Об атаках с использованием социальной инженерии говорят и пишут давно. Казалось бы, находящиеся «под прицелом» компании должны были бы давно все усвоить и научиться эффективно противодействовать им. Однако ни для кого не секрет, что люди – те самые сотрудники, которым организации не могут не доверять, – по-прежнему считаются самым слабым звеном в цепи. Об этом говорят в новостях, посвященных громким инцидентам. Об этом на своем опыте знают многие компании. И об этом, конечно, знают организации, занимающиеся практической оценкой информационной безопасности.
При проведении такой оценки при помощи тестирования на проникновение найти эксплуатируемую уязвимость в информационных системах становится все сложнее и сложнее. Поэтому эксплуатация человеческого фактора является заведомо более выигрышной стратегией для проникновения внутрь организации. Известная фраза Брюса Шнайера «Only amateurs attack machines; professionals target people» («Только любители атакуют машины, профессионалы же сосредоточены на людях») нисколько не теряет актуальности.
Мошенники, проводящие атаки с использованием социальной инженерии, обычно полагаются либо на получение информации от человека, либо на совершение действий его руками. Целью атаки может быть все, что угодно: получение конфиденциальных данных, проникновение в закрытые помещения (или вынос ценностей), контроль над информационными системами. В ее ходе могут применяться различные способы воздействия. Например, можно воспользоваться врожденной доверчивостью людей или же нежеланием обидеть кого-то отказом. Для некоторых сотрудников как нельзя лучше подходит воззвание к гордости: опыт показывает, что технарей обычно гораздо легче «взять на слабо», таким образом, они, доказывая свою компетенцию, сами выдадут корпоративные секреты. Суть всех атак одна – манипуляция с использованием известных человеческих слабостей.