 |
 |
 |
 |
|
 |
 |
Понимание того, как атакующий может воспользоваться человеческой природой
Для того, чтобы разработать действенную программу обучения, Вы должны понять,
почему люди в первую очередь уязвимы для атак. Для выделения этих тенденций в вашей
программе, например, обратить на них внимание благодаря дискуссии – этим Вы поможете
сотрудникам понять, как социальный инженер может манипулировать людьми.
Манипуляция начала изучаться социальными исследователями в последние 50 лет.
Robert B. Cialdini, написавший в «Американской науке» (Февраль 2001), объединил
результаты этих исследований и выделил 6 «черт человеческой натуры», которые
используются в попытке получения нужного ответа.
Это 6 приемов, которые применяются социальными инженерами наиболее часто и
успешно в попытках манипулировать.
Авторитетность
Людям свойственно желание услужить (удовлетворить запрос) человеку с авторитетом
(властью). Как говорилось раньше, человек получит нужный ответ, если сотрудник уверен,
что спрашивающий имеет власть или право задавать этот вопрос.
В своей книге «Влияние» Dr. Cialdini написал об обучении в 3 госпиталях
Мидвестерна, в которых аппараты 22 медсестер соединялись с человеком, который выдавал
себя за физиотерапевта, инструктируя административный персонал на выписку рецепта
препарата (наркотика?) пациенту. Медсестры, которые получили это указание, не знали
звонившего. Они не знали, действительно ли он доктор (а он им не был). Они получали
инструкции для выписки рецепта по телефону, что нарушает политику безопасности
госпиталя. Препарат, который указывался, не разрешен к применению, а его доза составляла
в 2 раза большую, чем допустимая суточная норма – все это может опасно отразиться на
состоянии здоровья пациента или даже убить его. Более чем в 95% случаев Cialdini
сообщает, что «медсестра брала необходимую дозу из палаты с медикаментами и уже была
на пути к палате указанного пациента», где перехватывалась наблюдателем, который
сообщал ей об эксперименте.
Примеры атак:
Социнженер пытается выдать себя за авторитетное лицо из IT департамента или
должностное лицо, выполняющее задание компании.
Умение расположить к себе
Люди имеют привычку удовлетворить запрос располагающего к себе человека, или
человека со сходными интересами, мнением, взглядами, либо бедами и проблемами.
Примеры атак:
В разговоре атакующий пытается выяснить увлечения и интересы жертвы, а потом с
энтузиазмом сообщает, что все это ему близко. Также он может сообщить, что он из той же
школы, места, или что-то похожее. Социальный инженер может даже подражать цели, чтобы
создать сходство, видимую общность.
Взаимность
Мы можем машинально ответить на вопрос, когда получаем что-то взамен. Подарком в
этом случае может служить материальная вещь, совет или помощь. Когда кто-то делает
что-то для нас, мы чувствуем желание отплатить. Эта сильная черта человеческой натуры
проявляется тогда, когда получивший подарок не ждал (не просил) его. Один из самых
эффективных путей повлиять на людей, чтобы получить благосклонность (расположить к
себе, а, следовательно, получить информацию) – преподнести неявно обязывающий подарок.
Поклонники религиозного культа Хари Кришны очень опытны в умении получать
влияние над человеком путем преподнесения подарка – книги или цветка. Если человек
пробует вернуть, отказаться от подарка, дарящий мягко настаивает: «Это наш подарок Вам».
Этот основной принцип взаимности использовался Кришнами для постоянного увеличения
пожертвований.
