Социальная инженерия — это метод управления действиями человека без использования технических средств. Метод основан на использовании слабостей человеческого фактора и считается очень разрушительным.
Социальный инженер работает с жертвой посредством воздействия на основные закономерности человеческой психики, манипулируя подсознательными механизмами человека в виде склонностей и желаний. Такими, как :
- 1.желание быть хорошим
- 2.склонность отвечать взаимностью
- 3. склонность следовать за большинством
- 4.склонность исполнять негласные публичные обязательства
- 5. склонность гнаться за дефицитными вещами
- 6. и склонность доверять авторитету.
Кроме того, большинство людей самопроизвольно доверяют тому, что им говорят другие, редко подвергая сказанное сомнению. Совокупность этих аспектов человеческой природы представляет собой рабочий арсенал социального инженера.
Простые примеры социальной инженерии:
1.Провоцирование
Провоцирование, оно же троллинг, это способ, при котором жертву выводят из себя, и в порыве гнева она не способна сдерживать информацию, соответственно, получить необходимую информацию тогда гораздо проще.
Пример
Ну это, как в сказке иван царевич и серый волк. Главный злодей был разозлён и из-за этого совершил грубейшую ошибку, сказал, что будет делать всё назло заложникам. Далее ему сказали, что-то вроде я буду очень зол если ты меня развяжешь. Пример грубоват, зато понятен будет всем.
2.Влюблённость
Влюблённость, это способ когда социальный инженер влюбляет в себя свою жертву, после чего аккуратно выуживает из неё всю информацию, а в особо “тяжёлых” случаях спрашивает напрямую.
Пример
Нечто подобное было описано в видео overbafer1, там он показывал, как создал страницу от имени девушки, нашёл потенциальную жертву, начал с ней переписку и через несколько аудиозаписей (ясно какого содержания) и некоторое время переписки, он уже мог получить очень многое, будь то 50 рублей на телефон или практически любую частную информацию.
3.Безразличие
Приём, при котором атакующий симулирует безразличие к какой либо теме, важной для жертвы. Нужно понимать, что не всегда человек будет переубеждать вас, а если вы скажете, что вам это не важно, а потом проявите интерес, это будет как минимум странно. Поэтому важно, чтобы жертва сама захотела вас переубедить!
Пример
У главы охранной компании банка есть подруга, и однажды этот глава разговорился с ней о своей работе, но она этот разговор прекратила, сказав, что ей неинтересна его работа, он же, любя и уважая свю работу, начал её переубеждать. Там как повезёт, либо он будет доказывать только на словах, либо и в банк проведёт, и коды от системы безопасности ей покажет.
4.Спешка
В этом способе манипулятор изображает, якобы нужно сделать всё быстро , тем самым отнимает у жертвы последнее время на раздумья. И она под гнётом спешки делает то, что нужно манипулятору.
Пример
Такое случается очень часто. Приходит СМС с текстом - “Мам, срочно, нужно 1000 рублей на этот номер”. Разумеется, если вы мужчина, вы не можете быть чьей либо матерью, вы посмеётесь и закроете сообщение. Но если вы мать, так ещё и немолодая, то вы , не раздумывая, отправите, скорее всего. А свою ошибку вы осознаете позже.
5.Откровенность
Здесь, всё проще некуда. Согласитесь, если вы долгое время (2-3 месяца) общаетесь с человеком, и знаете о нём всё, как вам кажется, вы доверяете ему. Если он у вас что-либо попросит вы, конечно, спросите, зачем ему это, однако в итоге скорее всего отправите ему то, что от вас требуется, будь то деньги (в адекватных пределах) или какая-либо информация.
Пример
У вас есть знакомый, с которым вы общаетесь около полугода, знаете где он живёт, как его зовут, его номер, говорили с ним по телефону, знаете его голос, даже видели несколько его фото, и тут он пишет, что ему нужно 1000 рублей, вам не сложно, но возникает вопрос - зачем? Ответ получен - нехватает на оплату кредита, притом он ранее говорил, что он взял кредит. Всё сходится, ему действительно нужны деньги - отправлю! Деньги отправлены, ровно также, как и вы в чёрный список. Конечно, не думаю, что злоумышленник за свои полгода времени потребует всего 1000 рублей, но смысл ясен.
6.Провоцирование
Провоцирование, оно же троллинг, это способ, при котором жертву выводят из себя, и в порыве гнева она не способна сдерживать информацию, соответственно, получить необходимую информацию тогда гораздо проще.
Пример
Ну это, как в сказке иван царевич и серый волк. Главный злодей был разозлён и из-за этого совершил грубейшую ошибку, сказал, что будет делать всё назло заложникам. Далее ему сказали, что-то вроде я буду очень зол если ты меня развяжешь. Пример грубоват, зато понятен будет всем.
7.Влюблённость
Влюблённость, это способ когда социальный инженер влюбляет в себя свою жертву, после чего аккуратно выуживает из неё всю информацию, а в особо “тяжёлых” случаях спрашивает напрямую.
Пример
Злоумышленник создал страницу от имени девушки, нашёл потенциальную жертву, начал с ней переписку и через несколько аудиозаписей (ясно какого содержания) и некоторое время переписки, он уже мог получить очень многое, будь то 50 рублей на телефон или практически любую частную информацию.
8.Безразличие
Приём, при котором атакующий симулирует безразличие к какой либо теме, важной для жертвы. Нужно понимать, что не всегда человек будет переубеждать вас, а если вы скажете, что вам это не важно, а потом проявите интерес, это будет как минимум странно. Поэтому важно, чтобы жертва сама захотела вас переубедить!
Пример
У главы охранной компании банка есть подруга, и однажды этот глава разговорился с ней о своей работе, но она этот разговор прекратила, сказав, что ей неинтересна его работа, он же, любя и уважая свю работу, начал её переубеждать. Там как повезёт, либо он будет доказывать только на словах, либо и в банк проведёт, и коды от системы безопасности ей покажет.
9.Спешка
В этом способе манипулятор изображает, якобы нужно сделать всё быстро , тем самым отнимает у жертвы последнее время на раздумья. И она под гнётом спешки делает то, что нужно манипулятору.
Пример
Такое случается очень часто. Приходит СМС с текстом - “Мам, срочно, нужно 1000 рублей на этот номер”. Разумеется, если вы мужчина, вы не можете быть чьей либо матерью, вы посмеётесь и закроете сообщение. Но если вы мать, так ещё и немолодая, то вы , не раздумывая, отправите, скорее всего. А свою ошибку вы осознаете позже.
10.Откровенность
Здесь, всё проще некуда. Согласитесь, если вы долгое время (2-3 месяца) общаетесь с человеком, и знаете о нём всё, как вам кажется, вы доверяете ему. Если он у вас что-либо попросит вы, конечно, спросите, зачем ему это, однако в итоге скорее всего отправите ему то, что от вас требуется, будь то деньги (в адекватных пределах) или какая-либо информация.
Пример
У вас есть знакомый, с которым вы общаетесь около полугода, знаете где он живёт, как его зовут, его номер, говорили с ним по телефону, знаете его голос, даже видели несколько его фото, и тут он пишет, что ему нужно 1000 рублей, вам не сложно, но возникает вопрос - зачем? Ответ получен - нехватает на оплату кредита, притом он ранее говорил, что он взял кредит. Всё сходится, ему действительно нужны деньги - отправлю! Деньги отправлены, ровно также, как и вы в чёрный список. Конечно, не думаю, что злоумышленник за свои полгода времени потребует всего 1000 рублей, но смысл ясен.
Защитные меры:
Я представлю несколько простых шагов, которые помогут устранить это досадное упущение и смягчить воздействие социальных инженеров:
- Кибербезопасность — это не та работа, которую можно свалить на «парней-безопасников», или которую ИТ-отдел может делать в одиночку. Прежде всего сотрудники должны понимать, что социальные инженеры могут причинить ущерб как непосредственно им самым, так и организации, в которой они работают. Значительная часть подходов к обеспечению защиты от социальной инженерии сводится к здравому смыслу. Однако далеко не каждая уязвимость очевидна;
- 2.Крайне важно предупреждать всех сотрудников на всех уровнях о характере угрозы социальной инженерии и о последствиях взлома. Если у вас нет политики безопасности, которая учитывает возможные вторжения социального инженера, разработайте ее. Она должна включать в себя правила, регламентирующие работу с паролями с голосовой почтой, правила обработки подозрительных звонков, правила взаимодействия с неопознанными посетителями и т. д.;
- 3.Какую бы форму политика безопасности не приняла, ваша образовательная система должна усиливать и поддерживать осведомленность сотрудников, мотивировать их заботиться об информационной безопасности. Для оказания большего эффекта эта политика должна быть зафиксирована письменно;
- 4.Кроме того, поскольку людям уже приелись стандартные инструкции, нужно находить новые способы, чтобы донести до них это важное послание. Образовательные подходы могут включать в себя ролевые игры, напоминания по электронной и голосовой почте, а также колонки по безопасности в корпоративной газете и интрасети.
- Вы также можете отмечать уровень осведомленности сотрудников об информационной безопасности в отчетах производительности сотрудников и в ежегодных обзорах. Вы даже можете попробовать что-то вроде «печенья с предсказаниями» в столовой, размещая в них советы по безопасности. В последнем случае судьба, например, может посоветовать:
- «Никогда не используй в качестве пароля дату рождения своего ребенка».
- Наконец, никакие тренинги и политики не будут работать, если каждый сотрудник не возьмет ответственность за проблему кибербезопасности лично на себя. Ключ к пробуждению личной заинтересованности сотрудников заключается в том, чтобы связать важность решения этой проблемы с их личными интересами. Очевидный, но не самый эффективный способ для этого — премии за надлежащую кибергигиену и штрафы за игнорирование политики кибербезопасности.