Где нас обманывают?

Глава 6. Выуживание информации без прямого запроса

Определение

Выуживание информации — это получение полезных сведений через разговор, уточнения, дружелюбие, мнимую помощь или бытовые вопросы без прямого требования “сообщите секрет”.

История и контекст применения

В разведывательных, мошеннических и корпоративных сценариях ценная информация часто собиралась не через взлом, а через обычный разговор: кто отвечает за платежи, кто в отпуске, какой сервис используется, как зовут руководителя, когда будет перевод.

Психологический механизм

Люди охотно помогают, исправляют ошибки собеседника и заполняют пробелы. Если вопрос выглядит безобидно, защитная реакция не включается.

Нейробиологическая основа

Социальная кооперация и желание поддержать разговор снижают вероятность жёсткого фильтра. Особенно это заметно при дружелюбном тоне, комплименте, общей принадлежности или просьбе “просто уточнить”.

Где применяется

- телефонные разговоры

- социальные сети

- корпоративная переписка

- собеседования и деловые встречи

- службы поддержки

- офлайн-разговоры у стойки или входа

Почему работает

Работает потому, что отдельный фрагмент кажется безопасным, но несколько фрагментов собираются в карту доступа: имена, роли, расписания, привычки, поставщики, номера заказов, внутренние процедуры.

Пошаговая схема безопасного распознавания

Определить, какую информацию пытаются уточнить.

Проверить, зачем собеседнику это знать.

Оценить, можно ли использовать ответ для доступа, платежа или имитации доверия.

Не исправлять подозрительные “ошибки” собеседника.

Отвечать общими формулировками или переводить в официальный запрос.

Фиксировать повторяющиеся вопросы.

Сообщать ответственным при признаках сбора информации.

Признаки применения

- вопросы кажутся бытовыми, но касаются ролей, графиков, систем или процедур

- собеседник просит подтвердить детали

- вопросы распределены по разным каналам

- источник ссылается на знакомых или общий проект

Красные флаги

- “а кто у вас обычно согласует платежи?”

- “руководитель сейчас на месте?”

- “какая у вас система входа?”

- “просто подтвердите последние цифры”

- “я, кажется, ошибся в адресе, подскажите правильный”

Защита

- не подтверждать внутренние сведения неизвестным источникам

- переносить запрос в официальный канал

- использовать минимально достаточный ответ

- не публиковать лишние рабочие сведения в открытом доступе

- обучить команду правилу: безобидные детали тоже могут быть чувствительными

Ограничения метода

Не каждый уточняющий вопрос опасен. Риск зависит от контекста, идентификации источника и потенциальной полезности ответа для обхода процедур.

Практические примеры

Пример 1. “Подскажите, Иван сегодня в офисе?” — безопаснее ответить: “Передайте запрос на общий адрес, его обработают”.

Пример 2. “Какая у вас CRM?” — для внешнего собеседника это может быть избыточная информация.

Кейсы

- Кейс: мошенник узнал имя бухгалтера из сайта и использовал его в письме. Разбор: открытая информация стала элементом доверия.

- Кейс: сотрудник подтвердил отпуск руководителя. Разбор: это помогло сценарию срочного платежа.

Упражнения

- Проведите аудит открытых сведений о себе или компании.

- Составьте список информации, которую нельзя подтверждать неизвестным людям.

Контрольные вопросы

- Почему “безобидная” информация может быть опасной?

- Чем подтверждение отличается от раскрытия?

Вывод

Выуживание редко выглядит как атака. Его защита — не подозрительность ко всем, а правило минимального раскрытия и официального канала.

Глава 7. Перенаправление на целевое действие

Определение

Перенаправление на целевое действие — это момент, когда весь сценарий сводится к конкретному шагу: сообщить код, перейти по ссылке, открыть файл, оплатить, изменить реквизиты, установить приложение, подтвердить вход или передать доступ.

История и контекст применения

В старых схемах целевым действием были наличные, подпись, передача документа или устное согласие. В цифровой среде оно часто принимает форму клика, ввода кода, разрешения доступа, установки приложения или подтверждения операции.

Психологический механизм

Человек может спорить о легенде, но пропустить момент действия. Манипуляция становится опасной именно тогда, когда обсуждение превращается в выполнение.

Нейробиологическая основа

При длительном напряжении простая инструкция даёт ощущение выхода. Чем дольше человек удерживался в сценарии, тем привлекательнее становится “сделайте один шаг, и всё закончится”.

Где применяется

- коды подтверждения и OTP

- ссылки на формы

- вложения и архивы

- удалённый доступ

- платежи и переводы

- изменение реквизитов

- подписание документов

Почему работает

Работает потому, что целевое действие часто выглядит маленьким: один код, одна ссылка, одна галочка, одна доплата. Но именно этот шаг может открыть доступ или создать необратимые последствия.

Пошаговая схема безопасного распознавания

Спросить: “Что конкретно от меня хотят сделать?”

Классифицировать действие: деньги, доступ, данные, подпись, файл, публикация.

Оценить обратимость.

Проверить источник и необходимость действия.

Отделить проблему от предложенного способа решения.

При красном уровне риска не выполнять действие вообще.

Возвращаться только к штатному процессу.

Признаки применения

- после длинного объяснения появляется простая инструкция

- шаг подаётся как формальность

- действие выполняется в нестандартном канале

- последствия объяснены размыто

Красные флаги

- “просто назовите код”

- “просто откройте файл”

- “просто подтвердите вход”

- “просто оплатите 1 рубль”

- “просто установите приложение”

Защита

- коды и пароли не передаются никому

- ссылки открываются только из официального приложения или сайта

- вложения проверяются через источник и безопасность

- доступы выдаются только по регламенту

- платежи и реквизиты проверяются через callback и второе лицо

Ограничения метода

Некоторые целевые действия легитимны. Поэтому задача не в запрете всех действий, а в том, чтобы каждое необратимое действие прошло проверку источника, канала и основания.

Практические примеры

Пример 1. “Для отмены перевода назовите код”. На самом деле код может подтверждать вход или перевод.

Пример 2. “Откройте счёт во вложении”. Вложение может быть техническим входом в компрометацию устройства.

Кейсы

- Кейс: человек ввёл код на сайте, похожем на банк. Разбор: целевое действие было замаскировано под проверку.

- Кейс: сотрудник изменил реквизиты поставщика по письму. Разбор: действие требовало второго подтверждения.

Упражнения

- Составьте список действий, которые вы никогда не делаете из входящего сообщения.

- Для каждого действия определите официальный путь выполнения.

Контрольные вопросы

- Почему важно искать целевое действие?

- Какие действия требуют красного уровня проверки?

Вывод

Сценарий можно слушать, но действие нельзя выполнять без проверки. Защита фокусируется на моменте перехода от слов к шагу.

Глава 8. Протокол независимой проверки

Определение

Протокол независимой проверки — это заранее установленная последовательность действий, которая позволяет проверить источник, событие и запрос вне канала давления.

История и контекст применения

В корпоративной безопасности независимая проверка давно используется для платежей, доступа и изменений реквизитов. В бытовой защите тот же принцип применим к банкам, доставкам, родственникам, объявлениям, госуслугам и онлайн-покупкам.

Психологический механизм

Готовый протокол снижает нагрузку на человека в стрессе. Не нужно заново придумывать ответ: есть правило, которое автоматически разрывает сценарий.

Нейробиологическая основа

Предварительное правило помогает перевести поведение из реактивного режима в процедурный. Оно снижает зависимость от эмоции момента и возвращает контроль через заранее выбранную последовательность.

Где применяется

- подозрительные звонки

- сообщения о деньгах

- ссылки и вложения

- изменение реквизитов

- запросы кода или доступа

- срочные просьбы знакомых

- корпоративные поручения

Почему работает

Работает потому, что атакующий рассчитывает на импровизацию жертвы, а протокол убирает импровизацию. Решение принимает не испуганный человек в моменте, а заранее установленное правило.

Пошаговая схема безопасного распознавания

Остановить контакт.

Не использовать ссылки, номера и реквизиты из сообщения.

Найти официальный канал самостоятельно.

Проверить событие: существует ли проблема, платёж, заказ, запрос.

Проверить источник: имеет ли человек или организация право требовать действие.

Проверить действие: нужно ли оно и обратимо ли оно.

Возобновить процесс только в штатном канале или отказаться.

Признаки применения

- проверка возможна через независимый источник

- официальный канал подтверждает или опровергает событие

- источник не возражает против паузы

- действие можно выполнить безопасным способом

Красные флаги

- источник злится на паузу

- официальный канал не подтверждает событие

- просят вернуться в подозрительный канал

- контакты в сообщении отличаются от официальных

- действие нужно выполнить “секретно”

Защита

- создать личные правила для денег, документов и доступов

- хранить официальные контакты отдельно

- использовать двухканальное подтверждение для платежей

- не делать исключений из-за статуса собеседника

- после инцидента обновлять правила

Ограничения метода

Протокол не гарантирует стопроцентной защиты, если официальный канал уже скомпрометирован или человек сам нарушает правило. Поэтому для крупных рисков нужен второй независимый человек или формальный регламент.

Практические примеры

Пример 1. Входящий звонок “из банка” завершается, затем пользователь сам открывает приложение и проверяет уведомления.

Пример 2. Письмо об изменении реквизитов проверяется звонком по старому номеру договора и подтверждением вторым сотрудником.

Кейсы

- Кейс: человек не перезванивает по номеру из письма, а открывает сайт самостоятельно. Разбор: канал отделён от источника.

- Кейс: компания вводит правило двух подписей для новых реквизитов. Разбор: сценарий BEC теряет силу.

Упражнения

- Напишите собственный протокол проверки для банка, работы, доставки и родственников.

- Составьте список доверенных контактов, которые не берутся из входящего сообщения.

Контрольные вопросы

- Почему протокол должен быть заранее?

- Какой канал считается независимым?

Вывод

Независимая проверка — основной защитный механизм Части I. Она не спорит с легендой, а выводит решение из среды, где легенда управляет человеком.

Сводная матрица раздела 1

Сценарный элемент: Легенда

Что делает атакующий: Создаёт объяснение контакта и срочности.

Что делает защищающийся: Проверяет факты вне легенды.

Уровень риска: Средний/высокий

Сценарный элемент: Имитация источника

Что делает атакующий: Использует роль, бренд, должность или знакомство.

Что делает защищающийся: Проверяет канал и полномочия.

Уровень риска: Высокий

Сценарный элемент: Захват канала

Что делает атакующий: Удерживает в звонке, чате, ссылке или поддельной форме.

Что делает защищающийся: Прерывает канал и переходит в официальный путь.

Уровень риска: Высокий

Сценарный элемент: Эмоциональная срочность

Что делает атакующий: Создаёт страх потери, штрафа, блокировки или упущения.

Что делает защищающийся: Вводит паузу и проверку.

Уровень риска: Высокий

Сценарный элемент: Запрет проверки

Что делает атакующий: Требует секретности или запрещает консультацию.

Что делает защищающийся: Считает это красным флагом.

Уровень риска: Красный

Сценарный элемент: Выуживание сведений

Что делает атакующий: Собирает маленькие фрагменты контекста.

Что делает защищающийся: Отвечает минимально и через официальный канал.

Уровень риска: Средний

Сценарный элемент: Целевое действие

Что делает атакующий: Сводит сценарий к коду, ссылке, платежу, доступу.

Что делает защищающийся: Не выполняет до независимой проверки.

Уровень риска: Красный

Сценарный элемент: Независимая проверка

Что делает атакующий: Пытается вернуть в свой канал.

Что делает защищающийся: Использует заранее установленный протокол.

Уровень риска: Защитный контур

Блок кейсов к разделу 1

- Кейс 1. Человеку звонят “из банка” и требуют назвать код для отмены операции. Разбор: заявленный источник не подтверждён, целевое действие — передача фактора доступа, риск красный.

- Кейс 2. Письмо от “службы доставки” просит оплатить 49 рублей по ссылке. Разбор: малая сумма снижает критичность, но канал оплаты поддельный.

- Кейс 3. “Руководитель” пишет в мессенджере и просит срочно перевести деньги партнёру. Разбор: высокая роль, новый канал, нарушение платежного регламента.

- Кейс 4. “Поставщик” сообщает об изменении реквизитов за час до платежа. Разбор: целевое действие необратимо, требуется callback по старому номеру.

- Кейс 5. Поддельная поддержка просит установить программу удалённого доступа. Разбор: канал контроля передаётся источнику.

- Кейс 6. Сообщение от знакомого аккаунта просит занять деньги. Разбор: аккаунт может быть взломан, нужна проверка голосом или старым каналом.

- Кейс 7. На сайте появляется таймер “аккаунт будет удалён через 10 минут”. Разбор: срочность подталкивает к вводу данных.

- Кейс 8. В офис звонят и спрашивают, кто согласует платежи. Разбор: выуживание контекста для дальнейшего сценария.

- Кейс 9. В письме есть вложение “акт сверки”. Разбор: ожидаемый документ не отменяет проверки отправителя и канала.

- Кейс 10. “Госслужба” сообщает о штрафе и просит оплатить через QR-код. Разбор: официальный статус должен проверяться через официальный портал.

- Кейс 11. В мессенджере предлагают инвестицию “только для своих”. Разбор: эксклюзивность, срочность, обещание выгоды и перевод вне регламента.

- Кейс 12. “Сотрудник безопасности” запрещает говорить с банком. Разбор: запрет проверки — самостоятельный красный флаг.

- Кейс 13. Под видом опроса собирают название банка, оператора и дату рождения. Разбор: фрагменты могут использоваться для следующего контакта.

- Кейс 14. “Коллега” просит прислать файл с клиентской базой на личную почту. Разбор: роль знакомая, канал и действие нештатные.

- Кейс 15. “Маркетплейс” присылает ссылку для возврата средств. Разбор: возврат должен проверяться в приложении, а не по входящей ссылке.

- Кейс 16. “Юрист” обещает срочно снять арест за предоплату. Разбор: страх и надежда соединены с быстрым платежом.

- Кейс 17. Звонящий знает имя и адрес, поэтому кажется настоящим. Разбор: знание деталей не доказывает полномочия.

- Кейс 18. В чате проекта появляется новый участник и просит доступ к папке. Разбор: требуется проверка через владельца проекта.

- Кейс 19. “Сервис подписки” сообщает о списании и предлагает отменить по ссылке. Разбор: тревога о потере денег переводит в поддельный канал.

- Кейс 20. Человек прекращает разговор, открывает официальное приложение и не находит проблемы. Разбор: независимая проверка разорвала сценарий.

Блок упражнений к разделу 1

- Разберите последнее подозрительное SMS, письмо или сообщение по восьми узлам: источник, легенда, канал, эмоция, срочность, запрет проверки, целевое действие, обратимость.

- Составьте личный список действий, которые нельзя выполнять из входящего сообщения: коды, ссылки, файлы, платежи, реквизиты, доступы.

- Опишите официальный канал проверки для банка, доставки, маркетплейса, работы, родственников и госуслуг.

- Напишите три фразы для безопасного прекращения звонка без спора и объяснений.

- Сделайте таблицу “роль источника — допустимое подтверждение — недопустимое действие без проверки”.

- Проведите аудит открытых данных о себе: какие сведения могут помочь имитации доверенного контакта.

- Смоделируйте безопасную проверку изменения реквизитов поставщика.

- Потренируйтесь отделять событие от инструкции: проблема может быть реальной, но предложенный способ решения — опасным.

- Составьте протокол паузы для ситуаций красного риска.

- После каждого подозрительного контакта делайте послесценарный разбор: где был вход, где эмоция, где целевое действие.

Блок самопроверки к разделу 1

- Что такое социальная инженерия в защитной логике?

- Почему социальная инженерия опасна не фразой, а сценарием?

- Какие восемь узлов входят в базовую модель сценария?

- Чем заявленный источник отличается от подтверждённого источника?

- Почему логотип, номер или уверенный голос не являются доказательством?

- Что такое предлог?

- Чем легенда отличается от факта?

- Почему совпадение с реальной ситуацией усиливает риск?

- Что такое захват канала?

- Почему нельзя пользоваться номером или ссылкой из подозрительного сообщения?

- Почему срочность требует не ускорения, а паузы?

- Почему запрет проверки является красным флагом?

- Что такое выуживание информации?

- Почему маленькие фрагменты сведений могут быть опасны?

- Что считается целевым действием?

- Какие целевые действия относятся к красному уровню риска?

- Что такое независимый канал проверки?

- Почему callback должен идти по старому известному номеру?

- Как заранее установленный протокол снижает риск?

- Какой главный вывод раздела 1 Части I?

Чек-лист первичной защиты от социально-инженерного контакта

- Я знаю, кто обращается, или только верю заявленной роли?

- Контакт пришёл через обычный штатный канал или через новый путь?

- Есть ли срочность, страх, вина, секретность или запрет проверки?

- Какая конкретная инструкция дана: код, ссылка, файл, перевод, доступ, подпись?

- Что будет, если я возьму паузу на 10–30 минут?

- Можно ли проверить событие через официальный источник, не используя данные из сообщения?

- Есть ли необратимые последствия: деньги, данные, доступ, документы?

- Нарушает ли просьба обычный регламент?

- Нужна ли вторая независимая проверка?

- Если источник сопротивляется проверке, почему?

Защитные формулы раздела 1

- “Я не выполняю действия из входящего сообщения. Проверю самостоятельно”.

- “Я завершаю разговор и сам свяжусь с организацией через официальный канал”.

- “Коды, пароли и доступы я никому не сообщаю”.

- “Изменение реквизитов подтверждается только по старому известному каналу”.

- “Если проверка запрещена, действие не выполняется”.

- “Срочность не отменяет регламент”.

- “При деньгах, доступах и документах нужна вторая проверка”.

- “Вернёмся к вопросу после письменной фиксации и проверки источника”.

Дополнение к мини-глоссарию

- Социальная инженерия: Сценарное обманное воздействие на человека для получения информации, доступа, денег или выполнения действия.

- Предлог: Объяснение, почему контакт происходит и почему адресат должен включиться.

- Легенда: Связная история, которая задаёт роль источника, проблему, срочность и действие.

- Имитация источника: Выдача себя за доверенное лицо, организацию или сервис.

- Захват канала: Удержание контакта в среде, где атакующий контролирует темп и инструкции.

- Выуживание информации: Получение полезных сведений через косвенные, бытовые или дружелюбные вопросы.

- Целевое действие: Конкретный шаг, ради которого построен сценарий: код, ссылка, платёж, доступ, файл, подпись.

- Независимая проверка: Проверка источника и события через канал, не предоставленный подозрительным сообщением.

Источники и опорные материалы

- CISA. Avoiding Social Engineering and Phishing Attacks: social engineering uses human interaction to obtain or compromise information and often exploits trust, urgency and familiar communication patterns.

- NIST CSRC Glossary. Social engineering: an attempt to trick someone into revealing information that can be used to attack systems or networks.

- NIST CSRC Glossary. Phishing: a digital form of social engineering using authentic-looking but bogus messages or websites to request information.

- NIST Phish Scale User Guide: a method for rating the human detection difficulty of phishing emails and social engineering cues.

- FTC Consumer Advice. How to avoid a scam: scammers often pretend to be trusted organizations, present a problem or prize, pressure people to act immediately and demand a specific action or payment method.

- FBI. Business Email Compromise: verify payment changes and transfer requests, be suspicious of secrecy and pressure to act quickly, and use two-step verification processes for wire transfers.

Переход к разделу 2 Части I

Дальнейшая логика Части I переходит от общей модели социальной инженерии к конкретным мошенническим каналам: телефонные звонки, SMS, мессенджеры, электронная почта, поддельные сайты, QR-коды, удалённый доступ и физический контакт. Для каждого канала нужно сохранять защитный фокус: распознавание, красные флаги, безопасная пауза, независимая проверка и отказ от необратимых действий до подтверждения.