Под определение "Социальная инженерия", многие подразумевают управление человеком. Так ли это? Сегодня мы постараемся это узнать.
Так что же такое "Социальная инженерия"? Коротко и о главном.
Социальная инженерия - способ управления действиями человека без использования технических средств (за исключением средств связи), или, как принято у хакеров - это атака на человека. Обычно метод используется для получения доступа к различным видам конфиденциальной информации: будь то страничка в социальной сети или секретные документы какой-нибудь организации. Социальная инженерия считается одним из самых разрушительных и опасных методов, так как может нанести непоправимый ущерб целой компании. Метод основан на слабостях человека, его чувствах, неопытности, использование чего может привести к фатальным последствиям. Однако социальная инженерия не всегда используется в незаконных целях. Например, во время уголовного следствия, что бы разговорить преступника или свидетеля. А как вы думаете, почему агенты КГБ и ЦРУ в фильмах такие «крутые»? Потому что могли представиться кем угодно и выведать самую секретную информацию.
Сам термин "социальная инженерия" появился недавно, и особенно его популяризовал Кевин Митник. Однако известно, что в Древнем Риме и Греции всегда были в почёте люди, которые умели навешать лапшу на уши любому человеку и убедить в своей правоте. Они всегда вели переговоры и могли без проблем вывести целый город из ситуации, когда могло потребовать применение оружия. В 70-х во время расцвета фрикинга социальная инженерия приобрела огромную популярность среди юных хакеров, которые чуть подправив свои фразы, не редко могли заставить сотрудников телефонной компании чувствовать себя виноватыми и в порыве эмоций говорить секретную информацию. Эти же хакеры зачастую и развлекались бесплатными междугородними и интернациональными звонками. В то время социальная инженерия и приобрела свой первоначальный смысл. Звонок по телефону мог решить многие проблемы. Появление компьютеров очень расширило возможности социальных инженеров и дало новые просторы для творчества. В ход пошло всё: электронная почта, социальные сети, форумы и т. д. Чем не удача? Тем самым само понятие социальной инженерии очень расширилось с появлением информационных технологий.
Главный смысл
Основа социальной инженерии – введение в заблуждение человека. К этому могут относиться выдача себя за другого человека, нагнетание обстановки, отвлечение внимания. Рассмотрим самый простой случай. В офис приходит посторонний человек, представляется Васей Пупкиным из технического отдела, и говорит, что в компьютерах компании найдена уязвимость, и её нужно срочно устранить. Тем самым синжер (т. е. социальный инженер) не только узнаёт пароль от компьютера, а заодно и запускает вирус.
Социальная инженерия очень универсальный метод, его можно применять к любым системам, где есть человек. А он есть везде. Недаром говорят, что человек – слабейшее звено в любой защите. Так же социальная инженерия даёт возможность узнать данные напрямую от человека, а не занимать поиском уязвимостей в системе, или пытаться выведать пароль перебором. Единственная сложность – найти правильный подход к каждому человеку. Хотя, профессиональные синжеры почти всегда действуют экспромтом, полагаясь только на свои чувства.
Защита
Единственным надёжным средством защиты является антропогенная защита, то есть защиты самого человека. К этому может относиться, например, повышение квалификации персонала в области безопасности или хоть маленькие руководства, как поступать в таких-то ситуациях, даже просто «ЦУ». Но, в конечном счёте, всё зависит от конкретного человека, независимо от того, работает он в компании, или он обычный пользователь социальной сети. При любой «посылке», будь то по телефону, под дверь, или на e-mail, человеку всегда необходимо осознавать «что, от кого, кому, зачем и почему». Если не знаешь, лучше не трогать и проигнорировать. Если не уверен, посоветуйся с другими. Так же имеет место и техническая защита, в частности, фильтрация от спама, дополнительные системы шифрования, captha. Но и их можно обойти.