Социальная инженерия - это способ получения важной информации не техническими методами. Зачем взламывать или подбирать пароль, когда его можно просто спросить или поменять? Всегда есть человек, который знает пароль - достаточно его найти и обмануть. Да, изначально социальная инженерия была придумана для выведывания паролей. Мастером и популяризатором этой техники обмана был
Кевин Митник, который взламывал с её помощью телекоммуникационные сервисы в США, и неоднократно сидел в тюрьме. Какое-то время ему даже было запрещено пользоваться компьютером и телефоном. Про технологии обмана информационных систем с помощью обмана их администраторов Митник даже написал книгу с красноречивым названием "Искусство обмана".
Конечно, со времён изобретения социальной инженерии технологии сильно изменились. Тем не менее социальная инженерия по-прежнему актуальна. Сейчас с её помощью уже не пароли выведывают, но стимулируют пользователей устанавливать троянские программы или заставляют владельцев мобильных телефонов отправлять SMS на платные номера. Отказалось, что социальная инженерия автоматизируется и хорошо дополняется спамом и тестами на внимательность. Но самое главное - для неё так и не придумали универсального средства защиты, которое давало бы хоть какую-то возможность предотвратить ущерб. Социальная инженерия пользуется человеческими проблемами и недостаточными знаниями - "уязвимостями в головах", поэтому единственным способом защиты от неё является обучение пользователей информационных систем, которое позволит ему вовремя определить, что его обманывают.
Митник, после того как отсидел 4 года в тюрьме, остепенился и стал заниматься информационной безопасностью. Для обучения пользователей распознавать и противостоять социальной инженерии он и написал свою книгу. Кроме того, Митник основал компанию Defensive Thinking Inc., которая занимается выработкой средств защиты от обмана и мошенничества. В частности, именно для этого сам Митник ездит по всему миру и рассказывает специалистам информационной безопасности, что нужно делать, чтобы предотвратить обман и мошенничество. В частности, с докладом на эту тему он будет выступать 10 сентября на конференции
CROC Cyber Conference, организованной компанией "Крок" и Symantec, в рамках которой будут обсуждаться в том числе и темы, связанные с социальной инженерией.
Собственно, для того, чтобы защититься от социальной инженерии достаточно обучить ключевых сотрудников, операторов контакт-центра и системных администраторов, методам распознавания обмана, создать строгие процедуры работы с конфиденциальной и идентификационной информацией, а также использовать программное обеспечение для защиты от троянских программ. Возможно, это далеко не всё, что нужно - есть повод обсудить это с самим Митником.