Основы социальной инженерии: Социальная инженерия. Как «взломать» человека. Читайте на Cossa.ru

Страх подавляет разум, или как изолироваться от социального инженера

Из этого списка видно, что социальный инженер не равно злоумышленник: есть специалисты, использующие приемы социальной инженерии вполне законно и даже во благо. Но, конечно, преимущество на «темной стороне»: этих атак большинство, именно они наносят ущерб и волнуют как бизнес, так и простых пользователей.

Атаку социального инженера можно разбить на основные этапы:

1. Сбор информации о целевом объекте
2. Подготовка сценария действий и необходимых средств атаки (фишинговые ресурсы, вредоносные вложения и др.)
3. Установление связей и завоевание доверия жертвы
4. Достижение цели атаки (получение необходимой информации)

Атака начинается со сбора информации о целевом объекте (здесь и далее будем иметь в виду атаку не на физическое лицо, а на компанию). Например, будет полезна такая информация:

• списки имен и должностей сотрудников
• адреса электронной почты, номера мобильных телефонов сотрудников, внутренние телефонные номера
• внутренняя структура организации
• архитектура вычислительной сети организации
• используемые технические средства и программно-аппаратное обеспечение
• терминология и принятый жаргон
• информация о конкурентах, партнерах и клиентах компании

Чем больше информации имеет атакующий, тем выше вероятность успеха. Первичная информация, как правило, добывается с помощью разведки из открытых источников (OSINT – Open Source Intelligence): номера телефонов и адреса электронной почты часто указаны на сайте или в рекламе компании. Полезные сведения также можно купить у информационных брокеров, действующих в даркнете или в криминальных сообществах. Сами сотрудники легко делятся информацией, которая не считается конфиденциальной, например, в телефонном разговоре с атакующим, который представился коллегой из другого отдела, журналистом, клиентом/подрядчиком организации.

Когда информация собрана, социальный инженер разрабатывает сценарий действий. Он заранее определяет:

• с кем будет общаться (сведениями о себе мы охотно делимся в соцсетях)
• какими средствами установит контакт (личный разговор, телефонный звонок, электронная переписка)
• кем представится
• что будет говорить
• как войдет в доверие (основы психологии влияния рассмотрим в заключительной части статьи)
• какую информацию или выполнение какого действия запросит

Чтобы не вызвать подозрений, атакующий совершает стандартный запрос, на который человек будет отвечать не задумываясь. Текст запроса готовится на основании выбранного сценария атаки, должности жертвы и имеющейся о ней информации. Опытный социальный инженер чувствует своего оппонента и быстро понимает, готов ли тот с ним сотрудничать. В случае абсолютного отказа выполнять запрос, атакующий попытается выйти из разговора так, чтобы оппонент не обнаружил факт атаки. Пример: «Я уточню у ребят из отдела X, вдруг они ошиблись или я не так понял».

Существует также обратная социальная инженерия. Ее особенность в том, что инициатором контакта выступает сама жертва. Задача – создать у атакуемого сотрудника проблему, из-за которой он обратится к социальному инженеру. Чтобы сотрудник обратился именно к атакующему, а не к легитимному лицу, социальный инженер должен убедить жертву, что он и есть то самое легитимное лицо, и оставить контакт для обратной связи. В процессе «решения проблемы» атакующий обеспечивает себе доступ к информации, например, заразив компьютер сотрудника его же руками (сотрудник загружает шпионское программное обеспечение под видом сервисного).

Важный момент. Помимо сбора информации, подготовки сценария и технических средств атаки, социальный инженер пытается выявить особенности психики жертвы, на которую атака направлена (т.е. конкретного сотрудника). Злоумышленник может играть на самых разных эмоциях и склонностях:

1. Тщеславие: чтобы выслужиться перед начальством, сотрудник охотнее пойдет на контакт с атакующим, если тот сообщит о срочном поручении руководства
2. Трусость: страх провиниться перед руководством опять-таки толкнет на необдуманный шаг
3. Зависть: зависть к материальному положению коллег может стать причиной того, что человек взболтнет лишнего
4. Доброта: излишняя доброта и альтруизм могут побудить помочь «коллеге» в трудной ситуации
5. Алчность: жертва готова продать чужие секреты, вопрос только в цене
6. Обидчивость: обиженный на коллег или руководителей сотрудник склонен к мести

Социальная инженерия и хакеры | Блог Касперского

Социальная инженерия, иногда называемая наукой и искусством взлома человеческого сознания, становится все более популярной в связи с повышением роли социальных сетей, электронной почты или других видов онлайн-коммуникации в нашей жизни. В сфере информационной безопасности данный термин широко используется для обозначения ряда техник, используемых киберпреступниками. Последние имеют своей целью выманивание конфиденциальной информации у жертв либо побуждают жертв к совершению действий, направленных на проникновение в систему в обход системы безопасности.

Даже сегодня, когда на рынке доступно огромное количество продуктов для обеспечения информационной безопасности, человек все еще владеет ключами от всех дверей. Будь то комбинация учетных данных (логин и пароль), номер кредитной карты или данные для доступа к онлайн-банку, самое слабое звено в системе обеспечения безопасности — это не технологии, а живые люди. Таким образом, если злоумышленники применяют к пользователям манипулятивные психологические техники, очень важно знать, какие приемы наиболее характерны в данной ситуации, а также понимать принцип их работы, чтобы избежать неприятностей.

Социальная инженерия — понятие совсем не новое, оно появилось давным-давно. Известными специалистами-практиками в этой науке стали, например, Кевин Митник и Фрэнк Абаньяле, которые на сегодняшний день являются ведущими консультантами по безопасности. Они живая иллюстрация того, что преступники могут превращаться в уважаемых экспертов. К примеру, тот же Фрэнк Абаньяле был одним из самых знаменитых и виртуозных мошенников: он умел создавать множество личностей, подделывать чеки и обманывать людей, вытягивая из них конфиденциальную информацию, необходимую для работы мошеннических схем. Если вы смотрели  фильм «Поймай меня, если сможешь», вы имеете представление о том, на что способен специалист по социнженерии, если он имеет перед собой ясную цель. Вам просто следует помнить, что для получения от вас нужной информации социнженер может использовать различные мошеннические схемы, не ограничивающиеся приемами, связанными с технологиями или компьютерами, так что лучше пользователям с осторожностью относиться к подозрительным действиям, даже если они кажутся обычными. Классическим приемом, например, является выманивание пароля в телефонном звонке. Кажется, что никто в здравом уме не сообщит свой пароль постороннему, но звонок «с работы» в 9 утра в воскресенье, требующий приехать для какой-то мелочевой технической операции над вашим компьютером, несколько меняет дело. Когда «ваш администратор» предложит просто сказать ему пароль, чтобы он все сделал за вас, вы не только сообщите пароль, но и поблагодарите его за заботу! Ну, может, не лично вы, но примерно половина ваших коллег поступит так гарантированно.

«Компания может тратить сотни тысяч долларов на брандмауэры, шифрование и другие технологии обеспечения безопасности, но, если мошенник может позвонить одному из надежных сотрудников и через него получить доступ к конфиденциальной информации, все средства, потраченные во имя безопасности, были потрачены зря», — говорит Кевин Митник.

Большинство киберпреступников не станут тратить время на осуществление технологически сложных приемов взлома, если необходимые сведения можно получить, используя навыки в области социнженерии. Более того, существует множество сайтов, где описаны принципы работы подобных техник и причины их успеха. Один из этих сайтов называется SocialEngineer.org, и он предлагает весьма полезную основу для теоретического изучения принципов социнженерии, дополняя ее большим количеством реальных примеров.

Мы используем речь каждый день, влияя на действия друг друга, хотя часто не замечаем этого. Но язык с точки зрения социнженерии имеет несколько недостатков, так как он связан с нашим субъективным восприятием фактов, при котором мы можем опустить некоторые части истории, исказить смысл или сделать некоторые обобщения. НЛП, или нейролингвистическое программирование, которое изначально было создано для лечебных целей, сегодня считается «мутировавшей» формой гипноза, используемой социнженерами как инструмент манипуляции жертвами и оказания на них влияния с целью побудить их выполнить действия, ведущие к успеху атаки. В результате данной тактики жертва может сообщить свой пароль, разгласить конфиденциальную информацию, отказаться от какой-либо меры обеспечения безопасности, то есть, может сделать все что угодно, чтобы убрать препятствия на пути злоумышленников.

Хотя связь между психологией и хакингом кажется чересчур натянутой, на самом деле онлайн-атаки основаны на тех же принципах, которые лежат в основе «офлайнового» мошенничества. Принцип возвратности («если я окажу тебе услугу, ты окажешь услугу мне»), принцип социальной проверки (вы оцениваете свое поведение как правильное, если наблюдаете такое же поведение у большинства), преклонение перед авторитетами (проявление большей степени доверия к сотруднику полиции, врачу, сотруднику технической поддержки, кому-либо более «высокого ранга») — это универсальные для всех способы выстраивания общения в социуме и удовлетворения наших базовых социальных инстинктов. Социнженер знает, на какие кнопки нажимать, чтобы получить желаемый ответ, создавая контекст (канву) для формирования правдоподобной легенды, которая смогла бы создать ощущение срочности. Для опытных специалистов в сфере социнженерии не составит труда обойти рациональное мышление человека, и им понадобится только доля секунды, чтобы добиться преимущества и получить от жертвы необходимые данные.

Однако в данной статье мы в большей степени обратим внимание на различные техники, используемые онлайн-мошенниками для незаконного получения информации и прибыли от жертв, которые «хотели как лучше». Как мы уже упомянули, принципы, используемые для мошеннических схем в Интернете, похожи на те, которые используются в реальной жизни, но так как Интернет — это огромная машина распространения информации, одно фишинговое сообщение может быть отправлено миллионам получателей в течение самого короткого времени. То есть в таких условиях данный тип атак может превратиться в беспроигрышную лотерею: даже если только небольшая часть от общего числа потенциальных жертв попадется на удочку, это все равно означает огромную прибыль для организации или человека, стоящего за атакой.

«Заниматься тем, чем я занимался в молодости, сегодня во много раз легче. Технологии подстегивают эволюцию преступлений», — говорит Фрэнк Уильям Абаньяле.

Сегодня одним из самых распространенных методов получения конфиденциальной информации является фишинг (термин образован от игры слов password harvesting fishing — «ловля паролей»). Фишинг можно охарактеризовать как тип компьютерного мошенничества, который использует принципы социальной инженерии с целью получения от жертвы конфиденциальной информации. Киберпреступники обычно осуществляют свои действия при помощи электронной почты, сервисов мгновенных сообщений или SMS, посылая фишинговое сообщение, в котором напрямую просят пользователя предоставить информацию (путем ввода учетных данных в поля сайта-подделки, скачивания вредоносного ПО при нажатии ссылки и т.д.), благодаря чему злоумышленники получают желаемое при полном неведении со стороны жертвы.

Мы наблюдали процесс развития вредоносного ПО, который во многом использовал принципы социнженерии. Раньше факт заражения компьютера вирусом был весьма очевиден: пользователь видел странные сообщения, иконки, картинки — одним словом, все, что обнаруживало участие злоумышленника. Сегодня нас уже не удивляют примеры вредоносного ПО, которое получает доступ к системам жертв путем применения трюков, характерных для социнженерии, и остается невидимым для пользователя до того момента, как выполнит свою задачу. Бесконечная игра в кошки-мышки между хакерами и компаниями, создающими средства информационной безопасности, подтверждает: образование и информирование — это ключевой защитный механизм, необходимый для пользователей. Они должны следить за новостями и новыми веяниями в мире информационной безопасности, а также знать о ключевых тактиках мошенников.

Множество интересных примеров взлома основаны на техниках социнженерии, которые, в свою очередь, помогают злоумышленникам доставить вредоносное ПО жертвам. Среди наиболее популярных — фальшивые обновления Flash Player и других популярных программ, вшитые в документ Word исполняемые файлы и многое другое.

Большинство описанных выше методов проведения атаки направлены на жителей Латинской Америки, так как технологические угрозы такого типа не до конца понятны или распространены в регионе, а если еще и принять во внимание, что большинство компьютеров работают с устаревшим ПО, это дает киберпреступникам отличную возможность заработать. Только недавно некоторые банки усилили меры обеспечения информационной безопасности для пользователей онлайн-банкинга, но до сих пор множество уязвимостей в системе безопасности способствуют успеху тактик социнженерии. Интересно, что многие особенности этого региона перекликаются с российскими, поэтому киберпреступники СНГ и Латинской Америки весьма активно обмениваются опытом и перенимают друг у друга удачные находки.

Популярны другие типы атак, которые даже не всегда попадают в категорию компьютерного мошенничества. Схема, известная как «виртуальное похищение«, использует практики социнженерии, а в качестве средства связи выступает телефон. Злоумышленники обычно звонят жертве и говорят, что член семьи был похищен и для его освобождения требуется незамедлительно заплатить выкуп. Преступник создает ощущение срочности и страха, жертва выполняет требования мошенника, даже не убедившись, на самом ли деле похищен кто-то из родственников. Похожая схема популярна при атаках на пожилых людей и может быть названа «виртуальной болезнью» — когда жертве звонят якобы из поликлиники, говорят, что в недавних анализах есть признаки опасного заболевания и нужно незамедлительно лечь на операцию для спасения жизни, разумеется, платную. После оплаты, конечно, никого не оперируют, потому что болезни никакой и не было.

В свете этого очень важно помнить, что любая публично доступная информация, появляющаяся в соцсетях («ВКонтакте», Instagram, Facebook, Twitter, Foursquare и так далее), может также помочь преступникам сложить два и два и понять, где вы находитесь, либо узнать некоторые персональные сведения. Направленная целевая фишинг-атака — это не столь частое явление, но, если вы готовы предоставлять ценную информацию, даже не задумываясь о предполагаемых последствиях, вы только облегчаете мошенникам задачу. Даже виш-листы на Amazon могут стать хорошим подспорьем для взлома при использовании тщательно отобранных трюков из арсенала социнженеров.

Как мы уже сказали, сегодня установка комплексного решения для обеспечения безопасности — это необходимость, особенно если вы пользуетесь Интернетом (весьма вероятно, что так оно и есть). Более того, ознакомление с новостями и тенденциями в мире онлайн-угроз и социальной инженерии поможет вам избежать атак такого типа (как онлайн, так и в реальной жизни). Помните, что все гаджеты и технологии защиты ничего не стоят, если вы не знаете, как их правильно использовать, и не осведомлены о том, на что способны злоумышленники. Технологии, которыми пользуются преступники, развиваются, и вам не следует отставать, поэтому немного параноидальности в наше время не повредит.

«Полиция не сможет защитить пользователей. Людям нужно быть более осведомленными и больше знать о таких вещах, как кража личности. Нужно быть немного умнее, немного сообразительнее… Нет ничего плохого в том, чтобы быть скептиком. Мы живем в такое время, что, если у вас легко украсть, кто-нибудь обязательно воспользуется возможностью», — говорит Фрэнк Уильям Абаньяле.

Что означает социальная инженерия? Основы манипуляции

Социальная инженерия это наука, которая позволяет найти коммуникации с людьми и выяснить все что вам необходимо. В статье мы раскроем основы этой интересной науки.

Согласно статистике и практике взломов высокозащищённых ресурсов в большей мере уязвимость находится со стороны людей, которые в силу непрофессионализма, безответственности или недостатка знаний подвергли сервера атакам. Наибольшая проблема – это склонность людей к передаче всей информации и совершению нелогичных действий.

На память приходит история из книги «Психология влияния»: психологи по телефону передавали медсёстрам в больницах соответствующие указания, которые могли нанести ущерб здоровью и даже жизни. Достаточно было представиться врачом и 95% медсестёр следовали указанию «руководителя». Стоит учесть, что медперсонал знал последствия после манипуляции, но все равно следовали команде. Естественно, им не давали это выполнить, а возле палаты стаяли ассистенты. Исследуемые даже не попросили врача представиться. Причина, почему медсёстры так поступают, заключается в привычке следовать указаниям авторитетного лица.

Исходя из рассматриваемого примера можно сделать вывод, что за счёт социальной инженерии удалось поразить до 95% больниц.

Метод не устаревает

Технологический прогресс неуклонно набирает обороты, это приводит к увеличению функциональности и мощности оборудования и софта. Чтобы была возможность отражать атаки или их проводить, нужно всегда быть максимально осведомлённым и следить за нововведениями. Немаловажным фактором является осмотр новых разработок в первых рядах. Самая важная составляющая защиты – качественно, детально уметь анализировать IT-background темы.

Путь хакера начинается по тем же шагам. Современность приводит к необходимости использования всего пары специалистов по узкой направленности для решения отдельных, но важных задач. Центральная цель всей работы заключается в проникновении внутрь защищённой зоны.

Для достижения поставленной цели с большой долей вероятности будет необходимо использование социальной инженерии. Чаще необходимость появляется в течении первых нескольких проектов. Наибольшая ценность специалиста по социнженерии на стадии подготовки и сбора данных. Сверх полученных знаний будет необходимо наложить технологии, они уже требуют углублённых навыков и знаний. 

Если компания достаточно большая и обладает специальным отделом безопасности, стоит заглянуть туда и обнаружить нескольких разработчиков с циническим и параноидальным подходом к делу. Они совершенно не доверяют людям и считают этот аспект самым уязвимым. Учитывая количество ценных данных и наработок на ПК сотрудников, такой подход вполне полезен для компании, но полной защиты не гарантирует. Основная задача команды заключается в разделении прав доступа, создании инструкций поведения при критических ситуациях и разработке способов решения проблемы.

При наличии таких кадров в штате можно повысить иммунитет компании, но система все равно останется уязвимой за счёт других сотрудников.

Основной недостаток социнжиринга для разработчиков ПО – это невозможность создать патч или специальную функцию. Для злоумышленников социальная инженерия популярна за счёт длительно периода влияния. Скорее всего механика будет сохранять эффективность всё время, в отдельных условиях могут изменяться небольшие аспекты, но чаще достигается предположительный результат.

Основная модель соц инженерии

Очевидно, что все сотрудники имеют различные уровни компетентности в отдельных вопросах обеспечения безопасности, соответственно, им выдаётся должный уровень допуска. Обычные сотрудники не должны иметь доступа к информации, которая может нанести ущерб для компании. Даже если человек окажется засланным агентом или просто обманутым, он не сможет получить особенно важную информацию – этот протокол безопасности используется во всех больших фирмах.

Все звенья цепи и персонал с различными уровнями доступа имеют линейную связь, то есть сотрудник может передать проблему на следующую ступень, там уже разбираются, уполномочены ли они решать ситуацию. Если ответ нет, вопрос передаётся дальше и т.д. Сотрудники могут по этой цепи передать всю необходимую информацию непосредственно к управляющему.

Уязвимость системы заключается в возможности представиться одним из людей высшего уровня. Здесь несколько развитий ситуации:

1. Можно поставить себя авторитетом, аналогично рассматриваемому примеру с врачами.
2. Задать несколько вопросов, которые на первый взгляд невинны и не причинят вреда, но это станет часть мозаики.
3. Получить контакт более высокопоставленного сотрудника, так как распространено понятие взаимной помощи в пределах одной команды.

Редко можно увидеть вопросы из разряда паранойи, когда сотрудник будет выяснять данные звонившего человека и строго следовать регламенту. Можно найти лазейки даже в строгой структуре, ведь эмоции – это неотъемлемая часть человеческой натуры

Проявляете скептицизм? Правильно, но для наглядности можно рассмотреть пример, при котором злоумышленник набирает девушку из call-центра каждую неделю по 2-3 раза на протяжении месяца. Он ничего особого не просит, а представляется сотрудником. Позитивные и активные разговоры позволяют уточнить любые незначительные мелочи. Пользу приносит просьба о небольшой помощи, которая придаёт доверие просившему. 

В рассматриваемом примере нет необходимости чётко представляться, вместо этого присутствует факт частого общения. Может потребоваться 10, 20, 30 или 50 раз, до момента вхождения в норму жизни. Девушка будет думать, что звонивший в курсе структуры и мелочей работы компании, так как он звонит постоянно. В следующий раз злоумышленник просит о большей помощи, теперь оператору нужно передать потенциально важные и опасные данные. По необходимости придётся предоставить обоснование и опасность при отказе. Практически любой сотрудник пойдёт ему на встречу.

Вероятно, поселится мысль, что подобному обману подвержены исключительно низко компетентные сотрудники. Это не так, в качестве аргумента можно привести вступление из книги «Искусство обмана». Здесь рассказывается история о том, что Митник представился ведущим разработчиком проекта, он попросил системного администратора передать доступ со всеми привилегиями к системе. Специалист точно осознавал потенциальный ущерб для работы, но доверился авторитету и побоялся отказать.

Обратная социальная инженерия

Принципиальных отличий в атаках социальной инженерии не наблюдается, модель приблизительно одинаковая. В случае с обратной методикой также удаётся получить информацию, которая предназначается только пользователю. Отличием является указание нужных данных самим пользователем.

Методика разыгрывается в 3 хода и показывает высокую эффективность:

1. Нужно подстроить трудность или неприятность пользователю.
2. Создать контакт с человеком.
3. Проводится атака.

Для наглядности можно представить, что вы находитесь в охраняемой зоне, ваши полномочия – уборка территории. На стене с номером техподдержки нужно указать собственный контакт вместо правильного номера. Теперь нужно устроить небольшую проблему. Всего через 1 сутки вам поступит звонок от расстроенного пользователя, он готов передать буквально всю информацию, так как ожидает компетентность сотрудника и подразумевает, что всё это специалист и так знает. Проблемы авторизации можно исключить, так как пользователь сам идентифицирует вас как он хочет, остаётся только подыграть.

Одним из самых опасных вариаций обмана является IVR-фишинг. Нужно устроить небольшую атаку на пользователя и прислать письмо с номером центра поддержки. После непродолжительной беседы автоответчик просит указать данные от карты.

Ещё частные случаи

Фишинг может применяться на любых ресурсах, которые часто используются целью. Поместить на указанный внешний ресурс троянский конь или дезинформацию. Случаи с инфицированием машин компаний стали учащаться в последнее время. 

Более муторный способ – передать интересный диск одному из сотрудников. Высока вероятность, что накопитель будет запущен, а софт оттуда запустят. Часто используются соцсети цели для сбора элементов мозаики и общения с отдельными сотрудниками. Выбор уязвимостей действительно огромный.

Резюме 

Посредством социальной инженерии можно собрать данные, а затем их использовать для атаки. К примеру, «Привет! Я потерял/забыл номер Игоря из 4-го отдела, пожалуйста, напомни мне его». Можно получить даже конфиденциальную информацию: «Хорошо, спасибо. Кстати, у меня стойкое впечатление, что клиент подозрительный, смотри как он осматривал расположение камер в отделении. Подскажи номер карты, которой он пользовался только что».

Социальная инженерия позволяет обеспечить доступ к защищенной части системы: «Так, проговаривайте, что вы вводите сейчас. Подождите, давайте по буквам. Два-игрик-доллар-пэ-эс-эн большая…». Продвинутые «хакеры» могут получать конфиденциальные данные. Порой удаётся получить доступ к защищенному серверу, который отключен от сети.

Недавно проводился хакерский турнир, в рамках которого была интересная задача. Перед вами девушка, она всегда стоит на рецепшене, но вы попросили об услуге или устроили деверсию, чтобы она отлучилась. Есть всего 30 секунд, что за это время можно успеть сделать? Установить вирус или программу в систему? Ответ неверный, будет недостаточно либо времени, либо прав. Завладеть документами с рабочего стола или попытаться переадресовать письма себе? Идея рабочая, но вы раскроете свою личность. Даже просто занять её место – это опасное решение, так как высока вероятность скрытой камеры в офисе.

Лучшими решения являются ответы из сферы социального взаимодействия. Заменить стикер с номером техподдержки, после милого общения пригласить на  свидание и т.д. За встречу с девушкой вне рабочей обстановки атакующего точно не осудят, но за время встречи можно получить массу полезных данных про иерархию и потенциальные уязвимости сотрудников, вплоть до данных для шантажа.

Защита компании – это основная задача отдела безопасности, но сотрудники не в силах исключить риски социальной инженерии. Чтобы обеспечить лучшую защиту стоит ознакомиться с книгой «Искусство обмана», некоторые диалоги точно зацепят вас. Полезна информация из книги «Секреты супер хакера», особенно в главе про социнженерию. Более углублённо можно почитать в «Психология влияния». Самое начало – это информация из Википедии, в которой указаны основные уязвимости и методы. 

При отсутствии большого и продвинутого отдела безопасности стоит ознакомить руководителя компании с информацией, а затем провести собственный тест. С большой долей вероятности удастся узнать многое о доверчивости и склонностях человека говорить «Да».

ОСНОВЫ СОВРЕМЕННОЙ СОЦИАЛЬНОЙ ИНЖЕНЕРИИ

ФРАНЧУК В.И., доктор социологических
наук, профессор РГСУ

ОСНОВЫ СОВРЕМЕННОЙ СОЦИАЛЬНОЙ ИНЖЕНЕРИИ

                                                
Ничто, кроме медленного совершенствования
                                                
человеческой природы посредством организации  
                                                
социальной жизни, не может произвести 

                                                
благоприятных перемен.
                                                          
                         Герберт Спенсер, 1891
                                        ВВЕДЕНИЕ
        Социальная инженерия – это целенаправленная
деятельность специально подготовленных людей по переустройству (преобразованию)
 социального мира. Этой деятельностью люди
стали осознанно заниматься сравнительно недавно (в США, в 1950-е годы). В
России социальной инженерией заинтересовались лишь в конце 1980-ых годов.
Однако глубоких научных исследований по этому важному направлению у нас в
стране до сих пор не проводится. Частные фирмы, занимающиеся консалтингом (экономическим,
политическим, управленческим и др.), решают лишь малую часть социоинженерных
задач. Вместе с тем актуальность этого направления, особенно для решения задач государственного
строительства и реформирования, построения мировых сообществ и глобального
общества, постоянно возрастает. Вместе с тем отсутствие в стране
профессиональных социальных инженеров, значительно отодвигает Россию от
состояния устойчивого развития и приближает её к опасной черте, за которой
может последовать утрата стабильности, национальной безопасности и суверенитета
страны, так как проводимые в стране реформы по-прежнему проводятся
государственными чиновниками без применения научных методов социальных наук.
     Дело в том, что до момента осознания
необходимости научного переустройства социального мира, которое произошло в
конце XIX – начале XX веков, он складывался в
значительной мере хаотично, стихийно. Его «строительством» занималась
преимущественно Природа, а не Человек. Это означает, что основным механизмом
«конструирования» социального мира являлся механизм самоорганизации,
действующий в любых относительно однородных социальных группах. Однако
потенциал самоорганизации оказался недостаточным для создания крупных социальных
образований, подобных нациям, транснациональным компаниям,
финансово-промышленным группам, мировым сообществам, глобальному обществу.
   Наступил этап сознательного
конструирования глобализирующегося социального мира, результат которого зависит
от его правильного понимания человеком и от его способности «исправить» его, а
вместе с тем и самого себя. Это понимал ещё Герберт Спенсер (более ста лет
назад), слова которого взяты нами в качестве эпиграфа к данной публикации. Именно
в исправлении человеческой природы путем совершенствования обществ, в которых
люди живут и работают, состоит главная, на наш взгляд, миссия современной
социальной инженерии,  изучению которой посвящена
настоящая книга, призванная подготовить открытие новой учебной специальности, в
которой наша страна остро нуждается, так как нет сомнений, что будущее России,
да и мира в целом, зависит от того, как скоро молодые люди поймут, что их
будущее зависит от них самих, от осознания того, в каком обществе они живут и
как они должны его перестроить. Наши потомки не должны быть равнодушными созерцателями,
а строителями нового социального мира, который должен быть лучше, чем тот,
который мы им оставляем.                                       
   Общества, социальные организации и
общности (группы), в которых люди живут и работают, далеки от совершенства. В
них имеется множество врожденных и приобретенных недостатков (болезней,
патологий), диагностикой и устранением (лечением) которых должны заниматься
социальные инженеры («социальные врачи», по Э.Дюркгейму), которых вузы страны
пока, к сожалению, не выпускают. Поэтому неудивительно, что качество многих
обществ, в том числе и российского, определяемое уровнем жизни населения [1],
значительно отстает от передовых западных стран,  занимающихся социальной инженерией уже более
полувека. Уже это говорит о необходимости открытия в наших вузах специальности
«социальная инженерия» и подготовки соответствующих специалистов.
   Согласно основоположника социальной
инженерии американского ученого К.Поппера [2,3], социальная инженерия (social engineering)
– это совокупность подходов в прикладных социальных науках, ориентированных на:
изменение поведения и установок людей; на разрешение социальных проблем, на адаптацию
социальных институтов к изменяющимся условиям; на сохранение социальной
активности.
   В настоящее время на Западе социальная
инженерия развивается по следующим основным направлениям:

1.Строительство социальных институтов, например, государственное строительство
и реорганизация государственных органов власти.

2.Региональное строительство (региональный блок).

3.Формирование местных сообществ (муниципальный блок)

4.Строительство организаций или «организационная инженерия» (организационный
блок).

5.Формирование целевых групп и команд (групповая инженерия).
   
Сравнительно недавно (в конце 1980-х – начале 1990-х годов) у нас в
стране предпринимались отдельные попытки (Уржа О.А., Резник Ю.М., Щербина В.В.
и др.) создать отечественное направление социоинженерии и приблизиться к уровню
американских и западноевропейских разработок в этой области, однако они не были
поддержаны на государственном уровне и «растворились» среди множества проектов
по управленческому консультированию и менеджменту.

   Социальные инженеры необходимы, прежде
всего, чтобы лечить «больные» общества и (или) организации путем их
реформирования (или модернизации), а также заниматься строительством новых
обществ, более совершенных по сравнению с существующими обществами. При этом
новые общества должны не только отвечать мировым стандартам (т.е. отличаться
высоким уровнем развития человеческого потенциала (УРЧП)), но и решать ставшей
первостепенной задачу улучшения «человеческих качеств» (А.Печчеи [4]), о
деградации которых так много пишут в последнее время. Для этого социальные
инженеры должны знать не только как люди могут влиять на общества, но и как
общества могут влиять на людей, а также уметь воздействовать на причины их
деградации.
   Еще в 1820 г.  всемирно известный ученый Ж.Б.Ламарк писал:
«Можно, пожалуй, сказать, что предназначение человека заключается в том, чтобы
уничтожить свой род, предварительно сделав земной шар непригодным для
обитания». К сожалению, эти слова не были услышаны и на исходе XX века
не менее известный ученый Н.Н.Моисеев практически подтверждает неутешительный прогноз
Ж.Б.Ламарка. Незадолго до своей смерти он пишет: «Я действительно уверен, что
мы станем свидетелями агонии того биологического вида, который сам себя – как
теперь выясняется, без особых оснований – назвал Homo sapiens. А
агония России стала лишь одной из составляющих этого общепланетарного процесса»
[5]. 
   По мнению некоторых футурологов [6] человечество
вряд-ли переживет XXI век, если существенно не изменятся ценности людей и «человеческие
качества». Теоретически для этого существуют две альтернативы – биологическая и
социальная.
   Биологическая альтернатива
предполагает изменение биологии человека путем использования методов генной
инженерии, клонирования, евгеники, замены органов тела, криобиологии,
роботификации и модификации человека и др. Однако, использование таких методов
наталкивается на многие этические проблемы и противоречит идеям гуманизма.
   Социальная альтернатива более
предпочтительна и основана на  использовании
методов социальной инженерии, имеющих целью «исправление» человека путем
«исправления» социального мира, т.е. социальных реальностей, создаваемых самими
людьми.
   Таким образом, целью современной
социальной инженерии является постепенное совершенствование человека, как
нравственной личности, путем совершенствования его социального мира, т.е.
окружающих его социальных реальностей, благодаря которым происходит его
социализация и нравственное воспитание.
     Однако сначала необходимо
разобраться, что представляют собой социальные реальности и как они
воздействуют на людей.
    
                                                
Пути стихийно-организационного творчества
                                           
природы и методы сознательно-организационной
                                           
работы человека, взятые по отдельности и вместе,
                                           
могут и должны подлежать научному обобщению.
                                                                                                         
А.Богданов
         1.СОЦИАЛЬНЫЕ РЕАЛЬНОСТИ КАК ОБЪЕКТЫ     
               СОЦИОИНЖЕНЕРНОЙ ДЕЯТЕЛЬНОСТИ
    Социальные реальности – это весь
социальный мир, порождаемый людьми в процессе их общения и жизнедеятельности. К
социальным реальностям относятся : люди, социальные группы и общности, общества
и социальные комплексы, социальные связи и взаимосвязи, социальные технологии и
новации, социальные структуры, социальные институты и организации, социальные
ценности и нормы, общественное и групповое мнения и многое другое [7]. Все это
действует на каждого человека по-разному, определяя его поведение и деятельность.
   Рассматривая различные проявления социальных
реальностей важно учитывать два важных обстоятельства, на которые обращал
внимание еще Э.Дюркгейм. Во-первых, социальные реальности могут являться как
преднамеренными, так и непреднамеренными результатами деятельности (или
поведения) людей. Например, законы или социальные нормы, вводимые «сверху» являются
результатами преднамеренной деятельности депутатов или руководителей тех или
иных органов власти. С другой стороны, имеется множество примеров социальных реальностей,
возникающих непреднамеренно. К ним относятся религии, власть, деньги, рынок, государство,
различные обычаи, традиции, ритуалы, общественное мнение и т.п. Во-вторых,
некоторые социальные реальности, называемые Э.Дюркгеймом «социальными фактами»
не только являются результатами деятельности многих людей, но также обладают
принудительной силой, заставляющих их подчиняться этой силе. Например, лидеры,
социальные ценности и нормы, распределение статусов и ролей, общественное или
групповое мнение, возникающие в любой относительно однородной социальной
группе, заставляет (вольно или невольно) подчиняться им всех (или почти всех)
членов группы.
   Иногда принудительные силы,
возникающие внутри социальных групп имеют непредсказуемый характер, что легко
наблюдать на примере толп. В таких случаях многие люди становятся агрессивными,
что с ними ранее не случалось. Нарушается их психика. Они быстро деградируют.
Особенно это заметно, когда во главе толпы стоит какая-нибудь харизматическая
личность (типа Гитлера или Муссолини), умеющая манипулировать толпой, «играя»
на животных инстинктах людей. Другим примером отрицательного влияния на людей
принудительных социальных сил, является дедовщина в армиях, которая искалечила
не одну тысячу молодых людей. Тюрьмы и исправительно-трудовые колонии, вместо
того, чтобы исправлять людей, оказывают на них обратное воздействие. Подобных
примеров, к сожалению, становится, к сожалению все больше.
    Однако, принудительные социальные силы,
действующие на людей, не всегда оказывают на них отрицательное воздействие.
Многие примеры показывают благотворное влияние социальных сил. Более того, без
таких сил общество находилось бы в состоянии хаоса. Всем известна положительная
роль мировых религий в воспитании людей, в ограничении их животных страстей.
Однако в то же время религии могут приводить и к социальным конфликтам
(религиозным войнам).
   Рынок – тоже социальная реальность,
позволяющая удовлетворять многие социальные потребности. В то же время
известно, что свободная рыночная экономика чревата периодическими спадами
производства и ростом безработицы, от которой во времена Великих депрессий (в XIX веке)
пострадали сотни миллионов людей.
   Государства тоже являются социальными
реальностями, имеющими как положительные, так и отрицательные аспекты своей
деятельности. С одной стороны, государства позволяют организовать и управлять
большими массами людей, с другой стороны, государства с помощью законов
навязывают гражданскому обществу свои «правила игры» (социальные нормы),
которые не всем нравятся.
   Таким образом, социальные реальности,
воздействующие на людей, могут оказывать на них как положительное, так и
отрицательное влияние. Поэтому важно понять природу социальных реальностей и то,
как они влияют на деятельность и поведение людей.
                                                                     
Если ты хочешь понять что-либо,
                                                                           
узнай как оно произошло.
                                                                                             
Б.Ф.Поршнев
     
   2.ПРОИСХОЖДЕНИЕ СОЦИАЛЬНЫХ
РЕАЛЬНОСТЕЙ
       Социальные реальности являются
непреднамеренными или преднамеренными результатами социального взаимодействия
людей. Это означает, что они имеют двойственное происхождение – естественное, искусственное.
К ним необходимо добавить ещё и комбинированное (естественно-искусственное и
искусственно-естественное) происхождение. Если та или другая социальная
реальность является результатом непреднамеренных действий людей, то она имеет естественное
происхождение, в противном случае – искусственное или комбинированное. Примерами
естественных социальных реальностей являются неформальные организации,
неформальные социальные ценности и нормы, общественное мнение, мифы, религия, первые
рынки, первые государства.
   Несмотря на то, что социальные
реальности имеют как естественное, искусственное и комбинированное происхождение,
в научной литературе это обстоятельство не нашло отражение. А между тем
происхождение социальных реальностей имеет принципиальное значение. Так, если
естественные организации (например, неформальные организации) как социальные
реальности возникают в результате случайного взаимодействия людей в
относительно однородных социальных группах, то искусственные организации создаются
 с определенной целью в соответствии с
определённой концептуальной моделью. При этом выбор концептуальной модели
организации имеет ключевое значение, так как от этого выбора зависит дальнейшее
проектирование и организационное строительство. Если социальный инженер сделает
неправильный выбор модели из множества альтернативных моделей (число которых
может составлять десятки, а может и сотни), то это обязательно негативно
скажется на качестве проекта и эффективности и жизнеспособности будущей
организации.
    Возникает естественный вопрос: от
чего зависит правильность выбора той или иной модели? Ответ достаточно очевиден
– от  правильного понимания социальной
реальности, что в свою очередь зависит от понимания  её происхождения.
   Процесс познания социальных
реальностей достаточно длительный и противоречивый. Так, доподлинно известно,
что человеческие общества появились на Земле около 40 тысяч лет назад, однако
человек осознал эту социальную реальность («общество») только примерно 2,5
тысяч лет тому назад (Конфуций, Платон). При этом в различные периоды, общество
рассматривалось то, как живой социальный организм, то, как сложный механизм, то,
как рационально устроенная система. До сих пор учёные не остановили свой выбор
ни на одной из этих альтернативных моделей.
   Другой пример социальной реальности –
государство. Государства появились ещё в Древнем Египте, однако до сих пор
среди социальных учёных отсутствует единство понимания – что такое государство.
Одни отождествляют его с обществом, другие – с политической формой организации
общества, третьи – с системой управления обществом, четвертые – с орудием
борьбы за власть в обществе и т.д. Очевидно, что неоднозначность понимания
государства отрицательно сказывается на решении задач государственного
строительства.   
    Социальные реальности являются основным
«материалом», с которым должны иметь дело социальные инженеры. Поэтому они
должны правильно понимать и интерпретировать социальные реальности. Для этого
остановимся на вопросах происхождения более подробно, начиная с естественных
социальных реальностей, которые возникли первыми и на основе которых затем
стали создаваться искусственные и комбинированные социальные реальности.
    Происхождение
естественных социальных реальностей. Естественные социальные реальности
возникают независимо от воли и желания людей, появляются постоянно и везде, где
есть люди, и составляют значительную часть социального мира, поэтому крайне
важно понять их происхождение.
    Археологи и палеонтологи доказали,
что социальная жизнь человека разумного (Homo sapiens) на
Земле началась примерно 40 тысяч лет назад, когда возникли родовые общины,
состоящие из несколько десятков человек. Подобные образования еще сохранились
до нашего времени под названием эгалитарных обществ [8] в виде племен
охотников-собирателей, изучением которых занимается социальная антропология. Малые
группы изучает также социология малых групп и социальная психология [9,10].   
       Если обратиться к трудам
социальных антропологов, социологов и социальных психологов [9-12], то из них
следует, что межличностные отношения (контакты) людей в относительно однородных
социальных группах обязательно сопровождаются процессами самоорганизации, в
результате чего неорганизованная группа превращается в организованную, т.е. в
самоорганизацию, или неформальную организацию. Об этом писал ещё П.Сорокин [12],
поэтому нет необходимости объяснять процессы самоорганизации с помощью
синергетики или теории систем, как стало модно в последнее время.
   Процессы самоорганизации, происходящие
в относительно однородных социальных группах, сопровождаются возникновением
социальных реальностей в виде лидеров, общих социальных интересов, ценностей и
норм, субординации, неформальных структур, группового мнения, распределения
статусов и ролей, общих проблем и др., которые появляются непреднамеренно,
поэтому имеют естественное происхождение.
    Некоторые из указанных социальных
реальностей могут взаимодействовать другом с другом, образуя более сложные
социальные реальности. Например, если в группе имеется несколько лидеров, то
они могут в результате межличностного взаимодействия определить главного лидера
и неформально подчиняться ему, образуя, тем самым, неформальную иерархическую
структуру управления (точнее, самоуправления) в группе.
   
Если данная социальная группа взаимодействует с другими аналогичными
группами, то она может «позаимствовать» у них часть естественных социальных
реальностей, обогащая свою культуру. С другой стороны, межгрупповое
взаимодействие может привести к появлению качественно новых естественных
социальных реальностей.
   Еще Аристотель считал, что семья – это
простейшее естественное социальное образование, однако в результате объединения
семей образуется селение, которое качественно отличается от семьи. В свою
очередь объединение селений порождает, по его мнению, город (полис), качественно
отличающийся как от семьи, так и селения.
   Следует, однако, заметить, что во
времена Аристотеля древние греки еще не занимались социальным планированием и
проектированием, поэтому семьи, селения (поселения), города и другие социальные
реальности (социальные институты, социальные ценности и нормы, общественное
мнение) действительно были преимущественно естественными, чего нельзя сказать о
современных семьях, поселениях и городах.
    В процессе социальной эволюции
происходит усложнение социальных реальностей. Это происходит не только в
результате накопления естественных социальных реальностей из поколения в
поколение, но и благодаря новациям, которые тоже необходимо отнести к
социальным реалиям, связанным с творческим характером человеческой
деятельности. Однако при этом необходимо заметить, что многие новации людей
связаны с «творчеством» Природы, у которой люди позаимствовали много полезного
(например, огонь, луки, стрелы, отточенные камни, дамбы, колесо и многое
другое).
    В результате творческой деятельности
людей появились такие культурные образцы как бумага, письменность, математика,
законы, суды, школы, налоги, казна, рынки, дороги, транспорт и др., которые в
совокупности с ранее накопленными социальными реалиями привели к образованию первых
государств. Это произошло в IV тысячелетии до нашей эры, когда на юге Месопотамии
появились первые города-государства, напоминающие греческие города-государства.
Последние имели естественное происхождение и были объединены общим названием
«Шумеры».
   Для появления первых
городов-государств потребовались новые социальные реальности (культурные
образцы) по сравнению с теми, которые возникают в малых обществах (лидеры,
субординация, обычаи, социальные нормы, общее собрание, групповое мнение),
имеющих относительно простые социальные механизмы (О.Конт). Самым мощным
регулятором, «порожденным» самими людьми (С.Московичи  [13]), явилась идея всемогущего Бога и его
законов, которым люди стали сознательно подчиняться. Затем эта идея была
«приватизирована» монахами, которые стали первыми законодателями и
руководителями первых теистических городов-государств. Божьи законы и суды –
это более действенные регуляторы, чем обычаи, традиции или ритуалы, позволяющие
управлять большими массами людей, по сравнению с первобытными общинами.
   В связи с появлением религий и божьих
предписаний появились необходимые предпосылки к появлению более масштабных и
сложных обществ по сравнению с семьями, общинами, поселениями и городами.
Такими предпосылками явилось появление рынков, денег, казны, судов, армий, и
т.д., а также изобретение и использование различных новаций: бумаги, средств связи,
транспорта и др. На их основе стали складываться (сначала стихийно, а затем
сознательно) первые государственные общества.
   Многие еще продолжают связывать
происхождение первых государств с возникновением института частной
собственности и классов, однако частная собственность появилась задолго до
возникновения государств, когда люди жили в сельских общинах. Судя по данным
археологов и социальных антропологов [14] значительно большее влияние на
возникновение первых государств оказала 
письменность, так как появление государств и письменности датируется
примерно одинаково.
   Социальная эволюция, сопровождающаяся
появлением на каждом этапе все более сложных и крупных по размерам обществ,
связана с усложнением их социальных механизмов (систем управления, в широком
понимании).
   Догосударственные общества (семьи,
общины, поселения, вождества) имели наиболее простые  социальные механизмы, основанные на общем
собрании взрослых членов обществ или мнении вождя. Государственные общества
имеют более сложные социальные механизмы, позволяющие организовать значительные
массы людей. Для этого потребовался значительно более разнообразный
«строительный материал» по сравнению с институтами догосударственных обществ.
Так, для строительства государства (государственного механизма) требуются такие
культурные образцы как единый язык общения, письменность, школы, законы, право,
документация, деньги, рынок, налоги, казна, армия, полиция, суд, государь,
министры, ведомства, транспорт, средства связи и др.
   Таким образом, перед началом
государственного строительства было достаточно разнообразного строительного
материала. Вопрос заключается в том, каким образом из этого строительного
материала естественным образом мог «сложиться» государственный механизм.
   Конечно, трудно поверить в то, что
этот механизм складывался стихийно. Однако если принять во внимание
длительность и поэтапность этого процесса, то ничего удивительного в этом нет.
   На первом этапе, догосударственное
общество, как «машина, творящая богов» (по образному выражению С.Московичи [13])
«породило» божественные законы и первых руководителей (монахов) — трактователей
этих законов. Божьи законы, это еще не светские законы, но уже появляются
религиозные институты (церкви, инквизиции), монополизирующие право, на «поддержание»
этих законов и карающих за их несоблюдение.
   На втором этапе с появлением
письменности, денег и осознанием института власти, власть становится предметом
торговли и постепенно переходит в руки земных руководителей (фараонов, царей,
королей). При этом в некоторых обществах наряду с церковной властью кардинала
существовала и светская власть короля, которые постоянно враждовали друг с
другом. Очевидно, что с социоинженерной точки зрения такая конструкция
общества, в которой две вертикали власти действуют не согласованно между собой,
а иногда и враждебно, не является оптимальной. Это произошло потому, что никто
не занимался проектированием государственного механизма. Поэтому в определенном
смысле можно сказать, что он сложился непреднамеренно, т.е. в значительной
степени случайным образом.
   На третьем этапе появляются все
необходимые атрибуты автократических (тоталитарных) государств с монархами
(императорами), законами, печатями, гербами, налоговыми системами,
казначействами, армиями, правительствами, министерствами и т.д., подчиняющиеся
воле одного правителя.
   На четвертом этапе появляются
парламентские государства. Появление парламента также не является результатом
социоинженерной деятельности. Оно обусловлено внутренними процессами, происходившими
в гражданском обществе Англии в XIII веке,
заставившими короля поделиться частью своей власти с баронами. С точки зрения
баронов, добившихся своего, создание Парламента является преднамеренным
результатом их борьбы за власть. Однако, с точки зрения государственного
строительства, создание парламента – это непреднамеренный результат, так как в
то время никто еще не помышлял о государственном строительстве.
   Таким образом, государства
«складывались», как и многие другие социальные институты, непреднамеренно на
основе «строительного материала», накапливаемого на протяжении всей социальной
истории человечества.
   С появлением государства появляется
новый центр принятия решений. Если до этого момента главную роль в решении
социальных проблем играло  общее собрание
общины, то теперь эту роль стало играть государство.      
   Государственные общества доказали свое
преимущество перед безгосударственными, так как опираются не на общественное
мнение, имеющее изменчивый и зыбкий характер, а на силу закона. С появлением
государства открылась возможность создания более масштабных, более сложных
обществ.
    Появление все более сложных и более
масштабных обществ сопровождалось одновременно созданием новых и трансформацией
старых институтов, работающих с социальными проблемами. Общие собрания
сохранились, однако они перестали играть ведущую роль в крупных обществах по
разным причинам. Так, если в городах-государствах (полисах) еще можно было
созывать все взрослое население в одно место (обычно на ратушную площадь) для
решения важных социальных проблем, то в более крупных обществах с миллионным
населением  это практически невозможно.
Кроме того, общие собрания обладают массой недостатков: низкой оперативностью
принятия решений, сильной зависимостью решений от ораторских и других
субъективных способностей лидеров, консерватизмом в выборе решений,
изменчивостью  социального настроения и
др. Несмотря на указанные недостатки, общее собрание выражало общественное
мнение и до появления государств являлось, по-видимому, основным универсальным
институтом управления.
     Главным преимуществом
государственного общества перед догосударственным является способность не
только закреплять естественно сложившийся порядок и институты, но и вводить
новые, однако не все государства умеют правильно ее реализовать.
   С появлением государственных обществ
появились новые универсальные институты, взявшие на себя ответственность за
решение государственных проблем. В современных обществах к ним относятся
президент,  его администрация, правительство
с его министерствами и ведомствами, парламент, суд, прокуратура. В совокупности
эти институты составляют то, что обычно называют государство.
   Некоторые теоретики государства и
права еще продолжают понимать под государством особую (политическую) форму
существования общества, однако с этим трудно согласиться. Раньше (до XVIII в.), когда государство отождествлялось с обществом,
такое еще можно было понять. Но сейчас, когда Президент страны и многие другие
государственные руководители с трибун говорят о государстве как выделившемся из
общества аппарате управления, трудно понять тех кто, продолжает переписывать из
учебника в учебник застарелый миф о государстве как политической форме организации
общества. Даже в старых учебниках и словарях определение государства было более
правильным. Так, еще 20 лет назад государство рассматривалось как «основной
институт политической системы общества, осуществляющий управление обществом,
охрану его экономической и социальной структуры».
    
2.Происхождение искусственных социальных реальностей.
   Для создания искусственных социальных
реальностей (любого вида), в отличие от естественных, требуется выбрать цель (цели)
их создания и их концептуальные модели, т.е. умозрительные представления об их
сущности.
   В качестве примера рассмотрим
особенности создания искусственных обществ. Выбрав цель (цели) создания, перед
социальным инженером стоит дилемма выбора подходящей концептуальной модели, в
основе которой обычно лежит некий исходный естественный прототип. От правильности
выбора зависит очень многое. Если модель выбрана удачно, то и проект созданного
на ее основе общества также окажется удачным. В противном случае искусственное
творение может оказаться хуже естественного прототипа.
    Искусственное общество не может быть
идеальной копией естественного прототипа. Во-первых, это невозможно реализовать
чисто технически, а во-вторых, человек никогда и не стремился к абсолютному
копированию природы. Модель (копия) всегда отлична от оригинала. Более того,
она всегда беднее его. В модели отражаются не все особенности естественного
прототипа, а лишь те, которые являются понятными и полезными для человека. При
этом некоторые особенности оригинала утрачиваются.
      Создавая искусственное общество,
человек вкладывал в него свое  понимание
его устройства и функционирования. Одни ученые-обществоведы (Дж.Локк, Т.Гоббс,
М.Вебер ) рассматривали общество как сложную рационально построенную систему,
другие (О.Конт, Г.Спенсер, Т.Парсонс, Ф.Ратцель) — как естественную систему и
т.д. Несмотря на отсутствие единства представления об обществе, доминирующей до
настоящего времени являлась рационалистическая (целевая) модель общества, в
основе которой лежит представление об обществе как системе, созданной для
достижения определенной цели (или целей). В результате многие создаваемые
общества (особенно в сфере экономики) проектируются в основном как «машины»
по  производству определенной продукции
(как главной цели). В таких проектах обычно не предусматриваются структуры и
функции, обеспечивающие целостность и устойчивость обществ. Эти функции
(функции политического управления) обычно берут на себя (часто не осознавая
того) руководители обществ, действующие на свой страх и риск.
   Относительные преимущества некоторых
искусственных обществ как средств удовлетворения социальных потребностей
сказались, прежде всего, в военной и экономических областях, где иерархические
структуры управления получили наибольшее распространение. Если первые
искусственные общества  мало чем
отличались от естественных аналогов, то со временем этот разрыв увеличился.
Человек научился создавать специальные общества, предназначенные для решения
самых разнообразных проблем. Поэтому искусственные общества быстро проникли во
все области социальной жизни, чему в немалой степени способствовал
доминировавший  в период Ренессанса и
после рационализм в философии XVII — XVIII вв. с его безграничной верой в
могущество и преобразующую способность человека. В результате такой
деятельности Человек значительно расширил сферу социального проектирования,
«отобрав» у Природы многие объекты проектирования (например, города, поселения,
партии).
         Если первые государственные
общества, города, предприятия, партии образовались естественным путем, то в
настоящее время такого не наблюдается, поскольку они уже давно стали объектами
социального проектирования. Таким образом, по мере накопления знаний происходит
постепенное «вытеснение» естественных обществ искусственными и комбинированными
(последние являются частично естественными, а частично – искусственными).
     Такое «вытеснение» может иметь как
положительные, так и отрицательные 
последствия для членов проектируемых обществ, поскольку многое зависит
от качества проекта. В одних случаях проект может оказаться удачным,  тогда члены общества получают преимущества, в
других — наоборот.
      Происхождение комбинированных социальных реальностей. Многие
социальные реальности имеют комбинированный характер. Это означает, что они
являются частично естественными, а частично – искусственными.
      Комбинированные социальные
реальности могут создаваться различными  путями. Приведем несколько примеров.
    1.Современные поселения городского
(или сельского) типа обычно создаются не на пустом месте, а на территории, где  уже проживает достаточное количество людей.
Они образуют своеобразный естественный «базис» будущего города. Жители
поселения могут собраться и избрать Администрацию города, которая является
искусственной «надстройкой», которая вместе с естественным «базисом» образуют комбинированную
социальную реальность. Это путь, когда новая социальная реальность создается
«снизу-вверх».
   2. Современные партии, блоки и
общественные организации могут создаваться как «снизу-вверх», так и «сверху-вниз».
В последнем случае председатель будущей партии подбирает «команду» своих
единомышленников по определенному плану или проекту.
  3.Комбинированные реальности возникают,
когда происходит естественная «доводка» искусственных организаций. Дело в том,
что в чистом виде искусственных организаций практически не бывает, так как ни
одна организация не может опираться только на формальные отношения и
предписания. Уже в первый же день работы между сотрудниками устанавливаются
неформальные отношения и возникают неформальные структуры, которые «доводят»
исходную искусственную организации «до кондиции», в результате чего она
превращается в комбинированную.
   4.Многие комбинированные реальности
являются следствием реформ или социальных экспериментов, проводимых над естественными
реальностями.
    Таким образом, комбинированные социальные
реальности могут быть как естественно-искусственными, так и
искусственно-естественными.

                               Мы никогда
не знали общество, в котором живем.
                                Не знаем его и сейчас.
                                               
Из последних высказываний А.Зиновьева.
   3.ЧЕЛОВЕК
И ОБЩЕСТВО: ОТСУТСТВИЕ ВЗАИМОПОНИМАНИЯ
      Социальный мир столь многообразен, что
социальная инженерия не в состоянии одновременно заниматься всеми социальными
реальностями, их реформированием и проектированием. Однако существуют
первоочередные социальные реальности, определяющие уровень жизни людей. К ним
относятся общество-нация и национальное государство.
   Парадокс заключается в том, что люди,
занимающиеся государственным строительством и реформированием (преобразованием)
общественного организма, слабо представляют, что такое общество и государство.
Поэтому ни одна крупная реформа в России не приводила к ожидаемым результатам.
   Отсутствие адекватного представления
об обществе не позволяет получить ответ на один из главных вопросов: каким
должно быть «правильное» общество, благотворно влияющее на поведение, жизнедеятельность
людей и «человеческие качества»?
    Человек — это не только продукт
биологической эволюции, но и социальной тоже. Он приобретает «человеческие
качества» не только от генов своих родителей. Многие качества он приобретает от
обществ (семья, детский сад, школа, вуз, предприятие, партия, город, нация), в
которых проходит вся его жизнь, в процессе социализации.
   Таким образом, роль обществ
чрезвычайно велика. С одной стороны, они являются продуктами человеческой
деятельности, а с другой – они обладают воспитательными функциями. Однако
далеко не все общества воспитывают людей с соответствующими человеческими
качествами. Для этого они сами должны соответствовать определенным требованиям.
   Отсюда становится понятным, почему
происходит ухудшение «человеческих качеств» людей. Все дело в способности людей
создавать гуманистические общества, т.е. общества, воспитывающие не
людей-индивидуалистов, прикрывающихся 
либерально-демократическими лозунгами, а людей «облагороженного образца»
(по словам Д.Андреева), думающих не только о собственном благосостоянии, но о
судьбе человечества.
   Однако чтобы создавать «правильные»
общества, воспитывающие «правильных» людей, необходимо, по крайней мере,
представлять: что такое общества, как они произошли, как устроены, как
функционируют и развиваются, а главное – какое воздействие они оказывают на
людей?
    Готовы ли современная социальная
философия, социальная психология и социология ответить на эти вопросы. К
сожалению, не готовы, так как им не хватает целостного и адекватного
представления об обществах.
   Такое представление пытались создать
«старые» социальные органицисты (О.Конт, Г.Спенсер, Э.Дюркгейм), социальные
«системщики» (Т.Парсонс, Н.Луман, А.Этциони) и другие. Однако с тех пор как
западные ученые-обществоведы стали исповедовать философию индивидуализма с ее
либерально-демократическими ценностями эти попытки прекратились. Западные
социологи вообще предпочитают забыть слово «общество», считая его неприличным;
при всякой возможности они стараются заменить его на «социальность», «социум»,
«социальная система». Так, например, А.Турен [15] отвергает само понятие
общества, заменяя его понятием «социальные отношения». Идеология либерального
индивидуализма мешает западным социологам создать необходимое представление об
обществах, в котором каждый человек играет определенную роль. Так, Т.Лоусон и
Д.Гэррод  предпочитают рассматривать
общество как сумму индивидуальных активностей или социальных взаимоотношений
свободных личностей. Однако человек никогда не был свободен от общества, как
это пытаются представить некоторые демократы и либералы.
   История развития науки показывает, что
все известные попытки понять общества наталкивались на идеологию
(антропоцентризма, индивидуализма, марксизма, рационализма и др.) и
ограничивались метафизической методологией научного познания. В результате в
общественном сознании стали доминировать не научные знания, а мифология,
создающая искаженное представление об обществах, организациях и других
социальных реалиях (социальных институтах, социальных нормах и ценностях,
общественной культуре, государстве, социальном управлении и др.).
   Очевидно, что отсутствие
взаимопонимания между людьми и обществами крайне затрудняет решение задач их
реформирования, так как любое неверное решение на государственном уровне может
привести к непредсказуемым последствиям. Ярким примером тому служит распад
СССР, который произошел не из-за злого умысла Горбачева, Ельцина или западных
политиков, для которых, по признанию Буша-старшего [16], распад СССР стал
полной неожиданностью, а вследствие непонимания советского общества, механизмов
его функционирования и развития.  
   Россия может последовать примеру СССР,
если мы не успеем понять собственное общество и не поймем его особенностей,
устройства, принципов функционирования, его недостатков (болезней, патологий) и
не сможем их исправить с помощью науки и социальных инженеров, к подготовке
которых необходимо приступить немедленно. Надежды на то, что найдется некая
политическая партия, которая окажется способной вывести общество на режим
устойчивого развития чисто политическими или экономическими средствами,
представляются неоправданными. 
   Многие политические партии уже много
раз показали свою несостоятельность в попытках привести общество к светлому
будущему (коммунизму, социализму, либеральной демократии и др.) и несмотря на
это

они продолжают свои бесплодные попытки реформирования общества на свой лад.
   Однако любое реформирование общества
требует его понимания, т.е. необходимо знать, как оно произошло, какими
свойствами обладает, как оно устроено и работает, как оно развивается и
эволюционирует. Без этого любое вторжение в работу механизма функционирования
общества чревато негативными последствиями, что видно на примере многих
революций, начиная с Великой Французской революции XVIII в. и заканчивая
«оранжевыми революциями» XXI вв.
   Для научно обоснованного
реформирования российского общества необходимо правильное его восприятие и
специально подготовленные люди.

В отличие от партийных деятелей, которые представляют общество как
целереализующую социальную систему, для которой надо правильно определить
конечную цель (или национальную идею) и 
«подталкивать» к этой цели, современные социальные инженеры должны
рассматривать общество как больной организм, который нуждается в правильном
лечении. Для этого российским вузам необходимо выпускать социальных инженеров и
вооружить их целостным и достаточно адекватным представлением об обществе,
которое бы служило им эталоном для сравнения, с помощью которого они смогли бы
правильно ставить диагноз, выявлять болезни общества и лечить их. В качестве
такого представления предлагается новая организмическая модель, разработанная в
рамках работ над созданием общей теории обществ [17].
                                             
Развитое общество, в котором каждый индивид
                                             
выполняет какую-либо специальную функцию в
                                             
соответствии с разделением общественного труда,
                                             
напоминает организм с его различными органами.
                                                                                                           
Э.Дюркгейм
     
4.НОВАЯ ОРГАНИЗМИЧЕСКАЯ МОДЕЛЬ И СОЦИАЛЬНЫЙ 
         МЕХАНИЗМ ОБЩЕСТВА
   Действующие общества (семьи, детские
сады, школы, вузы, фирмы, партии, города, нации и др.), в которых человек живет
и работает в основной своей массе являются «больными» обществами, имеющими
множество «патологий» как врожденных, так и приобретенных, вызванных неумелыми
реформами. Поэтому главная задача социальных инженеров заключается в
диагностике и лечении «больных» обществ путем обнаружения и ликвидации этих
недостатков. Для этого им необходима нормативная («идеальная») модель общества,
сравнение с которой позволило бы им осуществлять диагностику больного
общественного организма, подобно тому, как врачи-терапевты диагностируют
болезни человека на основе нормативной модели человека и знаний, получаемых в
вузе.
    В качестве нормативной модели
общества предлагается новая организмическая модель (НОМ), разработанная в
Российском государственном социальном университете (на кафедре социальной
инженерии факультета социального управления). При разработке модели мы исходили
из того, что социальная эволюция, «породившая» различные виды обществ (семьи и
общины, поселения, города, нации и др.), является непосредственным  продолжением биологической эволюции, поэтому
многие свойства обществ идентичны свойствам живых биологических организмов
высшего уровня, т.е. разумных организмов.
    НОМ общества можно вкратце описать
следующим образом.
   1.Общество – это относительно
устойчивая социальная целостность (общность), проявляющая способность адекватно
«отвечать на вызовы», или другими словами, способность выявлять и решать
социальные (общественные) проблемы, понимаемые как отклонения от общепринятых
социальных норм.
   2. Выявление и решение социальных
проблем осуществляется социальным механизмом общества (О.Конт), имеющим скрытый
или полускрытый характер. Благодаря функционированию социального механизма,
общество сохраняет свои базовые ценности и соответствующие им социальные нормы
(П.Сорокин), а тем самым, свою целостность и жизнеспособность.
   3. Любое общество «стоит», образно
говоря, на двух «опорах» – системе базовых ценностей и соответствующих им
социальных норм и социальном механизме, охраняющем базовые ценности и нормы.
Достаточно разрушить (преднамеренно или непреднамеренно) одну из этих опор, как
общество неминуемо погибнет.
   4.Общество отвечает на вызовы-проблемы
с помощью социальных институтов, организационных систем и структур, инноваций,
ценностей и других  образцов общественной
культуры (ООК), создаваемых и внедряемых в общественную культуру, которая
состоит из ООК, создаваемых людьми (преднамеренно или непреднамеренно),
принимаемых обществом и используемых им для решения социальных проблем.
   5.Социальный механизм общества
включает политическую систему (политический механизм) и исполнительный
механизм, где политическая система играет главную роль, поскольку она выявляет
проблемы и решает, что делать с каждой из них, формирует социокультурные
пространства общества и отвечает за целостность и устойчивое развитие общества.
   6.Общество способно воспроизводить
само себя путем воспроизводства человеческого потенциала (ресурса, капитала) и
общественной культуры. Данный процесс можно трактовать как общественное
развитие, которое может быть демократическим или авторитарным в зависимости от
способа закрепления новых ООК в общественной культуре. Оптимальным является
комбинированное развитие, основанное на знаниях, т. е. на мировом опыте решения
общественных проблем.
   В отличие от примитивных моделей
первых социологов-органицистов (О.Конт, Г.Спенсер, Э.Дюркгейм), данная модель
является более адекватной, так как опирается на современные знания об обществах,
полученных из различных дисциплин, появившихся сравнительно недавно (социальная
психология, социальная антропология, политология, культурология и др.).
   Сравнивая НОМ с реальными
обществами-нациями можно обнаружить значительные расхождения, касающиеся,
главным образом, социального механизма общества.
     Так, если исходить из НОМ, то любое
общество, включая российское, имеет полускрытый социальный механизм (О.Конт),
оберегающий систему базовых ценностей и соответствующих им социальных норм (П.Сорокин).
Это означает, что современные государства (государственные руководители и
политические деятели) основное внимание должны уделять социальному механизму и
базовым ценностям общества. 
   Однако если спросить у большинства
людей, что такое социальный механизм общества, то вряд–ли удастся получить
вразумительный ответ на этот вопрос, поскольку это понятие попросту оказалось
забытым (даже многими социологами).
    Несмотря на всю свою важность,
«социальный механизм общества» так и остался неопознанной социальной
реальностью. Г.Спенсер называл ее «регулятивной системой», Т.Парсонс –
«механизмом социальной системы», Н.Винер – системой управления, У.Эшби –
гомеостатическим механизмом.
    В современном «Социологическом
энциклопедическом словаре» [7] социальный механизм определяется как
«взаимодействие социальных структур, норм, институтов, образцов поведения и
т.д., посредством которого обеспечивается функционирование социальной системы».
Однако с этим трудно согласиться, так как понятия «механизм» и «взаимодействие»
являются разноплановыми.
    Некоторые отождествляют социальный
механизм общества с государственным механизмом (точнее, механизмом
государства), однако это неверно. Механизм государства является лишь
незначительной частью (которую можно сравнить с видимой вершиной айсберга)
социального механизма. Значительную часть социального механизма представляют
институты гражданского общества, участвующие в выявлении и решении социальных
(общественных) проблем. К ним относятся: политические партии и общественные
движения, профсоюзные организации, церковь, спортивные организации, частные
СМИ, видные политические и общественные деятели, олигархи и многие другие
социальные субъекты.
    Учитывая впечатляющие масштабы
негосударственной части социального механизма, становится понятным, почему ни
одна крупная государственная реформа в России не дала ожидаемых результатов –
она, просто-напросто блокируется негосударственной частью социального
механизма, который не учитывается государством при подготовке и проведении
реформ.
   Отсюда следует вывод, что государство
должно осознавать себя частью социального механизма общества, понимать свое
место в этом механизме и тесно взаимодействовать с негосударственной
(гражданской) частью социального механизма, который тоже участвует в решении
общественных проблем.
   Учитывать негосударственную
составляющую социального механизма необходимо не только при проведении реформ,
но и при решении задач государственного строительства.

                                      Ни одна страна не
может долго наслаждаться счастьем
                                 и
спокойствием, если народ её не увеличивает постепенно  
                                  свою
власть, не расширяет своих прав и, так сказать, не
                                   внедряется в жизнь государственной машины. 
                                                                                                                   Г.Бокль

 5.ДИАГНОСТИКА
СОЦИАЛЬНОГО МЕХАНИЗМА ОБЩЕСТВА И АКТУАЛЬНЫЕ ЗАДАЧИ СОЦИАЛЬНЫХ ИНЖЕНЕРОВ (НА
ПРИМЕРЕ РОССИЙСКОГО ОБЩЕСТВА)
      России необходимо укреплять государство. С
этим согласны все. Однако, поскольку государство является лишь частью
социального механизма общества, более правильно было бы говорить не об
укреплении государства, а об укреплении социального механизма. Для этого,
прежде всего,  необходимо определить его
границы (состав), поскольку они не очевидны.

Дело в том, что социальный механизм общества (общества-нации) складывался
исторически и, в значительной степени, стихийно и по частям, а не
проектировался специально как целостная система. Поэтому социальный механизм
включает многие субъекты, созданные и существующие независимо друг от друга,
каждый из которых может преследовать свои собственные цели, которые могут не соответствовать
функциям социального механизма. Например, президент, парламент, правительство,
судебные органы, профсоюзы, церковь, СМИ имеют свои собственные цели и в
значительной степени действуют независимо друг от друга, хотя являются
элементами одного социального механизма.
    Во-вторых, целесообразно пересмотреть состав
государственной и негосударственной подсистем социального механизма в сторону
увеличения его государственной части, включив в механизм государства ряд важных
субъектов из негосударственной подсистемы. В частности, это касается Общественной
палаты, СМИ, негосударственных секретных служб, частных наднациональных
организаций, политических и социологических научных институтов, многих
дошкольных и учебных заведений, религиозных конфессий, видных политических,
научных и общественных деятелей (на правах экспертов) и других субъектов.
   Как известно, начиная с Петра I и до
революции 1917 г.
православная церковь входила в состав государства и принимала активное участие
в общественной жизни. В наши дни активность церкви и ее влияние на общественную
жизнь постоянно возрастают, поэтому было правильно включить ее в состав
государства. Следует признать серьезной ошибкой передачу в частную
собственность некоторых политически важных объектов (особенно, учреждений
воспитания, образования, науки и СМИ), деятельность которых должна быть
направлена на воспроизводство системы базовых ценностей и норм, на которой
«держится» российское общество.
   При решении задач государственного
строительства (перепроектирования механизма государства) необходимо исходить из
функций социального механизма, главными из которых являются:

— выявление и решение общественных проблем и

— воспроизводство базовых ценностей и соответствующих им социальных норм.
     Социальный механизм общества,
особенно его государственная часть, должен эффективно выполнять указанные
функции. Отсюда следует еще одна важная задача социальных инженеров –
оптимизировать не только состав социального механизма и его подсистем
(государственной и гражданской), но и сделать его высокоэффективным.
   В настоящее время социальный механизм
российского общества не отвечает современным требованиям. Это проявляется не
только в отсутствии взаимопонимания между государством и гражданским обществом,
но и наличием многих недостатков, касающихся как государственной, так и
негосударственной подсистем социального механизма.
   Для выявления существующих недостатков
в работе социального механизма необходимо проведение его диагностики, которая
заключается в сравнении действующего механизма с НОМ. Там, где обнаружатся
несоответствия, следует искать недостатки (патологии). Патологии не надо путать
с социальными проблемами, хотя они и связаны друг с другом.
   Патологии обществ касаются
эффективности работы их социальных механизмов. Чем эффективней работает
социальный механизм, чем лучше он справляется с проблемами, тем здоровей само
общество, тем меньше у него проблем и тем выше уровень жизни людей.
   Предварительный диагностический анализ
(на примере российского общества) позволяет выявить следующие недостатки в
структуре и функционировании социального механизма, некоторые из которых
достаточно очевидны:

— отсутствие взаимопонимания и координации действий между  государственной и негосударственной
(гражданской) частями социального механизма;

— наличие нескольких центров управления, соответствующих различным ветвям
власти (президентской, законодательной, исполнительной, судебной), слабо
координирующих свою деятельность и часто конфликтующих друг с другом;

— «зашлакованность» социокультурных пространств общества, особенно, неэффективно
работающего правового пространства, которая может привести к «параличу»
социального организма и общества в целом;

— отсутствие должной ответственности за принимаемые решения;

— чрезмерная численность чиновников на всех уровнях управления и их бюрократизм
и коррумпированность;

— низкое качество государственного управления, связанное с отсутствием
профессионализма в работе с социальными (общественными) проблемами.
   Социальный механизм общества
представляет собой не целостную «систему, решающую проблемы» (Д.Истон), а
собрание малосвязанных между собой субъектов, преследующих свои собственные
цели. Поэтому основная задача социальных инженеров состоит в том, чтобы
перестроить социальный механизм таким образом, чтобы он хорошо справлялся с
выполнением своих функций, поскольку в настоящее время он не в состоянии
работать удовлетворительно, хотя бы потому, что в стране отсутствуют люди,
умеющие профессионально решать общественные (социальные) проблемы.
   Вузы страны пока не готовят таких
специалистов. Кроме того, у нас отсутствуют соответствующие теория социальных
проблем и методология работы с проблемами. Отсутствует даже международный
стандарт на само понятие «социальная (общественная) проблема». Поэтому нередко действуют
«двойные стандарты», а проблемы выявляются и решаются на основе интуиции и
субъективного опыта, а не научной основе. Все это может привести к накоплению
нерешенных проблем и образованию их «критической массы», которая может привести
к дальнейшей дезинтеграции общества.
   Не меньшую тревогу вызывает и вторая
функция, выполняемая социальным механизм. Речь идет о его способности
воспроизводить базовые ценности общества и соответствующие им социальные нормы.
   Базовые ценности являются продуктом
истории и для каждого общества они свои. Для России базовыми ценностями и
социальными нормами, с начала ее основания, являлись христианские ценности,
воплощенные в Библейских заповедях (не убий, не лги, уважай не только своих, но
и чужих людей, не кради и др.). Этих ценностей и норм придерживаются в основном
верующие люди, которых в связи с демографическим кризисом становится все
меньше. Для основной массы молодых людей базовыми ценностями становятся
насаждаемые СМИ ценности американской и западноевропейской культуры, которые
при попустительстве государства постепенно вытесняют

базовые ценности российской культуры. В значительной степени этому способствуют
демографический кризис, коррупция и неконтролируемая миграция. 
      Таким образом, ни система базовых ценностей
(с соответствующими им социальными нормами), ни социальный механизм общества не
находятся под контролем государства и, по сути, предоставлены сами себе, что
является свидетельством слабости государства.
   Дальнейшая эскалация западных
ценностей, постепенно вытесняющих базовые ценности россиян, может иметь самые
катастрофические последствия для безопасности страны. Однако для того, чтобы
понять, как глубоко зашел этот процесс, необходимо профессионально изучать
структуру и динамику ценностей российского общества. Крайне редкие
эпизодические исследования в этом отношении, проводимые российскими социологами
(Н.И.Лапин) явно недостаточны. Как нам представляется, ни современная семья, ни
церковь, ни школа, ни вуз, не в состоянии решить задачу консолидации и
воспроизводства базовых ценностей, поскольку перед ними никто не ставил такой
задачи. Поэтому данную задачу можно решить (если уже не поздно) только при
заинтересованном участии и координации со стороны государства с ее институтами
воспитания, образования, науки и СМИ, а также церкви и других институтов
гражданского общества.
   Проблема консолидации базовых
ценностей является достаточно сложной. Попытки ее решения предпринимались и
ранее, если вспомнить советское время и КПСС с ее отделами агитации и
пропаганды, пытающиеся «привить» коммунистические ценности. Однако эти ценности
противоречили многим ценностям христианства и других религий, и насаждались
насильственным путем.
    Отрицательный опыт советского
государства и КПСС в создании нового человека (человека коммунистической
морали) не означал необходимости ликвидации идеологической функции государства.
Необходимо было лишь учесть этот опыт и более грамотно подойти к решению задачи
воспроизводства базовых ценностей и норм. Очевидно, что наблюдаемая деградация
«человеческих качеств» является следствием отказа государства от идеологических
функций. Поэтому крайне важной является задача воссоздания идеологического
института государства в новом виде с учетом ошибок прошлого. Государство (его
политическая система) должно незамедлительно приступить к решению своей
основной, на наш взгляд, задаче воспитания людей с новыми «человеческими
качествами». Для решения этой задачи уже существуют определенные разработки
отечественных социологов, педагогов, психологов и других специалистов [18,19],
предлагающих различные методы и средства. В частности, М.И.Штеренберг [18]  и В.Цаплин [19] предлагают создавать
специальные государственные интернаты, в которых дети, начиная с возраста 3-х
лет, воспитывались и учились по принципиально новым образовательным программам,
целью которых является воспитание у детей гуманистических качеств
«облагороженного образца» и научению их способности мыслить по-новому
(планетарное мышление). Социальные инженеры должны активно участвовать в этих
разработках, считая их приоритетным направлением в своей работе.
   До недавнего времени считалось, что
потребности людей безграничны, однако это не так, поскольку они определяются их
ценностями. Кроме того, известно, что избыточные потребности развращают людей,
в частности, К.Маркс открыто высказывал свое негативное отношение к деньгам как
«феномену, извращающему природу людей». Поэтому перед социальным механизмом
должна ставиться задача выявления и удовлетворения не всех, а лишь разумных
потребностей общества. Для этого социальный механизм должен обладать
способностью не только контролировать и воспроизводить базовые ценности
общества (и соответствующие им социальные нормы), но и изменять их таким
образом, чтобы обеспечивать устойчивое развитие общества. По крайней мере,
очевидно, что человеческое общество, если оно достаточно разумно, должно
прожить не меньше, чем сама планета Земля, которая является ее домом. Поэтому
социальные инженеры должны ориентироваться на будущие поколения людей, которые
должны быть более разумными, чем предыдущие. В проект общества будущего
необходимо закладывать принципиально новые системы воспитания людей, которые
жили бы не сиюминутными интересами, а думали о будущем своих детей и всего
человечества.
  
      6.НЕКОТОРЫЕ МЕТОДЫ
СОЦИОИНЖЕНЕРНОЙ   
            ДЕЯТЕЛЬНОСТИ
    Как уже было сказано выше,
социоинженерная деятельность заключается 
в изучении и «исправлении» социальных реальностей, не отвечающим
современным требованиям, и «складывается» из разнообразных методов, которые, в
первом приближении, включают методы социологических исследований, методы
диагностики, методы консультирования, методы реформирования, методы социального
моделирования и прогнозирования, методы социального проектирования и
конструирования и др.
    Многие из указанных методов хорошо
описаны в научной литературе, однако они имеют достаточно универсальный
характер и не «привязаны» именно к социоинженерной деятельности. Поэтому помимо
известных  методов, социальная инженерия
нуждается в разработке новых методов, отражающих ее специфику. Коротко
остановимся лишь на некоторых из них, предназначенных для совершенствования
государственного и муниципального управления, а также повышения качества
управления в обществах (или организациях). К таким методам относятся:

— функционально-диагностический метод;

— метод, основанный на применении технологии когнитивного управления;

— метод, основанный на создании в обществах (или организациях) так называемых
«мозговых центров»;

— метод создания проблемно-ориентированных организационных систем 
  (ПОС).
   Указанные методы обладают значительной
новизной и обладают значительным преимуществом по сравнению с известными
методами.

Первые три метода подробно изложены нами в монографии [20], а последний (четвёртый)
– в [21].
   Функционально-диагностический метод
значительно расширяет возможности метода управленческого консультирования тем,
что он позволяет диагностировать не только явные, но и скрытые (латентные)
функции социального управления. Выявляя в процессе диагностирования скрытые
недостатки (патологии) функционирования обществ (организаций), метод позволяет
планировать широкомасштабные мероприятия по их устранению и повышению качества
управления.
   Метод, основанный на применении
технологии когнитивного управления позволяет значительно улучшить качество
принимаемых управленческих решений (по сравнению с методом ситуационного
управления), так как основан на применении так называемых «банков проблемных
знаний», накапливающих мировой и отечественный опыт решения проблем.
   Метод проектирования ПОС позволяет
создавать специальные организации, ориентированные на решение сложных
межотраслевых проблем, так как существующие организации имеют в основном
отраслевую или территориальную ориентацию. Попытки же решения сложных межотраслевых
проблем с помощью лишь методов программно-целевого управления, как правило,
малоэффективны.

  Указанные методы составляют лишь малую часть
методов, которые должны использовать социальные инженеры в своей работе и
которые ждут своих разработчиков.

                                  Литература

1.Бобков В.Н. Проблемы оценки уровня жизни населения в современной России. –
М., 1995

2.Поппер К.Р. Открытое общество и его враги. – М., 1992

3.Поппер К.Р. Нищета историцизма. – М.: Прогресс, 1993

4.Печчеи А. Человеческие качества. М.:Прогресс, 1980

5.Моисеев Н.Н. Агония// Свободная мысль, — 1999, №5, с.15-22

6.Modelski G., Tompson W. The long and short of global politics in the twenty-first
century: an evolutionary approach. – “International studies review”, 1999, №1

7.Социологический энциклопедический словарь. М., 1998

8.Woodburn J. Egalitarian societies. – Man (N.S.), 1982, v.17

9.Крысько В.Г. Социальная психология. Учебник.
– М., 2002

10. Еникеев М.И. Общая и социальная психология. Учебник для вузов. – М., 1999

11.Танатова Д.К. Антропологический подход в социологии. Монография. М.: Дашков
и К, 2004

12.Сорокин П.А. Система социологии. В 2-х томах. – М., 1993

13.Московичи С. Машина, творящая богов. – М., 1998

14.Wilson D. The communicators and society. – Oxford: Oxford University Press, 1995

15.Турен А. Социология без общества//Социологические исследования, 2004, №7, с.
6-11

16.Bush G. World transformed.
– N.Y. – Toronto, 1998, p.590

17.Франчук В.И. Основы общей теории обществ. – М., 2005

18.Штеренберг М.И. «Вечные
вопросы» в свете науки, философии и религии.- М., 2004

19.Цаплин В. Странная цивилизация. – М., 2006

20.Франчук В.И. Общая теория социальных организаций.- М.: Изд. «Союз», 2001

21.Франчук В.И. Основы построения организационных систем. – М.: Экономика, 1991

Генезис социальной инженерии в контексте междисциплинарности

%PDF-1.3
%
1 0 obj
>
endobj
5 0 obj

/Title
>>
endobj
2 0 obj
>
endobj
3 0 obj
>
endobj
4 0 obj
>
stream

Моисеева Агнесса Петровна

endstream
endobj
6 0 obj
>
endobj
7 0 obj
>
endobj
8 0 obj
>
endobj
9 0 obj
>
endobj
10 0 obj
>
endobj
11 0 obj
>
endobj
12 0 obj
>
endobj
13 0 obj
>
stream
HlSO0fvihGR;c;_mhH;L8Q ö
㐼9\ Krv~)aXPi_80Vr+$Ans\;%|’~
^Y[p#+{\}M>I?PˍlU-[)P{Krʅ…*
DۃoB*GQHh;;lzYFGaC̼#kokNF;n$#+.VtQ qNi»I%n#Tz>WB7>lfBc#qS}

Основы социальной инженерии – Telegraph

Социальная инженерия, по сути — это управление сознанием группы людей. В интернете ее используют очень часто. Например, когда одна и та же компания представляется разными названиями, чтобы собрать больше клиентов, когда люди выдают себя за популярных звезд, чтобы собрать вокруг себя аудиторию (так называемые фейки), когда мужчина с целью обмана выдает себе за женщину и много других вариантов, и это только на интернет страницах

Но, как правило, этим все не заканчивается, все переходит в обычную жизнь.

Хоть раз в жизни но приходится звонить от имени другого человека в компанию и узнавать что-то. А бывает и так, одна и та же компания в различных ресурсах представляется по разному. При этом человек звонит якобы в разные компании. И компания в свою очередь не отрицает предложенные названия. Во многих руководствах рекомендуется для выявления эффективности придумывать не существующих менеджеров по определенному товару, чтобы было понятно, откуда пришел человек и т.п. Все это социальная инженерия, способы воздействия которой нужно как минимум знать.

Виды социальной инженерии

Социальная инженерия подразделятся на два основных вида:

• Социальная инженерия.
• Обратная социальная инженерия.

У этих двух видов общее только то, что они воздействуют на человека, но при этом их способы воздействия совершенно различны.

Социальная инженерия может быть применима в любой обстановке, без предварительной подготовки, а люди, в отношении которых была направлена социальная инженерия, остаются в неведении настоящей ситуации, иногда и личностей.

Социальная инженерия успешно применяется не только для взлома и получения информации, как написано во многих книгах, но и в реальных ситуациях, для извлечения обыкновенной прибыли.

В обычной жизни мы не взламываем ежедневно компьютеры и сервисы, но почти ежедневно тратим деньги, которые нужно как-то зарабатывать.

Разберем самый обычный пример из жизни. Есть одна компания, под кодовым названием фирма №1. Как и у любой хорошей фирмы у нее много сайтов, на которых представлен один и тот же товар или услуга.

Поисковые системы, которые являются основным источником посетителей на сайт, пытаются сделать выдачу по определенному запросу как можно более разнообразной, чтобы получить еще больше посетителей, а, следовательно, денег.

Раньше одна и та же компания создавала от 10 до 50 сайтов, и старалась вывести их все на первую и вторую страницу в выдаче. И это получалось. В итоге человек обращался в одну и ту же фирму с одним и тем же заказом, не зависимо от того, какой бы он сайт не выбрал.

Почему человек думал, что это разные организации?

Потому что, это были разные сайты, поэтому он звонил, заказывал, иногда к нему даже приезжали люди как бы от разных фирм, но это перестало работать со временем.

Поисковые системы ввели фильтр (antiaffilat фильтр). При обнаружении сайтов одной фирмы, по одному запросу в выдаче, если будет выявлено, что целью организации является продажа товаров и оказание услуг, к этим сайтам будет применен специальный фильтр, который оставляет один сайт, а остальные отбрасывает на самые дальние странички.

Сейчас, чтобы противостоять этому фильтру, придумано много методов, один из которых – это скрытие данных владельца домена по запросу whois. Почту и телефон же стараются указывать для каждого домена разные. Тоже самое дело и с телефонами и адресами на самом сайте. Названия фирм очень часто пишут, в соответствии с названиями доменов. Например, для этого домена specialist-seo.ru фирма, скорее всего, называлась бы, ООО «Специалист СЕО».

Социальная инженерия применяется не только для обмана, но и в качестве способа ведения статистики. Пример, на сайте продаются дорогие автомобили. Под товаром какой-нибудь многоканальный телефон и подпись, «Спрашивайте Вашего персонального менеджера Ивана». Под другим товаром — «Спрашивайте Вашего персонального менеджера Александра» и т.п.

Рекомендуется указывать имена людей вообще не работающих в этой организации, чтобы точно вести статистику звонков посетителей с конкретных страничек или сайтов.

Реально таких людей даже не существует, а все звонки могут обрабатывать один – два человека. Но такие подписи придают солидность организации, повышают уровень доверия и используются в маркетинговых целях.

Социальная инженерия очень часто используются в целях повышения уровня доверия посетителя, причем повсеместно.

В интернет основными факторами, позволяющими повысить уровень доверия к сайту являются следующие:

• Оформление сайта — однотипные оформления вызывают недоверие. Как, например, у всяких интернет пирамид, люди разные, а страницы по оформлению совершенно идентичны. Как правило это: большой длинный текст, введением в который является мысль о том как будет хорошо или наоборот очень трудно достичь желаемого успеха и т.п. в начале и представлен яркий контраст с тем что будет потом, на этой же страничке обычно располагается почтовый адрес или форма подписки.
• Использование специальных подписей, кроме примера, приведенного выше, это ещё может быть указание подписи под обычным прямым сотовым номером, «Многоканальный телефон» и подобные записи.
• Регистрация доменов второго уровня — применяется так как вызывает недоверия фирма, использующая бесплатный домен третьего уровня. Если у организации нет денег даже на домен 2 уровня, то о каких платных услугах может идти речь.
• Установка счетчиков с других сайтов, которые показывают посетителей другого сайта, их более 2-3 тыс., а реально Вы на этом сайте вообще первый человек сегодня.

Помимо выше приведённых примеров существует ещё масса других методик и способов.

Предположим , у нашей фирмы №1 есть следующее:

• Три сотовых телефона с прямыми городскими номерами
• Один домашний адрес
• Три сайта.

Каким же образом фирма будет получать прибыль от этого?

На каждом сайте по whois указываются разные контактные данные, а имя и фамилия владельца скрывается. Сайты находятся на разных хостингах, чтобы обеспечить различные ip адреса. На всех сайтах указаны контакты и телефоны, которые не пересекаются и не повторяются. На каждом сайте уникальное оформление и содержание.

Осталось понять только одно, как фирма, находящаяся в собственной квартире доставляет товары и отправляет заказчиков на склады?

Все очень просто, рассказывать детали не буду. Дам только намек, что есть договоренность с производителями, которые и выполняют всю работу, а задача владельцев сайта, только сообщить, что клиент пришел от них.

Не стоит бояться заказывать через интернет, после прочтения данного текста, Вы просто делаете заказ через посредников, у которых есть определенные скидки, поэтому они могут предлагать товары дешевле, чем производитель, который специально фиксирует цены.

Социальная инженерия при формировании цен

Мы видим, что в этом магазине самый дешевый товар, мы покупаем в нем все. А Вы уверены, что это правда?

Во многих магазинах при формировании цен руководствуются следующим принципом. Некоторые категории товаров дешевле, чем у всех. А вот остальные, гораздо дороже, и как правило это комплектующие для тех самых дешевых товаров. А теперь посчитаете итоговую сумму. И где теперь дешевле?

Используя социальную инженерию, можно сильно навредить конкурентам, что делается очень часто среди такси. Количество ложных вызовов за ночь может превышать количество перевезенных клиентов в несколько раз, а это затраты времени, топлива, и потерянные клиенты, которых забрали другие.

Социальная инженерия в интернете очень часто используется фейками звезд (это те, кто выдает себя за звезд, известных людей). Как правило, это еще маленькие дети, которые хотят внимания и общения, но не могут их получить, или просто хотят почувствовать себя знаменитыми. Их цели безобидны. Но не всегда это маленькие дети, иногда цель таких людей получение прибыли, путем обмана.

Раньше процветал такой способ обмана, как получение денег от одиноких людей через сайты знакомств.

Берется собирательный образ девушки, которая очень желает познакомиться, через определенное время общения она просит финансовой помощи, хотя бы положить ей денег на телефон, так как у нее нет, смс она общаться не может, позвонить ей не возможно, так как рядом больные родители, уйти от которых она не может. И еще куча подобных историй. Не всегда это девушка, это может быть кто угодно, даже обычный извращенец. Цель этого – получение денег обманным путем.

Социальная инженерия может использоваться для очень большого количества целей, кто владеет социальной инженерией – владеет искусством обмана.

У социальной инженерии только один большой недостаток, Вы зависите от людей, против которых применяется социальная инженерия, а не они от Вас. По этой причине процесс воздействия совершенно не контролируем, и его успешность зависит от множества факторов.

Защита от социальной инженерии

Нужно не только знать, как нападать, нужно знать и как защищаться

Во всех крупных компаниях регулярно проводятся тесты на проникновение (пентесты) с использованием социальной инженерии.

Действия сотрудников обычно носят не умышленный характер, но очень опасны для информационной безопасности. От опасности из вне можно защититься, а от опасности изнутри, практически невозможно.

С целью повышения безопасности проводятся специальные тренинги, постоянно контролируется уровень знаний и конечно же совершаются внутренние диверсии, которые позволяют выявить уровень подготовленности сотрудников в реальных условиях. Как правило, это звонки, icq, skype и электронные письма различного содержания, сервисы общения и социальные сети.

Тестирование помогает не только блокировать доступ нарушителя, но позволяет проверить реакцию сотрудников на попытки нарушения, проверить их честность.

Вот, в принципе, и все. Надеюсь, что вам понравилось, поэтому буду благодарен если поделитесь этой статьей со своими друзьями и сделаете репост.

Guide — Основы социальной инженерии, учимся ее понимать | CybHack Community

Погнали!
Часть людей считает, что их-то как раз обмануть нельзя: эти люди всегда знают, когда им врут. Это не так.
•(Понять, что вам врут, если врун способный, практически невозможно.)

В университете Сан-Франциско проводился эксперимент, в котором участвовало 15 тыс. человек. Им показывали видео, в котором люди врут и говорят правду, и просили распознать, где им наврали. В среднем с заданием справилось меньше половины, и те, кто справились — сделали это наугад.

Итак, учимся. Что же нужно сделать, чтобы в ваше вранье поверили?
Примите решение наврать
Перед тем как наврать, подумайте, что будет, если выяснится правда, и насколько это вообще вероятно. Если вы врали на эту конкретную тему раньше — и вам верили, — то, возможно, вам удастся провернуть то же самое опять. Ловили ли вас на лжи люди, которым вы планируете наврать? Есть ли свидетели «правды», которые потенциально могли бы подорвать вашу историю? И наконец, что будет, если правда раскроется. Например, если вам десять, подумайте, за что вас накажут сильнее — за двойку или за то, что вы ее скрыли? Если взвесив все обстоятельства, вы все же пришли к выводу, что наврать будет лучше, чем сказать правду, нужно врать.
Удостоверьтесь, что вам это выгодно
Попасться на вранье легче всего, когда рассказываешь историю в первый раз. Если хорошенько проработать все детали вранья заранее, чтобы не пришлось ничего придумывать на месте, вероятность успеха возрастает в несколько раз. Вы на эту тему уже кому-то врали — и во второй раз про одно и то же насочиняете намного эффективнее, потому что потренировались.

И более того, в этот раз вы не создаете вранье (используя части мозга, отвечающие за креативные процессы), а вспоминаете его — то есть делаете ровно то же, что бы делали, пересказывая правдивую историю.
Говорите правду
Сложнее всего определить вранье, которое не совсем вранье. Чем большее правдивых фактов в вашей истории, тем сложнее будет уличить вас в том, что вы говорите неправду. Также правдивые факты приводят к тому, что слушатель задает меньше вопросов. А чем меньше вопросов, тем меньше вероятность того, что вас рассекретят.
Знайте, кому вы врете
Секрет хорошего вруна — он очень эмпатичен. Он отлично видит и чувствует, что творится в голове у того, кому он врет. Разным людям подходит разное вранье. Кому вы собрались наврать? Во что он поверит скорее? Адаптируйте вранье под жертву.
Врите коротко
История, которую вы рассказываете, должна быть максимально короткой. Вруны часто проваливаются на том, что начинают рассказывать бесконечные истории с большим количеством подробностей, потому что все это продумали заранее. Продумать вранье важно до мельчайших деталей, но не нужно выдавать их все, пока вас не спросят.
Изначальное вранье должно быть максимально коротким
Если нужно кому-то наврать, делайте это сразу. Не начинайте разговор с каких-то других тем, надеясь, что это поможет вам собраться с силами. Не поможет. Первым делом нужно наврать, пока собеседник еще не пригляделся к вам, не привык к вашим жестам и не умеет считывать подтексты в ваших словах. Сначала вранье — потом правда.
Советы
1. Не отводите глаза, но и не смотрите прямо в зрачки человеку, которому врете. Смотрите на его лицо в целом.

2. Улыбайтесь (ученые утверждают, что, когда люди говорят правду, они чаще улыбаются). Однако здесь нужно знать меру и улыбаться правдиво, ведь огромное количество людей считают, что если человек бессознательно улыбается, то по умолчанию врёт.

3. Следите за собой — врущий чаще трогает себя за пуговицы, теребит собственную одежду, бессознательно почесывается.

4. Контролируйте собственный голос. Так как вранье процесс энергоемкий и требующий концентрации слишком большого количества систем организма, голос врущего становится бесцветным и монотонным (у мозга нет дополнительных резервов на то, чтобы бессознательно его контролировать). Поэтому нужно это делать насильно. Добавьте красок в голос, повышайте и понижайте тональность, изменяйте ритм — старайтесь звучать правдиво, то есть разнообразно, как бы вы это делали, рассказывая интересную правдивую историю.

5. Размахивайте руками — если вам это вообще свойственно. Врущий часто бессознательно ограничивает движения и мимику. Хотите, чтобы вам

Основы социальной инженерии | Что нужно знать о социальных хакерах

Мошенники, аферисты, читеры и да — грязные гнилые негодяи. Как бы мы их ни называли, эти умные мошенники являются экспертами в том, как обманом заставить своих жертв отказаться от всего и вся, от денег в кошельках до номеров социального страхования. До тех пор, пока есть вещи, которые можно было украсть у других людей, были мошенники, которые хотели их грабить. Версия этого мошенника в техническую эпоху — социальный инженер.Убедитесь, что вы хорошо подготовлены, чтобы избежать их с помощью нашего курса социальной инженерии.

Хотя фишинг стал наиболее распространенной формой социальной инженерии — если говорить о новостях и технических блогах, — все еще существует множество других форм, которые могут представлять опасность для любой организации. По мере того, как мы становимся все более и более бдительными, чтобы не переходить по вредоносным ссылкам в подозрительных электронных письмах, некоторые социальные инженеры вернулись к классическому индивидуальному подходу.

Их основная стратегия социальной инженерии — использовать уязвимости человеческой природы, такие как доверие, страх, вежливость и услужливость, а не технические уязвимости в компьютерных программах.Социальные инженеры провели свои исследования и являются экспертами в манипуляциях.

Вот шесть основных человеческих тенденций, которые используются в атаках социальной инженерии:

• Авторитет: злоумышленник может позвонить вам, притворившись руководителем, чтобы воспользоваться вашей склонностью подчиняться авторитетным фигурам.
• Нравится: злоумышленник может попытаться установить с вами взаимопонимание, найдя общие интересы, а затем попросить вас об «одолжении».
• Взаимное действие: злоумышленник может попытаться сделать что-то для вас или убедить вас в этом, прежде чем попросить у вас что-то взамен.

Последовательность

• : злоумышленник может сначала добиться от вас устного обязательства соблюдать фальшивую политику безопасности, зная, что, как только вы согласитесь с этим, вы, скорее всего, выполните его следующий запрос, чтобы сдержать свое слово.
• Социальная проверка: злоумышленник может попытаться убедить вас принять участие в поддельном опросе, сообщив вам, что другие сотрудники вашего отдела уже сделали это. Он или она, возможно, даже узнал некоторые из их имен и использовал их, чтобы завоевать ваше доверие.
• Дефицит: злоумышленник может сказать вам, что первые 10 человек, которые пройдут опрос, автоматически выиграют приз, и что, поскольку некоторые из ваших коллег уже прошли опрос, вы тоже можете это сделать.

Социальные инженеры — умные самозванцы, но им легко помешать, если вы знаете, как их распознать.

Вот способы не стать жертвой социального инженера:

• Всегда сохраняйте здоровое чувство скептицизма при общении с неизвестными людьми, особенно если они запрашивают конфиденциальную информацию.
• Проверьте личности тех, кто запрашивает информацию лично или по телефону, прежде чем раскрывать ее.
• Не разглашайте информацию о других сотрудниках, удаленном доступе к сети, организационных методах или стратегиях неизвестным лицам.
• Ограничьте объем личной информации, которую вы делитесь в Интернете, особенно на сайтах социальных сетей.
• Не думайте, что только потому, что вызывающий абонент знает наш внутренний «жаргон», он является внутренним сотрудником.

Чтобы получить дополнительную информацию, посмотрите наш обучающий видеоролик по социальной инженерии или прочитайте дополнительные советы по предотвращению социальной инженерии.

Объяснение социальной инженерии: как преступники используют человеческое поведение

Определение социальной инженерии

Социальная инженерия — это искусство использования психологии человека, а не технических приемов взлома, для получения доступа к зданиям, системам или данным.

Например, вместо того, чтобы пытаться найти уязвимость программного обеспечения, социальный инженер может позвонить сотруднику и выдать себя за сотрудника службы поддержки ИТ, пытаясь обманом заставить сотрудника раскрыть свой пароль.

Известный хакер Кевин Митник помог популяризировать термин «социальная инженерия» в 90-х годах, хотя идея и многие методы существуют с тех пор, как появились мошенники.

Даже если у вас есть все навороты, когда дело доходит до безопасности вашего центра обработки данных, ваших облачных развертываний, физической безопасности вашего здания и вы вложили средства в защитные технологии, у вас есть правильные политики и процессы безопасности, а также измерять их эффективность и непрерывно улучшать, но хитрый социальный инженер может проложить себе путь насквозь (или обойти).

Методы социальной инженерии

Социальная инженерия оказалась очень успешным способом для преступников «проникнуть внутрь» вашей организации. Как только социальный инженер получит пароль доверенного сотрудника, он может просто войти в систему и поискать конфиденциальные данные. Имея карту доступа или код для физического проникновения внутрь объекта, преступник может получить доступ к данным, украсть активы или даже причинить вред людям.

В статье «Анатомия взлома» тестер проникновения рассказывает о том, как он использовал текущие события, общедоступную информацию, доступную на сайтах социальных сетей, и рубашку Cisco за 4 доллара, которую он купил в комиссионном магазине, чтобы подготовиться к незаконному проникновению.Рубашка помогла ему убедить сотрудников стойки регистрации и других сотрудников в том, что он был сотрудником Cisco, находившимся на визите в службу технической поддержки. Оказавшись внутри, он также смог дать незаконный доступ другим членам своей команды. Ему также удалось сбросить несколько зараженных вредоносным ПО USB-накопителей и взломать сеть компании, причем все это было в поле зрения других сотрудников.

Тем не менее, вам не нужно ходить в благотворительные магазины, чтобы провести атаку социальной инженерии. Они также хорошо работают по электронной почте, телефону или в социальных сетях.Общим для всех атак является то, что они используют человеческую природу в своих интересах, подпитывая нашу жадность, страх, любопытство и даже наше желание помочь другим.

Примеры социальной инженерии

Преступникам часто требуются недели и месяцы, чтобы узнать место, прежде чем даже войти в дверь или позвонить. Их подготовка может включать в себя поиск списка телефонов компании или организационной структуры и исследование сотрудников в социальных сетях, таких как LinkedIn или Facebook.

1.По телефону
Социальный инженер может позвонить и притвориться коллегой по работе или внешним авторитетом, которому доверяют (например, правоохранительными органами или аудитором).

2. В офисе
«Можете ли вы придержать мне дверь? У меня нет при себе ключа / карты доступа». Как часто вы слышали это в своем доме? Хотя спрашивающий может не показаться подозрительным, это очень распространенная тактика, используемая социальными инженерами.

3. Интернет
Сайты социальных сетей упростили проведение атак социальной инженерии.Сегодняшние злоумышленники могут зайти на такие сайты, как LinkedIn, найти всех пользователей, работающих в компании, и собрать много подробной информации, которая может быть использована для дальнейшей атаки.

Социальные инженеры также пользуются преимуществами последних новостей, праздников, поп-культуры и других устройств, чтобы заманить жертв. В фильме «Женщина» теряет 1825 долларов из-за мошенничества с тайным покупателем, выдавая себя за BestMark, Inc., вы видите, как преступники использовали имя известной компании, занимающейся тайным покупателем, для проведения своей аферы. Мошенники часто используют поддельные благотворительные фонды для достижения своих преступных целей в праздничные дни.

Злоумышленники также настроят фишинговые атаки на известные интересы (например, любимых артистов, актеров, музыку, политику, благотворительность), которые могут быть использованы для побуждения пользователей нажимать на вложения, содержащие вредоносное ПО.

Известные атаки социальной инженерии

Хороший способ понять, на какие тактики социальной инженерии следует обратить внимание, — это узнать, что использовалось в прошлом. У нас есть все подробности в обширной статье по этому вопросу, но пока давайте сосредоточимся на трех методах социальной инженерии — независимо от технологических платформ — которые оказались очень успешными для мошенников.

Предложите что-нибудь сладкое. Любой мошенник скажет вам, что самый простой способ обмануть знак — это использовать собственную жадность. Это основа классической нигерийской аферы 419, в которой мошенник пытается убедить жертву помочь вывести якобы незаконно полученные деньги из своей страны в безопасный банк, предлагая взамен часть средств. Эти электронные письма о «нигерийском принце» были шуткой на протяжении десятилетий, но они по-прежнему являются эффективным методом социальной инженерии, на который люди попадают: в 2007 году казначей в малонаселенном округе Мичиган дал 1 доллар.2 миллиона государственных средств такому мошеннику в надежде на личное обналичивание. Еще одна распространенная приманка — это перспектива новой, лучшей работы, чего, по-видимому, слишком многие из нас хотят: в чрезвычайно досадном нарушении безопасности в 2011 году Компания RSA была скомпрометирована, когда по крайней мере два сотрудника нижнего уровня открыли прикрепленный к фишинговому письму файл вредоносной программы с именем «2011 recruitment plan.xls».

Подделывайте, пока не сделаете. Один из простейших и, на удивление, самых успешных методов социальной инженерии — это просто притвориться своей жертвой.В одном из легендарных первых случаев мошенничества Кевина Митника он получил доступ к серверам разработки ОС Digital Equipment Corporation, просто позвонив в компанию, назвавшись одним из их ведущих разработчиков и сказав, что у него проблемы со входом в систему; он был немедленно вознагражден новым логином и паролем. Все это произошло в 1979 году, и можно было бы подумать, что с тех пор ситуация улучшится, но вы ошибаетесь: в 2016 году хакер получил контроль над адресом электронной почты Министерства юстиции США и использовал его, чтобы выдать себя за сотрудника, уговаривая службу поддержки, чтобы передать токен доступа к внутренней сети Министерства юстиции, сказав, что это была его первая неделя на работе, и он не знал, как что-то работает.

Во многих организациях есть барьеры, предназначенные для предотвращения такого наглого выдвижения себя за другое лицо, но их часто довольно легко обойти. Когда Hewlett-Packard наняла частных детективов, чтобы выяснить, какие члены совета директоров HP сливали информацию в прессу в 2005 году, они смогли предоставить PI последние четыре цифры номера социального страхования своих жертв, что служба технической поддержки AT&T приняла как подтверждение личности перед передачей подробных журналов вызовов.

Действуйте так, как будто вы главный. Большинство из нас настроено уважать авторитет — или, как выясняется, уважать людей, которые действуют так, как будто у них есть полномочия делать то, что они делают. Вы можете использовать разную степень осведомленности о внутренних процессах компании, чтобы убедить людей в том, что вы имеете право быть местами или видеть то, чего не должны, или что сообщение, исходящее от вас, действительно исходит от кого-то, кого они уважают. Например, в 2015 году финансовые сотрудники Ubiquiti Networks переводили миллионы долларов деньгами компании мошенникам, которые выдавали себя за руководителей компании, вероятно, используя похожий URL-адрес в своем адресе электронной почты.Что касается более низкого уровня техники, то следователи, работавшие на британские таблоиды в конце 00-х — начале 10-х годов, часто находили способы получить доступ к учетным записям голосовой почты потерпевших, притворяясь другими сотрудниками телефонной компании с помощью явного блефа; например, один из частных лиц убедил Vodafone сбросить PIN-код голосовой почты актрисы Сиенны Миллер, позвонив и назвавшись «Джоном из отдела кредитного контроля».

Иногда мы выполняем требования внешних властей, не задумываясь об этом. Босс кампании Хиллари Клинтон Джон Подеста был взломан российскими шпионами в 2016 году, когда они отправили ему фишинговое письмо, замаскированное под записку от Google с просьбой сбросить пароль.Предприняв действия, которые, по его мнению, защитят его учетную запись, он фактически отдал свои учетные данные.

Профилактика социальной инженерии

Тренинги по вопросам безопасности — лучший способ предотвратить социальную инженерию. Сотрудники должны знать, что социальная инженерия существует, и знать наиболее часто используемые тактики.

К счастью, понимание социальной инженерии поддается рассказыванию историй. А рассказы намного проще для понимания и намного интереснее, чем объяснения технических недостатков.Викторины, привлекающие внимание или юмористические плакаты также служат эффективным напоминанием о том, что нельзя предполагать, что все являются теми, кем они себя называют.

Но не только рядовой сотрудник должен знать о социальной инженерии. Высшее руководство и руководители являются основными целями предприятия.

5 советов по защите от социальной инженерии

Сотрудник CSO Дэн Лорманн предлагает следующий совет:

1. Тренируйтесь и тренируйтесь снова, когда дело доходит до осведомленности о безопасности.
Убедитесь, что у вас есть комплексная программа обучения по вопросам безопасности, которая регулярно обновляется для устранения как общих фишинговых угроз, так и новых целевых киберугроз. Помните, что речь идет не только о переходе по ссылкам.

2. Предоставьте ключевым сотрудникам подробный инструктаж по новейшим методам онлайн-мошенничества.
Да, включая руководителей высшего звена, но не забывайте о тех, кто имеет право совершать телеграфные переводы или другие финансовые операции.Помните, что многие правдивые истории, связанные с мошенничеством, происходят с сотрудниками более низкого уровня, которые обманываются, полагая, что руководитель просит их принять срочные меры — обычно в обход обычных процедур и / или средств контроля.

3. Изучите существующие процессы, процедуры и разделение обязанностей для финансовых переводов и других важных транзакций.
При необходимости добавьте дополнительные элементы управления. Помните, что разделение обязанностей и другие меры защиты могут быть скомпрометированы в какой-то момент внутренними угрозами, поэтому может потребоваться повторный анализ анализа рисков с учетом возросших угроз.

4. Рассмотрите новые правила, касающиеся «внеполосных» транзакций или срочных запросов руководства.
Электронное письмо из аккаунта Gmail генерального директора должно автоматически поднимать тревогу для сотрудников, но они должны понимать новейшие методы, применяемые темной стороной. Вам нужны санкционированные действия в чрезвычайных ситуациях, которые всем хорошо известны.

5. Изучите, доработайте и протестируйте свои системы управления инцидентами и сообщениями о фишинге.
Регулярно проводите настольные учения с руководством и ключевым персоналом.Тестируйте средства управления и перепроектируйте потенциальные области уязвимости.

Набор инструментов социальной инженерии

Ряд поставщиков предлагают инструменты или услуги, помогающие проводить упражнения по социальной инженерии и / или повышать осведомленность сотрудников с помощью таких средств, как плакаты и информационные бюллетени.

Также стоит обратить внимание на набор инструментов социальной инженерии social-engineering.org, который можно загрузить бесплатно. Этот инструментарий помогает автоматизировать тестирование на проникновение с помощью социальной инженерии, включая целевые фишинговые атаки, создание легитимных веб-сайтов, атаки с использованием USB-накопителей и многое другое.

Еще один хороший ресурс — Концепция социальной инженерии.

В настоящее время лучшая защита от атак социальной инженерии — это обучение пользователей и уровни технологической защиты, позволяющие лучше обнаруживать атаки и реагировать на них. Обнаружение ключевых слов в электронных письмах или телефонных звонках можно использовать для отсеивания потенциальных атак, но даже эти технологии, вероятно, будут неэффективными в остановке квалифицированных социальных инженеров.

Copyright © 2019 IDG Communications, Inc.

Социальная инженерия: основы | Сетевой мир

Когда дело доходит до сетевых брандмауэров, у вас есть все навороты, а система безопасности вашего здания оснащена современной системой доступа.Вы инвестировали в технологии. А как же персонал?

Социальные инженеры или преступники, которые используют человеческое поведение для мошенничества, не беспокоятся о системе значков. Они просто войдут и уверенно попросят кого-нибудь помочь им попасть внутрь. А этот файрволл? Это не будет иметь большого значения, если ваших пользователей обманом заставят щелкнуть вредоносную ссылку, которая, по их мнению, пришла от друга из Facebook.

В этом руководстве мы описываем общие тактики, которые часто используют социальные инженеры, и даем вам советы о том, как обеспечить бдительность вашим сотрудникам.

* Что такое социальная инженерия?

* Чем подвержена моя компания?

* Как социальные инженеры справляются со своими трюками?

* Почему люди влюбляются в методы социальной инженерии?

* Как я могу обучить наших сотрудников предотвращению социальной инженерии?

Что такое социальная инженерия?

Социальная инженерия — это, по сути, искусство получения доступа к зданиям, системам или данным путем использования психологии человека, а не путем взлома или использования технических приемов взлома.Например, вместо того, чтобы пытаться найти уязвимость программного обеспечения, социальный инженер может позвонить сотруднику и выдать себя за сотрудника службы поддержки ИТ, пытаясь обманом заставить сотрудника раскрыть свой пароль.

Известный хакер Кевин Митник помог популяризировать термин «социальная инженерия» в 90-х годах, хотя идея и многие методы существуют с тех пор, как появились мошенники любого рода.

Чем подвержена моя компания?

Социальная инженерия оказалась очень успешным способом для преступников «проникнуть внутрь» вашей организации.В приведенном выше примере, получив пароль доверенного сотрудника, социальный инженер может просто войти в систему и поискать конфиденциальные данные. Еще одна попытка может заключаться в том, чтобы обмануть кого-то с помощью карты доступа или кода, чтобы физически проникнуть внутрь объекта, будь то для доступа к данным, кражи активов или даже для причинения вреда людям.

Крис Никерсон, основатель Lares, консалтинговой компании в Колорадо, проводит «тестирование красной команды» для клиентов, используя методы социальной инженерии, чтобы определить уязвимость компании.Никерсон подробно рассказал CSO, как легко без вопросов попасть внутрь здания.

В одном тесте на проникновение Никерсон использовал текущие события, общедоступную информацию, доступную на сайтах социальных сетей, и рубашку Cisco за 4 доллара, которую он купил в комиссионном магазине, чтобы подготовиться к незаконному проникновению. Рубашка помогла ему убедить сотрудников стойки регистрации и других сотрудников в том, что он был сотрудником Cisco, находившимся на визите в службу технической поддержки. Оказавшись внутри, он также смог дать незаконный доступ другим членам своей команды.Ему также удалось сбросить несколько зараженных вредоносным ПО USB-накопителей и взломать сеть компании, причем все это было в поле зрения других сотрудников. Прочтите «Анатомию взлома», чтобы следить за Никерсоном в этом упражнении.

Как социальные инженеры справляются со своими трюками?

Преступникам часто требуются недели и месяцы, чтобы узнать место, прежде чем даже войти в дверь или позвонить по телефону. Их подготовка может включать в себя поиск списка телефонов компании или организационной структуры и исследование сотрудников в социальных сетях, таких как LinkedIn или Facebook.

Но как только они будут готовы, по словам Никерсона, знание того, что нужно сказать, знание того, кого просить, и уверенность — зачастую все, что требуется неуполномоченному лицу, чтобы получить доступ к объекту или конфиденциальным данным.

Цель всегда состоит в том, чтобы завоевать доверие одного или нескольких ваших сотрудников. In Mind Games: Как социальные инженеры завоевывают ваше доверие Брайан Бушвуд, ведущий интернет-сериала Scam School, описывает некоторые уловки, которые используют мошенники, чтобы завоевать это доверие, которое может варьироваться в зависимости от средства коммуникации:

— На телефон:

Социальный инженер может позвонить и притвориться коллегой по работе или внешним авторитетом, которому доверяют (например, правоохранительными органами или аудитором).По словам Сэла Лифриери, 20-летнего ветерана Департамента полиции Нью-Йорка, который теперь обучает компании тактике социальной инженерии через организацию под названием «Защитные операции», преступник пытается заставить человека чувствовать себя комфортно благодаря близости. Они могут выучить корпоративный жаргон, чтобы человек на другом конце провода подумал, что он инсайдер. Еще один успешный метод заключается в записи «удерживаемой» музыки, которую компания использует, когда звонящие остаются в ожидании у телефона. Узнайте больше о таких приемах в книге «Социальная инженерия: восемь общих тактик».

— В офисе:

«Можете ли вы подержать дверь для меня? У меня нет с собой ключа / карты доступа». Как часто вы слышали это в своем доме? Хотя спрашивающий может не показаться подозрительным, это очень распространенная тактика, используемая социальными инженерами.

В том же упражнении, когда Никерсон использовал свою рубашку из благотворительного магазина, чтобы проникнуть в здание, он попросил члена команды ждать снаружи возле места для курения, где сотрудники часто уходили на перерывы. Если предположить, что этот человек был просто товарищем по курению в офисе, настоящие сотрудники впустили его с черного хода без вопросов.«Сигарета — лучший друг социального инженера», — сказал Никерсон. Он также указывает на другие места, куда социальные инженеры могут легко попасть в 5 дыр безопасности в офисе.

По словам Никерсона, подобные вещи происходят постоянно. Эта тактика также известна как «слежение за хвостом». Многие люди просто не просят других подтвердить, что у них есть разрешение на пребывание там. Но даже в тех местах, где для передвижения по залам требуются значки или другие доказательства, подделка легко, — сказал он.

«Я обычно использую некоторые высококачественные фотографии, чтобы распечатать значки, чтобы действительно выглядеть так, как будто я должен находиться в этой среде.Но их часто даже не проверяют. Я даже носил значок с надписью «Выкиньте меня», и меня до сих пор не допрашивали ».

— Онлайн:

По словам Грэхема, сайты социальных сетей открыли совершенно новую дверь для мошенничества с использованием социальной инженерии. Клули, старший консультант по технологиям британской охранной фирмы Sophos. Один из последних случаев связан с преступником, изображающим из себя «друга» Facebook. Но нельзя быть уверенным, что человек, с которым они разговаривают на Facebook, на самом деле реальный человек, отметил он. .Преступники крадут пароли, взламывают учетные записи и выдают себя за друзей с целью получения финансовой выгоды.

Одна из популярных тактик, которая использовалась недавно, заключалась в том, что мошенники взламывали учетные записи Facebook и отправляли на Facebook сообщение, утверждая, что застряли в чужом городе, и они говорят, что им нужны деньги.

«Часто утверждают, что их ограбили во время путешествия, и человек просит друга из Facebook перевести деньги, чтобы все можно было исправить», — сказал Клули.

«Если человек выбрал неверный пароль или его украли с помощью вредоносного ПО, мошеннику легко надеть маску доверия», — сказал он.«Когда у вас есть доступ к учетной записи человека, вы можете видеть, кто его супруг (а), где он отдыхал в последний раз. Легко притвориться кем-то, кем вы не являетесь».

Дополнительные примеры см. В разделе «9 грязных уловок: любимые строки для подбора социальных инженеров».

Почему люди влюбляются в методы социальной инженерии?

Люди ежедневно обманываются этими злоумышленниками, потому что они не были должным образом предупреждены о социальных инженерах. Как отмечает блоггер из CSO Том Олзак, человеческое поведение всегда является самым слабым звеном в любой программе безопасности.И кто может обвинить их? Без надлежащего образования большинство людей не распознают уловки социальных инженеров, потому что они зачастую очень изощренны.

Социальные инженеры используют ряд психологических тактик по отношению к ничего не подозревающим жертвам. Как отмечает Бушвуд в книге Mind Games, успешные социальные инженеры уверены в разговоре и умеют его контролировать. Они просто ведут себя так, как будто они принадлежат учреждению, даже если они не должны быть такими, а их уверенность и положение тела успокаивают других.

«Люди, отвечающие за охрану концертов, часто даже не ищут значки», — сказал Брашвуд.«Они ищут осанку. Они всегда могут сказать, кто из фанатов пытается ускользнуть и мельком взглянуть на звезду, и кто работает над мероприятием, потому что им кажется, что они принадлежат им».

Социальные инженеры также будут использовать юмор и комплименты в разговоре. Они могут даже сделать небольшой подарок охраннику, например секретарю, чтобы выслужиться на будущее. По словам Бушвуда, это часто успешные способы завоевать доверие человека, потому что «симпатия» и «чувство необходимости ответить взаимностью» — это шаблоны фиксированных действий, которые люди естественным образом используют в правильных обстоятельствах.

В Интернете многие мошенники, использующие социальную инженерию, используют в своих интересах как человеческий страх, так и любопытство. Ссылки с вопросом: «Вы видели это видео с вами?» невозможно сопротивляться, если вы не знаете, что это просто социальный инженер, который пытается заманить вас в ловушку, чтобы вы перешли по плохой ссылке.

Успешные фишинговые атаки часто предупреждают, что «ваш банковский счет был взломан! Щелкните здесь, чтобы войти в систему и подтвердить свою учетную запись ». Или« Вы не оплатили товар, который недавно выиграли на eBay. Пожалуйста, нажмите здесь, чтобы оплатить.«Эта уловка играет на руку человеку, опасающемуся негативного влияния на его рейтинг eBay.

« Поскольку люди тратят годы на создание рейтинга обратной связи eBay или «репутации», люди быстро реагируют на этот тип электронной почты. Но, конечно же, это ведет к фишинговому сайту, — сказал Шира Рубинофф, основатель Green Armor Solutions, фирмы по разработке программного обеспечения для обеспечения безопасности в Хакенсаке, штат Нью-Джерси. — Многие люди используют eBay, и пользователи часто делают ставки за несколько дней до завершения покупки. Таким образом, для человека вполне разумно думать, что он или она забыли о ставке, сделанной неделей ранее.«

Недавние фишинговые приманки даже используют в своих интересах экономический спад, — сказал Рубинофф. Нередко в поддельных электронных письмах утверждается, что они исходят от кадровых ресурсов, в которых говорится:« Вас уволили из-за увольнения. Если. вы хотите зарегистрироваться для получения выходного пособия, пожалуйста, зарегистрируйтесь здесь »и содержит вредоносную ссылку.

Никто не хочет быть человеком, который вызывает проблемы в этой экономике, поэтому любое электронное письмо, которое, как представляется, от работодателя, скорее всего, вызовет ответ, отметил Рубинофф.Никерсон Лареса также видел противников, которые использовали поддельные электронные письма работодателя.

«Можно сказать:« Чтобы сократить расходы, в этом году мы отправляем формы W-2 в электронном виде », — сказал Никерсон.

Как я могу обучить своих сотрудников предотвращению социальной инженерии?

Осведомленность — это защитная мера номер один. Сотрудники должны знать, что существует социальная инженерия, а также знать наиболее часто используемые тактики.

Элементы эффективной программы повышения осведомленности о безопасности см. В разделах «Семь практических идей для повышения осведомленности о безопасности» и «Услышьте это!».

К счастью, понимание социальной инженерии поддается рассказыванию историй. А рассказы намного проще для понимания и намного интереснее, чем объяснения технических недостатков. Успех Криса Никерсона в образе техника — пример истории, которая интересно передает сообщение. Викторины, привлекающие внимание или юмористические плакаты также служат эффективным напоминанием о том, что нельзя предполагать, что все всегда остаются теми, кем они себя называют.

«На своих обучающих занятиях я говорю людям, что вам всегда нужно быть немного параноиком и анальным, потому что вы никогда не знаете, чего от вас хочет человек», — сказал Лифриери.Атака на сотрудников «начинается с администратора, охранника у ворот, который наблюдает за парковкой. Поэтому обучение должно доходить до персонала».

Уловки социальной инженерии постоянно развиваются, и обучение осведомленности должно быть свежим и актуальным. Например, по мере того, как сайты социальных сетей растут и развиваются, социальные инженеры пытаются их использовать; see5 Facebook, мошенничества в Twitter, которых следует избегать, и еще 5 мошенничеств в Facebook и Twitter, которых следует избегать.

Этот рассказ «Социальная инженерия: основы» был первоначально опубликован

ОГО.

Присоединяйтесь к сообществам Network World на Facebook и LinkedIn, чтобы комментировать самые важные темы.

Copyright © 2010 IDG Communications, Inc.

5 лучших методов социальной инженерии и способы их предотвращения

Узнайте, почему машинное обучение имеет решающее значение для защиты от новых киберугроз и как машинное обучение используется для защиты сетей и приложений.

Социальная инженерия — это угроза кибербезопасности, которая использует самое слабое звено в нашей цепочке безопасности — наши человеческие ресурсы — для получения доступа к корпоративным сетям. Злоумышленники используют все более изощренные уловки и эмоциональные манипуляции, чтобы заставить сотрудников, даже старшего звена, передать конфиденциальную информацию. Узнайте об этапах атаки социальной инженерии, каковы основные угрозы социальной инженерии по данным InfoSec Institute и передовые методы защиты от них.

Из этой статьи вы узнаете о:

Что такое социальная инженерия? Этапы атаки

Социальная инженерия — это попытка злоумышленников обмануть или манипулировать людьми, чтобы они отказались от доступа, учетных данных, банковских реквизитов или другой конфиденциальной информации.

Социальная инженерия проходит в три этапа:

1. Исследование — злоумышленник проводит разведку цели для сбора такой информации, как организационная структура, роли, поведение и вещи, на которые могут реагировать отдельные лица.Злоумышленники могут собирать данные через веб-сайты компаний, профили в социальных сетях и даже при личных визитах.
2. Планирование — используя собранную информацию, злоумышленник выбирает свой режим атаки и разрабатывает стратегию и конкретные сообщения, которые они будут использовать для использования слабых мест целевых лиц.
3. Execution — злоумышленник обычно выполняет атаку, отправляя сообщения по электронной почте или другому онлайн-каналу. В некоторых формах социальной инженерии злоумышленники активно взаимодействуют со своими жертвами; в других случаях цепочка уничтожений автоматизирована и обычно активируется, когда пользователь щелкает ссылку для посещения вредоносного веб-сайта или выполнения вредоносного кода.

Топ-5 методов социальной инженерии

По данным InfoSec Institute, следующие пять методов относятся к числу наиболее часто используемых атак социальной инженерии.

1. Фишинг

При фишинг-атаке злоумышленник использует сообщение, отправленное по электронной почте, в социальных сетях, клиентах обмена мгновенными сообщениями или SMS, чтобы получить конфиденциальную информацию от жертвы или обманом заставить ее щелкнуть ссылку на вредоносный веб-сайт.

Фишинговые сообщения привлекают внимание жертвы и призывают к действию, возбуждая любопытство, прося о помощи или вызывая другие эмоциональные триггеры.Они часто используют логотипы, изображения или стили текста, чтобы подделать личность организации, создавая впечатление, что сообщение исходит от коллеги по работе, банка жертвы или другого официального канала. В большинстве фишинговых сообщений используется ощущение срочности, заставляющее жертву поверить в негативные последствия, если они не передадут конфиденциальную информацию быстро.

2. Отверстие для полива

Атака watering hole включает запуск или загрузку вредоносного кода с легитимного веб-сайта, который обычно посещают цели атаки.Например, злоумышленники могут взломать сайт новостей финансовой индустрии, зная, что люди, которые работают в сфере финансов и, таким образом, представляют собой привлекательную цель, могут посетить этот сайт. Скомпрометированный сайт обычно устанавливает троян-бэкдор, который позволяет злоумышленнику взломать и удаленно управлять устройством жертвы.

Атаки Wateringhole обычно выполняются опытными злоумышленниками, обнаружившими уязвимость нулевого дня. Они могут ждать месяцами, прежде чем выполнять настоящую атаку, чтобы сохранить ценность обнаруженного эксплойта.В некоторых случаях атаки wateringhole запускаются непосредственно против уязвимого программного обеспечения, используемого целевой аудиторией, а не на веб-сайт, который они посещают.

3. Нападение китов

Whaling, также известный как целевой фишинг, представляет собой тип фишинг-атаки, нацеленной на конкретных лиц с привилегированным доступом к системам или доступом к очень ценной конфиденциальной информации. Например, китобойная атака может быть проведена против руководителей высшего звена, богатых людей или сетевых администраторов.

Китобойная атака более сложна, чем обычная фишинговая атака. Злоумышленники проводят тщательные исследования, чтобы составить сообщение, которое заставит определенные цели отреагировать и выполнить желаемое действие. Электронные письма китобойного промысла часто выдают себя за важные деловые электронные письма, отправленные коллегой, сотрудником или менеджером цели, требующие срочного вмешательства со стороны жертвы.

4. Предварительный текст

При атаке под предлогом злоумышленники создают поддельную личность и используют ее, чтобы манипулировать своими жертвами, чтобы они предоставили конфиденциальную информацию.Например, злоумышленники могут выдать себя за внешнего поставщика ИТ-услуг и запросить данные учетной записи и пароли пользователя, чтобы помочь им в решении проблемы. Или они могут притвориться финансовым учреждением жертвы, попросив у них подтвердить номер банковского счета или учетные данные банковского веб-сайта.

5. Нападения с приманкой и «услуга за услугу»

При атаке с применением травли злоумышленники предоставляют то, что жертвы считают полезным. Это может быть предполагаемое обновление программного обеспечения, которое на самом деле представляет собой вредоносный файл, зараженный USB-токен с этикеткой, указывающей, что он содержит ценную информацию, и другие методы.

Атака quid pro quo похожа на травлю, но вместо обещания чего-то, что принесет пользу жертве, злоумышленники обещают выполнить действие, которое принесет им пользу, но требует взамен действия от жертвы. Например, злоумышленник может вызвать случайные добавочные номера в компанию, притворившись, что перезванивает по запросу в службу технической поддержки. Когда они выявляют человека, у которого действительно есть проблема с поддержкой, они делают вид, что помогают ему, но инструктируют его выполнить действия, которые могут поставить под угрозу их машину.

Другие атаки социальной инженерии

Ниже приведены дополнительные варианты социальной инженерии, которые могут поставить под угрозу ваши системы и конфиденциальные данные:

• Vishing — голосовой фишинг похож на фишинг, но осуществляется путем звонков жертвам по телефону.
• Scareware — отображает на устройстве пользователя уведомления, заставляющие их думать, что они заражены вредоносным ПО и нуждаются в установке программного обеспечения (вредоносного ПО злоумышленника) для очистки своей системы.
• Кража с переадресацией — отправляет курьера или доставщика в неправильное место и занимает их место, чтобы забрать чувствительную посылку.
• Медовая ловушка — злоумышленник притворяется привлекательным человеком и фальсифицирует отношения в сети, чтобы получить конфиденциальную информацию от своей жертвы.
• Tailgating — злоумышленник входит в безопасное помещение, следуя за кем-то с авторизованным доступом, прося его «просто придержать дверь» для него, чтобы он также мог войти.

Профилактика социальной инженерии

Следующие меры могут помочь предотвратить и предотвратить атаки социальной инженерии на вашу организацию.

Обучение по вопросам безопасности
Обучение по вопросам безопасности должно быть постоянным мероприятием в любой компании. Сотрудники могут просто не осознавать опасности социальной инженерии, а если и осознают, то со временем могут забыть подробности. Осведомленность сотрудников о безопасности и постоянное обновление — это первая линия защиты от социальной инженерии.

Антивирус и инструменты безопасности конечных точек
Основная мера — установка антивируса и других мер безопасности конечных точек на пользовательских устройствах. Современные инструменты защиты конечных точек могут идентифицировать и блокировать очевидные фишинговые сообщения или любое сообщение, которое ссылается на вредоносные веб-сайты или IP-адреса, перечисленные в базах данных анализа угроз. Они также могут перехватывать и блокировать вредоносные процессы, выполняемые на устройстве пользователя.

Тестирование на проникновение
Существует бесчисленное множество творческих способов преодоления защиты организации с помощью социальной инженерии.Используя этичного хакера для проведения тестирования на проникновение, вы позволяете человеку с хакерским набором навыков выявлять и пытаться использовать слабые места в вашей организации. Когда тест на проникновение успешно скомпрометирует уязвимые системы, он может помочь вам обнаружить сотрудников или системы, на защите которых вам необходимо сосредоточиться, или методы социальной инженерии, которым вы особенно подвержены.

SIEM и UEBA
Атаки социальной инженерии неизбежно произойдут, поэтому вы должны убедиться, что у вашей организации есть средства для быстрого сбора данных об инцидентах безопасности, определения того, что происходит, и уведомления сотрудников службы безопасности, чтобы они могли принять меры.

Например, Exabeam Security Management Platform — это система управления событиями безопасности и информацией нового поколения (SIEM), основанная на аналитике событий и поведения пользователей (UEBA). Exabeam собирает события безопасности и журналы по всей вашей организации и использует UEBA для определения нормального поведения и предупреждения вас при возникновении подозрительной активности. Будь то переход пользователя на необычный веб-сайт или вредоносный процесс, выполняемый на устройстве пользователя, UEBA может помочь вам идентифицировать атаки социальной инженерии по мере их возникновения и быстро реагировать с помощью автоматических сценариев реагирования на инциденты для предотвращения повреждений.

Хотите узнать больше об угрозах кибербезопасности?
Посмотрите эти статьи:

Что такое атаки социальной инженерии?

Что такое социальная инженерия?

Социальная инженерия — это вектор атаки, который в значительной степени зависит от взаимодействия человека и часто включает в себя манипулирование людьми с целью нарушения обычных процедур безопасности и передовых методов для получения несанкционированного доступа к системам, сетям или физическим объектам или для получения финансовой выгоды.

Злоумышленники используют методы социальной инженерии, чтобы скрыть свою истинную личность и мотивы, выдавая себя за доверенных лиц или источников информации. Цель состоит в том, чтобы повлиять, манипулировать или обманом заставить пользователей раскрыть конфиденциальную информацию или получить доступ внутри организации. Многие методы социальной инженерии полагаются на готовность людей помочь или страх наказания. Например, злоумышленник может притвориться сотрудником, у которого возникла неотложная проблема, требующая доступа к дополнительным сетевым ресурсам.

Социальная инженерия — популярная тактика среди злоумышленников, потому что часто проще эксплуатировать людей, чем найти уязвимости в сети или программном обеспечении. Хакеры часто используют тактику социальной инженерии в качестве первого шага в более крупной кампании по проникновению в систему или сеть и кражи конфиденциальных данных или распространению вредоносного ПО.

Социальная инженерия — это вектор атаки, в значительной степени зависящий от человеческого взаимодействия.

Как работает социальная инженерия?

Социальные инженеры используют различные тактики для проведения атак.

Первым шагом в большинстве атак социальной инженерии является проведение злоумышленником исследования и разведки цели. Например, если целью является предприятие, хакер может собирать сведения об организационной структуре, внутренних операциях, общепринятом жаргоне, используемом в отрасли, и возможных деловых партнерах, среди другой информации.

Одна из распространенных тактик социальных инженеров — сосредоточиться на поведении и моделях сотрудников, которые имеют низкоуровневый, но начальный доступ, таких как охранник или администратор; злоумышленники могут сканировать профили в социальных сетях в поисках личной информации и изучать их поведение в Интернете и лично.

Оттуда социальный инженер может спланировать атаку на основе собранной информации и использовать слабые места, обнаруженные на этапе разведки.

Если атака успешна, злоумышленник получает доступ к конфиденциальной информации, такой как номера социального страхования и данные кредитной карты или банковского счета; зарабатывает деньги не по назначению; или получает доступ к защищенным системам или сетям.

Типы атак социальной инженерии

Популярные типы атак социальной инженерии включают следующие методы:

• Наживка. Злоумышленник оставляет зараженное вредоносным ПО физическое устройство, такое как флэш-накопитель с универсальной последовательной шиной, в месте, где его обязательно можно найти. Затем цель берет устройство и вставляет его в свой компьютер, непреднамеренно устанавливая вредоносное ПО.
• Фишинг . Когда злоумышленник отправляет мошенническое электронное письмо, замаскированное под законное электронное письмо, часто якобы из надежного источника. Сообщение предназначено для того, чтобы обманом заставить получателя поделиться финансовой или личной информацией или щелкнуть ссылку, по которой устанавливается вредоносное ПО.
• Целевой фишинг . Это похоже на фишинг, но атака предназначена для конкретного человека или организации.
• Вишинг . Также известный как голосовой фишинг , вишинг предполагает использование социальной инженерии по телефону для сбора финансовой или личной информации от цели.
• Китобойный промысел . Особый тип фишинг-атаки, китобойная атака нацелена на высокопоставленных сотрудников, таких как главный финансовый директор или главный исполнительный директор, чтобы обманом заставить целевого сотрудника раскрыть конфиденциальную информацию. Эти три типа фишинговых атак подпадают под более широкое понятие социальной инженерии.
• Предварительный текст. Одна сторона лжет другой, чтобы получить доступ к конфиденциальным данным. Например, мошенничество с предлогом может включать злоумышленника, который притворяется, что ему нужны финансовые или личные данные для подтверждения личности получателя.
• Пугающие программы . Это включает в себя обман жертвы, заставляя ее думать, что ее компьютер заражен вредоносным ПО или случайно загрузил нелегальный контент.Затем злоумышленник предлагает жертве решение, которое устранит фиктивную проблему; на самом деле жертву просто обманом заставляют загрузить и установить вредоносное ПО злоумышленника.
• Поливочная лунка. Злоумышленник пытается скомпрометировать определенную группу людей, заражая веб-сайты, которые они, как известно, посещают и которым доверяют, с целью получения доступа к сети.
• Утечка кражи. В этом типе атаки социальные инженеры обманом заставляют службу доставки или курьерскую компанию пойти не в то место получения или возврата, таким образом перехватывая транзакцию.
• Quid pro quo. Это атака, при которой социальный инженер делает вид, что предоставляет что-то в обмен на информацию или помощь цели. Например, хакер вызывает набор случайных чисел в организации и притворяется специалистом технической поддержки, отвечая на запрос. В конце концов, хакер найдет кого-то, у кого есть законная техническая проблема, и он будет притворяться, что ему помогает. Благодаря этому взаимодействию хакер может указать тип цели в командах для запуска вредоносного ПО или может собирать информацию о пароле.
• Медоловушка. В этой атаке социальный инженер притворяется привлекательным человеком, чтобы взаимодействовать с человеком в сети, имитировать отношения в сети и собирать конфиденциальную информацию через эти отношения.
• Tailgating. Иногда называется , совмещенный с . Хакер входит в охраняемое здание, следуя за кем-то с авторизованной картой доступа. Эта атака предполагает, что человек, имеющий законный доступ в здание, достаточно вежлив, чтобы держать дверь открытой для человека, стоящего за ним, предполагая, что ему разрешено там находиться.
• Незаконное программное обеспечение безопасности. Это тип вредоносного ПО, которое обманом заставляет жертв платить за поддельное удаление вредоносного ПО.
• Погружение в мусорную корзину. Это атака социальной инженерии, при которой человек ищет в мусоре компании информацию, такую ​​как пароли или коды доступа, написанные на стикерах или клочках бумаги, которые могут быть использованы для проникновения в сеть организации.
• Фарминг. При этом типе онлайн-мошенничества киберпреступник устанавливает вредоносный код на компьютер или сервер, который автоматически направляет пользователя на поддельный веб-сайт, где пользователь может быть обманут, чтобы предоставить личную информацию.

Погружение в мусорный контейнер — это разновидность атаки социальной инженерии.

Примеры атак социальной инженерии

Пожалуй, самый известный пример атаки социальной инженерии — это легендарная Троянская война, в которой греки смогли проникнуть в город Трою и выиграть войну, спрятавшись внутри гигантского деревянного коня, который был представлен троянской армии как троянская армия. символ мира.

В наше время Фрэнк Абигнейл считается одним из ведущих экспертов в области методов социальной инженерии.В 1960-х годах он использовал различные тактики, чтобы выдать себя за как минимум восемь человек, включая пилота авиалинии, врача и юриста. В то время Абигнейл также подделывал чеки. После заключения он стал консультантом по безопасности Федерального бюро расследований и начал свою собственную консультацию по финансовому мошенничеству. Его опыт молодого мошенника стал известен благодаря его бестселлеру « Поймай меня, если сможешь» и экранизации оскароносного режиссера Стивена Спилберга.

Когда-то известный как «самый разыскиваемый хакер в мире», Кевин Митник убедил сотрудника Motorola передать ему исходный код MicroTAC Ultra Lite, нового раскладного телефона компании. Это был 1992 год, и Митник, который бежал от полиции, жил в Денвере под вымышленным именем. В то время он был обеспокоен тем, что федеральное правительство его отслеживает. Чтобы скрыть свое местонахождение от властей, Митник использовал исходный код для взлома Motorola MicroTAC Ultra Lite, а затем попытался изменить идентификационные данные телефона или отключить возможность подключения вышек сотовой связи к телефону.

Чтобы получить исходный код устройства, Митник позвонил в Motorola и был связан с отделом, работающим над ним. Затем он убедил сотрудника Motorola в том, что он коллега, и убедил этого сотрудника прислать ему исходный код. В конечном итоге Митник был арестован и отсидел пять лет за взлом. Сегодня он мультимиллионер и автор ряда книг по взлому и безопасности. Востребованный спикер, Митник также руководит компанией по кибербезопасности Mitnick Security.

Более свежим примером успешной атаки социальной инженерии была утечка данных компании RSA, занимающаяся безопасностью, в 2011 году.Злоумышленник отправил два разных фишинговых письма в течение двух дней небольшим группам сотрудников RSA. В письмах была тема «План набора на 2011 год» и вложения в виде файла Excel. Таблица содержала вредоносный код, который при открытии файла устанавливал бэкдор через уязвимость Adobe Flash. Хотя никогда не было ясно, какая именно информация была украдена, если таковая была, система двухфакторной аутентификации (2FA) RSA SecurID была скомпрометирована, и компания потратила около 66 миллионов долларов на восстановление после атаки.

В 2013 году Сирийская электронная армия смогла получить доступ к аккаунту Associated Press (AP) в Twitter, включив вредоносную ссылку в фишинговое письмо. Электронное письмо было отправлено сотрудникам AP под видом коллеги. Затем хакеры опубликовали в Твиттере фальшивую новость из аккаунта AP, в которой говорилось, что в Белом доме прогремели два взрыва и был ранен тогдашний президент Барак Обама. Это вызвало такую ​​значительную реакцию, что промышленный индекс Доу-Джонса упал на 150 пунктов менее чем за 5 минут.

Также в 2013 году фишинговая афера привела к массивной утечке данных Target. Фишинговое письмо было отправлено субподрядчику по отоплению, вентиляции и кондиционированию воздуха, который был одним из деловых партнеров Target. В электронном письме содержался троян Citadel, который позволил злоумышленникам проникнуть в системы точек продаж Target и украсть информацию о 40 миллионах кредитных и дебетовых карт клиентов. В том же году Министерство труда США подверглось атаке водяного пара, и его веб-сайты были заражены вредоносным ПО через уязвимость в Internet Explorer, которая установила троян для удаленного доступа под названием Poison Ivy.

В 2015 году киберпреступники получили доступ к личной учетной записи электронной почты AOL Джона Бреннана, тогдашнего директора Центрального разведывательного управления. Один из хакеров объяснил СМИ, как он использовал методы социальной инженерии, чтобы выдать себя за технического специалиста Verizon и запросить информацию об учетной записи Бреннана в Verizon. Получив данные учетной записи Verizon Бреннана, хакеры связались с AOL и использовали эту информацию, чтобы правильно ответить на контрольные вопросы для учетной записи электронной почты Бреннана.

Предотвращение социальной инженерии

Существует ряд стратегий, которые компании могут использовать для предотвращения атак социальной инженерии, в том числе следующие:

• Убедитесь, что отделы информационных технологий регулярно проводят тестирование на проникновение с использованием методов социальной инженерии. Это поможет администраторам узнать, какие типы пользователей представляют наибольший риск для определенных типов атак, а также определить, каким сотрудникам требуется дополнительное обучение.
• Запустите программу обучения навыкам безопасности, которая поможет предотвратить атаки социальной инженерии. Если пользователи знают, как выглядят атаки социальной инженерии, они с меньшей вероятностью станут жертвами.
• Внедрить безопасную электронную почту и веб-шлюзы для сканирования электронной почты на предмет вредоносных ссылок и их фильтрации, тем самым уменьшая вероятность того, что сотрудник нажмет на одну из них.
• Регулярно обновляйте антивредоносное и антивирусное ПО, чтобы предотвратить установку вредоносных программ из фишинговых писем.
• Будьте в курсе обновлений программного обеспечения и прошивки на конечных точках.
  Фишинг, социальная инженерия, гигиена паролей и безопасная удаленная работа — важные темы обучения кибербезопасности.

• Отслеживайте сотрудников, которые обрабатывают конфиденциальную информацию, и активируйте для них расширенные меры аутентификации.
• Внедрите 2FA для доступа к ключевым учетным записям, например, код подтверждения с помощью текстового сообщения или распознавания голоса.
• Убедитесь, что сотрудники не используют повторно одни и те же пароли для личных и рабочих учетных записей.Если хакер, совершающий атаку социальной инженерии, получает пароль от учетной записи сотрудника в социальной сети, хакер также может получить доступ к рабочим учетным записям сотрудника.
• Внедрите фильтры спама, чтобы определить, какие электронные письма могут быть спамом. Спам-фильтр может иметь черный список подозрительных адресов Интернет-протокола или идентификаторов отправителей, или они могут обнаруживать подозрительные файлы или ссылки, а также анализировать содержимое электронных писем, чтобы определить, какие из них могут быть поддельными.

Хаднаги, Кристофер: 8601404717680: Amazon.com: Books

Первая книга, раскрывающая и анализирующая технические аспекты многих приемов социальной инженерии

На основе извлечения, предлогов, влияния и манипуляции все аспекты социальной инженерии отбираются, обсуждаются и объясняются с использованием реальных примеров, личного опыта и стоящая за ними наука раскрыла тайну социальной инженерии.

Кевин Митник — один из самых известных социальных инженеров в мире — популяризировал термин «социальная инженерия».Он объяснил, что гораздо легче обмануть кого-то, чтобы раскрыть пароль к системе, чем приложить усилия для взлома системы. Митник утверждает, что эта тактика социальной инженерии была самым эффективным методом в его арсенале. В этой незаменимой книге рассматриваются различные приемы, направленные на обман ничего не подозревающих жертв, а также рассматриваются способы предотвращения угроз социальной инженерии.

• Исследует социальную инженерию, науку о влиянии на цель для выполнения желаемой задачи или разглашения информации.
• Предоставляет вам бесценную информацию о многих методах обмана, которые хакеры используют для сбора информации с целью кражи личных данных. мошенничество или получение доступа к компьютерной системе
• Обнаруживает жизненно важные шаги для предотвращения угроз социальной инженерии

Социальная инженерия: Искусство человеческого взлома делает свою часть, чтобы подготовить вас к гнусным хакерам — теперь вы можете внести свой вклад, приложив все усилия использовать важную информацию на своих страницах.

От автора: Defining Neuro-Linguistic Hacking (NLH)

NLH представляет собой комбинацию использования ключевых частей нейролингвистического программирования. функциональность микровыражений, языка тела, жестов и смешивание всего этого, чтобы понять, как «взломать» человеческую инфраструктуру. Давайте подробнее рассмотрим каждый из них, чтобы увидеть, как он применяется.

Нейро-лингузитическое программирование (НЛП): НЛП — это противоречивый подход к психотерапии и организационным изменениям, основанный на «модели межличностного общения, в основном касающейся взаимосвязи между успешными моделями поведения и лежащими в их основе субъективными переживаниями» и «системой альтернативных подходов». основанная на этом терапия, которая направлена ​​на обучение людей самосознанию и эффективному общению, а также к изменению их моделей психического и эмоционального поведения »

Нейро: Это указывает на нашу нервную систему, которую мы обрабатываем нашими пятью чувствами:
• Визуальный
• Слуховой
• Кинестетический
• Запах
• Вкус

Лингвистический: это указывает на то, как мы используем язык и другие невербальные коммуникативные системы, с помощью которых наши нейронные представления кодируются, упорядочиваются и придаются значение.Это может включать в себя такие вещи, как:
• Изображения
• Звуки
• Чувства
• Вкусы
• Запахи
• Слова

Программирование: это наша способность обнаруживать и использовать программы, которые мы запускаем в наших неврологических системах для достижения наших конкретных и желаемые результаты.

Короче говоря, НЛП — это то, как использовать язык разума для последовательного достижения, модификации и изменения наших конкретных и желаемых результатов (или цели).

Микровыражения — это непроизвольные мышечные реакции на эмоции, которые мы испытываем.Когда мозг обрабатывает эмоции, он заставляет нервы сжимать определенные группы мышц лица. Эти реакции могут длиться от 1/25 секунды до 1 секунды и раскрывать истинные эмоции человека.

Было проведено много исследований микровыражений, а также того, что обозначается как тонкие микровыражения. Тонкое микровыражение — важная часть обучения NLH в качестве социального инженера, поскольку многие люди будут отображать тонкие намеки на эти выражения и давать вам подсказки относительно своих чувств.

Что такое социальная инженерия? Примеры и советы по предотвращению

Социальная инженерия — это искусство манипулировать людьми, чтобы они отказывались от конфиденциальной информации. Типы информации, которую ищут эти преступники, могут быть разными, но когда жертвами становятся отдельные лица, преступники обычно пытаются обманом заставить вас сообщить им ваши пароли или банковскую информацию или получить доступ к вашему компьютеру для тайной установки вредоносного программного обеспечения, что даст им доступ к вашему пароли и банковскую информацию, а также предоставление им контроля над вашим компьютером.

Преступники используют тактику социальной инженерии, потому что обычно легче использовать вашу естественную склонность к доверию, чем находить способы взломать ваше программное обеспечение. Например, гораздо легче обмануть кого-то, чтобы он дал вам свой пароль, чем вам попытаться взломать его пароль (если пароль действительно ненадежный).

Развитие фишинга. Из этого руководства вы узнаете 11 способов, которыми хакеры пытаются заполучить ваши данные и как защитить себя.

Безопасность — это знание, кому и чему доверять.Важно знать, когда и когда не следует верить человеку на слово, и когда человек, с которым вы общаетесь, является тем, кем он себя называет. То же самое и в отношении онлайн-взаимодействия и использования веб-сайта: когда вы уверены, что веб-сайт, который вы используете, является законным или безопасным для предоставления вашей информации?

Спросите любого специалиста по безопасности, и он скажет вам, что самое слабое звено в цепочке безопасности — это человек, который принимает человека или сценарий за чистую монету. Неважно, сколько замков и засовов на ваших дверях и окнах, есть ли сторожевые собаки, системы сигнализации, прожекторы, заборы с колючей проволокой и вооруженные сотрудники службы безопасности; Если вы доверяете человеку у ворот, который говорит, что он разносчик пиццы, и впускаете его, предварительно не проверив, является ли он законным, вы полностью подвергаетесь риску, который он представляет.

Как выглядит атака социальной инженерии?

Электронное письмо от друга

Если преступнику удастся взломать или подобрать пароль электронной почты одного человека, он получит доступ к списку контактов этого человека, а поскольку большинство людей везде используют один пароль, они, вероятно, также имеют доступ к контактам этого человека в социальных сетях.

Когда преступник получает эту учетную запись электронной почты под своим контролем, он отправляет электронные письма всем контактам человека или оставляет сообщения на всех социальных страницах своего друга и, возможно, на страницах друзей этого человека.

Воспользовавшись вашим доверием и любопытством, эти сообщения будут:

• Содержат ссылку , которую вам просто нужно проверить — и поскольку ссылка исходит от друга, и вам любопытно, вы доверяете ссылке и щелкаете — и заразитесь вредоносным ПО, чтобы преступник мог захватить вашу машину и собирайте ваши контактные данные и обманывайте их так же, как вас обманули

• Содержат загружаемые изображений, музыки, фильмов, документов и т. Д., в который встроено вредоносное ПО. Если вы загрузите — что вы, вероятно, сделаете, так как вы думаете, что это от вашего друга, — вы заразитесь. Теперь преступник имеет доступ к вашей машине, учетной записи электронной почты, учетным записям и контактам в социальных сетях, и атака распространяется на всех, кого вы знаете. И так далее.

Электронная почта из другого надежного источника

Фишинговые атаки — это разновидность стратегии социальной инженерии, которая имитирует надежный источник и придумывает, казалось бы, логичный сценарий передачи учетных данных для входа или других конфиденциальных личных данных.Согласно данным Webroot, финансовые учреждения представляют подавляющее большинство вымышленных компаний, и, согласно ежегодному отчету Verizon о расследовании утечек данных, атаки социальной инженерии, включая фишинг и предтексты (см. Ниже), являются причиной 93% успешных утечек данных.

Эти сообщения могут быть использованы под убедительной историей или предлогом:

• Срочно прошу вашей помощи. Ваш друг застрял в стране X, был ограблен, избит и находится в больнице.Им нужно, чтобы вы отправили деньги, чтобы они могли вернуться домой, и они расскажут вам, как отправить деньги преступнику.

• Использовать попытки фишинга с кажущимся законным фоном . Как правило, фишер отправляет электронное письмо, мгновенное сообщение, комментарий или текстовое сообщение, которое, как представляется, исходит от законной, популярной компании, банка, учебного заведения или учреждения.

• Попросите вас сделать пожертвование их благотворительной организации по сбору средств или по другому делу. Скорее всего, с инструкциями, как отправить деньги преступнику. Пользуясь добротой и щедростью, эти фишеры просят помощи или поддержки в случае катастрофы, политической кампании или благотворительности, которые на мгновение становятся главными.

• Представьте проблему, требующую от вас «проверки» вашей информации, щелкнув отображаемую ссылку и предоставив информацию в их форме. Местоположение ссылки может выглядеть вполне законным со всеми правильными логотипами и содержанием (на самом деле, преступники могли скопировать точный формат и содержание законного сайта).Поскольку все выглядит законным, вы доверяете электронной почте и фальшивому сайту и предоставляете любую информацию, которую запрашивает мошенник. Эти типы фишингового мошенничества часто включают предупреждение о том, что произойдет, если вы не примете меры в ближайшее время, потому что преступники знают, что, если они смогут заставить вас действовать раньше, чем вы подумаете, у вас больше шансов попасться на их попытку фишинга.

• Сообщите вам, что вы «победитель». Может быть, в письме написано, что письмо отправлено в лотерею, или от мертвого родственника, или от миллионного человека, перешедшего на их сайт, и т. Д.Чтобы дать вам свой «выигрыш», вы должны предоставить информацию о маршруте вашего банка, чтобы они знали, как отправить его вам, или указать ваш адрес и номер телефона, чтобы они могли отправить приз, и вас также могут попросить доказать, кто вы часто указываете свой номер социального страхования. Это «жадные фишки», когда, даже если повод для рассказа неубедителен, люди хотят того, что им предлагают, и попадают в ловушку, отдавая свою информацию, затем опустошая свой банковский счет и украшая личность.

• Представьте себя начальником или коллегой. Он может запросить обновленную информацию о важном частном проекте, над которым в настоящее время работает ваша компания, информацию о платежах, относящуюся к кредитной карте компании, или какой-либо другой запрос, маскирующийся под повседневную работу.

Сценарии наживки

Эти схемы социальной инженерии знают, что если вы повесите то, что хотят люди, многие люди клюнут на эту наживку. Эти схемы часто можно найти на одноранговых сайтах, предлагающих загрузку чего-то вроде нового популярного фильма или музыки.Но схемы также можно найти на сайтах социальных сетей, вредоносных веб-сайтах, которые вы найдете в результатах поиска, и так далее.

Или эта схема может показаться очень выгодной на тематических сайтах, аукционных сайтах и ​​т. Д. Чтобы развеять ваши подозрения, вы можете увидеть, что у продавца хороший рейтинг (все спланировано и создано заранее).

Люди, попавшие на приманку, могут быть заражены вредоносным программным обеспечением, которое может генерировать любое количество новых эксплойтов против них самих и их контактов, могут потерять свои деньги, не получив купленный предмет, и, если они были достаточно глупы, чтобы заплатить чеком, могут обнаруживают, что их банковский счет пуст.

Ответ на вопрос, который у вас никогда не было

Преступники могут притвориться, будто отвечают на ваш запрос о помощи от компании, а также предлагают дополнительную помощь. Они выбирают компании, которыми пользуются миллионы людей, например, софтверную компанию или банк. Если вы не пользуетесь продуктом или услугой, вы проигнорируете электронное письмо, телефонный звонок или сообщение, но если вы действительно воспользуетесь услугой, есть большая вероятность, что вы ответите, потому что вам, вероятно, нужна помощь в решении проблемы. .

Например, даже если вы знаете, что изначально не задавали вопрос, у вас, вероятно, проблема с операционной системой вашего компьютера, и вы пользуетесь этой возможностью, чтобы исправить ее.Бесплатно! В тот момент, когда вы отвечаете, вы купили историю мошенника, оказали ему доверие и открылись для эксплуатации.

Представитель, который на самом деле является преступником, должен будет «аутентифицировать вас», должен ли вы войти в «его систему» ​​или вы войдете в свой компьютер и либо предоставите им удаленный доступ к вашему компьютеру, чтобы они могли «исправить» это. для вас, или скажите вам команды, чтобы вы могли исправить это самостоятельно с их помощью — где некоторые из команд, которые они говорят вам ввести, откроют для преступника путь позже вернуться к вашему компьютеру.

Создание недоверия

Некоторая социальная инженерия — это создание недоверия или начало конфликтов; это часто делают люди, которых вы знаете и которые злятся на вас, но это также делают противные люди, просто пытающиеся сеять хаос, люди, которые хотят сначала вызвать у вас недоверие к другим, чтобы затем они могли вмешаться в качестве героя и завоевать ваше доверие, или вымогателей, которые хотят манипулировать информацией, а затем угрожают вам раскрытием.

Эта форма социальной инженерии часто начинается с получения доступа к учетной записи электронной почты или другой учетной записи связи в клиенте обмена мгновенными сообщениями, социальной сети, чате, форуме и т. Д.Они достигают этого либо путем взлома, либо с помощью социальной инженерии, либо просто угадывая действительно слабые пароли.

• Злоумышленник может затем изменить конфиденциальные или личные сообщения (включая изображения и аудио), используя базовые методы редактирования, и перенаправить их другим людям, чтобы создать драму, недоверие, смущение и т. Д. Они могут создать впечатление, что оно было отправлено случайно, или появиться как будто они дают вам знать, что «на самом деле» происходит.

• В качестве альтернативы они могут использовать измененный материал для вымогательства денег либо у взломанного лица, либо у предполагаемого получателя.

Существуют буквально тысячи разновидностей атак социальной инженерии. Единственное ограничение на количество способов социальной инженерии пользователей с помощью такого рода эксплойтов — это воображение преступника. И вы можете столкнуться с несколькими формами эксплойтов за одну атаку. Тогда преступник, скорее всего, продаст вашу информацию другим, чтобы они тоже могли использовать свои подвиги против вас, ваших друзей, друзей ваших друзей и т. Д., Поскольку преступники используют неуместное доверие людей.

Не становись жертвой

Несмотря на то, что фишинговые атаки являются необузданными, недолговечными и для успешной кампании нужно всего несколько пользователей, есть способы защитить себя. Большинство из них не требует гораздо большего, чем просто обращать внимание на детали перед вами. Помните следующее, чтобы не стать жертвой фишинга.

Полезные советы:

• Притормозить. Спамеры хотят, чтобы вы сначала действовали, а потом думали.Если сообщение передает ощущение срочности или использует тактику продаж с высоким давлением, отнеситесь к этому скептически; никогда не позволяйте их срочности влиять на ваше внимательное рассмотрение.

• Изучите факты . С подозрением относитесь к нежелательным сообщениям. Если письмо выглядит так, как будто оно от компании, которой вы пользуетесь, проведите собственное исследование. Используйте поисковую систему, чтобы перейти на сайт реальной компании, или телефонный справочник, чтобы найти их номер телефона.

• Не позволяйте ссылке определять, где вы приземляетесь. Сохраняйте контроль, находя веб-сайт самостоятельно с помощью поисковой системы, чтобы быть уверенным, что вы попадете туда, куда собираетесь попасть. При наведении курсора на ссылки в электронном письме внизу будет отображаться фактический URL-адрес, но хорошая подделка все равно может сбить вас с пути.

• Угон электронной почты процветает. Хакеры, спамеры и социальные инженеры, берущие контроль над учетными записями электронной почты людей (и другими коммуникационными аккаунтами), стали безудержными. Получив контроль над учетной записью электронной почты, они пользуются доверием контактов человека.Даже если отправителем оказывается кто-то из ваших знакомых, если вы не ожидаете письма со ссылкой или прикрепленным файлом, проверьте его у друга перед тем, как открывать ссылки или скачивать.

• Остерегайтесь любой загрузки. Если вы не знаете отправителя лично и ожидаете от него файла, загрузка чего-либо будет ошибкой.

• Зарубежные предложения — подделка. Если вы получаете электронное письмо от иностранной лотереи или розыгрыша, деньги от неизвестного родственника или просьбы о переводе средств из другой страны в обмен на долю денег, это гарантированно является мошенничеством.

Способы защитить себя:

• Удалите все запросы финансовой информации или паролей. Если вас попросят ответить на сообщение с личной информацией, это мошенничество.

• Отклонять просьбы о помощи или предложения о помощи. Законные компании и организации не обращаются к вам за помощью. Если вы специально не обращались за помощью к отправителю, рассмотрите любое предложение «помочь» восстановить кредитный рейтинг, рефинансировать дом, ответить на свой вопрос и т. Д., обман. Аналогичным образом, если вы получили запрос о помощи от благотворительной организации или организации, с которой у вас нет отношений, удалите его. Чтобы жертвовать, ищите авторитетные благотворительные организации самостоятельно, чтобы не попасться на мошенников.

• Установите высокий уровень спам-фильтров . В каждой почтовой программе есть спам-фильтры. Чтобы найти свою, просмотрите параметры настроек и установите для них высокий уровень — просто не забывайте периодически проверять папку со спамом, чтобы убедиться, что в нее случайно попала легальная электронная почта.Вы также можете найти пошаговое руководство по настройке спам-фильтров, выполнив поиск по имени вашего почтового провайдера и фразе «спам-фильтры».

• Защитите свои вычислительные устройства . Установите антивирусное программное обеспечение, брандмауэры, фильтры электронной почты и поддерживайте их в актуальном состоянии. Настройте свою операционную систему на автоматическое обновление, и если ваш смартфон не обновляется автоматически, обновляйте его вручную всякий раз, когда вы получите уведомление об этом.

  Добавить комментарий Отменить ответ

  Ваш адрес email не будет опубликован. Обязательные поля помечены *

  Комментарий *

  Имя *

  Email *

  Сайт