Social Engineering and Neourolinguistic Programming

Sadržaj 1 Social Engineering and Neourolinguistic Programming (Temu rezervirao - Matija Marjanović) 2 Uvod 3 Prikupljanje informacija 4 Izvlačenje informacija 5 Kako postati bilo tko 6 Neurolingvističko programiranje i mikroekspresije 6.1 Mikroekspresije 6.1.1 Ljutnja 6.1.2 Gađenje 6.1.3 Prijezir 6.1.4 Strah 6.1.5 Iznenađenje 6.1.6 Tuga 6.1.7 Sreća 6.2 Neurolingvističko programiranje (NLP) 6.2.1 Glas 6.2.2 Struktura rečenica 6.2.3 Ultimate Voice 6.2.4 Intervju i ispitivanje 7 Zaključak 8 Literatura

Social Engineering and Neourolinguistic Programming (Temu rezervirao - Matija Marjanović)

Uvod

Socijalno inženjerstvo u kontekstu informacijske sigurnosti, odnosi se na psihološku manipulaciju ljudima u svrhu pribavljanja povjerljivih informacija. Kroz vrijeme su se mišljenja o socijalnom inženjerstvu mijenjala. Neki vide socijalno inženjerstvo kao skup trikova čijim korištenjem možemo doći do besplatnih stvari, naklonosti žena i sl. Drugi su pak mišljenja da je socijalno inženjerstvo set alata koje koriste prevaranti i lopovi dok postoji i treće mišljenje koje zastupa znanost iza „blještave vanjštine“ socijalnog inženjerstva čije se teorije i principi mogu sagledavati s stručnog znanstvenog gledišta. Dok je uvriježeno mišljenje da je socijalno inženjerstvo alat prevaranata i kriminalaca, možemo reći da je socijalno inženjerstvo alat svakog čovjeka u različitoj mjeri. Profesije poput liječnika, psihologa, učitelja i slično , koriste socijalno inženjerstvo u svakodnevnoj praksi te je iznimno bitno da vladaju metodama i tehnikama koje čine socijalno inženjerstvo.

Tehnike koje se koriste u socijalnom inženjerstvu su bazirane na specifičnim atributima vezanim za donošenje odluka poznatim kao kognitivnim preferencama. Kognitivne preference predstavljaju slabosti i nedostatke kod osoba koje napadači, tj socijalni inženjeri mogu iskoristiti pri kreiranju napada u svrhu pribavljanja osjetljivih informacija.

Metode kojim socijalni inženjeri pokušavaju doći do informacija su različite. Tzv „pretexting“ se bazira na kreiranju i korištenju izmišljenog scenarija kako bi uvukli žrtvu da napravi nešto, ili oda povjerljive informacije koje u drugim slučajevima nikako ne bi. „Phishing“ je također jedna od poznatijih metoda koja se temelji na lažnim e-mailovima. Phisher šalje e-mail žrtvi koji se čini u potpunosti legitiman te se u e-mailu predstavlja kao banka, kartična tvrtka i sl. U e-mailu zahtjeva verifikaciju specifičnih informacija uz obrazloženje poput „Vaši privatni podaci su u opasnosti, molimo verificirajte svoje osobne podatke kako bi pojačali sigurnost vašeg računa“ i sl. Postoje varijacije phishinga poput phone phishinga i spearphishinga.

Jedan od najpoznatijih socijalnih inženjera,ako ne i najpoznatiji, je Kevin Mitnick, bivši računalni kriminalac i kasnije konzultant za sigurnost koji se zalaže za pristup, da je puno lakše prevariti nekog da oda povjerljive informacije nego probijati sustav. Christopher Hadnagy je stručnjak za sigurnost koji je napisao prvi framework koji definira fizičke i psihološke principe socijalnog inženjerstva. Mike Ridpath i braća Badir su poznati po tzv „cold callingu“ tj pribavljanje povjerljivih informacija pomoću snimaka preko telefona.

Prikupljanje informacija

Napoleon Bonaparte je izjavio – „90% rata su informacije“. Informacije su temelj socijalnog inženjerstva i uvriježeno je mišljenje da nijedna informacija, koliko god beznačajna se činila nije nebitna. Neka od pitanja koje si moramo postaviti kad prikupljamo informacije su:

•Kako prikupiti informacije

•Koji su izvori informacija

•Što možemo saznati iz prikupljenih informacija

•Kako locirati, pohraniti i katalogizirati informacije za najlakšu primjenu

Prikupljanje informacija počinje s temeljnim pitanjima i organizacija informacija koje se prikupe je jedna od nabitnijih aspekata ove faze socijalnog inženjerstva. Pri katalogiziranju informacija se koriste i fizička i programska rješenja koja pomažu pri organiziranju i lakšem pregledu tih informacija. Pri prikupljanju informacija u socijalnom inženjerstvu je bitno preispitivati sve te planirati, pripremati prikupljanje i načine prikupljanja informacija.

Informacije se mogu prikupljati sa web stranica poduzeća ali i fizičkih osoba. Informacije koje se mogu prikupiti variraju od osobnih interesa, fizičkih lokacija, kontakata te čak i ključnih riječi koje se mogu iskoristiti kod profiliranja lozinki. Fizičke osobe imaju tendenciju stavljati čak i najprivatnije, osobne informacije na osobne web stranice. Zaposlenici istog poduzeća, su često članovi istih grupa, obitavaju na sličnim forumima ili posjećuju slične ili iste Facebook stranice što može dovesti do informacija o unutrašnjoj strukturi poduzeća i sl. Katalogiziranje takvih informacije može dovesti do ključnih podataka koji se mogu iskoristiti u napadu

Jedan od glavnih izvora informacija danas su društvene mreže. Mnoga poduzeća koriste društvene mreže kao jeftini marketing ali pritom ostavljaju za sobom mrvice informacija. Čak štoviše fizičke osobe na društvenim mrežama otvaraju svoje živote i otkrivaju informacije o svojim privatnim životima ali i o životima svojih bližnjih. Jedan od opasnijih aspekata društvenih mreža je otkrivanje lokacije online, ali također embeddanje lokacije u svaku snimljenu fotografiju. Proučavanje stranica osoba na društvenim mrežama i katalogiziranje prikupljenih informacija može dovesti do poprilično točnih profila tih osoba. Vjerojatno najkorisniji aspekt društvenih mreža u socijalnom inženjerstvu je anonimnost. Kombiniranje anonimnosti s lakovjernošću ljudi je jedan od najvećih rizika sigurnosti danas.

Također među izvorima informacija i njihovom prikupljanju komunikacija je jedan od bitnijih aspekata. Komunikacija podrazumjeva interakciju između bar dvije osobe i može se smatrati dvosmjernim procesom izmjene informacija i usmjeravanjem misli osjećaja, misli i ideja kad zajedničkom cilju. Svaki oblik komunikacije se sastoji od pošiljatelja, primatelja, poruke i medija prijenosa. U socijalnom inženjerstvu, razumjevanje principa komunikacije i razvijanje vlastitog komunikacijskog modela je vjv najbitniji aspekt. Socijalni inženjer mora težiti razvijanju vlastitog komunikacijskog modela kako bi uspio izabrati najbolje metode priopćavanja i primanja poruka te na kraju krajeva odabira sadržaja i tona poruka jer sve to utječe na ukupni dojam primatelja nakon dostave poruke u danoj situaciji. Komunikaciju možemo podijeliti na verbalnu i neverbalnu. Pod neverbalnom komunikacijom podrazumjevamo govor tijela, ekspresije lica te neverbalne poruke poput emoticona i sl. Bez obzira koji oblik komunikacije proučavamo, primatelj poruke poruke koje primio, filtrira kroz svoj doživljaj stvarnosti te u skladu s sadržajem i svojim doživljajem stvara svoju percepciju primljene poruke. Cilj socijalnog inženjera je korištenjem kombinacije verbalne i neverbalne komunikacije promjeniti percepciju ciljane osobe u svoju svrhu. Neki od principa modeliranja komunikacije u socijalnom inženjerstvu su

• Ne uzimanje zdravo za gotovo da primatelj ima isti doživljaj stvarnosti kao pošiljatelj

• Ne uzimanje zdravo za gotovo da primatelj ispravno interpretira poruke

• Komunikacija nije apsolutna i konačna

• Pretpostavka da doživljaja stvarnosti postoji onoliko koliko postoji sudionika u komunikaciji

Primjenjivanje tih principa u komunikaciji može činiti veliku razliku pri prikupljanju korisnih informacija.

Izvlačenje informacija

Pod izvlačenjem informacija se podrazumjeva postavljanje pitanja na način da se sugovornik stimulira odavati informacije i prilagođavati ponašanju ispitivač. Izvlačenje podataka na ovaj način funkcionira pogotovo za što je jako teško detektirati i samim time je rizik manji. Čak i ako postoji sumnja, i dalje može proći kao stranac koji postavlja kriva, preosobna pitanja. Izvlačenje radi iz više razloga :

• Većina ljudi želi ispasti kulturno, pogotovo prema strancima

• Poslovni ljudi žele ispasti inteligentni i dobro informirani

• Kada se osobu cijeni, više će otkrivati o sebi

• Većina ljudi neće lagati samo da bi lagali

• Većina ljudi pozitivno reagira na ljude koje zanima nešto o njima

To su ključne osobine ljudi zbog kojih ovakav pristup funkcionira. Izvlačenje informacija najbolje funkcionira ako se uzme pretpostavka da je to razgovor sam po sebi, tj kvalitetno vođenje razgovora po komunikacijskom modelu spomenutom u prošlom poglavlju. Vođenje takvog razgovora zahtjeva 3 čimbenika

1. Biti prirodan i opušten. Opuštenost i tečnost razgovora su bitni čimbenici izvlačenja informacija iz sugovornika te često o ta dva čimbenika ovisi uspjeh cijelog poduhvata

2. Biti upoznat/educiran o osobi. Potrebno je imati znanje o temi o kojoj se razgovara s osobom te ponešto o samoj osobi. Tu je bitno napomenuti jedno pravilo „Nikad nemojte biti više od onog što se očekuje od vas“

3. Ne biti pohlepan. Fokus izvlačenja informacija jesu informacije same po sebi, ali pristup pri izvlačenju je jako bitan. Osoba s kojom se razgovara mora biti uvjeren da se razgovor vodi o njoj i zbog nje. Ako je socijalni inženjer pohlepan, dati će dojam da se razgovor radi o njemu, te će žrtva vrlo brzo izgubiti interes

Ta tri čimbenika mogu u potpunosti promjeniti način na koji razgovarate s ljudima, ne samo socijalni inženjer. Uz ova tri čimbenika vrijedi napomenuti i izraze lica tokom razgovora kao jedan od bitnih čimbenika. Bitno je uskladiti izraze lica s bojom glasa i općenito pristupom prema osobi i tematikom razgovora. Nesklad među ovim aspektima može nesvjesno odbiti sugovornika. Na kraju možemo reći da su prijašnje navedeni čimbenici bitni ne samo za izvlačenje informacija iz nekoga nego pri sveukupnom razvitku komunikacijskih vještina. Razlika između uspjeha i neuspjeha je znati postaviti pravo pitanje, u pravo vrijeme s pravim pristupom. Izvlačenje informacija je vještina koju svaki socijalni inženjer mora savladati i usavršiti kako bi bio uspješan.

Kako postati bilo tko

Socijalni inženjeri često koriste tzv pretexting metodu pri profiliranju ili izvlačenju informacija od nekoga. Pretexting možemo definirati kao izmišljanje alter-ega, aliasa sa vlastitom pozadinskom pričom pomoću kojeg dolazimo lakše do cilja. Pojavom društvenih mreža i općenito razvijanjem Interneta razvijanje i predstavljanje aliasa nikad nije bilo lakše. Naravno što je alias i njegova pozadinska priča čvršća to su šanse za uspjeh i povjerenje žrtve veće. To ne znači nužno što kompleksniji alias to solidnija priča, već baš suprotno. Principi koji se koriste kod kreiranja aliasa su:

• Što više istraživanja, to veće šanse uspjeha

• Uključivanje osobnih interesa povećava šanse uspjeha

• Vježbanje izraza i dijalekata

• Korištenje telefona ne bi trebalo smanjiti trud pri kreiranju aliasa

• Što jednostavniji alias, to su veće šanse za uspjeh

• Pozadinska priča i alias sam po sebi bi se trebao činiti spontan

• Pozadinska priča i odgovori na moguća pitanja moraju imati logički slijed

Neurolingvističko programiranje i mikroekspresije

Čitanje ljudi je jedna od mistificiranih metoda socijalnog inženjerstva. To je posljedica filmskih detektiva, policajaca i sl uloga koje su na potpuno misteriozan način čitali ljude, bez problema raspoznavali kad im netko laže i sl. Jedna od tih serija je i Lie To Me gdje gdje je glavni lik majstor u čitanju ljudi, njihovih mikroekspresija i govora tijela. Istina je ipak malo drugačija. Socijalni inženjeri se godinama obučavaju da bi mogli čitati mikroekspresije s lica ispitanika i čak i najbolji među njima nekad imaju problema s primjenom te vještine. Ta vještina je i dalje u svijetu jako mistificirana jer ljudi koji mogu pročitati izraze lica često ispadaju kao čitači misli. Usprkos tome savladavanje te vještine zahtjeva poseban način razmišljanja, budno oko i puno strpljenja i vremena.

Jedan od bitnih aspekata koje treba uzeti u obzir je način razmišljanja ljudi koje promatramo. Koliko god se to činilo da je komplicirano, dovoljno je imati strpljenja i uložiti vremena i strpljena u istraživanje i promatranje pojedine osobe. Svaka osoba ima jedan dominantan način razmišljanja. Identificiranje nečijeg dominantnog načina razmišljanja može pomoći pri izvlačenju i najintimnijih informacija iz nekoga.

Jedan od čimbenika u razmišljanju su osjetila. Osjetila utječu na našu percepciju stvarnosti i postoji teorija da stvarnost koju percipiramo uopće nije stvarna nego je plod percepcija naših osjetila. Razlikujemo pet osjetila : vid, sluh, dodir, miris i okus. Ljudi često preferiraju jedno od osjetila, i to osjetilo nazivamo dominantno. Zovemo ga dominantno jer je primarno u kreiranju sjećanja. U vidu osjetila razlikujemo tri načina razmišljanja:

• Vizualno razmišljanje

• Auditorno razmišljanje

• Kinestetično razmišljanje

Svako osjetilo ima raspon u kojem funkcionira, tzv sub-modalitet. Promjene u submodalitetu kod dominantnog osjetila mogu direktno izazvati fizičku promjenu. Znanstvenik koji se tim područjem bavio je Ivan Pavlov. Poznat je njegov eksperiment s psom. Svaki put kad bi hranio psa zazvonio bi zvonom. Nakon određenog perioda vremena, svaki put kad bi zazvonio zvonom pas bi počeo sliniti. Primjetio je također da što bi jače zazvonio zvonom to bi pas jače počeo sliniti. Iako su ljudi očito drugačiji od pasa, Pavlovo istraživanje je bitno u razumjevanju submodaliteta ljudskih osjetila.

Vizualno razmišljanje je najčešće od svih načina razmišljanja. Najveći broj ljudi se prisjeća stvari na način na koji su ih vidjeli. U vizualna sjećanja su uključene elementi poput boja, tekstura, svjetline i dr. Karakteristika vizualnih tipova ljudi je da koriste ono što vide u donošenju odluka. Veće su šanse da će osoba donositi pozitivnu odluku prema nečemu, ako je ono što vide vizualno prihvatljivo. Ako je nešto vizualno privlačno, takva osoba će smatrati da je to dobro za nju. Sub-modaliteti vizualnog dominantnog osjetila su:

• Svjetlo (svijetlo ili tamno)

• Veličina (veliko ili malo)

• Boja (kromatsko ili akromatsko)

• Pokreti (brzi ili spori)

• Fokus (oštro ili mutno) Zaključak je da vizualni tipovi ljudi, trebaju vizualne poticaje pri donošenju odluka.

Ljudi kod kojih je auditorno razmišljanje dominantno sjećanja se formiranju pomoću zvučnih podražaja. Veliku ulogu pri kreiranju sjećanja igraju boja glasa, glasnoća i sl , a pri prisjećanju sjećanja se formiraju po onome što je ta osoba čula više nego po onome što je vidjela. Sub-modaliteti auditornog razmišljanja su:

• Glasnoća (glasno ili tiho)

• Ton

• Boja

• Tempo

• Udaljenost

Pristup koji se preporučuje pri komuniciranju s auditornim tipom osobe je pažljivo biranje riječi i moduliranje glasa jer jedna kriva riječ može činiti razliku između uspjeha i potpunog neuspjeha

Kinestetično razmišljanje je vezano za osjećaje. Kinestetički tipovi osoba formiraju sjećanja prema osjećajima koji su prisutni u tom trenutku. Pojam kinestetičan se odnosi na taktilne, emocionalne i samosvjesne osjećaje tijela, tj na čistu svjesnost tijela o podražajima iz okoline i emocije koje se vežu uz te podražaje. Sub-modaliteti kinestetičkog razmišljanja su:

• Intenzitet

• Prostor

• Tekstura

• Temperatura

• Težina Kinestetički tipovi ljudi su najteži za čitati, iz razloga što ne reagiraju na vizualne ili zvučne podražaje, tj ne formiraju emocionalne reakcije na takve podražaje. U komunikaciji s takvim ljudim socijalni inženjeri moraju doći na istu valnu duljinu i komunicirati s njihovim osjećajima što je iznimno teško.

Mikroekspresije

Osjećaji okidaju različite mišiće lica i ti mišići formiraju ekspresije lica. Pošto su to podsvjesne mišićne kretnje gotovo ih je nemoguće kontrolirati. Jedan od najutjecajnijih znanstvenika na tom području je Dr. Paul Ekman. On je istraživao mikroekspresije gotovo 40 godina i bio je pionir tog područja te je proglašen jednim od najutjecajnijih osoba 2009. godine. Do 1972. godine Dr. Ekman je identificirao listu ekspresija lica povezanih s osnovnim, tj biološki univerzalnim emocijama:

• Ljutnja

• Gađenje

• Strah

• Sreća

• Tuga

• Iznenađenje

Tih 6 osnovnih mikroekspresija je dopunjeno s jednom dodatnom – prezirom. Razumjevanje i raspoznavanje mikroekspresija je jedno od najbitnijih vještina koje svaki socijalni inženjer mora savladati. Mnogi socijalni inženjeri su nastavili proučavati mikroekspresije koje je definirao Dr. Ekman te počeli koristiti njegova istraživanja u proučavanju i detekciji obmane.

Ljutnja

Ljutnju je najčešće lakše raspoznati od drugih ekspresija. Obilježava ju napetost i skupljenost usana. Obrve su nagnute dolje i približene jedna od drugih a najbitniji aspekt mikroekspresije ljutnje je pogled Ljutnja je vrlo jaka emocija i može povući sa sobom puno drugih emocija. Problem kod tih emocija je što ekspresija popratnih emocija vrlo kratka i traje najčešće jednu dvasetpetinu sekunde. Dr. Ekman u svojim studijama preporuča vježbanje tih emocija što povlači jednu zanimljivu konotaciju. Ako kreiramo mikroekspresiju namjerno, napravimo izraz lica, u ovom slučaju ljutnje, mozak će percipirati to kao emociju ljutnje i u tom trenutku ćemo zaista postati ljuti. Unatoč tome vježbanje mikroekspresija lica dovodi do boljeg razumjevanja emocija koje stoje iza njih. Samim razumjevanjem emocije dolazimo do boljeg razumjevanja iste u drugim ljudima.

Gađenje

Gađenje je jaka emocija povezana najčešće s stvari, osobom ili pojavom koja nam je izričito odbojna. Ona sama po sebi ne mora nužno biti odbojna ali je dovoljno da izaziva tu emociju ako je bazirana na nekom unutrašnjem osjećaju ili vjerovanju. Najbolji primjer toga je hrana. Sama pojava hrane koja je odbojna će u nama izazvati mikroekspresiju lica i osjećaj gađenja. Čak štoviše, nekad je i sama pomisao na takvu hranu dovoljna da izazove takvu reakciju Gađenje je najčešće okarakterizirano podignutom gornjom usnom i laganim boranjem nosa. Druga česta osobina te mikroekspresije je grčenje obraza i skupljanje nosa s namjerom zaustavljanja neugodnih mirisa. Gađenje je jedna od emocija koja utjecana mirisom, okusom ili pomisli na nešto neukusno. S gledišta socijalnog inženjera nema veliki utjecaj na konačni ishod poduhvata ali može dati naznake o situaciji poduhvata. Iako je tome tako, mikroekspresija gađenja će nam često dati do znanja da je poduhvat propao i da je osoba u velikom neslaganju s našim idejama, ponašanjem i sl. S obzirom da je to poprilično negativna emocija ona nam daje do znanja koje su teme prihvatljive ili neprihvatljive sugovorniku. To je ujedno i jedna od emocija koju je bitno savladati jer je korisna u određenim situacijama ali ju je isto tako jako bitno prepoznati.

Prijezir

Prijezir je vrlo jaka emocija koju je nekad vrlo lako zamijeniti s gađenjem pošto su usko povezane.

Prijezir je okarakteriziran boranjem jedne strane nosa i dizanjem gornje usnice, ali na samo jednoj strani lica, što je razlikuje od gađenja čija su obilježja dizanje cijele gornje usnice i boranje obje strane nosa. Prijezir je najčešće povezan s ljutnjom jer stvari i pojave koje uzrokuju prezir imaju negativne konotacije i mogu okinuti jake negativne emocije. S stajališta socijalnog inženjerstva, prijezir je jedna od emocija koju nikako ne želimo uzrokovati u nikome.

Strah

Strah je jako sličan emociji iznenađenja jer te dvije emocije uzrokuju slične mišićne ekspresije lica. Mikroekspresiju straha obilježavaju dignute obrve, spuštena čeljust, podignut gornji kapak, zgrčen donji kapak te kutevi usana zategnuti u stranu u smjeru ušiju.

Sa stajališta socijalnog inženjera strah je emocija koja jako često utječe da ljudi u danom trenutku reagiraju na određeni način. Zloćudni socijalni inženjeri koriste taktike temeljene na strahu kako bi uhvatili nespremne žrtve te ih natjerali da odaju dragocjene informacije ili učine željenu radnju. Strah može biti veliki motivator da ljudi učine mnoge stvari koje socijalni inženjer ima namijenjene za njih.

Iznenađenje

Kao što je već navedeno, emocija iznenađenja je slična strahu pa su stoga i mikroekspresije te dvije emocije jako slične. No unatoč tome, razlike postoje.

Mikroekspresija iznenađenja traje jako kratko i karakteriziraju je dignute obrve, raširene oči te otvorena usta.

Treba uzeti u obzir da postoje dvije različite emocije iznenađenja, na dvije različite situacije ili pojave – pozitivne ili negativne.

S stajališta socijalnog inženjerstva, iznenađenje se može iskoristit da se iskoristi nespremnost žrtve i pridobi njeno povjerenje brzom reakcijom, šalom i slično.

Tuga

Tuga je prevladavajuća , snažna emocija. To je tip emocije koju ako primjetimo, i sama može izazvati kod nas istu reakciju. Neki ljudi osjete tugu, pri samoj pojavi ljudi koji su tužni te mogu izazvati plač i sl reakciju.

Mikroekspresiju tuge obilježavaju spušteni kapci, gubitak pozornosti u očima te lagano spuštanje kuteva usana te lagano otvaranje usta. Mikroekspresija tuge je jedna od težih za vježbati pošto uzrokuje gotovo trenutačan osjećaj tuge koja može potrajati duže vremena čak i bez valjanog razloga ili povoda.

Zanimljiv aspekt tuge kao emocije je da postoji široki spektar nje same. Tuga se nužno ne pojavljuje vrlo očito, kao osjećaj duboko žaljenja ili agonije nego može biti jako suptilna. Često se pojavljuje u obliku jednog elementa kompletne mikroekspresije pogotovo kad se pokušava prikriti kroz lažni osmijeh. Čak i takvoj situaciji može se raspoznati da osoba skriva emociju tuge, i čak i suptilni elementi mikroekspresije tuge mogu biti primjetljivi budnom oku. Jedan od težih elemenata mikroekspresije tuge za pročitati su oči. Pošto je „tužne“ oči lako zamjeniti s „umornim“ očima, potrebno je promatrati govor tijela i govor tijela osobe.

Tuga je emocija koja igra veliku ulogu u socijalnom inženjerstvu jer može uzrokovati širok spektar rekacija kod ljudi, od davanja financijskih sredstava do odavanja ključnih informacija i sl. Jedan primjer korištenja emocije tuge u maliciozne svrhe je lažan marketing u lažnim reklamama s gladnom i neuhranjenom djecom iz zemalja Trećeg Svijeta, nezbrinutim životinjama, tragičnim pričama. Postoje mnogi primjeri korištenja tuge kao oružja socijalnog inženjerstva zbog utjecaja emocije tuge na druge ljude. U pravoj situaciji, s pravom pričom i uvjerljivom prezentacijom tuga ože biti potentno oružje socijalnog inženjera.

Sreća

Sreću je zanimljivo promatrati s aspekta socijalnog inženjerstva pošto postoji puno sličnih mikroekspresija sreće ali i činjenice da je zanimljivo raspoznavati lažan i stvaran osmjeh. Razlika između lažnog i stvarnog osmjeha je jako bitno naučiti raspoznavati jer čini veliku razliku o čitanju emocija ljudi i njihovog okruženja.

Kako razlikovati stvaran osmjeh od lažnog? Iznenađujuće lako. Kad se osoba iskreno smije okidaju se dva mišića u licu, zygomaticus major i orbicularis oculi. Stvarni osmjeh se lako raspoznaje jer se orbicularis oculi mišići okidaju podsvjesno i nemoguće ih je svjesno okinuti. Iako se puno socijalnih inženjera trenira da što bolje prikriju lažan osmjeh, u velikoj većini slučajeva se i dalje lažan osmjeh može iščitati iz očiju. Pravi osmjeh uključuje ekspresiju kompletnog lica dok u većini slučajeva lažan osmjeh uključuje samo donji dio lica. Stvaran osmjeh je širok , s skupljenim očima, dignutim obrazima i donjim kapcima povućenim prema dolje. Čovjek može podsvjesno prepoznati pravi osmjeh od lažnog, pošto pogled na pravi osmjeh u čovjeku okida osjećaj sreće.

S stajališta socijalnog inženjerstva, bitno je raspoznati pravu sreću od glumljene. Socijalni inženjer želi da njegova žrtva bude opuštena, kako bi imao najveći utjecaj na nju. Svaki socijalni inženjer će inicirat razgovor s osmijehom na licu, što uzrokuje osjećaj opuštenosti te žrtva vrlo lako bude uvučena u razgovor ako vidi da je njezin sugovornik također opušten. Mozak konstantno ispituje okolinu u kojoj se čovjek nalazi i kreira emocije u skladu s njom, što samim time uvelike utječe na tok komunikacije.

Neurolingvističko programiranje (NLP)

Neurolingvističko programiranje – NLP proučava kako ljudi misle i kako doživljavaju svijet oko sebe. NLP je kontrovorezno područje iz razloga što ne daje konkretne i precizne formule svojih principa. Usprkos tome NLP daje različite modele vođene tim principima. Pomoću tih modela je moguće utvrditi tehnike mijenjanja mišljenja, ponašanja, percepcije i uvjerenja koje ograničavaju ljude. Pomoću NLP-a je moguće prepoznati uzorke ponašanja kod ljudi i izravno utjecati na njih i mijenjati ih.

Neurolingvističko programiranje su razvili 1970-ih godina Richard Bandler i John Grinder pod vodstvom Gregory Bateson-a. Vođeni istraživanjima najuspješnijih psihoterapeuta svog vremena razvili su temeljne koncepte NLP-a. Iz tih temeljnih koncepata je nastao meta-model , koji prepoznaje korištenje jezika u utjecanju na promjenu ponašanja. Kroz vrijeme je John Grinder shvatio da model iz 1970-ih zahtjeva određene promjene kako bi se modernizirao, tj prilagodio suvremenim situacijama. U suradnji s Bateson-om i Judith DeLozier došao je do tzv „new code-a“ koji se fokusira više na ono što osoba misli ili vjeruje da će se dogoditi i direktnom utjecaju na to mišljenje. Taj novi model je uvelike utjecao na samo-promjenu osobe jer se bavio širenjem vlastite percepcije, prevladavanjem starih uzoraka ponašanja i općenit mjenjanju navika. U suštini „new code“ tvrdi da, za uzrokovanje stvarne promjene, osoba mora uključiti svoju podsvijest. Novo ponašanje mora zadovoljiti originalno zacrtanu misao i promjena se mora dogoditi izravno u umu, više nego na razini ponašanja. Taj koncept je ključan u socijalnom inženjerstvu jer direktno utječe na željenu manipulaciju.

Iako dobar dio NLP principa teži ka hipnozi i sl metodama uz malo prilagodbe postaju potentno oružje socijalnog inženjerstva. NLP sa stajališta socijalnog inženjerstva počiva na principima korištenja glasa i izboru riječi da vodi sugovornika ka željenom cilju socijalnog inženjera.

Glas

Glas sam po sebi je potentno oružje jer omogućuje ubacivanje nesvjesnih ali i svjesnih ideja u uho žrtve. U NLP-u je naglasak na činjenicu, da je nekad bitno kako se nešto kaže, a ne zapravo što se kaže. Također NLP upućuje korištenje suptilnih naredbi koje utječu na žrtvu kako bi promjenila mišljenje ili poduzela neku radnju. Korištenje naglaska na nekim riječima može uvelike promjeniti način razmišljanja pojedinih ljudi jer se podsvjesno fokusiraju na naglašene riječi. Taj princip sam po sebi može drastično promjeniti način komunikacije s drugima.

Struktura rečenica

Stavljanje naglaska u određeni dio rečenice čini razliku između pitanja, izjave ili naredbe. Pitanja imaju naglasak na kraju rečenice, izjave imaju jednaku intonaciju kroz cijelu rečenicu, dok naredbe imaju naglasak na početku rečenice.

S stajališta socijalnog inženjerstva, pravilno strukturiranje rečenica ima velik utjecaj na razgovore preko telefona gdje se potencijal takvog oblika komunikacije može maksimizirati. Kod prakticiranja tog principa, bitno je vježbati, pažljivo strukturirati rečenice te biti realističan. Ovaj princip ne osigurava instant rezultate ali može žrtvu staviti u takav način razmišljanja u kojem je lakše doći do željenog

Ultimate Voice

Ultimate Voice je sposobnost umetanja nardebi kroz normalan razgovor na način da sugovornik svjesno ne doživljava izjavu kao naredbu. Ultimate Voice se često koristi kroz hipnozu te se bazira na naglašavanju ključnih riječi. Vježbanje ove tehnike se bazira na iskorištavanju kapaciteta i raspona boje glasa. Stvari na koje se izričito treba fokusirati su glasovni tonovi, pravilan odabir riječi te pripremljena lista zapovijedi koje će se vjerojatno koristiti kroz razgovor s ciljanom osobom.

Intervju i ispitivanje

Glavna razlika između intervjua i ispitivanja je u činjenici da je intervju smješten u atmosferi gdje je žrtva opuštena i fizički i psihički, dok je cilj ispitivanja vršiti pritisak na žrtvu stvarajući neopuštenu atmosferu pitanjima i lokacijom na kojoj se ispitivanje vrši. Cilj ispitivanja je izvlačenje priznanja ili neke informacije koju žrtva posjeduje. Ispitivanje je vještina koja se stječe s iskustvom. Vještina socijalnog inženjerstva se usko veže s vještinom ispitivanja. Intervjuiranje je vještina koja je jako korisna uz uvjet da socijalni inženjer zna suptilno izvlačiti informacije. Usprkos tome, ispitivanje je vještina koja na kraju krajeva troši manje vremena. Kao i sa svim vještinama istraživanje je ključan korak do uspjeha kao i promatranje okoline, gesti i mikroekspresija žrtve. Bitno je ne generalizirati ukupnu situaciju na temelju male grupe znakova koje žrtva odaje. Bitno je gledati ukupnu sliku, a ovo su neke od znakova koje socijalni inženjer treba promatrati: • Tjelesni stav • Boja kože (misli se na crvenilo, bljedilo i sveukupne promjene) • Položaj glave • Oči • Ruke/noge (položaj, pokreti, boja) • Usta/usne • Primarno osjetilo • Glas • Odabir riječi Promjene u gore navedenim čimbenicima mogu dati do znanja socijalnom inženjeru da pridoda više pozornosti nekoj temi o kojoj se razgovor vodi. Na početku intervjua je bitno utvrditi prirodno ponašanje žrtve i na temelju tog ponašanja promatrati promjene. Jedan od načina utvrđivanja prirodnog ponašanja je postavljanje pitanja koja iziskuju korištenje različitih dijelova mozga. Pod time se misli na postavljanje neprijetećih pitanja koja iziskuju kreativno razmišljanje te promatranje geste, mikroekspresije kod odgovora. Jedan od pojmova koji se javlja kod ispitivanja je pozitivno sukobljavnja i često se koristi kod policijskih ispitivanja. To podrazumjeva tešku optužbu na početku koja usmjerava počinitelja kad željenom smjeru ispitivanja i na kraju krajeva doznavanja istine. Osim pozitivnog sukobljavanja poznato je i ispitivanje kroz razvijanje određene priče s tonom ispitivanja. Ispitivač razvija priču dok njegov suradnik gleda suptilne promjene u mikroekspresijama i gestama ispitanika. Kod ispitivanja je iznimno bitno fokusirati pozornost ispitanika na sebe. U slučaju straha bitno je kod žrtve zadržati takvo stanje uma koje koristi socijalnom inženjeru da dođe do svog cilja.

Postoje različiti pristupi kod ispitivanja te ovisno o situaciji ispitivač mora odlučiti koja je najprimjerenija. Neki od pristupa su: • Direktni pristup

• Indirektni pristup

• Pristup koji odaje dozu suosjećanja

• Emocionalni pristup

• Logični pristup

• Agresivni pristup

• Kombinirani pristup

• Indiferentni pristup

• Pristup koji ispitaniku nudi časno priznanje

• Egoistični pristup

• Pristup s pretjerivanjem

• Davanje mogućnosti alibija

Različiti pristupi mogu polučiti različite rezultate, od potpunog uspjeha do totalno neuspjeha pa je kritično prilagođavati se situaciji te procijeniti koji je pristup za tu situaciju i ispitanika najprimjereniji.

Za završnu riječ, bitno je napomenuti najjače oružje socijalnog inženjera, a to je slušanje. Tu treba naglasiti veliku razliku između – čuti i slušati. Slušanje omogućuje dobrom socijalnom inženjeru primijetiti male stvari koje mogu otvoriti put ka uspjehu. Pod tim sitnicama se podrazumijeva ne samo slušanje što je žrtva rekla, nego obraćati pozornosti na način, trenutak i emociju vezanu za nešto što je rekla. To su čimbenici koji utječu na percepciju kompletne informacije. Ključ uspjeha, u razvitku pravilnog slušanja su – obraćanje pozornosti, davanju do znanja sugovorniku da zapravo slušate, kvalitetno, konkretno i primjereno davanje odgovora te ne prekidanje. Emocije socijalnog inženjera također igraju veliku ulogu u razgovoru. Držanje emocija pod kontrolom i prikazivanje emocija u razgovora čini veliku razliku u pridobivanju povjerenja žrtve i na kraju uspjehu poduhvata.

Jedna od metoda koje se koristi u pridobivanju povjerenja žrtve je tzv reflektivno odgovaranje. Reflektivno odgovaranje se temelji na par jednostavnih principa :

• Aktivno slušanje

• Kontroliranje svojih i doživljavanje emocija sugovornika

• Ponavljanje sadržaja na svojstven način

• Započinjanje razgovora s neutralnim izjavama poput „Čini se da…“

Pogreška koja se javlja kod velikog broja socijalnih inženjera je vlastita zabluda u svoju sposobnost manipulacije pri čemu zanemaruju vještinu slušanja

Zaključak

Zaključak ovog rada je – vježba, vježba, vježba. Socijalno inženjerstvo i korištenje njenih principa je vještina koja ne dopušta puno pogrešaka ali im je itekako podložna. Čitanje mikroekspresija lica, gesti i slušanje sugovornika je vještina koja se stječe kroz vježbu te svi principi navedeni iznad su bitni na putu do uspjeha.

Literatura

Unmasking the Face: A Guide to Recognizing Emotions From Facial Expressions, Dr Paul Ekman, Wallace V. Friesen , 1975

Social Engineering: The Art of Human Hacking 1st Edition, Christopher Hadnagy