Socjotechnika to czynność wywierania wpływu na ludzi poprzez praktyczne zastosowanie podstępu wykorzystującego uniwersalne mechanizmy reakcji psychologicznych[1]. Celem takiego działania jest nieautoryzowane pozyskanie poufnych lub niedostępnych w inny sposób informacji. Skuteczność i popularność socjotechniki wynika z faktu podatności ludzi na manipulację i błędy poznawcze. Wskutek rozwoju technicznych i informatycznych zabezpieczeń informacji, jednostki ludzkie mogą być postrzegane w coraz większym stopniu jako najsłabsze ogniwo łańcucha bezpieczeństwa informacyjnego. Pojęcie socjotechniki lub inżynierii społecznej jest polisemiczne, to znaczy w różnych obszarach ludzkiego działania i myślenia jego interpretacje są nietożsame. W socjolekcie użytkowników Internetu, a w szczególności specjalistów w zakresie cyberbezpieczeństwa przyjęło się je rozumieć jak wyżej. Dotychczas podjęto niewiele prób w zakresie wyostrzenia definicji tego pojęcia na gruncie bezpieczeństwa informacyjnego[2]. Taksonomie socjotechnik na ogół odwołują się do sześciu reguł wpływu społecznego Roberta Cialdiniego[3]; warto jednak zaproponować systematykę alternatywną, w ramach której wyróżnia się dwie grupy socjotechnik:
- Skupiające się na wywoływaniu emocji (ang. eliciting);
- Polegające na przyjmowaniu ról społecznych (ang. impersonating).
Do pierwszej grupy technik polegających na wywoływaniu emocji zaliczymy następujące, często stosowane techniki:
- „Coś za coś” (łac. quid pro quo) – wykorzystującą odruch wzajemności, a uzus rewanżu komuś za coś, co dla nas zrobił lub co podarował. Jest to tyleż dyspozycja kulturowa, co ewolucyjna.
- Presja czasu (niem. Zeitnot, ang. time pressure) – zaaranżowanie sytuacji stwarzającej nacisk na szybkie podjęcie decyzji, by nie stracić korzyści może skutkować nierozwagą i w efekcie podjęciem błędnych decyzji przez ofiarę. Pierwotnie termin związany z grą w szachy.
- Przynęta (ang. baiting) – fałszywa obietnica złożona w celu skłonienia ofiary do określonych działań.
- „Biedactwo” (ang. poor thing) – odegranie roli osoby potrzebującej pomocy.
- Ingracjacja (ang. przysł. Praise the fool, the fool will jump) – gratyfikacja psychologiczna wskutek czego ofiara odczuwa presję bycia akceptowaną i potrzebę udowodnienia, że jest w stanie wykonać żądaną czynność.
Z kolei do technik polegających na przyjmowaniu ról społecznych zaliczamy:
- Podkreślanie pozycji (ang. stress the position) – podszycie się pod osobę lub rolę społeczną i uzurpowanie sobie posłuchu na podstawie uprawnień wynikających z zajętej pozycji.
- Tworzenie pretekstu (ang. pretexting) – spreparowanie przesłanki do kontaktu zawodowego lub towarzyskiego.
[D. Mider]
[1] Porównaj: S. Abraham, I. Chengalur-Smith, An overview of social engineering malware: Trends,tactics, and implications, „Technology in Society”, 2010, 32(3), s. 183–196.
[2] F. Mouton i in., Towards an Ontological Model Defining the Social Engineering Domain, IFIP International Conference on Human Choice and Computers, 2014, s. 266-279.
[3] R.B. Cialdini, Wywieranie wpływu na ludzi. Teoria i praktyka, Gdańskie Wydawnictwo Psychologiczne, Gdańsk 2016.
