Социальная инженерия

на использовании слабостей человеческого фактора и считается очень разрушительным. 
Социальную инженерию можно также

использовать и в законных целях — не только для получения информации, но и для совершения действий конкретным человеком. Сегодня социальную инженерию зачастую используют в интернете, для получения закрытой информации, или информации, которая представляет большую ценность.

на совокупность тех специфических знаний, которые направляют, приводят в порядок

и оптимизируют процесс создания, модернизации и воспроизведения новых («искусственных») социальных реальностей. Определенным образом она «достраивает» социологическую науку, завершает ее на фазе преобразования научных знаний в модели, проекты и конструкции социальных институтов, ценностей, норм, алгоритмов деятельности, отношений, поведения и т. п. Занятия сориентированы на вооружение слушателей прежде всего методологией аналитико-синтетического мышления и знаниями формализованных процедур (технологий) конструкторско-изобретательской деятельности. В характеристике формализованных операций, из которых складывается это последнее, особое внимание обращается на операции сложной комбинаторики. Игнорирование принципа системности в операциях комбинаторики нанесли и продолжают наносить большой ущерб на всех уровнях трансформационных процессов, которые происходят в нашем обществе. Последовательные знания принципиальных требований к указанным операциям дают основания к предотвращению ошибочных извращений в реформационной практике на ее макро-, мезо- и микроуровнях.
Бывший компьютерный преступник, ныне консультант по безопасности, Кевин Митник популяризовал термин «социальная инженерия», указав, что для злоумышленника гораздо проще хитростью выудить информацию из системы, чем пытаться взломать её.

результате цель должна выдать определённую информацию или совершить определённое действие.

Этот вид атак применяется обычно по телефону. Чаще эта техника включает в себя больше, чем просто ложь, и требует каких-либо предварительных исследований (например, персонализации: дата рождения, сумма последнего счёта и др.), с тем, чтобы обеспечить доверие цели. К этому же виду относятся атаки и по онлайн-мессенджерам, например, по ICQ.

посылает цели e-mail, подделанный под официальное письмо — от банка или

платёжной системы — требующее «проверки» определённой информации или совершения определённых действий. Это письмо обычно содержит ссылку на фальшивую веб-страницу, имитирующую официальную, с корпоративным логотипом и наполнением, и содержащую форму, требующую ввести конфиденциальную информацию — от домашнего адреса до пин-кода банковской карты.

отправляет e-mail, содержащий во вложении «клёвый» или «сексуальный» скрин-сейвер, важный

апгрейд антивируса или даже свежий компромат на сотрудника. Такая техника остаётся эффективной, пока пользователи будут слепо кликать по любым вложениям.

состоит в использовании физических носителей. Злоумышленник может подбросить инфицированный CD

или флэш в месте, где носитель может быть легко найден (туалет, лифт, парковка). Носитель подделывается под официальный и сопровождается подписью, призванной вызвать любопытство.

и представиться сотрудником техподдержки, опрашивающим, есть ли какие-либо технические проблемы.

В случае, если они есть, в процессе их «решения» цель вводит команды, которые позволяют хакеру запустить вредоносное программное обеспечение.

с помощью обычного телефонного звонка или путем проникновения в организацию

под видом ее служащего.
Злоумышленник может позвонить работнику компании (под видом технической службы) и выведать пароль, сославшись на необходимость решения небольшой проблемы в компьютерной системе.
Имена служащих удается узнать после череды звонков и изучения имён руководителей на сайте компании и других источников открытой информации (отчётов, рекламы и т. п.).
Используя реальные имена в разговоре со службой технической поддержки, злоумышленник рассказывает придуманную историю, что не может попасть на важное совещание на сайте со своей учетной записью удаленного доступа.
Другим подспорьем в данном методе являются исследование мусора организаций, виртуальных мусорных корзин, кража портативного компьютера или носителей информации.

заставить цель самой рассказать о своих паролях, информацию о компании.
Пример:
При использовании эл.

почты многие делают секретным вопросом "девичья фамилия матери" — тогда хакер звонит жертве и представляется сотрудником социальной (опрашиваемой, государственной, муниципальной и др.) службы, проводит опрос о родителях — и одним из вопросов является вопрос о девичьей фамилии матери — жертва её называет и даже не предполагает что только это и нужно было злоумышленнику, т. к. человеческий мозг не смог связать безопасность своей почтовой системы и опрос о родителях.

можно применять как технические, так и антропогенные средства.
Антропогенная защита
Простейшими методами

антропогенной защиты можно назвать:
Привлечение внимания людей к вопросам безопасности.
Осознание пользователями всей серьезности проблемы и принятие политики безопасности системы.
Изучение и внедрение необходимых методов и действий для повышения защиты информационного обеспечения.
Данные средства имеют один общий недостаток: они пассивны.

и средства, мешающие воспользоваться полученной информацией.
Наибольшую распространенность среди атак в

информационном пространстве социальных сетей с использованием слабостей человеческого фактора получили атаки при помощи электронных писем, как то: e-mail и внутренняя почта сети. Именно к таким атакам можно с наибольшей эффективностью применять оба метода технической защиты. Помешать злоумышленнику получить запрашиваемую информацию можно, анализируя как текст входящих писем (предположительно, злоумышленника), так и исходящих (предположительно, цели атаки) по ключевым словам. К недостаткам данного метода можно отнести очень большую нагрузку на сервер и невозможность предусмотреть все варианты написания слов.
Средства, мешающие воспользоваться полученной информацией, можно разделить на те, которые полностью блокируют использование данных, где бы то ни было, кроме рабочего места пользователя (привязка аутентификационных данных к серийным номерам и электронным подписям комплектующих компьютера, ip и физическому адресам), так и те, которые делают невозможным(или труднореализуемым) автоматическое использование полученных ресурсов (например, авторизация по системе Captcha, когда в качестве пароля нужно выбрать указанное ранее изображение или часть изображения, но в сильно искаженном виде). Как в первом, так и во втором случае известный баланс между ценностью требуемой информации и работой, требуемой для ее получения, смещается, вообще говоря, в сторону работы, так как частично или полностью блокируется возможность автоматизации. Таким образом, даже имея все данные, выданные ничего не подозревающим пользователем, например, с целью массово разослать рекламное сообщение (спам), злоумышленнику придется на этапе каждой итерации самостоятельно вводить полученные реквизиты.