Društveni inženjering: Žene veštiji prevaranti ali otpornije na prevare

Vesti, 22.05.2012, 11:19 AM

Muškarci važe za bolje hakere i istraživače ranjivosti softvera. Ali kada je reč o tehnikama društvenog inženjeringa, žene su izgleda superiornije. Tu tezu trebalo bi da dokažu učesnice trećeg godišnjeg DEFCON Social Engineering CTF takmičenja.

Takmičenje bi trebalo da suprostavi deset muškaraca i deset žena u pokušaju da dobiju poverljive informacije od zaposlenih u nekim od vodećih američkih kompanija. Prema izjavi jednog od organizatora takmičenja, u ovoj borbi polova žene su u prednosti.

“Na žalost, postoji šovinistički konsenzus da se žene ne razumeju bezbednost,” kaže Kris Hadnagi iz Social-Engineer.org koji je jedan od sponzora ovogodišnjeg takmičenja. “Istina je da kada je reč o društvenom inženjeringu, žene to rade bolje. Videli smo da i haktivisti kao što su Anonimusi i LulzSec koriste žene kao deo svojih napada.”

Nema ozbiljnih istraživanja koja dokazuju da jedan pol superiorniji od drugog kada je reč društvenom inženjeringu. Međutim, postoje razlozi za verovanje da su žene u prednosti kada treba zadobiti poverenje potencijalne žrtve prevare, što je ključni element društvenog inženjeringa. Naučna istraživanja su pokazala da razlog naše sklonosti da ženski glas doživljavamo kao ohrabrujući ili utešan leži duboko u mozgu, i da to ima direktne veze sa periodom pre rođenja, kada čujemo glas svoje majke.

Ali Hadnagi kaže i da postoje značajne razlike u “izgovorima”, odnosno lukavstvima kojima se koriste muškarci i žene da bi prevarili potencijalne žrtve i dobili poverljive informacije koje će se na ovom takmičenju bodovati.

Muškarci nastupaju kao ljutiti klijenti ili kao neko ko u ime svog šefa zahteva odgovore. Nasuprot muškarcima koji ostavljaju utisak nekoga ko puno zna o nečemu, žene stavljaju sebe u pokornu poziciju nekoga ko je u nevolji. “Možete li mi pomoći?” - četiri najmoćnije reči društevnog inžinjeringa koju žene često koriste. “Mi smo tako naučeni,” kaže Hadnagi. “Kada vidimo da je nekom potrebna pomoć, želimo da mu pomognemo, čak i ako to znači izdaju poslodavca.”

Ali takvi izgovori su delotvorni i kada ih koriste muškarci.

Pravila takmičenja nalažu da se učesnicima dostavi lista kompanija nedelju dana pre početka konferencije. Tako takmičari imaju vremena da se informišu o ovim kompanijama i njihovim zaposlenima. Na samom takmičenju oni imaju dvadeset minuta da telefonom ubede zaposlene u kompanijama da im daju zahtevane informacije.

Tako su prethodna takmičenja testirala zaposlene u velikim kompanijama kao što su McDonald's, Wal-Mart, Microsoft, Google, Ford i Pepsi. Rezultati takmičenja pokazuju da su čak i veoma moćne kompanije slabo opremljene kada se treba odbraniti od sofisticiranih taktika društvenog inženjeringa.

Još jedna zanimljivost koja je u vezi polova - žene su otpornije na prevare ove vrste. Kada je žena na telefonskoj vezi sa prevarantom koji je učesnik takmičenja, manja je verovatnoća da će prevara biti uspešna. “Žena je paranoičnija, i odgovara na manje pitanja,” kaže Hadnagi. Ona brže postaje sumnjičava i brže spušta slušalicu u odnosu na muškog kolegu.

Kada takmičenje bude završeno, organizatori će objaviti izveštaj sa zaključcima. Ali Hadnagi kaže da većina kompanija još uvek nedovoljno ulaže u obuku zaposlenih kada je reč o odbrani od ovakvih prevara, i očekuje da će kao i do sada takmičari imati malo poteškoća da prikupe informacije koje su im potrebne od zaposlenih u kompanijama koje su organizatori odabrali.