Брайан Брашвуд, основатель Scam School, демонстрирует четыре простых психологических механизма, лежащих в основе интеллектуальных игр социальной инженерии.
Эксперт по социальной инженерии и интеллектуальным играм Брайан Брашвуд не получил традиционных знаний в школе или бизнесе. Brushwood - ведущий интернет-сериала Scam School, шоу, которое он описывает как посвященное социальной инженерии в баре и на улице.
В дополнение к его страсти к обучению людей минусам социальной инженерии, Брашвуд также является гастролирующим фокусником, который часто выступает в кампусах колледжей и появляется на Tonight Show. Он впервые заинтересовался социальной инженерией много лет назад как средством повышения своей производительности и успешного выполнения секретных действий. Брашвуд сказал, что его понимание и использование термина «социальная инженерия» выходит за рамки восприятия индустрии безопасности.
«Когда я использую эту фразу, я на самом деле говорю о ее более старой версии. Социальная инженерия в основном означает применение социальных наук для решения социальных проблем», - сказал он. «Другими словами, это заставляет людей делать то, что вы хотите, используя определенные социологические принципы».
В наши дни Брашвуд настолько часто использует методы социальной инженерии, что признает, что иногда бывает сложно «выключить». Здесь Брашвуд объясняет четыре основных психологических тактики, которые используют социальные инженеры, чтобы завоевать доверие и получить то, что они хотят, а также то, как специалисты по безопасности могут вооружить своих сотрудников против такого типа обмана.
1. Социальные инженеры уверены в разговоре и контролируют его.
По словам Брашвуда, один из первых шагов к обману - это действовать уверенно. Например, кто-то, пытающийся проникнуть в безопасное здание, может подделать значок или притвориться представителем обслуживающей компании. Ключ к тому, чтобы попасть внутрь, не подвергаясь сомнению, - просто вести себя так, как будто вы принадлежите к этому и вам нечего скрывать. Выражение уверенности с помощью осанки успокаивает других.
«Люди, отвечающие за охрану концертов, часто даже не ищут значки», - сказал Брашвуд. «Они ищут осанку. Они всегда могут сказать, кто из фанатов пытается ускользнуть и мельком взглянуть на звезду, и кто работает над мероприятием, потому что им кажется, что они принадлежат к этому».
По словам Брашвуда, еще один способ одержать верх - в разговоре показаться ответственным.
«Человек, задающий вопросы, контролирует беседу», - сказал он. «Когда кто-то задает вам вопрос, это немедленно заставляет вас защищаться. Вы чувствуете социальное давление, чтобы дать правильный или соответствующий ответ».
Вывод: посоветуйте сотрудникам не слишком комфортно допускать посторонних в здание. Посетители (и поставщики услуг) должны тщательно проверять учетные данные, даже если они знакомы.
2. Они что-то дают
«Возвратно-поступательное движение - еще одна модель фиксированного действия, - сказал Брашвуд.
«Когда людям делают что-то, например одолжение или подарок, даже если они активно не любят человека, который это сделал, они чувствуют необходимость ответить взаимностью», - сказал Брашвуд, который назвал кришнаитов одним из наиболее хороших людей. известные работодатели этой тактики.
«Они раздают цветок или копию Бхагавад-гиты и говорят:« Это подарок для вас. Наслаждайтесь. О, кстати, не хотите ли вы сделать пожертвование? » Вы можете подумать: «Мне не нужен этот цветок», но все равно трудно повернуться и сказать: «Нет, уходи» ».
Сам Брашвуд использует эту тактику во время своих многочисленных полетов по пересеченной местности, когда надеется на бесплатное повышение класса обслуживания или, возможно, на бесплатный напиток или два. С несколькими пакетами M&M в руках он садится на каждый рейс, передает их бортпроводникам по пути и говорит ему, что хотел бы дать им что-нибудь за их тяжелую работу.
«Даже если они ненавидят M&M, их так тронула вдумчивость этого жеста», - отметил он.
Эта тактика, как и уверенность в себе, может быть полезна социальному инженеру, пытающемуся незаконно проникнуть в охраняемый объект или офисное здание. Тем не менее, Хворост отметил, что временная задержка между дарите и просить за это тоже важна.
«Если вы сделаете подарок, а затем сразу попросите об услуге, велика вероятность, что кто-то может воспринять это как взятку. Если они воспримут это как взятку, они отреагируют неловко».
Вместо этого опытный мошенник может дать что-то служащему, контролирующему привратник, в начале дня, а затем вернуться позже, заявив, что ему нужен доступ из-за путаницы, например, предмет, оставленный после встречи.
«Скорее всего, они отпустят вас в ответ за то, как вы относились к ним раньше», - сказал Брашвуд.
Вывод: посоветуйте сотрудникам скептически относиться к любому, кто пытается им что-то дать. В зависимости от того, насколько велики ставки, опытный преступник может даже потратить недели, закладывая фундамент для установления взаимных отношений с персоналом, которые могут привести к доступу в конфиденциальные или безопасные зоны.
3. Они используют юмор.
Люди обычно получают удовольствие от компании тех, у кого хорошее чувство юмора. Социальный инженер знает это слишком хорошо и использует это, чтобы получить информацию, обойти привратника или даже просто выбраться из неприятностей. Brushwood называет это «понравившимся» паттерном с фиксированным действием.
«Людей, которые нам нравятся или которые нам нравятся, мы с большей вероятностью окажем услугу, потому что мы чувствуем с ними знакомство», - сказал он.
Брашвуд много раз использовал юмор, чтобы избежать штрафов за превышение скорости. Его трюк состоит в том, чтобы показать забавную лицензионную картинку, а затем даже найти способ вручить офицеру карточку «Выйти из тюрьмы бесплатно» как часть его обходного трюка.
«Полиция весь день занимается рассказами о бу-ху», - сказал он. «Но мой подход - быть оптимистичным. Чтобы создать у них впечатление, что я не волнуюсь и предпочитаю потусоваться и рассмешить их».
По оценкам Брашвуда, с помощью этой тактики он избегает штрафов за превышение скорости в 80–90% случаев.
Вывод: в случае нарушения или криминального сценария социальный инженер может попытаться поговорить с сотрудником, чтобы получить от него информацию. Хорошим примером является поддельный ИТ-вызов, когда звонящий запрашивает пароль сотрудника. Гораздо более вероятно, что конфиденциальная информация будет предоставлена добровольно, если беседа будет веселой и расслабит сотрудника.
4. Они обращаются с просьбой и объясняют причину.
Брашвуд был недавно вдохновлен результатами недавнего Гарвардского исследования, также включенного в «Влияние» Чалдини, которое показало, что люди, скорее всего, согласятся выполнить просьбу, если в вопросе будет использовано слово «потому что». В исследовании изучались группы людей, ожидающих использования копировального аппарата в библиотеке, и их реакция, когда кто-то приближался и просил прервать очередь.
В первой группе человек сказал бы: «Извините, у меня пять страниц. Могу ли я использовать ксерокс, потому что я тороплюсь?» В этой группе 94 процента ответили утвердительно и позволили человеку пройти вперед в очереди. В другой группе резчик линии спросил: «Извините, у меня пять страниц. Могу я воспользоваться аппаратом Xerox?» Однако только 60% сказали «да» человеку, желающему порезаться. В третьей группе вопрос звучал так: «Извините, у меня пять страниц. Могу ли я использовать аппарат Xerox, потому что мне нужно делать копии?» Несмотря на то, что причина казалась нелепой, 93% все же сказали «да» режиссеру лески.
«Оказывается, волшебное слово происходит потому, что», - сказал Брашвуд. «Не имело значения, что она сказала дальше. Точно так же, как если вы видите кого-то марширующего, как будто он владеет этим местом, можно с уверенностью предположить, что он принадлежит этому месту. Точно так же, если кто-то говорит« потому что », люди предполагают, что у них есть какая-то законная причина».
Брашвуд указывает, что фиксированный паттерн действий, действующий в этом сценарии, - это просто восприятие причины. Даже если указанная причина не имеет смысла, слово «потому что» побуждает людей ответить положительно.
Вывод: важно замедлиться, посмотреть и прислушаться к тому, что происходит и что говорят в рабочей среде. В напряженный день может показаться, что проще помахать кому-нибудь или отказаться от информации, когда ее попросят. Но осознанность и присутствие духа имеют первостепенное значение, чтобы не дать преступнику воспользоваться вами.
Эксперт по социальной инженерии и интеллектуальным играм Брайан Брашвуд не получил традиционных знаний в школе или бизнесе. Brushwood - ведущий интернет-сериала Scam School, шоу, которое он описывает как посвященное социальной инженерии в баре и на улице.
В дополнение к его страсти к обучению людей минусам социальной инженерии, Брашвуд также является гастролирующим фокусником, который часто выступает в кампусах колледжей и появляется на Tonight Show. Он впервые заинтересовался социальной инженерией много лет назад как средством повышения своей производительности и успешного выполнения секретных действий. Брашвуд сказал, что его понимание и использование термина «социальная инженерия» выходит за рамки восприятия индустрии безопасности.
«Когда я использую эту фразу, я на самом деле говорю о ее более старой версии. Социальная инженерия в основном означает применение социальных наук для решения социальных проблем», - сказал он. «Другими словами, это заставляет людей делать то, что вы хотите, используя определенные социологические принципы».
В наши дни Брашвуд настолько часто использует методы социальной инженерии, что признает, что иногда бывает сложно «выключить». Здесь Брашвуд объясняет четыре основных психологических тактики, которые используют социальные инженеры, чтобы завоевать доверие и получить то, что они хотят, а также то, как специалисты по безопасности могут вооружить своих сотрудников против такого типа обмана.
1. Социальные инженеры уверены в разговоре и контролируют его.
По словам Брашвуда, один из первых шагов к обману - это действовать уверенно. Например, кто-то, пытающийся проникнуть в безопасное здание, может подделать значок или притвориться представителем обслуживающей компании. Ключ к тому, чтобы попасть внутрь, не подвергаясь сомнению, - просто вести себя так, как будто вы принадлежите к этому и вам нечего скрывать. Выражение уверенности с помощью осанки успокаивает других.
«Люди, отвечающие за охрану концертов, часто даже не ищут значки», - сказал Брашвуд. «Они ищут осанку. Они всегда могут сказать, кто из фанатов пытается ускользнуть и мельком взглянуть на звезду, и кто работает над мероприятием, потому что им кажется, что они принадлежат к этому».
По словам Брашвуда, еще один способ одержать верх - в разговоре показаться ответственным.
«Человек, задающий вопросы, контролирует беседу», - сказал он. «Когда кто-то задает вам вопрос, это немедленно заставляет вас защищаться. Вы чувствуете социальное давление, чтобы дать правильный или соответствующий ответ».
Вывод: посоветуйте сотрудникам не слишком комфортно допускать посторонних в здание. Посетители (и поставщики услуг) должны тщательно проверять учетные данные, даже если они знакомы.
2. Они что-то дают
«Возвратно-поступательное движение - еще одна модель фиксированного действия, - сказал Брашвуд.
«Когда людям делают что-то, например одолжение или подарок, даже если они активно не любят человека, который это сделал, они чувствуют необходимость ответить взаимностью», - сказал Брашвуд, который назвал кришнаитов одним из наиболее хороших людей. известные работодатели этой тактики.
«Они раздают цветок или копию Бхагавад-гиты и говорят:« Это подарок для вас. Наслаждайтесь. О, кстати, не хотите ли вы сделать пожертвование? » Вы можете подумать: «Мне не нужен этот цветок», но все равно трудно повернуться и сказать: «Нет, уходи» ».
Сам Брашвуд использует эту тактику во время своих многочисленных полетов по пересеченной местности, когда надеется на бесплатное повышение класса обслуживания или, возможно, на бесплатный напиток или два. С несколькими пакетами M&M в руках он садится на каждый рейс, передает их бортпроводникам по пути и говорит ему, что хотел бы дать им что-нибудь за их тяжелую работу.
«Даже если они ненавидят M&M, их так тронула вдумчивость этого жеста», - отметил он.
Эта тактика, как и уверенность в себе, может быть полезна социальному инженеру, пытающемуся незаконно проникнуть в охраняемый объект или офисное здание. Тем не менее, Хворост отметил, что временная задержка между дарите и просить за это тоже важна.
«Если вы сделаете подарок, а затем сразу попросите об услуге, велика вероятность, что кто-то может воспринять это как взятку. Если они воспримут это как взятку, они отреагируют неловко».
Вместо этого опытный мошенник может дать что-то служащему, контролирующему привратник, в начале дня, а затем вернуться позже, заявив, что ему нужен доступ из-за путаницы, например, предмет, оставленный после встречи.
«Скорее всего, они отпустят вас в ответ за то, как вы относились к ним раньше», - сказал Брашвуд.
Вывод: посоветуйте сотрудникам скептически относиться к любому, кто пытается им что-то дать. В зависимости от того, насколько велики ставки, опытный преступник может даже потратить недели, закладывая фундамент для установления взаимных отношений с персоналом, которые могут привести к доступу в конфиденциальные или безопасные зоны.
3. Они используют юмор.
Люди обычно получают удовольствие от компании тех, у кого хорошее чувство юмора. Социальный инженер знает это слишком хорошо и использует это, чтобы получить информацию, обойти привратника или даже просто выбраться из неприятностей. Brushwood называет это «понравившимся» паттерном с фиксированным действием.
«Людей, которые нам нравятся или которые нам нравятся, мы с большей вероятностью окажем услугу, потому что мы чувствуем с ними знакомство», - сказал он.
Брашвуд много раз использовал юмор, чтобы избежать штрафов за превышение скорости. Его трюк состоит в том, чтобы показать забавную лицензионную картинку, а затем даже найти способ вручить офицеру карточку «Выйти из тюрьмы бесплатно» как часть его обходного трюка.
«Полиция весь день занимается рассказами о бу-ху», - сказал он. «Но мой подход - быть оптимистичным. Чтобы создать у них впечатление, что я не волнуюсь и предпочитаю потусоваться и рассмешить их».
По оценкам Брашвуда, с помощью этой тактики он избегает штрафов за превышение скорости в 80–90% случаев.
Вывод: в случае нарушения или криминального сценария социальный инженер может попытаться поговорить с сотрудником, чтобы получить от него информацию. Хорошим примером является поддельный ИТ-вызов, когда звонящий запрашивает пароль сотрудника. Гораздо более вероятно, что конфиденциальная информация будет предоставлена добровольно, если беседа будет веселой и расслабит сотрудника.
4. Они обращаются с просьбой и объясняют причину.
Брашвуд был недавно вдохновлен результатами недавнего Гарвардского исследования, также включенного в «Влияние» Чалдини, которое показало, что люди, скорее всего, согласятся выполнить просьбу, если в вопросе будет использовано слово «потому что». В исследовании изучались группы людей, ожидающих использования копировального аппарата в библиотеке, и их реакция, когда кто-то приближался и просил прервать очередь.
В первой группе человек сказал бы: «Извините, у меня пять страниц. Могу ли я использовать ксерокс, потому что я тороплюсь?» В этой группе 94 процента ответили утвердительно и позволили человеку пройти вперед в очереди. В другой группе резчик линии спросил: «Извините, у меня пять страниц. Могу я воспользоваться аппаратом Xerox?» Однако только 60% сказали «да» человеку, желающему порезаться. В третьей группе вопрос звучал так: «Извините, у меня пять страниц. Могу ли я использовать аппарат Xerox, потому что мне нужно делать копии?» Несмотря на то, что причина казалась нелепой, 93% все же сказали «да» режиссеру лески.
«Оказывается, волшебное слово происходит потому, что», - сказал Брашвуд. «Не имело значения, что она сказала дальше. Точно так же, как если вы видите кого-то марширующего, как будто он владеет этим местом, можно с уверенностью предположить, что он принадлежит этому месту. Точно так же, если кто-то говорит« потому что », люди предполагают, что у них есть какая-то законная причина».
Брашвуд указывает, что фиксированный паттерн действий, действующий в этом сценарии, - это просто восприятие причины. Даже если указанная причина не имеет смысла, слово «потому что» побуждает людей ответить положительно.
Вывод: важно замедлиться, посмотреть и прислушаться к тому, что происходит и что говорят в рабочей среде. В напряженный день может показаться, что проще помахать кому-нибудь или отказаться от информации, когда ее попросят. Но осознанность и присутствие духа имеют первостепенное значение, чтобы не дать преступнику воспользоваться вами.
