К сожалению, сайт не работает без включенного JavaScript. Пожалуйста, включите JavaScript в настройках вашего браузера.

Обмани меня, если сможешь: как знание психологии хакеров влияет на кибербезопасность

Фото Getty Images
Фото Getty Images
Регулярные сообщения о кибератаках и вызванных ими сбоях или утечках данных — наша новая реальность. По данным RED Security, с начала 2024 года число сложных кибератак на крупный бизнес выросло на 60%. Аналитики отмечают, что особенно часто мишенями хакеров становились организации сфер промышленности, финансов и телекома, а в 2025 году атаки станут сложнее и организованнее. О том, почему хакеры всегда оказываются на шаг впереди систем безопасности и как использовать психологию для предотвращения взломов, рассказывает CEO компании Xello Александр Щетинин

Несмотря на все усилия по защите от взломов хакеры часто опережают тех, кто обеспечивает безопасность IT-систем. Чтобы проникнуть в сеть, в ход идут самые разные средства: от поиска уязвимостей в сервисах и сетевых устройствах до социальной инженерии и искусственного интеллекта. Одним из эффективных средств для обнаружения вторжений и защиты от действий злоумышленников стали системы, использующие не только технологические решения, но и знания о психологии хакеров. 

Telegram-канал Forbes.Russia
Канал о бизнесе, финансах, экономике и стиле жизни
Подписаться

Что движет злоумышленниками

Оценку действиям и мотивам хакеров не раз пытались давать психологи, социологи, специалисты по информационной безопасности. Самым распространенным мотивом к совершению киберпреступлений считаются деньги, однако всегда есть и другие: любопытство, жажда признания, протестные настроения и политические взгляды, месть. Кроме того, хакеры могут действовать в интересах государства, осуществляя кибератаки в рамках кибершпионажа или пропагандистских кампаний.

При этом попытки нарисовать цельный психологический портрет киберпреступника не получается: в разных исследованиях можно встретить девиантов (людей с девиантным, т.е. отклоняющимся, поведением) с психическими расстройствами и амбициозных интеллектуалов с высоким достатком. При этом сами киберпреступники часто представляют себя социальными революционерами, творцами, но не разрушителями, как их принято описывать в научной и художественной литературе. Нельзя утверждать, что ими движет исключительно корысть или жажда мировой справедливости. Например, Пол Тейлор в своем социологическом исследовании Hackers. Crime and the Digital Sublime выносит на первое место среди мотиваций хакеров любопытство. По его мнению, хакеры стремятся «все время проверять пределы расширяющихся возможностей компьютерных систем».

 
Материал по теме

В чем сходятся исследователи-теоретики и эксперты-практики, так это в том, что хакеры изобретательны, настойчивы и имеют огромный технический бэкграунд, позволяющий им находить новые способы взлома и обходить очень многие средства защиты информации. По данным Positive Technologies, 96% компаний можно взломать. С каждым годом появляются новые, более изощренные подходы, например отравление поисковой выдачи — метод, при котором злоумышленники продвигают вредоносные сайты в результатах поиска, маскируя их под легитимные ресурсы. Жертвы, переходя по таким ссылкам, загружают вредоносное ПО, которое может использоваться для кражи данных или удаленного доступа к устройству. И это притом, что по-прежнему в ходу фишинг, эксплуатация уязвимостей в веб-приложениях и другие давно известные подходы.

Предугадать, каким способом будет действовать злоумышленник для проникновения в корпоративную сеть, довольно сложно. Но когда он оказывается внутри, его действия становятся предсказуемыми. И вот здесь ловушка захлопывается.

 

Как привычная тактика подводит киберпреступников

Действия злоумышленника внутри системы шаблонны: он перемещается по сети от узла к узлу, от сервера к серверу или к компьютерам конечных пользователей в поисках нужной информации — учетных записей, баз данных,  документов. При этом для него критически важно оставаться незамеченным, маскировать свою активность под обычные действия пользователей. Например, участились случаи, когда хакеры не сливают базу с персональными данными целиком, а делают это небольшими порциями, по несколько десятков записей в течение длительного времени. Такая активность похожа на действия настоящих пользователей, и подобные запросы к базе данных не вызывают подозрения у систем безопасности. Хакеры могут находиться в сети до нескольких недель, исследуя ее и подбираясь к нужной информации. 

Материал по теме

Задача защиты в этом случае — выявить действия злоумышленника как можно раньше. Одним из методов является киберобман, создание ложных целей по всей сети компании. Для этого создаются поддельные учетные записи, базы данных и IТ-системы. Такие приманки и ловушки скрыты от пользователей компании и предназначены только для хакеров — они направляют их в изолированную среду, не связанную с основными системами организации.

Попав в ловушку или приманку, хакер теряет время и ресурсы, при этом ложные артефакты отправляют сигнал специалистам информационной безопасности, обнаруживая тем самым его действия.

 

Технологии или психология

В 2018 году команда ученых из США провела исследование, сравнив два типа киберобмана: технический (decoy-based) и психологический (psychological). 

В техническом подходе используются ложные ресурсы с данными, которые привлекают хакера. Для исследования создали ханипот (honeypot) — простую ловушку, которая имитировала компьютер в сети с очевидной уязвимостью. Ловушка регистрирует все попытки взаимодействия с ней, чтобы определить стратегию поведения хакера. 

Психологический киберобман заключался в предоставлении злоумышленнику информации о возможном наличии ловушек в сети. Исследователи предполагали, что это повлияет на ментальную модель атакующего и изменит его поведение. Например, зная о возможных приманках, хакеры действовали осторожнее, отказывались от рискованных методов атаки и чаще совершали ошибки.

Исследование показало, что эффективность психологического киберобмана выше технического. Осведомленность о применении ловушек в сети действительно влияет на эмоциональное состояние атакующего, заставляя его действовать осторожнее и менять тактику.

Материал по теме

Таким образом, технический и психологический киберобман мешают злоумышленникам, которые стремятся проникнуть в компьютерные системы и похитить информацию. Влияя на когнитивное и эмоциональное состояние атакующего, такие методы значительно снижают вероятность успешного взлома и проникновения в систему. Технология эффективна не только в случае, если атакующий знает о ее применении, но и когда он просто предполагает ее наличие — даже если это не так. 

 

Еще интереснее в этом разрезе эксперимент, который известен под названием «Исследование Тулароса». 

Участникам — опытным хакерам — предложили в качестве задания проникнуть в защищенную сеть. Но в отличие от аналогичных экспериментов здесь не было задано конечной цели, участники самостоятельно определяли то, что считать результатом. Хакеров разбили на контрольную (без применения киберобмана) и исследуемую группы, и каждую из них еще на две — половине каждой группы сообщили о возможном наличии ловушек в сети, а вторую половину оставили в неведении. Одна из гипотез предполагала, что знание о ловушках влияет на ментальную модель атакующего и тем самым меняет его поведение.

Исследование показало, что оба типа киберобмана эффективны, однако психологический тип оказывает более сильное воздействие в сравнении с техническим — он действительно меняет поведение атакующих. Системы приманок оказываются более эффективными тогда, когда злоумышленник предполагает их наличие в сети. Например, атакующие, которые знали о наличии киберобмана, реже пытались заполучить и использовать аккаунт администратора, предполагая, что это быстрее приведет их в ловушку. 

Демотивация как оружие против хакера

Как уже было сказано, хакеры проявляют осторожность, находясь внутри сети, часто они изучают ее неделями. Если в определенный момент они попадут в ловушку и пойдут по ложному следу, такая потеря времени может сильно демотивировать хакера — и тогда он либо бросит эту задачу, либо под влиянием негативных эмоций потеряет бдительность и выдаст себя раньше, чем достигнет цели. Злоумышленники часто продолжают искать ловушки и тратить ресурсы на ложные цели под влиянием убеждения о невозвратных затратах: человек продолжает придерживаться определенной стратегии, так как уже вложил в нее много времени или усилий.

 
Материал по теме

Но иногда знание о ловушках приводит к противоположному результату. Так, в исследовании Тулароса делается вывод о том, что, вместо того чтобы быть осторожными, участники старались действовать быстрее, чтобы найти источник киберобмана. Это приводило к более быстрому обнаружению подозрительной активности. 

Киберобман способен защитить конфиденциальные ресурсы компании уже после того, как совершен взлом и злоумышленник проник в сеть.  

Технический и психологический киберобманы могут эффективно влиять на киберпреступника, меняя его поведение и уменьшая успешность атак. Технический киберобман заставляет тратить время на взлом несуществующих серверов, а второй — принимать невыгодные решения. Сочетание подходов позволяет быстрее обнаруживать вторжения и вовремя останавливать злоумышленников.

Мнение редакции может не совпадать с точкой зрения автора

 
Материал по теме