Современные информационные технологии/4. Информационная безопасность

Овчаренко М.А., Горюнов М.С., Токмакова М.В.

Национальный горный университет, Украина

Социальная инженерия

Социальная инженерия – это процесс манипуляции людьми или определенным человеком (личностью) с целью получения от этих людей или конкретного человека доступа к конфиденциальной информации или разглашения этой информации.

Для эффективной защиты информации используются различные способы в зависимости от ее типа, значимости и места хранения. На самом деле при этом наиболее уязвимыми и незащищенными остаются сотрудники, которые знакомы с такой информацией, имеют доступ к ней или знают способы его получения. Причем, нередко уязвимыми становятся те качества, которые мы ценим в людях - например, отзывчивость, преданность и доверчивость. Вся социальная инженерия построена на том, чтобы использовать человеческие слабости для изменения их поведения. Рассмотрим основные из них:

1.       Доверчивость. Это качество заложено в каждом человеке. Доверчивость напрямую связана с ленью (многие считают, легче поверить человеку на слово, чем утруждать себя проверками правдивости его слов).

К тому же некоторые собеседники просто не решаются открыто заявить, что собеседник говорит неправду, и предпочитают рискнуть поверить, надеясь на его честность. Большую роль в вопросе доверия играют детали, о которых мы сознательно не задумываемся, но которые определяют нашу реакцию - верить человеку, или нет.

Пожалуй, главный фактор доверия - уверенность в себе. Если кто-то говорит авторитетным голосом знатока, не допускающего возражений - люди могут поверить в любую им сказанную чушь (конечно, речь не идет о всем известных истинах), но в вещах, о которых человек не знает или в которых хотя бы сомневается - можно легко склонить его мнение в нужную сторону. Хороший способ создать иллюзию своей правдивости - сделать несколько заявлений, которые, как известно собеседнику, точно правдивы, и в то же время подмешать в них несколько лживых доводов. Человек видит, что собеседник говоришь правду, автоматически воспримет как правду и ложь.

2.       Страх. У каждого из нас свои страхи. Не обязательно это боязнь темноты или, к примеру, пауков. Можно испытывать страх показаться нелепым в какой-то ситуации, страх за последствия не выполненного поручения, страх перед чем-то неизвестным. Существует большое множество страхов, которые могут заставить человека пойти на самые необдуманные поступки, чтобы от них избавиться. Злоумышленник может использовать комплекс вызвав у собеседника один из страхов и сыграв роль "освободителя".

Страх является хорошим стимулом доверия - это естественная защитная реакция организма. Напуганного человека больше заботит, как выйти из этого неприятного состояния, чем мысль о том, что страх может оказаться результатом блефа. Каждый из нас подвержен тем или иным страхам в большей или меньшей степени, но есть такие, которые сильно влияют практически на всех людей. Это: угроза своей жизни, страх потерять близкого человека, боязнь одиночества, страх перед болью, боязнь не осуществить поставленные цели и т.п.

3.       Жадность. Желание людей быстро обогатиться настолько велико, что часто затмевает все мысли. Для использования жадности злоумышленником в своих корыстных целях нужно всего лишь узнать о ценностях и необходимостях человека и пообещать это ему (рекламу, информацию, предмет для коллекции и т.д.).

4.       Отзывчивость. Манипулирование злоумышленником сознания с помощью отзывчивости достаточно сложно и заключается в том, что он незаметно (на уровне подсознания) дает понять человеку, что он может рассчитывать на его помощь. При этом злоумышленник нуждается в получении некоторой информации.

5.       Превосходство. Превосходство - это состояние, в которое периодически погружает нас наше подсознание, чтобы дать возможность испытать столь приятное чувство победителя.

Злоумышленник может попытаться навязать обратную мысль. При этом срабатывает защитная реакция собеседника и в этот момент злоумышленник может в качестве доказательств правдивости услышанной информации потребовать дополнительную информацию, которую в обычном случае ему никто бы не дал. Для самоутверждения собеседник излагает искомую злоумышленником информацию. Методика превосходства сложна тем, что злоумышленник манипулирует ей очень тонко и практически никогда не спрашивает о нужной ему информации прямо, а пытается доведаться незаметно для собеседника.

Играя на людском самолюбии злоумышленник так же может заставить человека что-то сделать для него предварительно поощрив его.

Методы защиты от воздействия социальной инженерии

К простейшими методами защиты от воздействия социальной инженерии можно отнести:

·       привлечение внимания людей к вопросам безопасности;

·       осознание пользователями всей серьезности проблемы и принятие политики безопасности;

·       изучение и внедрение необходимых методов и действий для повышения защиты информационного обеспечения.

К технической защите можно отнести средства, мешающие заполучить и воспользоваться полученной информацией.

Литература:

1.       Симдянов И., Кузнецов М., Социальная инженерия и социальные хакеры. — БХВ-Петербург, 2007 г — 368 стр.

2.       Мелихов И.Н., Скрытый гипноз: Практическое пособие. — Волгоград: Перемена, — 2002 — 376 стр.

3.       http://ru.wikipedia.org/wiki/Социальная_инженерия