Por que a engenharia social é tão eficaz
Brain-hacking: Por que a engenharia social é tão eficaz
Você é afetado por táticas de engenharia social todos os dias.
Ok, deixe-me explicar. Do ponto de vista da segurança da informação, a Wikipedia diz que a engenharia social é a manipulação psicológica das pessoas para a realização de ações ou divulgação de informações confidenciais [1] . Isso é verdade, mas a engenharia social não se limita à segurança da informação; É algo que todos nós experimentamos todos os dias. Na maioria dos casos, não é de natureza maliciosa. Em sua essência, a engenharia social é a construção e a alavancagem da influência , a fim de persuadir os outros a agir como você deseja . Ou, em outras palavras, fazer alguém tomar uma decisão que beneficie você.
Como parte de uma nova série sobre a psicologia dos ataques de phishing, vamos discutir por que a engenharia social funciona e como ela é usada e abusada por outras pessoas para influenciá-lo sutilmente (ou não tão sutilmente). Para o nosso primeiro artigo, vamos dar uma olhada em como as decisões são tomadas e as formas comuns pelas quais as pessoas são influenciadas. Primeiro, precisamos entender o básico, o que nos permitirá reconhecê-los quando eles aparecerem em novos ataques inteligentes.
Decisões decisões
Quando você o divide, nós tomamos um número fenomenal de decisões a cada dia e pensamos em surpreendentemente poucos deles, quanto mais em analisá-los. Nos anos 80, um psicólogo comportamental chamado Robert Cialdini propôs um conceito chamado Teoria da Influência em seu livro Influence: The Psychology of Persuasion . Sua teoria diz que a influência sobre os outros é criada de sete maneiras principais.
Esses princípios de persuasão ilustram como tomamos atalhos em nossa tomada de decisão. Há um vídeo legal que ilustra esses princípios com mais profundidade [2] . Tomar decisões é difícil [carece de fontes] e não temos tempo, energia ou paciência para examinar completamente cada decisão antes de agirmos sobre ela. Então, nós fazemos atalhos para nós mesmos, particularmente quando se trata de se relacionar com os outros. A engenharia social tira proveito desses atalhos. Vamos repassar cada um deles brevemente.
Reciprocidade
As pessoas não gostam de se sentir endividadas com os outros. Quando recebemos um favor, tendemos a tentar pagá-lo. O doce com seu cheque em um restaurante foi mostrado para aumentar as dicas. [3] Empresas oferecem conteúdo gratuito em seus blogs, na esperança de pegar o seu interesse e, esperamos, o seu negócio um dia [4] [5] . Meu exemplo favorito é um Cialdini chama em seu livro [6] .
Em 1985, a Cidade do México foi atingida por um forte terremoto, causando bilhões de dólares em danos e mais de 5000 mortes. A ajuda externa veio de todo o mundo para ajudar o México, mas um país em particular se destaca com uma doação particularmente inesperada. Em 1985, a Etiópia não estava em condições de ajudar ninguém. Eles estavam sofrendo de fome e seca. A ajuda total enviada para a Etiópia em 1985 foi de cerca de US $ 1 bilhão. No entanto, a Cruz Vermelha Etíope doou US $ 5000 em ajuda ao México porque, 50 anos antes, o México veio para a ajuda da Etiópia quando a Itália invadiu [7] . Mente. Soprado
Escassez
As pessoas são mais propensas a querer coisas que eles acreditam que estão em oferta limitada, são exclusivas ou que nem sempre estão disponíveis. Essa é toda a premissa por trás do McRib, os descontos especiais de tempo limitado em produtos que você não sabia que queria, ou a liquidação que as concessionárias de automóveis parecem ter sempre porque estão sobrecarregadas (aparentemente o gerenciamento de estoque de automóveis é realmente complicado) .
Autoridade
As pessoas não gostam de ser incertas. Nós naturalmente procuramos e seguimos figuras de autoridade. O problema é que temos uma definição ampla do que constitui uma figura de autoridade. Uniformes, por exemplo. Se vemos alguém em um jaleco branco em um hospital, tendemos a dar mais peso à sua opinião médica.
Gosto
Nós ouvimos as pessoas que gostamos. Esse princípio é o motivo pelo qual você costumava ver a atraente jovem sentada em cima de um carro esportivo em anúncios, por que elogios podem melhorar as chances de obter um favor e por que certas cadeias de fast food têm o Twitter. [8]
Comprometimento
As pessoas gostam de manter um comportamento consistente. Por causa disso, uma pequena ação pode levar a ações maiores. Cialdini cita um exemplo que eu amo; um estudo no qual uma amostra aleatória de pessoas foi chamada e perguntou como elas responderiam se pedissem para doar três horas de seu tempo como voluntárias para a American Cancer Society. O pesquisador anotou que pessoas disseram que sim (a maioria fez ... quem quer ser o cara que se irrita com a ideia de trabalho voluntário?) E as chamou mais tarde, solicitando que se voluntariassem. A American Cancer Society viu um aumento de 700% em voluntários em relação aos seus esforços tradicionais [9] .
Consenso
As pessoas tendem a fazer o que acreditam que todos ao seu redor estão fazendo, principalmente quando não têm certeza do que fazer. Se você entrar em uma sala lotada, e todos estiverem olhando para o teto, qual é a primeira coisa que você vai fazer?
Unidade
Nós gravitamos em direção a pessoas que identificamos como sendo semelhantes a nós. É aqui que o nacionalismo, o vínculo familiar e a Marcha das Mulheres se originam. É também por isso que gostamos quando compartilhamos um interesse com alguém; é algo que temos em comum.
Na prática, esses princípios são freqüentemente usados em combinação, o que é algo que veremos à medida que os aplicamos a exemplos reais de táticas de engenharia social.
Nossos maiores pontos fortes, nossas maiores fraquezas
Em seu artigo Psychological Based Social Engineering , Charles Lively descreve uma estrutura de vetores de ataque que a engenharia social comumente utiliza: [10] Descuidado, Zona de Conforto, Útil e Medo. O que Lively está insinuando, e onde vamos passar nossos próximos quatro artigos, é que existem facetas fundamentais do comportamento humano que os invasores exploram usando as técnicas de influência que já abordamos. Eles são mais do que apenas vetores de ataque ou mau comportamento; eles são parte de quem somos como pessoas, e cada um deles desempenhou um papel na formação da sociedade de hoje. Eu adaptei o agrupamento de Lively ao que eu chamo de Quatro Naturezas.
Natureza simples: Humanos tendem a filtrar informações que percebem como sem importância
Natureza Assistiva: Humanos tendem a querer ser úteis
Natureza familiar: os humanos preferem e deixam a guarda nas circunstâncias familiares
Natureza emocional: os humanos tendem a permitir que as emoções influenciem ou dominem a tomada de decisões
Em nosso próximo artigo, começaremos a atacar o uso malicioso da engenharia social e nos concentraremos na primeira das nossas Quatro naturezas: a natureza simples. Para obter as informações mais recentes de nossa equipe e ser o primeiro a ler as últimas novidades da série, assine nosso blog aqui .
Referências
[1] https://en.wikipedia.org/wiki/Social_engineering_(security)
[2] https://www.youtube.com/watch?v=cFdCzN7RYbw
[3] https://scholarship.sha.cornell.edu/cgi/viewcontent.cgi?referer=&httpsredir=1&article=1129&context=articles
[4] Citação: você está lendo este blog
[5] https://www.hubspot.com/marketing-statistics
[6] Cialdini, RB (2007). Influência: A psicologia da persuasão
[7] https://apnews.com/b3e6e2feea40096907181b8c5ddabdfe
[8] https://twitter.com/wendys
[9] Cialdini, RB (2007). Influência: A psicologia da persuasão
[10] Lively, CE (2003). Engenharia Social Baseada em Psicologia
*** Este é um blog coletivo da Security Bloggers Network do The PhishLabs Blog, de autoria de Michael Tyler . Leia a postagem original em: https://info.phishlabs.com/blog/brain-hacking-social-engineering-effective
Comentários
Postar um comentário