… и спросила кроха: «Социальный инженер — это очень плохо?» Разговор по понятиям

28 февраля, 2023

… и спросила кроха: «Социальный инженер — это очень плохо?» Разговор по понятиям

«Социальная инженерия» – один из наиболее употребительных терминов в сфере информационной безопасности. И в широких обывательских кругах это словосочетание сегодня практически не выходит за рамки исключительно негативной коннотации.

По мнению Эльвиры Набиуллиной, о ликвидации такого явления как «социальная инженерия» можно будет говорить года через три: «Перелом наступит тогда, когда ущерб гражданам начнет падать».

Из этой цитаты совсем не следует, что образованный профессионал, имеющий стойкий иммунитет к манипулятивным воздействиям, предполагает возможность ликвидации такого явления как «социальная инженерия».

Но вот журналист, похоже, по инерции настроен негативно по отношению к этому явлению. И такого рода примеров можно найти много в материалах СМИ.

Но стоит ли заниматься ликвидацией «социальной инженерией» даже в контексте необходимости решения проблем информационной безопасности и противодействия мошенничеству в финансовой сфере?

И, более того, возможно ли вообще ликвидировать такое явление, как «социальная инженерия»?

Википедия утверждает, что это понятие «может быть определено как любое действие, побуждающее человека к действию, которое может или не может быть в его интересах» (стилистика источника сохранена). Т. е. «социальная инженерия» – это отнюдь не абсолютное зло.

Даже поверхностное знакомство с содержанием термина «социальная инженерия» с помощью Википедии позволяет за редколесьем специфических мошеннических угроз, описываемых этим термином, увидеть целый лес «подходов прикладных социальных наук». Уже одно это означает, что ликвидация «социальной инженерии» повлечёт за собой если и не уничтожение целой научной «отрасли» этих самых прикладных социальных наук, то существенное обезоруживание этой отрасли.

Инструментарий «социальной» инженерии может служить как частным интересам физических и юридических лиц, так и целям реализации государственной политики.

Истории нашей стране демонстрирует пример того, когда умелая пропаганда («действие, побуждающее человека к действию») позволила вкупе с другими «действиями» государства провести ускоренную индустриализацию страны, побуждать людей к получению образования, широко пропагандировать здоровый образ жизни и занятия физкультурой и спортом, быстро заложить основы Воздушного Флота страны и решать другие объективно полезные задачи.

И государственная пропаганда, построенная на основе приёмов «социальной инженерии» – это универсальный властный инструмент. Достаточно сравнить, например, плакаты Советской России, Англии и США.

В финансово-кредитной сфере можно найти примеры использования «социальной инженерии» как в интересах субъектов отрасли, так и примеры использования «социальной инженерии» для кибермошенничества (по разным данным число операций, проведённых против воли клиента с помощью методов «социальной инженерии» может составлять до 50% от общего числа таких операций).

Справедливости ради стоит упомянуть, что и использование «социальной инженерии» в интересах субъектов финансово-кредитной сферы не всегда можно назвать добропорядочным. Достаточно вспомнить талантливую рекламу МММ или работу банка «Чара».

Для борьбы с мошенническими операциями под видом клиентов, у которых «социальная инженерия» позволяет, например, похищать данные банковских карт, применяется широкий спектр технологий от простейшего ограничения объёмов снимаемых средств и до т. н. «интеллектуального» анализа поведения клиента при проведении операции.

Со всеми такими подходами наши читатели знакомы или могут познакомиться на профильных мероприятиях, а здесь продолжим разбираться в содержании явления «социальная инженерия».

Для начала уточним представления о «социоинженерных» действиях в контексте существующего мнения о том, что за понятием «социальная инженерия» кроются «нетехнические приёмы атак», что «социальная инженерия» «обходится без технических средств».

Очевидно, ИМХО, что подобные представления неверны, ибо, например, злонамеренная «социальная инженерия» нередко не обходится без телефонных звонков или фишинговых рассылок. Рассылок не только с лживыми заголовками писем, но и использующих перенаправление жертвы на специально созданные поддельные или вредоносные сайты.

Ещё более высокотехнологичная поддержка злонамеренной «социальной инженерии» обеспечивается современным оснащением нелегальных call-центров. На одном из профильных мероприятий эта ситуация так была прокомментирована представителем Альфа-Банка: «Мы видим, что пока идёт разговор с клиентом, мошенники буквально подстраивают скрипты под реакцию жертвы, тут же меняют схематехники, присылают какие-то бланки заявлений на открытие страховых счетов, то есть это все делается очень быстро, буквально в течение каких-то там секунд, минут».

К методам «социальной инженерии» уместно относить также (с учётом определения из Википедии) и музыкальное «оформление», например, предприятий торговли, и рекламные материалы, графика которых (статичная или динамично изменяющаяся) направлена на формирование желания у человека «совершить определённые действия, которые могут или не могут быть в его интересах». И эти методы также опираются на технические приёмы и технические средства.

В связи со сказанным уместным будет проведение аналогии между социальной инженерией и обработкой таких материалов, как металлы или дерево. Технологии обработки материалов включают, как правило, грубую обработку и последующую «чистовую», причём и грубая обработка, и «чистовая» ещё и сами по себе могут содержать по несколько процессов.

Ровно также злонамеренная «социальная инженерия» включает грубую подготовку контингента и последующую «чистовую» доводку человеческой массы или индивидуального лица до готовности совершить необходимое злоумышленнику действие. Именно такой «чистовой» доводкой занимаются, например, упоминавшиеся call-центры, которые в реальном времени «подстраивают скрипты под реакцию жертвы, тут же меняют схематехники, присылают какие-то бланки заявлений на открытие страховых счетов».

Но такая «чистовая» злонамеренная «социальная инженерия» лучше всего работает с контингентом, предварительно «заточенным» под потребительский «однокликовый» стиль не только получения товаров и услуг, но и восприятия информации.

Сегодня на население обрушивается хаос потоков недоверенной информации и «мнений» из неофициальных, но легально существующих и непрерывно размножающихся любительских каналов социальных сетей, мессенджеров, Ютьюба. И этот хаос, замешанный на извращённых представлениях о свободе распространения информации, смешивается с информационным хаосом потока самопиара государственных мужей и экспертов, распространяемый через каналы квазипрофессиональных СМИ. Сюда вплетается разноканальный поток информации о всевозможных выплатах, легальных акциях и предложениях скидок для клиентов организаций финансово-кредитной сферы и торговли, которые в последнее время всё чаще срастаются на цифровых платформах маркетплейсов.

Этот квазинейтральный информационный шум является эффективным инструментом для «взрыхления» мозгов населения, инструментом  для понижения иммунитета граждан к ложной информации, который и без того ослаблен современным недообразованием.

И этот же квазинейтральный информационный шум служит удобной маскировкой для злонамеренной «социальной инженерии» на основе онлайн вплетаемых в него линий антигосударственной пропаганды, направленной на неопределённый круг лиц, и на основе оффлайновых приёмов «чистовой» автоматизированной обработки умов конкретных клиентов банков.

Из сказанного следует, что для борьбы со злонамеренной «социальной инженерией» необходимо не только совершенствование инструментария того, что называется «антифродом», но и наведение порядка в информационном поле страны.

Это касается, например, совершенствования системы лицензирования работ по информационному обеспечению населения сведениями о событиях в стране и мире. Лицензирования, которое обеспечит баланс конкуренции информационных источников и возможность достижения ими должного уровня профессионализма. Профессионализма, который обеспечит в информационном поле баланс социально значимой информации и информации второстепенной, а также отсечение ложной и недобросовестно препарированной информации.

Отдельного рассмотрения заслуживает вопрос «нормировки» рекламной информации в СМИ в зависимости от роли конкретных медийных каналов в проведении государственной политики в сфере образования, науки и культуры в самом широком понимании сути этих понятий. Термин «нормировка» взят в кавычки для того, чтобы подчеркнуть его многомерность. Речь должна идти не только о количестве рекламных минут и секунд, но и о форме и уместности конкретной рекламы в контексте граничащих с ней в информационном потоке новостей и аналитики. Чтобы не складывались в информационном поле ситуации, сатира на которые есть в известном анекдоте, заканчивающимся словами: «Великая Октябрьская революция свершилась! А теперь дискотека!».

Анекдоты, кстати, это инструмент «социальной инженерии», заслуживающий внимательного изучения. Но этой уже другая история.

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

21.02.2024
«Не являлся значимым кредитором реального сектора экономики». Регулятор лишил QIWI Банк лицензии
21.02.2024
Характер занятости обсуждается при собеседовании. Как становятся дропперами
20.02.2024
Китай считает кибератаки из-за рубежа
20.02.2024
«Тинькофф» выявляет скамерский след в кредитных заявках
20.02.2024
Из банков утекает всё больше ПДн россиян
20.02.2024
В январе в открытый доступ попали 62 базы данный
20.02.2024
Национальная база генетической информации уже вот-вот…
19.02.2024
TestFlight — источник угрозы для «яблоководов»?
19.02.2024
Про мэтчинг. Но не тот, на который вы надеетесь
19.02.2024
«Яндекс» планомерно переходит в реестр ОРИ

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных