Социальная инженерия (англ. social engineering) – совокупность подходов прикладных социальных наук, или прикладной социологии, ориентированных на целенаправленное изменение организационных структур, определяющих человеческое поведение и обеспечивающих контроль за ним. Помимо психологии на становление социальной инженерии определенное влияние оказала прикладная антропология, которая имеет дело с описанием изменений в сфере человеческих отношений и разработкой принципов контроля над ними. Исследователи определяют социальную инженерию как манипулирование людьми для успешного взлома систем безопасности организации или пользователя. Социальная инженерия включает в себя очень широкий набор различных техник и методик, позаимствованных из практической психологии, нейролингвистического программирования, гипноза и других техник, позволяющих весьма успешно манипулировать людьми. Манипулировать людьми злоумышленники могут достаточно просто – например, пытаясь убедить их открыть подозрительно выглядящую ссылку или вложение в сообщение электронной почты.
|
|
В качестве устоявшегося термина социальная инженерия появилась в американской социологии только в 60-х годах прошлого столетия, однако сама идея и принципы ее практической реализации сложились гораздо раньше, еще до Второй мировой войны, в рамках так называемой «человеческой инженерии» (human engeneering), направленной в основном на повышение безопасности труда и повышение эффективности работы машин, снижение утомляемости работника и обеспечение комфортности в системах «человек – машина». После Второй мировой войны социальная инженерия стала широко применяться в авиационной и оборонной промышленности США, а также в индустриальной социологии, военной социологии, пропаганде и коммуникациях.
Методы социальной инженерии используются в различных областях, например, в рекламе и в повседневной жизни: это могут быть всевозможные гипнотизеры, целители, аферисты. Кроме того, дети – также великие манипуляторы. И хотя они не знают основ психологии, но умело применяют те же методы, что и социальные инженеры.
Взлом информационных систем, промышленный шпионаж, мошенничество – все это направления деятельности социального инженера. Успешная деятельность злоумышленника становится возможной благодаря человеческой беспечности, глупости, психической неустойчивости, жадности, страху, доверчивости.
Развитие информационных технологий дает большие возможности для применения социальной инженерии, так как, несмотря на развитие аппаратных и программных средств защиты информации, человек продолжает оставаться слабейшим звеном в системе безопасности.
|
|
Почему же злоумышленники прибегают к социальной инженерии при организации атак на информационные системы? Во-первых, это проще, чем взломать техническую систему безопасности, и такие атаки невозможно предотвратить и вычислить с помощью технических средств защиты информации. Во-вторых, атаки с использованием методов социальной инженерии эффективны, недороги, а вероятность попасться для их организаторов довольно низка.
Многие организации, считающие, что проблема информационной безопасности может быть решена с помощью аппаратных и программных средств, сильно заблуждаются. Привыкнув доверять межсетевым экранам, устройствам идентификации, средствам шифрования и т. д., они мало внимания уделяют угрозам со стороны социальных инженеров. О социальной инженерии часто незаслуженно забывают, как и о том, что человек является слабейшим звеном любой системы безопасности. Очень важно информировать сотрудников о методах социальной инженерии, обучать их тому, как противостоять им и не давать себя использовать в качестве пособника атакующих. Защита компании от вторжения злоумышленников, использующих методы социальной инженерии, должна входить в обязанности каждого сотрудника, даже тех, кто не пользуется компьютерами по роду своей деятельности. Уязвимы топ-менеджеры, охранники, девушки в приемной, телефонисты, уборщики, работники гаража, а особенно – недавно принятые на работу сотрудники. Необходимо всегда помнить, что все они в любой момент могут подвергнуться атаке профессиональных социальных инженеров.