Социальная инженерия: вводный урок и ответы на базовые вопросы.
- Что такое социальная инженерия?
Под термином социальная инженерия (СИ) подразумеваются сразу несколько понятий. Первое относится к социологии и обозначает совокупность методов, изменяющих человеческое поведение, обеспечивающих контроль над окружающими, их действиями. Эти подходы ориентированы на изменение организационных структур, так как самым уязвимым местом любой системы является человеческий фактор.
В каком-то роде социальная инженерия – это наука, а в сфере информационной безопасности под термином подразумевается незаконный метод получения информации.
- Чем занимается социальная инженерия?
Методология управленческой деятельности может быть использована не только в корыстных целях (для мошенничества и хакерства). Социальная инженерия в жизни применяется для решения проблем на производстве, в сфере общественного взаимодействия. Конструируя различные ситуации, специалисты в этой области предугадывают возможные ошибки и варианты поведения людей. Деятельность включает в себя такие процедуры, как:
анализ объекта деятельности;
оценка его состояния в настоящем и будущем;
разработка проекта нового состояния объекта;
прогнозирование вариантов развития внутренней и внешней среды;
реализация плана.
Как наука, социнженерия развивается по нескольким направлениям: занимается строительством социальных институтов (здравоохранения, образования и пр.), формированием региональных и местных сообществ, целевых групп и команд, строительство организаций. Социальную действительность можно изменить, пользуясь методами предвидения и прогнозирования, планирования и программирования.
- Социальная инженерия - психология
Методики и техники СИ заимствуются из практической психологии. Если говорить об использовании науки в обманных целях, очень важно понимать людям, которых затронула социальная инженерия, что это направление неотделимо от психологии и НЛП. Жертва может быть гораздо умнее и образованнее атакующего, но это не поможет ей избежать обмана. Приемы всегда направлены на рефлекторное и шаблонное поведение; они действуют в обход разума, интеллекта и осуществляются на уровне эмоций и подавлении внимания.
Главная цель обманщиков: вынудить объект поделиться своими данными, предоставить необходимую информацию, но для этого нужно быть немножко психологом.
- Социальная инженерия для начинающих
В последнее время социальная инженерия как наука динамично развивается, позволяя регулировать человеческое поведение и осуществлять контроль, но гораздо дольше она существует как методология атак. Профессионалы в этой области успешно обманывали людей на протяжении нескольких десятилетий, и всегда ставка делалась на человеческий фактор: любопытство, лень, страх. Чтобы не попасться в ловушку мошенников, нужно уметь распознавать основные приемы хакеров и понимать, что сведения, которые появляются в открытом доступе, могут быть использованы против тех, кто ими поделился.
- Социальная инженерия в социальных сетях
С повышением роли социальных сетей в жизни людей в них успешно применяются методы СИ. На личных страничках люди добровольно сообщают факты о себе и своих близких, охотно вступают в контакт даже с посторонними людьми, особенно если те представляются не тем, кем являются на самом деле. Мошенникам легко создать поддельную страницу любой влиятельной организации или известной фирмы и расставлять там свои «капканы». В открытом доступе все на виду, но ничего нельзя проверить.
Социальная инженерия и фейки с целью наживы и обмана распространены в социальных сетях. Здесь работают и другие приемы, основанные на любопытстве (желание зайти на интересную страницу, попытаться узнать больше о другом пользователе) и страхе (мошенники представляются сотрудниками органов и требуют доступ к аккаунту или просто предлагают установить антивирус). Атака социальной инженерии успешна, если мошенник действует смело и дерзко.
- Социальная инженерия и НЛП
Нейролингвистическое программирование (НЛП) представляет собой способ использования знаний, полученных из различных областей: лингвистики, нейрологии и психологии – с целью склонить оппонента к принятию «нужного» решения. Управление нервными процессами происходит с помощью языковых средств. Принципы социальной инженерии, базовые техники и убеждения взяты из НЛП. На жертву воздействуют «в реальном времени», требуя немедленного принятия решения, обращаются к подсознательным установкам индивида.
- Социальная инженерия - заработок
Использование техник приносит результат, и на манипуляции другими людьми можно неплохо подзаработать, но эти способы будут нелегальными, связанными с обманом граждан, несанкционированным получением информации и доступа к чужому кошельку. Социальная инженерия профессия – имеет место быть, но как разновидность социологии. «Продвинутые» инженеры нужны в бизнесе, органах управления и правопорядка, сферах общественной и хозяйственной жизни. Их задачи: оптимизировать управление, взаимодействие, решать возникающие проблемы.
Техники и приемы социальной инженерии основаны на ошибках и отклонениях поведения, мышления и восприятия. В основном они перешли в пользование манипуляторов из богатого арсенала спецслужб. Хитрость, игра на слабостях и психологии – все это и многое другое используется для получения от человека необходимой информации. Можно назвать базовые методы социнженерии «на все времена»:
спешка, создание дефицита времени, чтобы лишить оппонента времени на размышление и проверку данных;
провоцирование и ирония (с то же целью);
подозрительность и безразличие (чтобы у оппонента появилось желание оправдываться).
Мошенники, использующие методы СИ, постоянно их совершенствуют. Самая популярная схема обмана на сегодня носит имя фишинг (от англ. «рыбная ловля»). Это практика отправления электронных сообщений с целью выудить необходимые данные. Другие известные техники, которые применяет социальная инженерия: троянский конь (когда эксплуатируются алчность и любопытство объекта), перевоплощение или кви про кво (обманщик выдает себя за другого человека), претекстинг (разговор по подготовленному сценарию).
- Виды социальной инженерии
В зависимости от способа воздействия на объект обмана СИ делится на два основных вида: прямая и обратная социальная инженерия. Приемы первой были описаны выше, а во втором случае жертва сама обращается за помощью к атакующему. К этому человека вынуждают такие действия злоумышленников, как диверсия (создание обратимой неполадки), вовремя предложенная реклама услуг и оказание помощи. Главная цель обманщиков: вынудить объект поделиться своими данными, предоставить необходимую информацию, но для этого нужно быть немножко психологом.