Categories: Полезное

Объясняем основные принципы социальной инженерии.

Практически все статьи о социальной инженерии описывают какой-то конкретный случай из сомнительной практики. В этой статье я попытаюсь акцентировать внимание читателя на мат-части: рассказать, как работает мозг при принятии решения, как на это решение повлиять и какие технологии могут автоматизировать процесс, описывая все доступными словами, ссылаясь на научные исследования.
Конкретных примеров использования материалов из статьи не будет (но я задумаюсь над этим, если увижу какой-то фидбек). Будем рассматривать сферическую задачу (вопрос, действие, не важно), которая имеет два возможных решения. Это могут быть, например, запуск файла, раскрытие информации, убеждение в чем-либо и т.д.

Как формируется принятие решения?

Однозначного ответа на сегодняшний день не существует, однако проводимые исследования говорят нам о том, что фактически за принятие решения ответственен стриатум. Это особая часть головного мозга, расположенная во внутреннем ядре мозга. Помимо принятия решения,
стриатум также запускает определенную модель поведения (для достижения результата).При этом, не смотря на его разделение на три части, они все принимают участие в принятие решения в различные временные промежутки. Т.е. части взаимодействуют между собой, а не действуют независимо. В этот момент происходит то, что обычно называют анализированием ситуации. Индивид анализирует, какое решение следует принять, исходя из двух факторов: жизненный опыт (рациональная половина) и эмоции (желания, инстинкты).

Опыт или желание? Формирование приоритетов при принятии решения

Не стоит расценивать процесс анализа как противостояние рационального и эмоций. И хотя в некоторых случаях внешне кажется что именно это и происходит (например, покупка дорогой электроники человеком, которому это явно не по карману, но ему хочется поднять свой статус в глазах остальных людей). Скорее этот процесс можно рассматривать как генерацию определенного количества «за» и «против» с обеих сторон. И вот здесь следует подробно остановиться на том, из-за чего могут возникать эти «за» и «против». Наверняка многие из вас знают про пирамиду потребностей Маслоу.

Отталкиваясь от этой пирамиды, можно увидеть, что в некоторых случаях решение определяется потребностями человека. Например, попытка убедить человека заплатить огромную сумму за дешевый товар не имеет смысла, если у человека за душой ни гроша.

С другой стороны, пирамида Маслоу была бы идеальной моделью поведения человека, если бы он принимал решения только исходя из своих потребностей. Но, факт остается фактом, человек далеко не всегда (практически никогда) принимает решение осознанно. Весомую роль играют инстинкты и эмоции. Так, например, тот же человек может взять кредит в банке, лишь бы заполучить ваш товар (инстинкт доминирования над остальными индивидами). Либо он может просто дать вам денег, при наличие сильной эмоции, принуждающей его сделать это. Например, жалость.

[ad name=»Responbl»]
К сожалению, как правило воздействовать на рациональную часть не получится (если это не ложь либо на связку воздействия еще на что-то). Наиболее интересные способы взаимодействия предполагают давление именно либо на эмоции либо на животную сущность человека.
Существует одно интересное исследование, суть которого заключается в том, что индивид испытывает удовольствие не только в момент получения награды, но и на пути к ее достижению. И здесь уместно вспомнить о различных историях промывки мозгов на тему финансовых пирамид, отказов от нажитого имущества в пользу в своей духовности и т. д. Давайте более подробно рассмотрим эту ситуацию (промывку мозгов каким-нибудь сектантом).
Человека убедили в том, что ему это нужно, воздействуя, как правило, на эмоции. Рассказали как все плохо сейчас, в его нынешней ситуации, «раскрыли глаза». Особый вес такая промывка получает, если подкрепить ее какими-либо псевдофактами, либо высказываниями авторитетных людей (ученых, мыслителей и т. д.). Дело в том, что человек существо социальное, а для социума наличие лидера, к словам которого прислушиваются — нормальное явление. Эти связи образовались в нашем сознании очень давно и помогали выживать: лидер брал на себя ответственность, распределял ресурсы между социумом для более продуктивной работы.
Соответственно, к мнению лидера прислушивались. Механизм примерно такой же, как и работа цифровых сертификатов — все основано на доверии. И вот человек слушает это все, «трастовость» лапши начинает превышать его собственный опыт, давление на эмоции оказано (его самооценка упала, ведь все что он делал оказывается «неправильно»), и его мнение меняется. Несмотря на казалось бы логичную вещь: отдавая материальные ценности он фактически подвергает дополнительной опасности себя самого. Почему это происходит?
На фоне эмоционального давления человеку внушаются новые цели (у него сейчас все плохо, но ведь все можно изменить). И в этот момент мозг начинает стимулировать организм на достижение этих целей. Вырабатывается специальный гормон: дофамин, который как раз и отвечает за так называемую «мотивацию». Определенный показатель того, какие усилия может приложить человек для достижения целей (в данном случае навязанных). В итоге получается, вопреки логике, человек оказывается на улице ради какой-то высшей цели, и при этом он только рад своей «свободе от материального», несмотря на прямой вред своему организму (физиологическим потребностям по пирамиде Маслоу).

Влияние на решение извне

А теперь поговорим о том, какие можно сделать выводы из истории выше. В первую очередь, воздействие на рациональную часть мозга практически всегда не имеет смысла. К примеру, если вы будете пытаться убедить человека вкладывать деньги в вашу криптовалюту, вам вряд ли удастся убедить его только цифрами. Во-первых, мозг человека всегда предпочтет награду «здесь и сейчас» каким-то сомнительным перспективам. В данном случае «здесь и сейчас» — это его капитал. А сомнительным потому, что уровень доверия к вам у человека недостаточно высокий.
Но, достаточно привести пример успешных вложений, рассказать о том, какие это перспективные технологии, и что вообще будущее за криптовалютами, человек начинает сразу рисовать в голове красочную картинку о потенциальной прибыли (ведь успешные примеры уже были), дополняя ее различными эмоциями. В этом случае чувство ожидания будет только дополнительно стимулировать человека.

Далее, есть несколько интересных приемов, основанных опять же на социальной составляющей сознания:

  • При оказании какой-либо услуги человеку он более охотно идет на контакт, возникает чувство долга (оно не будет ярко выражено, разумеется, но и отношение к вам сместится вверх с нулевой отметки).
  • Просьба оказать помощь (пускай и незначительную) этому способствует. Человек неосознанно ставит себя выше того, кому он оказывал помощь (ведь у него попросили). К тому же удовлетворяется потребность в признании, растет самооценка. Это явление называют эффект Бенджамина Франклина.
  • Точечная обработка занимает больше времени, чем обход по базе. Т.е. читатель должен понимать, что добиться желаемого от конкретного человека — занятие небыстрое. Это особенно знакомо тем, кто имел дело с промышленным шпионажем. С другой стороны, если читатель берет количеством, то % выхлопа небольшой, но он будет ощутимо быстрее получен. Однако, каждый из методов имеет право на существование.
  • Умейте слушать. Это особенно актуально при общении с одним человеком. Зачастую нежелание/неумение понимать собеседника — главная ошибка. В случае работы с большой группой людей необходимо понимать ее потребности, интересы и т. д. (общие признаки, по которым люди были объединены в группу). В конце концов, все так или иначе люди, с базовым набором физиологических потребностей.
  • Не пытайтесь давить на рациональную часть и эмоции, если для какой-то попытки с обоих сторон вернулся минус. Поясню. Человек хочет запустить определенную модель поведения у другого человека. При этом, если и логика и эмоции против этого, то лучше сразу отступить и пробовать по-другому, шанс усугубить ситуацию стремительно возрастает.
  • Выходите за рамки ожидаемой модели поведения. При взаимодействии с любым объектом, с которым был опыт взаимодействия ранее в мозгу формируется ожидаемая модель поведения. Выход за рамки этого шаблона вводит в ступор рациональную часть, легче становится воздействовать на эмоции. Но все хорошо в меру, т. к. ко всему новому любое живое существо всегда относится с осторожностью (срабатывает инстинкт самосохранения).
  • Собирайте как можно больше информации о человеке прежде чем предпринимать какие-либо действия. Здесь следует особое внимание обратить на то, что действовать (неважно напрямую или нет) нужно только тогда, когда будет уверенность в том, что собрать больше информации не выйдет, и она вся проанализирована и структурирована.

Использование технических средств при влиянии на решение

Самое главное средство, которое можно использовать, несмотря на банальность, собственный интеллект. Не смотря на попытки описать модель поведения человека в различных ситуациях (например, здесь) до сих пор не создано более близкого решения, чем, собственно, человеческий мозг. Большинство компьютерных моделей направлены в какую-то узкую сферу с шаблонным поведением. А вот мозг способен абстрагироваться от чего-то конкретного, да и по скорости интерпретации и усваивания новой информации нет средства более быстрого.

Что касается сугубо технических средств, то это, конечно же, поисковые системы и социальные сети. Об этом уже много раз упоминалось в различных материалах. Люди делятся информацией о себе для различных целей (самоидентификация в обществе, коммерческие интересы и т. д.). Все это можно использовать как минимум для сбора информации, как максимум — манипуляции. Также:

  • Не забывайте просматривать метаданные файлов. В них может быть очень много интересной информации.
  • Некоторые страницы могут быть недоступны, но вебархив, как правило, все помнит;
  • Пользуйтесь, наконец, парсерами. Практически любой объем информации можно получить и проанализировать благодаря любому языку программирования и врапперу для curl под этот язык. Также не забываем, что любой социальный сервис предоставляет собственный API для удобства;
  • Компрометация мобильного устройства человека — практически 100% вариант получения доступа ко всей частной информации.
  • Следите за исследованиями и открытиями. Психология это хорошо, но она только выявляет закономерность, а не объясняет явление.

Еще есть must read книга по отчасти по этой теме «Думай медленно… решай быстро» Д. Канеман этот человек на протяженни 40 лет занимался анализом образа мышления и поведенческой психологией людей — грандиозный труд.

Ведь есть 2 основных подхода этой области, это когда с физиологической точки зрения проблему изучают (какие участки коры активизируются в тот или иной момент и пр) и с абстрактной — как мозг реагирует на такое-то явление (кстати аналогия с тестированием методом черного ящика и анализом кода).

Вот эта книга второй момент и освещает.
Автор описывает, в какие моменты наш мозг «дает слабину» и мы принимает неправильные или нерациональные решения (необязательно за счет поддавания эмоциям) и все эти примеры можно только запомнить, как факт и использовать в каких-либо целях (не давать себя обдурить или тщательно продумывать умозаключения, ну или использовать это против других ).

Это на подобии когда наш мозг воспринимает оптическую иллюзию не такой, как на самом деле, пусть даже нам раскроют тайну, что это лишь иллюзия, мы все равно будем видеть то, что видим

Приведу пример:
В книге описывается так называемый эффект привязки, когда мы несознательно в свои анализ, умозаключения и выводы включаем недавно поступившие данные.

Например, если мы подойдем к человеку и спросим как долго мне идти до такой то улицы, то услышим относительно точный ответ, пусть это будет 40 минут, (при условии, что он это знает и никто недавно к нему не подходил), если же мы спросим «могу я дойти до этой улицы за 10 минут?», то в ответ нам выдаст цифру довольно близкую к нашей и значительно менее точную в реальности (типа «вы дойдете минут за 20-30»).

Я после прочтения книги и сам стал обращать внимание на подобные вещи в реале, часто даже специально, когда с кем-то общался употреблял какое-то не бытовое слово или термин, который потом проскакивал в речи моего собеседника (он как бы не сознательно перенимал мой лексикон, то есть ту информацию, которую я подавал ему для когда выражал свои мысли).

Это лишь один из десятков моментов, которые описываются в книге и которые можно юзать и в соц инженерии при попытке воздействия на какого-то конкретного человека.

Click to rate this post!
[Total: 6 Average: 3.7]
cryptoworld

Специалист в области кибер-безопасности. Работал в ведущих компаниях занимающихся защитой и аналитикой компьютерных угроз. Цель данного блога - простым языком рассказать о сложных моментах защиты IT инфраструктур и сетей.

Recent Posts

Лучший адаптер беспроводной сети для взлома Wi-Fi

Чтобы взломать сеть Wi-Fi с помощью Kali Linux, вам нужна беспроводная карта, поддерживающая режим мониторинга…

11 месяцев ago

Как пользоваться инструментом FFmpeg

Работа с консолью считается более эффективной, чем работа с графическим интерфейсом по нескольким причинам.Во-первых, ввод…

11 месяцев ago

Как создать собственный VPN-сервис

Конечно, вы также можете приобрести подписку на соответствующую услугу, но наличие SSH-доступа к компьютеру с…

12 месяцев ago

ChatGPT против HIX Chat: какой чат-бот с искусственным интеллектом лучше?

С тех пор как ChatGPT вышел на арену, возросла потребность в поддержке чата на базе…

12 месяцев ago

Разведка по Wi-Fi и GPS с помощью Sparrow-wifi

Если вы когда-нибудь окажетесь в ситуации, когда вам нужно взглянуть на спектр беспроводной связи, будь…

12 месяцев ago

Как обнаружить угрозы в памяти

Elastic Security стремится превзойти противников в инновациях и обеспечить защиту от новейших технологий злоумышленников. В…

12 месяцев ago