Психология жертв и мошенников
Материал, в котором разбираются три схемы с применением социальной инженерии. Схемы очень банальны, вряд ли вообще кто-то на это купится, но главная ценность статьи не в них, а в анализе поведения жертв и мошенников.
Вы знаете — мошенникам нужны ваши деньги. Поскольку в нашем случае деньги лежат на банковском счету, или, проще, «на карточке», то, чтобы добраться до них, мошенники прибегают к разным стратегиям. Что здесь особенно интересно — в конечном счете во всех этих случаях именно поведение потенциальной жертвы определяет успех мошеннической операции. Вариантов такого поведения на самом деле не так много, и, познакомившись с примерами подобных ситуаций, можно научиться избегать их и давать отпор злоумышленникам.
Итак, для того чтобы ответить на ряд вопросов, а именно: «Что нами движет, когда мы ведемся на уловки мошенников?», «Какие эмоциональные процессы им помогают?», «Как не попадаться на удочку аферистов?» — давайте разберем три простые истории о том, как можно по неосторожности потерять все свои сбережения.
История первая, в которой Валера знакомится с таинственным администратором
Представьте, что Валере приходит в vk.com сообщение:
«Привет, Валера! Я администратор группы „Любители пончиков“, на которую ты подписан».
Допустим, наш герой действительно на нее подписан — любому постороннему человеку очень просто это узнать.
«Мы проводили конкурс и случайным голосованием выбрали тебя! Получай 1000 рублей (и сразу закупайся на них пончиками ахахах)!»
Валера-то и рад, но вы уже, вероятно, догадались, что будет дальше:
«Пришли фотку карточки мне в личку, мы тебе переведем твой приз!»
Наиболее опытные из вас качают головами и говорят: «Примитив какой-то!» Мы согласны, но даже такая простая схема, к сожалению, часто срабатывает. Если среди вас есть те, кто все-таки немного сомневается, настолько ли страшно выложить в открытый доступ фотографию своей банковской карты, то скажем сразу: да, настолько. Так уж сложилось, что на вашу карту нанесена вся информация, необходимая для онлайн-платежей. По той простой причине, что PIN-код, которого нет на карте, интернет-магазин у вас скорее всего не потребует, так как не имеет на это права. К счастью, платежная информация хотя бы разбита на две части, и на лицевой стороне карточки изображено не все: там есть номер карты, срок ее действия и имя владельца, но нет CVV — еще одного номера, расположенного с обратной стороны. Но — теперь плохие новости — для многих интернет-магазинов информации с лицевой стороны карты вполне достаточно.
Но обратите внимание на еще одну особенность этой простой схемы «развода»: у Валеры никто не просит денег, их ему предлагают. Если ознакомиться с корпусом научной литературы по психологии мошенничества (на самом деле огромным), то окажется, что ученые давно научились описывать и объяснять когнитивные принципы, которыми пользуются аферисты. Среди этих принципов обязательно будет значиться пункт о необходимости установить с жертвой доверительные отношения. Доверию дают разные определения, вот одно из них, применимое непосредственно к психологии мошенничества: «доверие — это состояние уязвимости или риска, которое возникает из-за неуверенности индивида в мотивах, намерениях и предполагаемых действиях тех, от кого он зависит в данный момент». Обычно незнакомцу, претендующему на ваши деньги, сложно бывает втереться к вам в доверие. Наверняка вы знаете, как нелепо выглядят разводы «старой школы», вроде «Привет, я адвокат миллионера из Нигерии, он умер и оставил тебе наследство, но сперва переведи мне деньги за страховку». В этом случае никакой неуверенности у вас не возникнет: вы на 100 процентов знаете, что это мошенник.
Что же меняется в истории с Валерой? То, что денег у него никто не просит, а наоборот, речь идет о том, что деньги отправят ему на карту! И в наш век бесконтактных платежей это предложение выглядит вполне прилично. Более того, одно из исследований мошеннических схем показало, что готовность совершать рискованные финансовые операции — статистически значимая величина, в надежде на которую мошенники и ищут свои потенциальные жертвы.
Чтобы лучше разобраться в данной ситуации, мы обратились за комментарием к нашему эксперту Наталье Ошемковой, клиническому психологу и коучу.
Мошеннику будет легче вас обмануть, если вы действительно участвуете в каком-то конкурсе. Или если конкурс с условием, что все члены группы автоматически принимают в нем участие, действительно опубликован на стене. Или если в распоряжении мошенника есть еще какая-то надежная правдивая информация. Есть такой тип косвенного внушения, который называется «последовательность принятия» («yes set»): после нескольких утверждений, с которыми человек неминуемо соглашается (неважно, явно вслух или про себя), он готов легче принять и более сомнительное предложение. Соответственно, когда вам сообщают несколько достоверных фактов, это уже хорошая база для установления доверия.
На месте Валеры можно поступить просто: вместо фотографии послать «администратору группы» номер карты в виде набора цифр и спокойно наблюдать, как тот удаляет Валеру из друзей и идет искать новую жертву. А на любые уговоры в духе: «Нет, номера мало, нужна еще дата и три цифры с оборотной стороны», — надо приучить себя реагировать, как на предупреждение о ядерной атаке. Имея такой набор сведений, мошенники смогут совершить по вашей карте любой онлайн-платеж, и вам будет не до пончиков.
История вторая, в которой на Павла грозно ругаются сотрудники банка
У Павла звонит телефон. Увидев незнакомый номер и робко сняв трубку, наш герой слышит примерно следующее:
«Добрый день, Павел, я звоню вам из банка ***. Ну как же вы так не уследили? Вашу карту пытались взломать, наверное, вы ею в ненадежных местах расплачивались: на вокзалах, в уличных банкоматах деньги снимали, было такое?»
Пока Павел судорожно пытается сообразить, что на это ответить, давайте разберемся в том, что происходит. Тактика мошенников в этом случае совсем не такая, как в предыдущей истории. О подобных приемах отлично рассказывает на своем сайте Сэм Антар — в прошлом крупный мошенник, а ныне бухгалтер-криминалист. Вместо того чтобы по-доброму втираться в доверие, мошенники решили вести разговор с авторитетных позиций и сразу возложить вину на несчастного клиента. Как ни странно, такое вполне может сработать! Да и вопросы про вокзал и уличный банкомат — неспроста: вероятность того, что потенциальная жертва хоть раз делала что-то подобное, очень велика, поэтому как только Павел ответит: «Ну да, снимал пару раз деньги в банкомате на улице», — его вина будет окончательно подтверждена: «Ну вот видите! Еще немного, и плакали бы ваши денежки».
Но бравые «сотрудники банка» непременно спасут Павла и защитят его сбережения от любых покушений.
«Давайте проверим, действительно ли вы владелец карты: диктуйте мне номер по четыре цифры и проверочный код на обороте».
В этом случае идея та же, что и в первой истории, — украсть данные карты для онлайн-платежей.
Или может быть и так: «Продиктуйте мне PIN-код, после чего мы вновь активируем вашу карту».
А вот здесь все серьезнее: PIN совершенно бесполезен для оплаты онлайн, но зато незаменим при покупке с помощью физической карты. Так что если мошенники хотят узнать ваш PIN, то очень вероятно, что ваша карта уже у них или они планируют ею завладеть. Вариантов масса: вы теряли карту, а вам ее потом вернули (скопировав заранее); вы отдали карту официанту, чтобы самому не идти к терминалу, ведь «он у нас у барной стойки, не вставайте, я могу сам отнести»; вы стали жертвой скимминга и вашу карту скопировали с помощью поддельного терминала или считывающего устройства, спрятанного в корпусе банкомата, за которым никто внимательно не следит. Именно поэтому, кстати, уличные банкоматы — не лучший выбор места, чтобы снять деньги.
Какие еще лингвистические приемы могут здесь сработать? «Как только пришлешь мне фотографию карточки, сразу получишь свой приз». Заметили разницу? Сказано то же самое, но говорящий как будто уже не сомневается в ваших действиях, как будто у вас и нет никакого выбора. Есть и другие варианты «выбора без выбора». Например: «Вам будет удобнее подтвердить свою личность, назвав PIN-код или код из SMS-подтверждения?»
Наконец, давайте посмотрим на еще один крайне изобретательный вид мошенничества.
История третья, в которой Елизавета сталкивается с темной стороной «Авито»
Елизавета хочет продать через «Авито» свою старую вязальную машину. Вещь специфическая, но вдруг кому пригодится? На ее объявление тут же откликается покупатель, звонит или пишет в WhatsApp:
«Хочу ваш товар, отправьте его посылкой в Сыктывкар, только деньги я буду переводить из-за границы, из Караганды, поэтому пришлите мне ваши ФИО и номер счета карты для оплаты/предоплаты».
Тут все в порядке. Действительно, из других банков, тем более зарубежных, иногда бывает невозможно перевести деньги прямо на карту, нужно переводить на счет. И заметьте, покупатель опять не предлагает ничего пересылать ему, а вместо этого сам рвется отправить деньги. И даже не просит фотографий или другой очевидно «разводческой» информации.
Далее Елизавете вновь пишет тот же покупатель, сообщает, что вот прямо сейчас будет переводить, а вскоре за этим ей звонят с номера банка. Тут снова становится интересно, так как подобный звонок многократно усиливает доверие к абоненту: ведь телефон крупного банка украсть не просто! Мы опять наблюдаем, как развивается традиционная схема установления доверия: чем выше риск, ощущаемый человеком, тем выше его необходимость в доверии. Мошенники в этом случае поступают очень последовательно, откладывая самые подозрительные шаги на самый конец, но одновременно припасая на потом козыри вроде «звонка из банка». Выше риск — выше доверие.
Кстати, сделаем короткое отступление: площадки вроде «Авито», к сожалению, дают мошенникам довольно много ключей к сердцу (а через него и к деньгам) потенциальной жертвы. Так, внимательно изучив объявление продавца, мошенники часто тратят значительное время на то, чтобы хорошенько проработать свою легенду. Представим, что продается какая-нибудь довольно специфичная деталь, например радиатор системы охлаждения для УАЗ «Патриот». После недолгого поиска в интернете можно найти массу тем на форумах, из которых становится ясно, что замена этого радиатора — очень популярная проблема. Там же можно почерпнуть множество баек из жизни и даже состряпать «свою» грустную историю. С такой подготовкой мошеннику будет несложно в ходе обстоятельного разговора убедить даже опытного продавца в том, что перед ним действительно заинтересованный покупатель, а не любитель легкой наживы. А как мы уже знаем, где доверие, там и риск.
Но вернемся к истории Елизаветы, которой, напомним, «звонят из банка»:
«Тут на вас надвигается перевод прямо из-за границы, надо получить. А для этого, будьте добры, перешлите отправителю разовый код, который вам сейчас придет по SMS».
Опытные читатели и здесь усмехнутся: «Ага, щас», — и будут совершенно правы. Выработав рефлекс «никому не сообщать никакие данные своей банковской карты, за исключением ее номера», принимайтесь за освоение следующего, касающегося одноразовых кодов и паролей, которые вам присылает банк. Они — для вас и только для вас, третьим лицам их пересылать нельзя. Весь смысл двухэтапной верификации (а одноразовые пароли — важная ее часть) в том, чтобы банк мог двумя независимыми способами убедиться: вы — это вы. Первый способ — данные вашей карты, а второй — одноразовый секретный код, который пришел на ваш телефон.
Еще одна известная психологам уловка: нам очень не нравится терять то, чем мы уже обладаем (даже мысленно). Если вам пообещали деньги на том же «Авито», вы какое-то время обсуждали, как их удобнее перевести, возможно, даже получили задаток (иногда мошенники закидывают небольшую проверочную «приманку» в размере пары сотен рублей, чтобы убедить жертву в своей искренности) и начали прикидывать, на что пустите полную сумму, — то расстаться с этими мысленно уже потраченными деньгами, даже несмотря на настораживающие сигналы, вам будет трудно. Вообще полезно завести привычку как минимум брать время на обдумывание ситуации. «Извините, мне очень неудобно сейчас говорить, вы могли бы перезвонить через 15 минут?» Спешка — тоже частый элемент подобного мошенничества, потому что в условиях дефицита времени у нас включаются готовые схемы разрешения ситуаций, а не полноценное рациональное мышление. И, конечно, иногда вам будут давить на чувства. На жалость, на страх (не решите проблему прямо сейчас — карта будет в опасности!), на уверенность («да ладно, ты что, боишься?») и так далее. Найдите и выучите удачную фразу, которой вам будет удобно отвечать, своеобразный якорь, за который можно держаться в разговоре. «Конечно, я внимательно отношусь к своей платежной информации». «Да, я забочусь о своих деньгах». Любую формулировку по душе, которая будет напоминать вам о верной установке.
Как работает афера, на которую почти попалась Елизавета? На самом деле, все начинается с номера вашего телефона. Поскольку большинство онлайн-банков сегодня поддерживают вход по номеру телефона, эта дверь выглядит особенно привлекательной для мошенников. Раздобыть телефон, имя и фамилию определенного человека не так уж и трудно, для этого существуют, например, социальные сети. А вот узнать, в каком банке человек держит счет, — это задача посложнее. И тут на помощь приходят сервисы объявлений вроде «Авито». И, как ни странно, мишенью часто становятся именно продавцы: во-первых, они оставляют свой номер телефона, а во-вторых, они ждут от клиента оплату, поэтому охотно делятся банковской информацией.
Сообщив мошенникам номер счета, Елизавета позволила им узнать, в каком банке она хранит деньги. Номер телефона, оставленный в объявлении о продаже машинки, это логин для входа в мобильный банк. Еще, конечно, есть пароль, который мошенникам неизвестен, но вот незадача: его можно автоматически сбросить и создать новый, а что для этого требуется? Правильно, номер счета (не карты!) и номер телефона. После этого все, что осталось мошенникам, это пройти двухэтапную авторизацию. «Звонок из банка» — их единственный шанс успешно завершить свою аферу. Используя IP-телефонию, в принципе, можно подделать любой номер, что и произошло в данном случае. Елизавета, увидев номер банка, расслабилась, но вовремя спохватилась, вспомнив, что одноразовый номер нельзя доверять вообще никому. Кстати, проверить, действительно ли вам звонят из банка, несложно — попросите сообщить детализацию вашего счета или любую другую информацию, к которой у сотрудника банка точно есть доступ. Мошенник на этом моменте гарантированно сольется.Мы не зря привели пример с «Авито», так как на последних майских праздниках наблюдался пик мошеннических операций по приведенной схеме. К счастью, если придерживаться элементарных правил безопасности, можно отбиться даже от таких изощренных покушений.
Подытожим?
Данные своей карты необходимо охранять. Если деньги переводят вам, плательщик не нуждается ни в каких других данных, кроме номера карты и ФИО. Самая неприкосновенная информация, касающаяся вашей карты, — это срок ее действия, ПИН-код и CVV (три цифры на обороте). Их следует беречь особенно тщательно и не сообщать никому, даже если вдруг у вас о них спросят в отделении банка. Всякое бывает.
Наконец, секретные одноразовые коды — они на то и секретные одноразовые коды, чтобы оставаться известными только законному владельцу карты. Ни под каким предлогом не расставайтесь с ними.
Ну а коли что случилось — мигом звоните или бегите в банк, там вам помогут, а может, и пончиками угостят.