СТРАХ

Социальный инженер иногда убеждает свою жертву в том, что должны случиться ужасные вещи, — но эту катастрофу можно предотвратить, если действовать так, как предлагает атакующий.

Пример:в истории «Аварийная заплатка», изложенной в главе 12 книги «Искусство обмана», социальный инженер пугает свою жертву, что она потеряет важную информацию, если не согласится установить «аварийную заплатку» на сервер базы данных компании. Страх делает жертву уязвимой и заставляет согласиться с решением, которое предлагает социальный инженер.

Атаки, основанные на использовании более высокого статуса, базируются на чувстве страха. Социальный инженер, замаскировавшись под руководителя компании, может атаковать секретаря или молодого сотрудника своим «срочным» запросом, основываясь на том, что жертва согласится выполнить его запрос, боясь получить взыскание или даже потерять работу.

РЕАКТИВНОСТЬ

Реактивность — это естественный ответ человеческой психики на ситуацию, угрожающую свободе. В реактивном состоянии мы теряем чувство перспективы и все остальное уходит в тень.

Пример:две истории в «Искусстве обмана» иллюстрируют силу реактивности — в первом случае жертве грозили потерей важного приложения, во втором — потерей доступа к сети.

В типичной атаке, использующей реактивность, злоумышленник говорит своей жертве, что доступа к компьютерным файлам не будет в течение какого то срока и называет совершенно неприемлемый период времени. «Вы не сможете получить доступ к своим файлам в течение двух следующих недель, но мы сделаем все возможное, чтобы этот срок не увеличился». Когда атакуемый начинает проявлять свои эмоции, атакующий предлагает восстановить файлы быстрее: все, что нужно для этого — назвать имя пользователя и пароль. Жертва, напуганная возможными потерями, обычно с радостью соглашается.

Другой способ заключается в том, чтобы использовать принцип дефицита или заставить мишень гнаться за обещанной выгодой. Например, вас заманивают на Интернет-сайт, где информация о вашей кредитной карточке может быть украдена. Как вы отреагируете на электронное письмо, которое пообещает новый iPod от Apple всего за 200 долларов, но только первой тысяче обратившихся? Может быть, поспешите на сайт и зарегистрируетесь, чтобы купить один из них? И когда вы зарегистрируетесь, укажете адрес электронной почты, и выберете пароль, признайтесь — это ведь будет тот же самый пароль, который вы используете повсюду?

КОНТРМЕРЫ

Защита от атак социальных инженеров требует целой серии скоординированных усилий, включая и такие:

• разработка четких и ясных протоколов безопасности, согласованно вводимых в масштабах всей компании;

• разработка тренингов по усилению бдительности персонала;

• разработка простых и понятных правил определения важности информации;

• разработка простых и понятных правил, четко определяющих случаи обращения к закрытым данным (взаимодействие с компьютерным оборудованием с неизвестными последствиями для оного), дабы личность пользователя была идентифицирована согласно политике компании;

• разработка грамотной системы классификации данных;