Что такое социальная инженерия? Очень подробная статья собранная из основных частей.

Социáльная инженерия — совокупность приёмов, методов и технологий создания такого пространства, условий и обстоятельств, которые максимально эффективно приводят к конкретному необходимому результату, с использованием социологии и психологии. Социальная инженерия в контексте информационной безопасности относится к психологической манипуляции людей, которые приводят к совершению какого-либо действия или разглашению конфиденциальной информации. Это может быть злоупотребление доверием с целью сбора информации. Социальная инженерия часто является одним из многих шагов в более сложную схему мошенничества. В общем значении социальная инженерия - это акт манипуляции человеком, который провоцирует выполнить действие, которое может быть как в интересах человека, так и в интересах злоумышленника.




Несмотря на то, что информационная безопасность бесконечно совершенствуется, данные и объекты, представляющие интерес для взлома, защищают, прежде всего, люди. Обычные люди со своими страхами, предрассудками, комплексами и слабыми местами, на которых хакер может сыграть. |

Атакуя человека, который работает с нужной нам информацией, сервером или компьютером, мы пользуемся приемами социальной инженерии. Многие специалисты не без основания считают, что в ближайшем будущем социальная инженерия станет представлять наибольшую угрозу, так как технические средства все больше и больше совершенствуются, а люди так и остаются людьми. Человеческий фактор нужно учитывать постоянно. Например, работник честный, трудолюбивый, без видимых слабых сторон, надежный, как скала, – и ты думаешь, что его уже ничем нельзя взять. Уж он-то никогда не отдаст тебе корпоративные секреты своей компании! А тут вдруг по какой-то причине человеку понизили заработную плату, может, мировой финансовый кризис так сказался, а может, другие причины были у руководства, и все – человек уже обижен. На его обиде легко можно сыграть, добившись того, что ранее было невозможно.

Безусловно, применение приемов социальной инженерии требует не только знания психологии, но и умения собрать о человеке необходимую информацию. Выплескивая обиду в постах и оставляя различные комментарии, мы выдаем некоторую информацию о себе, не думая, что это может кого-то интересовать. Но все это может быть использовано против нас!


Поймав «жертву» на лжи, можно использовать психологическое давление, совершить какую-нибудь манипуляцию, сыграть на чувстве вины – и так далее. Это примитивный бытовой пример. Или подумай, как можно использовать найденную информацию о том, что у человека нестандартная сексуальная ориентация? Пригрозив рассказать об этом его окружению, можно добиться не только пароля на защищенную область корпоративного сайта, но и плотно держать человека на крючке. Именно такими приемами и найденным компроматом пользуются спецслужбы, имея своих агентов там, где это нужно. Так что недооценка человеческого фактора службами безопасности может быть если не фатальной, то приносящей значительный урон.



Цель того, кто использует приемы социальной инженерии, — управлять нами, проникнув в нашу систему мышления. Мошенники — настоящие эксперты в деле обнаружения человеческих слабостей и умеют обратить эти слабости себе на пользу. Они искусно манипулируют самыми разными человеческими эмоциями — алчностью, любопытством, щедростью, страхом. Чувство страха способно уберечь нас от беды — оно заставляет нас спасаться бегством от преследователя, бежать из здания, охваченного огнем, но это же чувство может быть использовано и против нас. И в результате люди становятся жертвами не только мошенников, но и самих себя — своих когнитивных искажений.

К слову, когнитивные искажения — это ошибки мышления, происходящие при обработке полученной нами информации. Человеку, чтобы принять решение, приходится обрабатывать массу информации, и иногда это надо делать очень быстро. Когнитивные искажения происходят тогда, когда нам надо быстро принять какое-то решение, — мы словно срезаем углы, чтобы скорее добраться к цели. Такое «срезание углов» чрезвычайно полезно в некоторых ситуациях — когда надо быстро уйти от опасности, как в случае с горящим зданием.

Грамотный социальный инженер естественно знает, как использовать когнитивные искажения и наряд с ними 'расставлять' другие ловушки мышления, разберем ниже некоторые из них.

Если вы в детстве каждое лето проводили с семьей на берегу озера, в котором с удовольствием плескались и плавали, вид водного пространства будет вас успокаивать, доставлять вам удовольствие. Но если вы в детстве чуть было не утонули, вид воды заставит вас ощущать беспокойство и страх. Ваши связанные с водой ощущения напрямую воздействуют на вашу реакцию, это эвристический аффект.

Эвристический аффект — это немедленная, «животная» реакция, когда вы принимаете решение мгновенно, на уровне эмоций. Например, если вам что-то нравится, вы решаете, что это что-то оказывает на вашу жизнь благотворное влияние. Грубо говоря, то, как вы себя чувствуете, влияет на то, как вы интерпретируете ситуацию.


Слова "отрицать проще, чем говорить напрямую" могут отнестись ко многим.

Для получения информации вы не должны спрашивать "У тебя сегодня был хороший день?", человек может скрыть правду и сказать "Да, естественно.", или вообще уйти от ответа. Лучше же утвердить "У тебя сегодня был такой хороший день, не то что у меня.", тогда человек с вероятностью 85% скажет правду, в нашем случае день прошёл не очень, и человек ответит "Нет, у меня он прошел, может, даже и хуже.".

Добиться желаемого результата от оптимистично настроенного человекалегче, ведь человек, который смотрит в будущее с чрезмерным оптимизмом, не готов к событиям негативным, но вполне возможным. Такой человек не делает сбережений на тот случай, если вдруг останется без работы. Или пренебрегает ежегодным профилактическим осмотром у врача. Если вы не делаете сбережений и регулярно не показываетесь к врачу, результаты могут оказаться самыми плачевными.



Рассмотрим несколько примеров социальной инженерии.

– ****** — это вид интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей — логинам и паролям. Это самый популярный метод социальной инженерии на сегодняшний день. Самый простой способ реализации данной схемы является письмо на электронную почту, например от банка. Чаще всего письмо от мошенников содержит Чаще всего ******овые сообщения содержат: сведения, например, о закрытии банковского счета; обещания о выигрыше огромного денежного приза; запросы о добровольных пожертвованиях от лица благотворительных организаций; грамматические ошибки, пунктуационные и другие; умышленный ошибки в данных пользователя, провоцирующие желание исправить их; имитацию поврежденного текста; адрес несуществующей электронной почты, в качестве адреса отправителя.

– «Дорожное яблоко». Этот метод атаки представляет собой адаптацию троянского коня, и состоит в использовании физических носителей. Статистика показывает, что наиболее распространенными являются атаки, реализуемые с помощью загрузки враждебного содержания. Злоумышленник подбрасывает «инфицированные» носители информации в местах общего доступа, где эти носители могут быть легко найдены, такими как парковки, столовые, или на рабочем месте атакуемого сотрудника. Носители оформляются как официальные для компании, которую атакуют, или сопровождаются подписью, призванной вызвать любопытство.

– Сбор информации из открытых источников. Применение техник социальной инженерии требует не только знания психологии, но и умения собирать о человеке необходимую информацию. Относительно новым способом получения такой информации стал её сбор из открытых источников, главным образом из социальных сетей. Как правило, пользователи не уделяют должного внимания вопросам безопасности, оставляя в свободном доступе данные и сведения, которые могут быть использованы злоумышленником.

– Обратная социальная инженерия. Под обратной социальной инженерией, понимают ситуацию, когда жертва сама предлагает злоумышленнику нужную ему информацию. На первый взгляд это может показаться маловероятным, но лица, обладающие авторитетом в технической или социальной сфере, часто получают идентификаторы и пароли пользователей и другую важную личную информацию просто потому, что никто не сомневается в их порядочности. Например, сотрудники службы поддержки никогда не спрашивают у пользователей идентификатор или пароль; им не нужна эта информация для решения проблем. Однако, многие пользователи ради скорейшего устранения проблем добровольно сообщают эти конфиденциальные сведения. Получается, что злоумышленнику даже не нужно спрашивать об этом.



Итог:
Социальная инженерия, как исключительно продуктивная методология принятия и реализации управленческих решений, требует дальнейшего развития и получения заслуженного признания
В любой сфере деятельности можно найти элемент социальной инженерии. Будь то информационная безопасность, медицина или политика. Социальная инженерия — это инструмент для достижения цели. Цель может иметь как отрицательный характер так и положительный. Но методы для достижения цели в том и другом случае схожи.