Научная электронная библиотека
7.2. Социальная инженерия
Отечественная социальная инженерия 20-30-х годов ХХ столетия базировалась на психотехнике и социологических исследованиях, традиции которых продолжила после тридцатилетнего перерыва заводская социология 60-80-х годов. В теории и практике социального планирования, которые получили свое дальнейшее развитие в годы хрущевской оттепели, использовались наряду с данными социологических опросов идеологические установки и социально-культурные нормативы. В отечественной социальной инженерии были сформулированы следующие принципы: принцип прямого участия в решении социальных задач, так как решаются актуальные насущные задачи; принцип непрерывного социоинженерного обеспечения и социального проектирования; принцип технологизации, то есть обеспечение оптимальных способов воздействия.
В западной социологии социоинженерная деятельность была подробно рассмотрена К. Поппером в работах «Нищета историцизма» (1945) и «Открытое общество» (1945). Социальную инженерию он рассматривал как совокупность подходов прикладной социологии, направленных на рациональное изменение социальных систем на основе фундаментальных знаний об обществе и предсказании возможных результатов преобразований.
Современный социоинженерный подход позволяет изменить социальную действительность на основе методов планирования, программирования, предвидения и прогнозирования. Социоинженерная деятельность включает в себя следующие процедуры:
— оценка состояния объекта социоинженерной деятельности;
— прогнозирование наиболее вероятных вариантов развития внутренней и внешней среды объекта прогноза;
— моделирование будущего состояния объекта исследования с использованием математических, кибернетических, прогностических и других методов;
— разработка социального проекта нового состояния исследуемого объекта;
— социальное планирование в соответствии с социальным проектом;
— осуществление проекта с помощью инновационных социальных технологий.
Современная отечественная социальная инженерия развивается по следующим блокам (направлениям):
Одним из вариантов практического применения синергетического подхода к управлению является теория самообучающейся организации, способной создавать, приобретать и обменивать знания и изменять свое поведение в соответствии с новыми знаниями и интуицией. Источниками обучения являются сотрудники организации, внешние консультанты, бизнес-тренеры, собственный бизнес, внешняя среда и уроки, извлеченные из собственного практического опыта. Самообучающаяся организация в современных условиях является наиболее конкурентоспособной, синергетика является универсальной методологией современного информационного общества, его структур и социоинженерного подхода к управлению обществом. Данный подход предъявляет высокие требования к управленцам, так как они должны обладать современными социально-технологическими знаниями.
К сожалению, в отечественной управленческой науке и практике сохраняется некоторое настороженное отношение к социальной инженерии, так как иногда технологичность воспринимается как экспериментирование и манипулирование людьми. Этим фактом в значительной степени обусловлена низкая востребованность социального проектирования программно-целевого управления субъектами управления.
Как социальный инженер связан с манипуляциями?
Мы, вероятно, как и вы, не перестаём удивляться количеству профессий на современном рынке труда. Появляется все больше узких направлений и специалистов, которые ориентированы на развитие каких-то определённых умений или работу в специфической области. Сегодня речь пойдёт о социальных инженерах: узнаем, как в этой профессии сочетаются две разные области.
Что это за наука?
В какой-то момент человечество задумалась над тем, достаточно ли мы учимся на многовековой истории человеческого рода и не совершаем ли одних и тех же ошибок в XXI веке. Ответом на данный вопрос, собственно, и занимается социальная инженерия. Это сравнительно молодая наука, которая находится на стыке двух областей — социологии и инженерии — и занимается изучением психологии людей и их поведением в критических ситуациях.
Всё ещё непонятно? Сейчас поясним.
Зачем нужна профессия социального инженера?
Основная цель данной профессии — это сбор информации и анализ поведения человека, для того чтобы прогнозировать какие-либо процессы в обществе. Социальный инженер также может быть привлечен для работы в компаниях, для прогнозирования поведения больших групп людей.
Организация Х хочет построить завод. Задача социального инженера — выяснить, как будут реагировать жители города на строительство завода и дать рекомендации компании.
Кто такой социальный инженер и как он связан с манипуляциями?
При чём здесь манипуляции?
Иногда в своей деятельности социальный инженер прибегает к манипуляциям, для того чтобы выяснить реальное мнение человека или склонить его к дискуссии. Также в социальной инженерии применяются техники нейролингвистического программирования, для того чтобы повлиять на негативное мнение каких-либо групп людей.
Что делает социальный инженер?
На самом деле, профессия достаточно загадочная. Прибегать к услугам социального инженераможно в абсолютно разных направлениях, но объединять их будет следующий функционал:
Где можно работать?
Социальный инженер может найти себя в нескольких карьерных направлениях:
Социальная инженерия (социология)
Согласно А. В. Веселову социальная инженерия — это «междисциплинарная научно-практическая деятельность субъекта, связанная с формированием и преобразованием социальных систем различного уровня сложности».На становление и развитие социальной инженерии существенное влияние оказали психология, прикладная антропология, управленческие науки, а в настоящее время синергетика и социальная синергетика — наука о самоорганизации общества, которая определяет условия и факторы устойчивого развития общества.
Многие исследователи приходят к выводу, что социально-инженерный подход к управлению производит третий фактор, в котором разрешаются противоречия отношений объекта и субъекта управления. Объект социальной инженерии перестает быть лишь средством реализации социальных программ, разработанных экспертами, и сам становится субъектом. Формируется тринитарный подход управление — соуправление — самоуправление. Социально-инженерный подход превращает управление в интерактивный процесс, а задачей социальных инженеров становится создание условий для раскрытия внутреннего потенциала социальной системы.
Специалисты в области социальной инженерии занимаются социальными проблемами на производстве и в сфере взаимодействия с общественностью. Главным отличием социального инженера от узкого специалиста является методологическая и технологическая широта подготовки.
Социальная инженерия — относительно молодая наука, которая является составной частью социологии и претендует на совокупность тех специфических знаний, которые направляют, приводят в порядок и оптимизируют процесс создания, модернизации и воспроизведение новых («искусственных») социальных реальностей. Определенным образом она «достраивает» социологическую науку, завершает её на фазе преобразования научных знаний в модели, проекты и конструкции социальных институтов, ценностей, норм, алгоритмов деятельности, отношений, поведения и т. п. Занятия сориентированы на вооружение слушателей прежде всего методологией аналитико-синтетического мышления и знаниями формализованных процедур (технологий) конструкторско-изобретательской деятельности. В характеристике формализованных операций, из которых складывается это последнее, особое внимание обращается на операции сложной комбинаторики. Игнорирование принципа системности в операциях комбинаторики нанесли и продолжают наносить большой ущерб на всех уровнях трансформационных процессов, которые происходят в нашем обществе. Последовательные знания принципиальных требований к указанным операциям дают основания к предотвращению ошибочных извращений в реформационной практике на её макро-, мезо- и микроуровнях.
Осторожно, это ловушка: что такое социальная инженерия
«Привет! Я оказался в сложной ситуации. Можешь занять 5000 рублей до понедельника», — получали такое сообщение в соцсетях от «друзей»? Значит вы уже сталкивались с социальной инженерией. Киберпреступники всё чаще используют такие методы для кражи ценных данных (в том числе и ваши финансы), ведь человеческий фактор по-прежнему остаётся слабым звеном в любой системе защиты.
Согласно статистике, количество атак с использованием социальной инженерии в 2020 году выросло на 147%. Рассказываем вам, какими бывают такие приёмы и как обезопасить себя.
Что такое социальная инженерия и как она появилась?
Социальная инженерия (social engineering) или «атака на человека» — это совокупность психологических и социологических приёмов, методов и технологий, которые позволяют получить конфиденциальную информацию.
Кибермошенников, которые используют эти приёмы на практике, называют социальными инженерами. Пытаясь найти доступ к системе или ценным данным, они используют самое уязвимое звено — человека. Самый простой пример — телефонный звонок, где злоумышленник выдаёт себя за кого-то другого, пытаясь узнать у абонента конфиденциальную информацию, играя на чувствах человека, обманывая или шантажируя его. К сожалению, многие люди продолжают клеватьна такие удочки и доверчиво рассказывают социальным хакерам всё, что им нужно. А в арсенале мошенников немало техник и приёмов. О них мы расскажем чуть позже.
Сейчас социальная инженерия приобрела прочную связь с киберпреступностью, но на самом деле это понятие появилось давно и изначально не имело выраженного негативного оттенка.
Люди использовали социальную инженерию с древних времён. Например, в Древнем Риме и Древней Греции очень уважали специально подготовленных ораторов, способных убедить собеседника в его «неправоте». Эти люди участвовали в дипломатических переговорах и работали на благо своего государства.
Спустя много лет, к началу 1970-х годов стали появляться телефонные хулиганы, нарушавшие покой граждан просто ради шутки. Но кто-то сообразил, что так можно достаточно легко получать важную информацию. И уже к концу 70-х бывшие телефонные хулиганы превратились в профессиональных социальных инженеров (их стали называть синжерами), способных мастерски манипулировать людьми, по одной лишь интонации определяя их комплексы и страхи.
Когда же появились компьютеры, большинство инженеров сменило профиль, став социальными хакерами, а понятия «социальная инженерия» и «социальные хакеры» стали синонимичны.
Яркие примеры социальной инженерии
Иллюстрацию того, на что способен умелый социальный инженер можно найти в кинематографе. Возможно, вы смотрели фильм «Поймай меня, если сможешь», основанный на реальных событиях — на истории легендарного мошенника Фрэнка Уильяма Абигнейла-младшего. За пять лет преступной деятельности его фальшивые чеки на общую сумму 2,5 миллионов долларов оказались в обращении 26 стран мира. Скрываясь от уголовного преследования, Абигнейл проявил удивительные способности в перевоплощении, выдавая себя за пилота авиалиний, профессора социологии, врача и адвоката.
Иногда достаточно просто попросить. Пример — кража у компании The Ubiquiti Networks 40 миллионов долларов в 2015 году. Никто не взламывал операционные системы и не крал данные — правила безопасности нарушили сами сотрудники. Мошенники прислали электронное письмо от имени топ-менеджера компании и попросили, чтобы финансисты перевели большую сумму денег на указанный банковский счёт.
А слышали как Виктор Люстиг не просто заполнил США фальшивыми купюрами и оставил «в дураках» Аль-Капоне, а ещё продал достояние Парижа — Эйфелеву башню? Дважды, кстати ;). Всё это стало возможным с помощью социальной инженерии.
Всё эти реальные примеры социальной инженерии говорят о том, что она легко адаптируется к любым условиям и к любой обстановке. Играя на личных качествах человека или отсутствие профессиональных (недостаток знаний, игнорирование инструкций и так далее), киберпреступники буквально «взламывают» человека.
Самые популярные методы социальной инженерии
Атака на человека может производиться по многим сценариям, но существует несколько наиболее распространённых техник работы злоумышленников.
Фишинг
Чувство, на котором играют: невнимательность
Метод сбора пользовательских данных для авторизации — обычно это массовые рассылки спама по электронной почте. В классическом сценарии на почту жертвы приходит поддельное письмо от какой-то известной организации с просьбой перейти по ссылке и авторизоваться. Чтобы вызвать больше доверия, мошенники придумывают серьёзные причины для перехода по ссылке: например, просят жертву обновить пароль или ввести какую-то информацию (ФИО, номер телефона, банковской карты и даже CVV-код!).
И вроде бы, человек всё делает так, как сказано в письме но… он попался! Преступники продумали каждый его шаг, именно поэтому им удаётся заставлять людей делать то, что они хотят.
Подробнее о том, как распознать сайт-подделку и защититься от фишинга можете прочитать в этом посте.
Троян
Чувство, на котором играют: жадность
Вирус не зря получил своё название по принципу работы троянского коня из древнегреческого мифа. Только приманкой здесь становится email-сообщение, которое обещает быструю прибыль, выигрыш или другие «золотые горы» — но в результате человек получает вирус, с помощью которого злоумышленники крадут его данные. Почему этот вид кражи данных называют социальной инженерией? Потому что создатели вируса хорошо знают, как замаскировать вредоносную программу, чтобы вы наверняка кликнули по нужной ссылке,скачали и запустили файл.
Кви про кво
Чувство, на котором играют: доверчивость
Или «услуга за услугу», от латинского «quid pro quo». Используя этот метод, злоумышленник представляется сотрудником службы технической поддержки и предлагает исправить возникшие неполадки в системе, хотя на самом деле проблем в работе ПО не возникало. Жертва верит в наличие неисправностей и, выполняя указания хакера, лично передаёт ему доступ к важной информации.
Претекстинг
Чувство, на котором играют: доверчивость
Ещё один приём, к которому прибегают киберпреступники, называется претекстинг (действие, отработанное по заранее составленному сценарию). Чтобы завладеть информацией, преступник выдаёт себя за известное вам лицо, которому якобы необходима ваша информация для выполнения важной задачи.
Социальные инженеры представляют сотрудниками банков, кредитных сервисов, техподдержки или вашим другом, членом семьи — человеком, которому вы по умолчанию доверяете. Для большей достоверности они сообщают потенциальной жертве какую-либо информацию о ней: имя, номер банковского счёта, реальную проблему, с которой она обращалась в эту службу ранее. Общеизвестный пример — чёрные «call-центры», когда заключённые под видом сотрудников крупных банков звонят гражданам и обманом заставляют перевести деньги. Самый яркий случай произошёл в «Матросской Тишине», где мошенники обманом получили 7 миллионов рублей.
Обратная социальная инженерия
Чувство, на котором играют: доверчивость, невнимательность
Методика направлена на то, чтобы жертва сама обратилась к социальному инженеру и выдала ему необходимые сведения. Это может достигаться несколькими путями:
Внедрение особого ПО
Поначалу программа или система работает исправно, но потом происходит сбой, требующий вмешательства специалиста. Ситуация подстроена таким образом, чтобы тем специалистом, к которому обратятся за помощью, оказался социальный хакер. Налаживая работу ПО, мошенник производит необходимые для взлома манипуляции. А когда взлом обнаруживается, социальный инженер остаётся вне подозрения (он ведь наоборот помогал вам).
Реклама
Злоумышленники могут рекламировать свои услуги как компьютерных мастеров или других специалистов. Жертва обращается к взломщику сама, а преступник не только работает технически, но и выуживает информацию через общение со своим клиентом.
Как защититься?
Если вы не хотите стать очередной жертвой социальных инженеров, рекомендуем соблюдать следующие правила защиты:
Надеемся, что наш пост поможет вам защитить себя от мошенников. Мы всегда готовы поделиться полезным опытом!
И подписывайтесь на рассылку нашего блога — впереди много полезных статей!
Что такое социальная инженерия — понятие, примеры, методы
Что такое социальная инженерия?
Социальная инженерия — это совокупность психологических и социологических приемов, технологий и методик, направленных на получение конфиденциальной информации о личности. При этом категория мошенников, которая специализируется на использовании этих приемов на практике, называется социальными инженерами.
При этом сам термин «социальная инженерия» появился достаточно давно, а также активно использовался. Этот термин получил широкую популярность в 90-е годы, когда американский консультант по компьютерной безопасности — Кевин Митник написал целую серию книг на данную тему, где подробно описывались способы воздействия на человека. В 2001 году была выпущена его книга «Искусство обмана», где он всему миру рассказал о вполне реальных историях — как со стороны жертвы, так и со стороны мошенника.
Примеры использования социальной инженерии
Наиболее распространенным примером применения социальной инженерии является телефонный звонок, в рамках которого мошенник представляется кем-то другим (например, сотрудником банка), чтобы узнать конфиденциальную информацию, или сообщить, что денежные средства жертвы находятся в опасности. К сожалению, на данный момент проблема заключается в том, что многие люди продолжают попадаться на эти уловки, и довольно часто верят мошеннику, переводя денежные средства на другие счета, думая, что таким образом спасают их. На самом деле они лишаются денег, а осознание того, что произошло, приходит далеко не сразу.
Так же в последнее время стал распространенным такой приём социальной инженерии — мошенники присылают письмо жертве о том, что у них имеются компрометирующие фото или видео, которые они грозятся разослать друзьям и знакомым, если не получат денежные средства на определенный счет (как правило, анонимный). В письме они сообщают, что это фото и видео были сняты, т.к. мошенники получили доступ к веб-камере жертвы, например, на ноутбуке. При этом, никаких реальных фото у них, как правило, нет. Но само подобное сообщение вызывает у человека сильный стресс, и находятся те, кто решают заплатить.
Ещё одним распространенным примером социальной инженерии в современном мире является ситуация, когда мошенник пытается узнать входные данные от Интернет-кабинета банковского счета человека. С этой целью он звонит жертве, представляясь сотрудником службы безопасности банка, требуя назвать пароль, поскольку в банковской системе имеются серьезные проблемы в системе организации. Чтобы окончательно убедить жертву, он также называет определенную должность, инициалы и имя, а также собственные полномочия. При этом история может дополняться различными фактами, чтобы как можно быстрее убедить жертву. Полученная информация будет использована для немедленной кражи средств со счета жертвы.
Как работает социальная инженерия?
Основная задача социального инженера заключается в сборе всей важной конфиденциальной информации о потенциальной жертве, чтобы получить доступ к различным онлайн-аккаунтам. При этом процесс организован таким образом, чтобы жертва добровольно рассказала эти данные.
Социальные инженеры в качестве основных инструментов воздействия используют неуверенность, небрежность и невежество людей, чтобы заставить их разглашать жизненно важную информацию. По мере расширения онлайн технологий люди все чаще становятся жертвами подобных взломов.
Большинство схем могут быть описаны следующими тремя шагами:
Основные методы социальной инженерии
Сразу стоит отметить, что существует достаточно широкий перечень методов социальной инженерии, в рамках этого материала мы выделим только наиболее распространенные из них:
Как защитить себя от подобной угрозы?
Наиболее важный совет в подобных ситуациях – постоянно сохранять бдительность. Мошенники могут попытаться обмануть вас в любой момент, потому нужно всегда анализировать происходящее, не торопиться с принятием решений. К примеру, если вам звонят неизвестные по телефону или звонит неизвестный номер, никогда не сообщаете никакой личной информации, особенно, если она связана с финансами. В том случае, если вы получаете письмо на электронную почту, не скачивайте сразу приложений из него, а также внимательно читайте все ссылки и описание, поскольку это может быть обманка.
Также следует выполнять следующие рекомендации:
В том случае, если у вас возникли подозрения, что ваши данные могли украсть, рекомендуется немедленно сменить все пароли от аккаунтов.
