировать на опрометчивые стереотипные реакции.
Как противостоять
Универсальный рецепт защиты от любого обмана — это разумное недоверие. Оно связано в первую очередь с самоконтролем, то есть с умением не повестись на свою первую реакцию, а прибегнуть к той самой двухпроцессной системе принятия решений. Поскольку приемы манипуляторов направлены на то, чтобы ограничить работу системы второго уровня (чтобы жертва, не успев подумать, совершила действие в ущерб себе), сопротивляться им можно, занимаясь развитием самоконтроля в стрессогенных ситуациях. Каждый раз, прежде чем совершить необдуманный поступок, стоит включить критичность и разобраться, что происходит.
Произвольный контроль за принятием решений требует серьезных когнитивных усилий, но облегчить задачу могут технологии из социальной психологии, например, универсальное правило, основанное на модели коммуникации Гарольда Лассуэлла. Получив любое сообщение (из газеты, из социальной сети, от соседа) нужно проанализировать его по пяти пунктам: кто, кому и что именно сообщает, по какому каналу происходит коммуникация, а главное — с какой целью. Чего хочет добиться человек, который говорит или пишет то, что я сейчас воспринимаю? Хочет ли он меня напугать, с кем-то поссорить, к чему-то побудить? Ответив на эти вопросы, человек с большей вероятностью станет прислушиваться к самому себе, а не к собеседнику, и принимать автономные (а не гетерономные) решения.
Кроме того, важно укреплять самооценку, чтобы уметь как можно раньше сказать манипулятору «нет». Каждый делает это по-своему: кто-то проговаривает «нет» словами, кто-то прерывает контакт, кто-то блокирует телефонный номер, кто-то использует имажинативные техники — фантазии и образы.
Софья Нартова-Бочавер:
— Чтобы увидеть возможные интересы того, с кем мы сейчас разговариваем, можно попробовать мысленно подняться на высоту птичьего полета или даже в космос и несколько секунд понаблюдать за ситуацией. Кому-то легче построить стеклянную стену между собой и собеседником. Также можно мысленно посадить человека в некий стеклянный сосуд, который уходит в небеса, — и пусть он там разговаривает: мы его не слышим, мы ему не отвечаем. Все это — усилия, направленные на принятие автономных решений, на выстраивание информационных и других психологических границ, на способность выделиться из толпы и не быть массовым человеком, ведь именно свойства массового человека эксплуатируются всевозможными мошенниками.
Помимо сознания, в процессе принятия решений могут играть роль ощущения человека, которые складываются в том числе из пережитого в прошлом опыта и информации, поступающей от всех органов чувств в данный момент. Такой всесторонний анализ (Какие ощущения вызывает у меня этот человек? Он мне симпатичен? Мне нравится его голос?) может обеспечить мгновенный скрининг ситуации и часто выручить даже при недостатке какой-либо конкретной информации. В конечном счете, у нас есть масса возможностей защититься от воздействия, которое направлено на нарушение наших интересов.
Правила безопасных покупок в интернете от Авито:
Сегодня в интернете совершаются миллионы сделок ежедневно. Даже те покупки, которые пока невозможно оформить полностью удаленно, часто планируются с использованием интернет-платформ (например, на них люди ищут квартиру или машину). С ростом пользователей интернета растет и вероятность встретить среди них одного нечестного, общение с которым может испортить опыт онлайн-шоппинга. Поэтому важно соблюдать простые и универсальные для всех площадок правила.
Никогда не передавайте посторонним данные банковских карт, в том числе CVV/CVC-код банковской карты или коды из СМС-сообщений от банка;
Не переходите по незнакомым ссылкам, которые присылают посторонние пользователи;
Оформляйте покупки только на официальных проверенных сайтах (веб-платформах или приложениях). По возможности используйте сервисы безопасных сделок — в этом случае деньги хранятся на защищенном счете и перечисляются продавцу только после получения товара покупателем. А если товар будет утерян или поврежден при доставке, вам компенсируют убытки.
Обсуждайте подробности сделок только во встроенном мессенджере проверенного сайта или через звонки на данной платформе. Крупные интернет-платформы внедряют технологии для безопасности: например, Авито защищает своих пользователей с помощью искусственного интеллекта, который позволяет определять подозрительные ссылки или небезопасные действия.
ИСТОЧНИК: Постнаука https://postnauka.ru/longreads/157080