Social Engineering
Manipularea psihologică în obținerea de informații
Dr. Leliana Valentina Pârvulescu
În ultimul timp, psihologia legată de securitatea informației, au importanță în domenii din ce în ce mai vaste și diversificate, constituind un ajutor de necontestat în a păstra orice afacere în siguranță și în a descoperi la timp amenințările care ar putea apărea în cyber spațiu.
Manipularea psihică sau social engineering reprezintă o suită de tehnici și metode care au rolul de a convinge o anumită persoană să dea în mod involuntar informații și date cu caracter confidențial.
În cazul în care cineva interesat nu reușește să obțină anumite informații prin intermediul tehnologiei, poate folosi această modalitate apelând la factorul uman, manipulând psihicul acestuia.
Din punct de vedere al ingineriei sociale, factorul uman este veriga slabă în lanțul măsurilor de protecție și securitate a informației.
Oamenii nu sunt doar susceptibili de a face greșeli, ci și vulnerabili la presiunea din partea unor indivizi care vânează informații confidențiale. Ingineria socială folosește așadar tehnici psihologice pentru a constrânge victima. Este echivalentul unui asalt asupra minții umane, care pentru anumiți indivizi pregătiți în acest sens, poate fi mult mai simplu de aplicat în comparație cu alte tehnici sofisticate.
Unul din instrumentele folosite se bazează pe una din caracteristicile cele mai vulnerabile ale naturii umane și anume, curiozitatea.
Făcând comparația clasică între a intra într-o casă prin forța fizică sau convingându-l pe proprietarul casei să își dea acordul, este mult mai ușor să obții acordul acestuia și nu implică atâta efort, trebuie folosite doar cuvintele potrivite spuse într-un anume fel și cu tehnicile folosite în comportamentul manipulator.
În inițierea unui atac de social engineering, cheia constă în ceea ce este expus de către persoana sau compania către care este îndreptat atacul.
De exemplu, o postare pe facebook în ceea ce privește preocuparea persoanei, unde lucrează, date despre companie sau departament, fotografii cu biroul, cu colegii, etc. Pentru niște ochi avizați și instruiți, toate acestea reprezintă date din care pot fi extrase o mulțime de informații.
În felul acesta social networking–ul reprezintă o sursă infinită de informații, de multe ori plină de detalii.
Chiar dacă rețelele de socializare au făcut și fac eforturi în ultimii ani pentru a asigura ceea ce se cheamă zona de privacy, mulți utilizatori nu țin cont de aceste eforturi. Ei nu conștientizează pericolul și în special când vine vorba de compania în care lucrează pot fi neglijenți în a posta amănunte care au un efect distructiv asupra companiei. Sau construiesc prietenii cu persoane necunoscute și ajung în scurt timp să le răspundă la întrebări despre interiorul companiei, fără să stea prea mult pe gânduri.
Un studiu recent realizat de Check Point pentru Dimensional Research, a scos în evidență că 43% din 853 de experți în IT au declarat că au fost atacați de indivizi care practicau social engineering. Din sondajul respectiv a reieșit că angajații noi sunt mai predispuși să furnizeze informații cu 60% mai mult decât cei mai vechi și ca atare prezintă un risc crescut de a deconspira secretele companiei.
Vestea bună este că începe să existe din ce în ce mai mult o preocupare din partea companiilor de a-și educa angajații prin intermediul unor cursuri de specializare, seminarii , workshop-uri în ceea ce privește importanța factorului uman în securitatea informației, despre modul în care pot fi transmise involuntar secrete ale companiei și modalitatea în care pot acționa unii indivizi pentru a le obține.
Formarea, pregătirea angajaților reprezintă una din soluțiile cele mai de succes împotriva atacurilor informaționale, fiecare curs sau trainig ducând la diminuarea acestora și mărind zona de securitate a companiei sau a persoanei.
Protecția împotriva social engineering devine astfel solidă, descurajând fenomenul. Aceasta permite controlul informației doar de către persoanele avizate după criterii de actualitate și corelate cu operațiunile de busines. Odată definite aceste criterii, angajații trebuie să fie puși la curent cu elementele de securitate create în companie și evident trebuie testate cu ajutorul unor experți în domeniu. Este esențial ca angajații cheie ai unei companii să cunoască și să înțeleagă fenomenul furtului de informații, de ce se folosește și cum.
Așa cum spuneam mai sus, securitatea informației și scurgerea de informații nu ține doar de tehnologie, ci și de factorul uman și de modalitatea în care psihicul omului poate fi subminat prin diverse mijloace, cu scopul de a fi controlat.
Abilitatea indivizilor implicați în furtul de informații este antrenată în concordanță cu noile descoperiri în funcționarea creierului uman, respectiv descoperirile în ceea ce privește conștientul și subconștientul și felul în care funcționează. De aceea, așa cum este necesară actualizarea programelor de antivirus, tot așa este utilă și actualizarea și îmbunătățirea aptitudinilor mentale ale angajaților care dețin informații importante, pentru că ei reprezintă unul dintre componentele de risc în interiorul fiecărei infrastructuri de securitate într-o companie.
În concluzie, aș putea spune că manipularea psihică este o tehnică ușor de folosit și că informarea, educarea în cunoașterea existenței acesteia, a felului în care poate fi folosită, poate duce la eliminarea riscului de a deveni victime ale celor care folosesc această tehnică.
