Manipularea psihologică în obținerea de informații

In ultimul timp psihologia si securitatea informatiei au importanta in domenii din ce in ce mai vaste si diversificate, constituind un ajutor de necontestat in a pastra afacerea in siguranta si in a descoperi la timp amenintarile asupra acesteia.

Manipularea psihica sau social engineering reprezinta o suita de tehnici si metode care au rol in a convinge o anumita persoana sa dea in mod involuntar informatii si date cu caracter confidential.
In cazul in care cineva interesat nu reuseste sa obtina anumite informatii doar prin intermediul tehnologiei, poate folosi aceasta modalitate apelind la factorul uman si in special la controlul asupra psihicului.

Din punct de vedere al ingineriei sociale, persoana insasi este veriga slaba in lantul masurilor de protectie si securitate a informatiei.
Oamenii nu sint doar susceptibili de erori, ci si vulnerabili la presiunea din partea unor indivizi care vineaza informatii confidentiale prin manipulare.
Diferenta intre un hacker care cauta sa culeaga informatii si un inginer social, este data de tehnicile folosite. In timp ce hackerul este expert in tehnica informatica, un inginer social va folosi tehnici psihologice pentru a-si constringe victima in a-i oferi informatii private.

Unul din instrumentele acestor tehnici se bazeaza pe una din caracteristicile cele mai vulnerabile ale naturii umane si anume, curiozitatea.
Social engineering este echivalentul unui asalt asupra mintii umane, care pentru anumiti indivizi pregatiti in acest sens, poate fi mult mai simplu de realizat fata de tehnici sofisticate in a descoperi o vulnerabilitate in sistemul software.

Facind comparatia clasica intre a intra intr-o casa prin forta fizica sau convingindu-l pe propietarul casei sa isi dea acordul, este mult mai usor sa obtii acordul acestuia si nu implica atita efort, decit cuvintele potrivite spuse intr-un anume fel si cu tehnicile folosite in comportamentul manipulator.

In initierea unui atac de social engineering, cheia consta in ceea ce expune persoana sau compania catre care este indreptat.

De exemplu, o postare pe facebook in ceea ce priveste preocuparea persoanei, unde lucreaza, date despre companie sau departament, fotografii cu biroul, cu colegii, etc.
Pentru niste ochi avizati si instruiti, toate acestea reprezinta date din care pot fi extrase o multime de informatii.

In felul acesta social networking –ul reprezinta o sursa infinita de informatii, de multe ori plina de detalii si care poate fi folosita extrem de usor.

Un profil Linkedin poate scoate la iveala pozitia in companie a unei persoane; un cont de facebook poate facilita descoperirea de hobby si prietenii.

Chiar daca retelele de socializare au facut si fac eforturi in ultimii ani pentru a asigura ceea ce se cheama zona de privacy, multi utilizatori nu tin cont de aceste eforturi. Ei nu constientizeaza pericolul si in special cind vine vorba de compania in care lucreaza pot fi neglijenti in a posta amanunte care au un efect distructiv asupra companiei. Sau construiesc prietenii cu persoane necunoscute si ajung in scurt timp sa le transforme in confidenti si sa le raspunda la intrebari despre interiorul companiei, fara sa stea prea mult pe ginduri.
A fost facut un experiment care a constat in crearea unui cont fals de facebook si care in scurt timp a acumulat un numar impresionat de prieteni. Experimentul a mers mai departe si s-au obtinut in decursul unei saptamini informatii importante si utile care ar fi putut prejudicia o companie mare producatoare de masini.

Un studiu recent realizat de Check Point pentru Dimensional Research, a scos in evidenta ca 43%din 853 de experti in IT au declarat ca au fost atacati de indivizi care practicau social engineering. Din sondajul respectiv a reiesit ca angajatii noi sint mai predispusi in a furniza informatii cu 60% ca atare prezinta un risc crescut in a deconspira secretele companiei.
Vestea buna este ca din ce in ce mai mult incepe sa existe o preocupare din partea companiilor in a-si educa angajatii prin diferite cursuri de specializare, seminarii , workshop-uri in ceea ce priveste securitatea informatiei, modul in care pot fi transmise involuntar secrete ale companiei si modalitatea in care pot actiona unii indivizi pentru a primi detalii utile pentru ei.
Formarea reprezinta una din solutiile cele mai de succes in apararea atacurilor, fiecare curs sau trainig ducind la diminuarea acestora si marind zona de securitate a companiei sau a persoanei.
Protectia impotriva social engineering devine astfel solida, descurajind fenomenul.

Aceasta permite controlul informatiei doar de catre persoanele avizate dupa criterii de actualitate si corelate cu operatiunile de busines. Odata definite aceste criterii, angajatii trebuie sa fie pusi la curent cu elementele de securitate create incompanie si evident trebuie testate cu ajutorul unor experti in domeniu.
Este esential ca angajatii cheie ai unei companii sa cunoasca si sa inteleaga fenomenul furtului de informatii, de ce se foloseste si cum.
Important este ca securitatea informatiei si scurgerea de informatii nu tin doar de tehnologie, ci si de factorul uman si de modalitatea in care psihicul omului poate fi subminat prin diverse mijloace, cu scopul de a fi controlat.

Abilitatile mentale ale indivizilor care sint pregatiti pentru furtul de informatii sint antrenate in concordanta cu noile descoperiri in functionarea creierului uman, respectiv a constientului si subconstientului

De aceea, un element major in mentinerea zonei de securitate intr-o companie este si actualizarea in permanenta a noutatilor care apar in social engineering, pentru ca asa cum este necesara actualizarea programelor de antivirus, asa este utila si actualizarea si imbunatatirea aptitudinilor mentale ale angajatilor care detin informatii importante, pentru ca ei reprezinta unul dintre componentele de risc in interiorul fiecarei infrastructuri de securitate intr-o companie.

In concluzie as putea spune ca manipularea psihica este o tehnica usor de folosit si ca informarea, educarea in cunoasterea existentei acesteia, a felului in care poate fi folosita poate duce la eliminarea riscului de a deveni victime ale celor care folosesc tehnica. Ca urmare securitatea personala sau a companiei este protejata.