Как выяснилось, для совершения покупки необходимо было создать аккаунт, то есть зарегистрироваться в магазине, а для полной-преполной защиты персональных данных (а гражданка к защите своих персональных данных относилась достаточно серьезно) необходимо было придумать несколько вариантов пароля и ключевую фразу. Эффект был тот же, что и в предыдущем случае, а вложенные злоумышленниками средства и усилия с лихвой окупились.

Другая группа хакеров изощренными путями затягивала жертв регистрироваться на модном сайте, для активации аккаунта на котором, как писала администрация модного сайта, нужно ввести код безопасности, который будет высылаться посредством SMS на указанный пользователем абонентский номер.

Предвосхищая недоумение от простоты и гениальности данной затеи, следует заметить, что модный сайт просуществовал недолго, но несколько десятков успешных копирований содержимого электронной переписки с зарубежного почтового сервера было-таки проведено.

Итак, как уже упоминалось, ставшая очень популярной методика двухфакторной авторизации также не устояла под натиском социальной инженерии.

При целевой атаке на предприятие осуществляются тщательный подбор и анализ сотрудников. В каких-то случаях доступ можно получить, введя в заблуждение новенького сотрудника компании, представившись системным администратором или сотрудником службы безопасности.

В любом случае, перед атакой злоумышленники могут воспользоваться доступными способами сбора информации о человеке или организации, основанными на использовании открытых источников (OSINT, или также называемой public intelligence)[15].

Рис. 1.14. Упрощенная схема сбора информации перед атакой

Статистика же показывает, что сотрудникам финансового департамента (бухгалтерии) закинуть наживку проще, что доказано на практике хищений денежных средств посредством использования систем дистанционного банковского обслуживания. Связано это, возможно, с тем, что в нашей стране постоянно что-то меняется в формах и видах отчетности в налоговых, пенсионных и других важных государственных структурах, в связи с чем бухгалтеры потоком по электронной почте получают всевозможные рассылки новостей, дополнительных инструкций, вестников, калькуляторов и программ.

После предварительного сбора списка подходящих сотрудников организации производится сбор данных об их сфере деятельности, зонах ответственности и связях. Затем злоумышленники на основе анализа полученной информации приступают к разработке сценариев атак.

С точки зрения психологии атака с использованием социальной инженерии всегда идет в обход аналитических инструментов разума. Она действует преимущественно на уровне эмоциональной сферы. Основатель экспериментальной психологии Вильгельм Максимилиан Вундт небезосновательно рассматривал роль чувств и эмоций в поведении человека. Согласно Вундту, вследствие физического истощения ассоциативные наклонности начинают преобладать над другими побуждениями.

Переосмыслив это, можно понять, что движет человеком, вводящим свой пароль при фишинг-атаке или открывающим документ якобы из налогового органа, пришедший в пятницу под конец рабочего дня.

Часто при атаке эксплуатируются различные чувства человека: сострадание, тщеславие, страх и другие, побуждая человека выполнить определенное действие, лишь бы поскорее отделаться от упавшей на него проблемы. Нередко атакующим удается сыграть на жажде легкой наживы, боязни потерять деньги, работу или репутацию.

При целенаправленной атаке учитывается доверчивость пользователя к знакомым адресам электронной почты, которая выражается в использовании для взлома одного человека через почту его знакомого или близкого человека.

Для восприятия реальности и истинных целей операций мозг жертвы может перегружаться информационной атакой, сходной по действию с DoS-атакой[16].

В качестве доказательств наличия простых уязвимостей человеческого разума можно привести простой пример психологии — эффект Струпа (англ. Straopeffect). Так называют задержку реакции при прочтении слов, когда цвет слов не совпадает с написанными словами, к примеру слово «синий» написано красным. Мозг воспринимает цвет, но он реагирует на слово, которое пишется первым.