Notiunea de inginerie sociala (I.S.) se refera la tehnicile – unii spun chiar arta – de a influenta, reformula, manipula si minti, utilizand in principal, mecanismele de baza din psihologie, astfel incat, tinta va vedea si intelege ceea ce „maestrul” doreste ca tinta sa vada si sa inteleaga.

Un principiu fundamental al ingineriei sociale spune ca „omul este cea mai slaba veriga a unui sistem de securitate”. Dincolo de tehnologia care ne protejeaza din ce in ce mai eficient, inselatoria, sau cum este denumita in I.S. modificarea perceptiei tintei, reprezinta cheia de acces a oricarui sistem de securitate.

Securitatea – este abordata ca si proces derulat in interiorul unei organizatii (analizate din perspectiva sistemica); acest proces nu tine doar de tehnologie ci si de factorul uman si mai ales de management.

Pericolul real privind bresele de securitate vine din zona profesionistilor orientati pe o tinta anume, cei cu sarcini precise, care vizeaza cel mai adesea avantajul concurential intr-un anume domeniu.

Astfel, putem vorbi de un tipar al activitatii de inginerie sociala:

  1. Cercetarea: respectiv, faza de analiza a informatiilor, care pot proveni din surse deschise, rapoarte anuale, materiale de marketing, articole, brevete inregistrate, web-site-uri specializate, discutii cu fosti angajati nemultumiti.
  2. Dezvoltarea relatiei cu tinta: construirea unui limbaj adecvat tintei vizate, „furtul de identitate”, utilizarea unui limbaj de specialitate, exploatarea calitătilor tintei: amabilitate, spirit de echipa, respectul fata de manageri. Identificarea limitelor in care tinta este dispusa sa coopereze. Cererile initiale sunt rezonabile si deloc stridente.
  3. Exploatarea increderii: implicarea din ce in ce mai activa in furnizarea de informatii, a victimei „capturate”; determinarea acesteia de a executa anumite operatiuni cerute de inginerul social fara a constientiza faptul ca, in realitate, furnizeaza informaţii valoroase despre organizatia din care face parte. Alternarea planului personal cu cel de interes, functie de reactia tintei si apelul la „declansatoarele psihologice”. O conversatie nu se termina niciodata brusc, dupa obtinerea informatiei cheie.
  4. Utilizarea informatiilor: informatiile obtinute sunt folosite in etapele urmatoare, atacatorul fiind din ce in ce mai bine informat si raportandu-se tot mai mult la elemente concrete de actiune. Folosirea progresivă a informatiei permite atacatorului sa actioneze fara sa „declanseze alarma”. Acest mecanism se bazeaza pe un principiu cunoscut sub denumirea de „Principiul broastei fierte” (n.a: daca arunci intr-o oala cu apa clocotita o broasca, aceasta va sari imediat din oala, dar daca pui broasca intr-o oala cu apa rece iar oala o pui pe foc, broasca se va pacali si va ajunge sa fierba in acea oala).
  5. Stergerea – pe cat posibil – a urmelor atacului derulat: tinta vizata nu trebuie sa poata face vreo conexiune cu adevaratul atacator. Victimele ciclului de IS trebuie pur si simplu sa nu banuiasca absolut nimic.
  6. Informatia obtinuta trebuie „ambalată” astfel incat cel ce o primeste sa poata beneficia de esenta datelor dar sa nu aiba elementele necesare identifcarii sursei sau lantului informational prin care aceasta a fost obtinuta.

 

Autor: Cornel Cucuteanu – Consultant dezvoltare personala

Securitate in Romania

Securitate in Romania

Blogul nr 1 din industria de Securitate - Fii primul care afla noutati si informatii din industria de Securitate