Социальная инженерия

Социальная инженерия – это метод получения необходимого доступа к информации, основанный на особенностях психологии людей.

1. Теряют бдительность.

2. Легко верят полученной информации, независимо от ее источника.

3. Считают соблюдение политики информационной безопасности пустой тратой времени и сил.

4. Недооценивают значимость информации, которой владеют.

5. Искренне хотят помочь каждому, кто об этом просит.

6. Не осознают пагубных последствий своих действий.

1. Авторитетность

Людям свойственно желание услужить человеку с авторитетом (властью). Злоумышленник получит нужный ответ, если человек уверен, что спрашивающий имеет власть или право задавать этот вопрос.

Пример:

Злоумышленник пытается выдать себя за авторитетное лицо одного из подразделений организации (например, руководителя IT-подразделения) или должностное лицо, выполняющее задание организации.

2. Умение расположить к себе

Люди имеют привычку удовлетворить запрос располагающего к себе человека или человека со сходными интересами, мнением, взглядами, либо бедами и проблемами.

Пример:

В разговоре злоумышленник пытается выяснить увлечения и интересы жертвы, а потом с энтузиазмом сообщает, что это ему близко. Также он может сообщить, что он из той же школы, места, или что-то похожее. Злоумышленник может даже подражать жертве, чтобы создать сходство, видимую общность.

3. Взаимность

Когда кто-то делает что-то для нас, мы чувствуем желание отплатить взаимностью. Эта сильная черта человеческой натуры проявляется тогда, когда получивший подарок не ждал (не просил) его.

Пример:

Злоумышленник звонит по случайному номеру в организации и представляется работником Службы техподдержки, опрашивающим, есть ли какие-либо технические проблемы. В случае, если они есть, в процессе их «решения» работник отвечает на многочисленные вопросы злоумышленника, зачастую, не задумываясь сообщая злоумышленнику конфиденциальную информацию (например, пароли, учетные записи), вводит команды, которые позволяют злоумышленнику запустить вредоносное программное обеспечение.

4. Ответственность

Люди имеют привычку исполнять обещанное. Пообещав, мы сделаем все, потому что не хотим казаться не заслуживающими доверия.

Пример:

Злоумышленник связывается с подходящим новым работником организации, выдает себя за работника подразделения и предлагает придумать сложный пароль для доступа к информации. Мошенник пытается давать рекомендации по выбору пароля и в целом довольно ответственно (в глазах сотрудника) подходит к своим обязанностям. Когда сотрудник говорит свой пароль, то мошенник утверждает, что пароль правильный и предлагает его сохранить. Сотрудник следует его указанием, так как чувствует, что согласился с человеком и не хочет его подвести.

5. Социальная принадлежность

Людям свойственно не выделяться в своей социальной группе. Действия других являются гарантом истинности в вопросе поведения.

Пример: мошенники приезжает в подразделение с проверкой и называют друг друга по имени. Человек верит им, так как это реальные имена сотрудников компании.

6. Ограниченное количество «бесплатного сыра»

Одна из потенциально опасных для безопасности информации человеческих черт – вера в то, что объект делится частью информации, на которую претендуют другие, или что эта информация доступна только в этот момент.

Пример:

Злоумышленник рассылает электронные письма, сообщающие, что первые 300 зарегистрировавшихся на новом сайте выиграют 3 билета на премьеру фильма. Когда ничего не подозревающий человек регистрируется на сайте, его просят ввести адрес электронной почты и пароль. Многие люди, даже не задумываясь, введут запрашиваемые данные.