Sociální manipulace je stále jedním z nejúčinnějších způsobů, jak proniknout do chráněné sítě, jak se dostat k soukromým tajemstvím, jak vám nasadit do počítače malware nebo vám zcizit identitu. Nedávno jsem narazil na zajímavý článek popisující, proč to funguje (sociální manipulace) a jak se jí účinně bránit. Autor doporučuje postupovat stejně, jak jsou tomu učeni piloti ve výcvikovém středisku námořního letectva, kterému se přezdívá TOP GUN :-)

Uvedená technika je označována jako OODA smyčka, navrhl ji plukovní John Boyd a má sloužit k získání převahy nad protivníkem (stíhacím pilotem) díky lepší reakci na vzniklou nebo měnící se situaci. OODA si můžeme rozložit na Observe (pozoruj), Orient (vyhodnocuj), Decide (rozhoduj) a Act (konej). Zní to zajímavě, ale můžeme to převést i na české „dvakrát měř a jednou řež“ :-) Ve zkratce, každé akci by mělo předcházet vyhodnocení situace, vyhodnocení všech faktorů a okolností. V použitém přirovnání jde víceméně o to, že piloti mají občas tendenci reagovat instinktivně, protože jsou pod časovým tlakem. Takové rozhodnutí však není vždy to nejlepší.

Stejně tak se chovají i uživatelé výpočetní techniky. Reagují pod tlakem, reagují instinktivně, reagují na základě zvyků. Stejně tak jako stíhací piloty se je snaží protivník zmást, snaží se je přinutit jednat pod vlivem emocí a pod vlivem okamžitých podnětů. Celou rozhodovací smyčku se snaží útočníci, pracující se sociální manipulací, zkrátit uživatelům na pouhé pozoruj a konej. Jsou vytvářeny příběhy založené na emocích, příběhy pracující s našimi základními pudy jako jsou strach nebo zvědavost. Útočníci se snaží způsobit své oběti šok, a to ať už v pozitivním nebo negativním smyslu. Jde o to, aby oběť nepřemýšlela a rovnou konala.

Mnohokrát opakovanou pravdou je, že nejúspěšnějším způsobem, jak se bránit sociální manipulaci, je přemýšlet. Vzít rozum do hrsti a chladně bez emocí se zamyslet, proč nám píše někdo neznámý a má potřebu s námi najednou sdílet nějaké tajemství, nebo proč se najednou nějaký náš dobrý známý začne vyjadřovat nečekaně, začne používat výrazy a obraty, které jsou pro něj cizí. Většina manipulací, které jsou prováděny, nazvěme je tak, masově, nejsou příliš promyšlené. Tady se používá anglický výraz spray and pray – tedy pokrop a modli se – doufej, že najdeš nějakou oběť, což není o promyšlenosti útoku, ale o práci s velkými čísly (čím více oslovíte potenciálních obětí, tím je pravděpodobnější, že se někdo najde). V 90 % se dá takový podvrh lehce odhalit, ale chce to jediné, počkat 5 sekund než kliknete na přílohu nebo odkaz a těchto 5 sekund věnovat zamyšlení (to je luxus, který stíhací pilot nemá, u něj musí vše proběhnout podstatně rychleji).

Jak se tedy se sociálními manipulacemi vyrovnat? Školte své uživatele. A třeba je přilákejte na školení, když jim přislíbíte, že je naučíte něco z TOP GUNu :-).

Pokud nevíte, kde je největší nebezpečí, co byste měli udělat hned a co počká, jaký bezpečnostní systém je vhodný pro vás s ohledem na váš business a velikost, klidně se obraťte na AutoCont. Rádi vám poradíme a jak se říká, za zeptání nic nedáte :-) AutoCont ví jak.