Operalização ofensiva da Engenharia social para a Força Aérea

Abstrato

A engenharia social é a arte e a ciência de persuadir os indivíduos a

contornarem mecanismos de segurança causando a liberação não intencional de
informações. Isto é uma solução de baixa tecnologia para um problema de alta
tecnologia e é tanto uma arte quanto uma ciência. Como é verdade em muitas dessas
soluções, a engenharia social é tanto indefinida quanto extremamente eficaz. Sua
natureza de baixo custo e alto retorno a torna uma alternativa extremamente atraente
aos adversários que não têm acesso a todos os recursos de um Estado. Contudo, com
o apoio total, a arma pode se tornar muito mais eficaz. A engenharia social é algo que o
Departamento de Defesa já faz. Todos ramos das forças armadas têm organizações
Red Teaming que usam engenharia social, que utilizam métodos, como parte de sua
missão, de avaliar e melhorar as medidas internas de segurança. Embora os
mecanismos de proteção de rede e física tenham se tornado mais robustos, o ser
humano permanece o ponto fraco de qualquer defesa, o ataque de engenharia social
vai quase sempre ser bem sucedido. Enquanto a Força Aérea organiza, treina e equipa
sua nova força guerreira cibernética, precisará também operacionalizar os princípios
de engenharia social, a fim de promover a capacidade sustentável. No entanto, a
engenharia social continua sendo um conceito mal definido para a Força Aérea em
particular ao Departamento de Defesa em geral. É algo praticado mas em um escopo
limitado e com pouca padronização. Apesar de ser sucesso, a engenharia social ainda
não alcançou ampla aceitação. O foco deste trabalho é o uso de engenharia social
ofensiva. E possui três pontos principais. Primeiro, estabelecer a legitimidade e
demonstrar que a engenharia social é de fato compatível com a doutrina militar da
Força Aérea e Conjunta existente. Isso está feito com uma análise aprofundada da
doutrina e escritos históricos sobre o engano militar, operações psicológicas e
conceitos relacionados. Em segundo lugar, a engenharia social chega ao campo
operacional discutindo um quadro trabalhar para medir seus efeitos. Uma preocupação
primordial para qualquer implementação de um cyber arma está medindo sua eficácia.
Um processo bem conhecido, Inteligência Aeroespacial Preparação do Battlespace, é
extrapolado e adaptado para uso neste trabalho. Finalmente, os requisitos para um
plano de treinamento são desenvolvidos como um primeiro passo para a
implementação.
Introdução

Um desempenho realizado em computadores conectados até uma conexão DSL

em para registrar ataques cibernéticos contra eles. Em menos de quatro minutos, um
sistema automatizado ataque havia quebrado as defesas de segurança de
computadores.

A Engenharia Social Engenharia descreve uma classe de ferramentas de

hacking de computadores que têm como alvo o usuário do sistema e não do próprio
sistema. É um ataque comprovado e viável. Isso inclui métodos como phishing,
pharming e persuasão. A Força Aérea Americana usa a engenharia social de forma
limitada como uma ferramenta de validação ao avaliar postura de segurança de uma
unidade ou instalação. Unidades como o 57º Agressor de Informação, Esquadrão
baseado na Base da Força Aérea de Nellis emprega rotineiramente técnicas de
engenharia social enquanto realizam sua missão. No entanto, este é o único emprego
de engenharia social atualmente evidenciada no inventário da Força Aérea Americana.
A Força Aérea adotou o ciberespaço como um domínio operacional e começou
organizar, treinar e equipar uma força para operar nesse domínio. Como tal, a Força
Aérea Americana deve concentrar-se no cultivo e emprego de todos os métodos
possíveis para alcançar a supremacia nesse domínio.
1.1 Definição
A engenharia social é uma arma que pode fornecer essa supremacia. A
engenharia social tem muitas definições dependentes do contexto e vieses pessoais.
(Winkler e Dealy) fornecem uma boa definição com o processo de usar interações
sociais para obter informações sobre uma vítima do sistema de computador.
 Embora esta seja uma boa visão geral, ela perde os elementos da arte e da
ciência, então uma alternativa que incorpora os três elementos-chave da engenharia
social é usado. Esta definição é A arte e a ciência de convencer uma pessoa a fornecer
voluntariamente informações informação sob falsos pretextos
Abrange totalmente os três elementos-chave da engenharia social, que são:
• Informação
• Persuasão
• Decepção
Evidência anedótica colhida de ambas as entrevistas e locais de revisão de
literatura a eficácia da engenharia social em ou próximo de 100 por cento . Com base
nisso sucesso generalizado no mundo civil, a engenharia social parece um ajuste
lógico para um organização procurando a próxima melhor arma. Além disso, a
engenharia social a característica rara e invejável de ser extremamente baixo custo,
tanto em termos de treinamento e execução. Esses atributos indicam que é uma opção
atraente para os adversários dos Estados Unidos, embora o seu emprego e defesa dos
EUA contra ele são fora do escopo desta pesquisa. A discussão é limitada à Força
Aérea, embora grande parte da pesquisa poderia ser aplicada em todo o Departamento
de Defesa.
Esta pesquisa está firmemente fundamentada na realidade e nas exigências da
Força Aérea Americana de hoje. Algumas formas de engenharia social, como o
phishing, tornaram-se uma segurança máxima ameaça atualmente enfrentando
corporações civis. De programas de bate-papo automatizados personificar pessoas a
fim de coletar informações pessoais para táticas usadas por atuais equipes da Força
Aérea Vermelha tentando avaliar a posição de segurança de uma unidade, a
engenharia social é barata, tem baixa tecnologia e eficaz.
Oficiais de Operações de Informações da Base Aérea de Hurlburt em resposta a
algumas preocupações dos seus membros. A informação foi postada em um site de
rede social de faturamento em si como militar apenas mas sem laços militares. Na
verdade, o servidor de hospedagem é baseado em Nova A Scotia e a empresa
proprietária é alemã. A engenharia social está em todo lugar.
 Reconhecendo as vantagens da engenharia social e sua atual falta de no
arsenal da Força Aérea, esta pesquisa cria um argumento para a utilização de
engenharia social ofensiva na Força Aérea. Ele descreve os fundamentos do social
engenharia, iluminando as poderosas sugestões psicológicas que criam o alto sucesso
taxa. Discute onde a engenharia social se encaixa na doutrina atual, traçando paralelos
para conceitos familiares. É preciso uma metodologia existente e aceita e altera-a para
uso no planejamento e avaliação de um ataque de engenharia social. Finalmente,
apresenta pesquisa feito na identificação de tarefas e nos objetivos de treinamento
resultantes.

A análise começa com o pano de fundo da engenharia social, revisando o façanhas de

Kevin Mitnick, que é talvez o mais famoso hacker nos Estados Unidos Estados e cujas
operações mais bem sucedidas usaram técnicas de engenharia social.
A essência da engenharia social, a persuasão, é discutida, bem como o a base
psicológica que a tornam eficaz. Explorando a interação homem-computador, pesquisa
sendo feito na Universidade de Stanford pelo Dr. Fogg em uma nova área de estudo
chamada Captology é revisado. Esta tese analisa as Operações de Influência, um
termo que indiscutivelmente aponta à engenharia social. O Capítulo Três descreve a
metodologia de pesquisa usada e ilumina o processo iterativo envolvido. O Capítulo
Quatro apresenta os resultados do pesquisa, demonstrando a ligação entre engenharia
social e Operações de Influência, fornecer uma estrutura para planejar e avaliar as
operações de engenharia social, e sugerindo objetivos a serem considerados ao treinar
engenheiros sociais.
1. A engenharia social é uma arma legítima para a Força Aérea considerar?
2. Podemos demonstrar uma ligação entre a Engenharia Social e o Operador de
Informação?
3. Um ataque de engenharia social pode ser planejado e medido?
4. Que objetivos precisam ser cumpridos para treinar Engenheiros Sociais?
O Capítulo II revê informações básicas e fornece uma estrutura para pensar
sobre engenharia social
O Capítulo III descreve a estrutura usada para conduzir a pesquisa
Capítulo IV apresenta os resultados da pesquisa
O Capítulo V resume as descobertas e conclusões tiradas desta pesquisa.

Toda guerra é baseada em decepção

Sun Tzu

Este capítulo resume a literatura revisada em apoio à pergunta de pesquisa.

Primeiro, é importante chegar a uma compreensão clara do que exatamente
engenharia social é e não é. Para este fim, informações básicas sobre a engenharia
social. São discutidas duas grandes categorias para auxiliar a definição do escopo da
tese.
Em seguida, métodos de engenharia social, fundamentos psicológicos do
engenheiro social e as incursões psicológicas da engenharia social são discutidas.
Além disso, uma visão geral de um campo relativamente novo de estudo, o Captology,
é apresentado. Engloba ambos os tipos de engenharia social, misturando o técnico
para o psicológico e fornece insight significativo sobre a interação do computador
humano no coração da Engenharia. Finalmente, o serviço conjunto e a doutrina da
Força Aérea sobre Operações de Informação são examinados. Um requisito para
entender corretamente onde a engenharia social pode caber no futuro dos militares é
uma compreensão completa de como as visões militares técnicas semelhantes hoje.
Para esse fim, conceitos de operações psicológicas e o engano militar é explorado.
Engenharia Social é fundamentalmente um problema com os usuários do
sistema, em vez de com o sistema em si, tornando-o algo único no campo da
segurança do computador. Profissionais de segurança de computadores tendem a se
sentir mais à vontade com desafios técnicos e suas soluções técnicas associadas, o
grande número de hardware e software soluções de segurança baseadas em
comparação com o número de soluções de treinamento de usuários empiricamente
carrega isso fora. A Figura 2.1 mostra um ataque simplificado que é combatido com a
tecnologia com base em medidas de segurança. Esta é uma representação
simplificada da postura mais frequentemente lembrada ao discutir a segurança do
computador. Tem os elementos clássicos de
Ataque típico frustrado com medidas de segurança baseadas em tecnologia
representado pelo atacante e pelo alvo, respectivamente. Além disso, tem a noção de
algum tipo de barreira de segurança entre o us e them que impede a invasão.
A Figura 2.2 mostra como a engenharia social derrota todas essas medidas de
segurança visando o usuário do sistema, em vez do próprio sistema.
Figura 2.2:
Engenharia social ignora segurança baseada em tecnologia Direto para o usuário A
engenharia social combina dois campos de estudo, tirando grande parte de sua energia
de lições aprendidas em psicologia e alavancando-as contra um sistema de
computador, maneira dos usuários desse sistema, obscurecendo assim a linha entre o
estudo do homem e o estudo da máquina. No entanto, como uma parte deste capítulo
irá mostrar, existem alguns pesquisadores olhando para essa interação e esta tese
baseia-se fortemente nesses esforços.
A engenharia social continua sendo uma avenida atraente de ataque para muitos
hackers. O custo de entrada, que é definido como o financiamento e treinamento
necessários para efetivamente competir com uma determinada ferramenta ou arma, é
sem dúvida o menor de qualquer forma ataque de rede via computador. Muitas das
técnicas são familiares, já que todos tentaram usar a persuasão em algum momento.
Com o aumento do desempenho do desktop computadores, pouco mais é necessário
do que uma conexão de rede e um computador. Para 3000 ou menos, um adversário
pode empunhar uma arma com mais potencial de interrupção do que qualquer coisa
que eles poderiam adquirir a 10 vezes o custo.
A engenharia social não é uma ideia única, mas sim uma coleção de técnicas.
Alguns deles sem dúvida estão familiarizados, como phishing, enquanto outros, como
tailgating, provavelmente só são bem conhecidos dentro da comunidade de hackers e
profissionais vermelhos teamers que os praticam. Esta pesquisa não está preocupada
com a iluminação e discutindo as várias implementações da engenharia social,
preferindo focalizar nos métodos mais amplos que os engenheiros sociais usam e as
principais habilidades que permitem prática. Fazendo uma analogia com a Força
Aérea, as técnicas discutidas aqui são semelhantes às habilidades básicas que um
piloto deve ter para manobrar com sucesso e segurança avião. A implementação
específica é como as táticas de combate desenvolvidas para um dado plataforma. A
discussão é restrita às principais habilidades. Não é intenção desta pesquisa traçar
limites absolutos sobre o que é e o que não é engenharia social. Como muitas áreas de
interesse relacionadas à tecnologia, linhas de definição são difíceis de distinguir e
rapidamente desatualizadas. No entanto, esta pesquisa não discutir muitas técnicas
diferentes que se enquadram no guarda-chuva de engenharia social. Esta discussão
não pretende ser o endosso de qualquer legitimidade técnica sobre os outros. Em vez
disso, o foco está em resultados comprovados, usando isso como critério de inclusão.
Para facilitar a compreensão, a engenharia social pode ser dividida em dois
tipos: baseado em tecnologia humana e somente na tecnologia.
A engenharia social baseada em humanos é a forma mais familiar. Está definido
para os propósitos desta pesquisa como qualquer esforço de engenharia social que
exija a participação de um engenheiro. Neste contexto, e durante todo o restante deste
discussão, o termo engenheiro é usado para denotar uma pessoa que pratica
engenharia social. Os exemplos incluem roubo de identidade, apelação a frio e ataques
corporais. Todas as atividades deve ser iniciado e processado por um engenheiro.
Sendo o tipo mais handson, essas técnicas exigem o mais alto nível de sofisticação
pessoal e são as mais difícil de ensinar.
A engenharia social baseada em tecnologia usa algum grau de automação para
alcançar os resultados da engenharia social. Phishing, pharming e o uso de bots de
bate-papo para impe
Pessoas inseridas em redes sociais on-line são exemplos dessa abordagem. O
engenheiro está envolvido em algum momento, apenas para dar a ferramenta suas
instruções, mas o ataque é automatizado e ocorre sem intervenção humana direta.
Desde a terceira área de foco desta pesquisa é a formação de engenheiros sociais
eficazes, o foco é limitado a métodos humanos.

Engenharia social baseada em humanos.

Existem muitas definições diferentes para as categorias de um esforço de engenharia
social baseado em humanos, cada artigo escrito o assunto parece ter nomes diferentes
para diferentes técnicas. Porém muitos dos temas permanecem os mesmos. A
terminologia apresentada vem indiscutivelmente do
mais famoso engenheiro social, Kevin Mitnick. Mitnick que define as técnicas de
engenharia social baseadas no ser humano

Armadilhas de Papel
Trappings of Role é uma técnica em que o engenheiro social exibe algumas
características do papel que ele escolheu como disfarce. Por exemplo, se apresenta
com um executivo, vestindo um terno legal e falando com autoridade,
usando um tom que não convide discordância ou discussão. Outras armadilhas
pode ser coisas simples, como usar o jargão da indústria ou mencionar outras pessoas
que trabalhem na organização. A eficácia deste método reside na sua simplicidade;
apenas alguns detalhes são necessários para gerar a imagem. Quando o alvo tiver o
engenheiro associado com o papel desejado, eles naturalmente preenchem todos os
detalhes que estão faltando, às vezes fornecendo informações adicionais no processo.

Credibilidade

A credibilidade é estabelecida de três maneiras diferentes. Primeiro, o engenheiro

social argumentar um ponto que parece ser contrário ao seu melhor interesse. Uma
afirmação como "não se esqueça de me dizer sua senha" é um exemplo desse tipo de
tática.
Em segundo lugar, o engenheiro social pode alertar o alvo de um problema iminente
com o sistema que o engenheiro social de fato causou. Por exemplo, chamar um alvo
para avisá-los de uma interrupção de serviço e, em seguida, causar a interrupção.
Finalmente, o atacante pode ajudar o alvo a resolver um problema, colocando o alvo
em uma posição de dívida em relação ao atacante. Essa tática é excepcionalmente
eficaz quando combinado com o segundo método como o engenheiro avisa o alvo de
um iminente situação negativa, causa a situação e, em seguida, ajuda o alvo resolver a
situação sem o conhecimento do alvo. O engenheiro está no controle de todo o
processo.

Altercasting
Altercasting refere-se a colocar o alvo em um papel escolhido para eles. Isso
geralmente requer uma boa dose de habilidade por parte do engenheiro social como o
alvo precisa estar confortável com o papel selecionado, permanecendo totalmente
inconsciente de que eles estão nele. O engenheiro precisa ser capaz de ler o nível de
conforto do alvo e ajustar em conformidade; este ajuste “voar” é um exemplo do
elemento de arte para engenharia social. Por exemplo, o engenheiro social pode
colocar ele ou ela própria em uma posição de desvantagem empurrando o alvo para o
papel de um ajudante. Ou o engenheiro social pode se tornar mais agressivo,
empurrando o alvo em um papel mais submisso. A escolha de qual papel é apropriado
é feita durante o início da interação com base na percepção dos engenheiros sobre o
alvo.

Distraindo do Pensamento Sistemático

O pensamento sistemático é um pensamento racional cuidadoso que leva a uma
conclusão e é o inimigo do engenheiro social. É o método de pensar usado quando
seguindo regras e procedimentos. O pensamento heurístico, por outro lado, envolve o
uso de atalhos mentais para chegar a conclusões mais rapidamente. Esse tipo de o
pensamento é invocado quando pressões ou sugestões externas estão presentes que
sugerem certa decisão para o alvo. Por exemplo, limitar o tempo para alcançar uma
decisão obriga o alvo a pular para a conclusão antes de todos os fatores relevantes
considerados. Alternativamente, uma pessoa pode usar o pensamento heurístico
quando eles acreditam que a pessoa que faz o pedido está em uma posição de
autoridade e isso só justifica o pedido. O engenheiro invoca esse pensamento processo
criando um ambiente de pressão artificial ou capitalizando alguma pressão orgânica
para a situação.
Momentum of Compliance
Os engenheiros sociais também procuram criar um momentum de conformidade
perguntando ao alvo de favores fáceis e gradualmente construindo em direção ao que
eles realmente querem.
Quando o (s) pedido (s) de valor real são feitos, o alvo está acostumado a e por isso
acha difícil mudar o comportamento e negar o pedido. Isto é um técnica avançada que
também requer muita habilidade como os pedidos devem construir uns sobre os outros
incrementalmente em termos de importância. Se a diferença entre o perguntas inócuas
e as questões importantes são percebidas como muito grandes pelo alvo, o momento
pode falhar.

desejo de ajudar
Pessoas que ajudam outras pessoas a obter benefícios definidos da transação, de um
sentimento de realização a uma elevação no humor. Engenheiros sociais procuram
explorar esse desejo de ajudar, lançando-se em uma posição que coloca os outros em
posição de ajudá-los. Este efeito é frequentemente ampliado pelo valor reduzido o alvo
coloca as informações que eles contêm. Eles não entendem completamente sua
importância e assim pode pensar que é inofensivo ou mesmo inútil. Portanto, o ajudam
o alvo a fornecer um evento de baixo custo para eles, aumentando a relação custo /
benefício e ampliação dos sentimentos positivos.

Atribuição
Atribuição é uma técnica para criar uma percepção sobre quem é o engenheiro social
é. O engenheiro pode manter uma porta aberta para alguém, diga por favor e obrigado,
fingir devolver o dinheiro que encontraram no chão, qualquer coisa para se lançar uma
luz positiva. Isso, por sua vez, leva o alvo a atribuir outras características positivas ao
engenheiro, tornando-os mais confiáveis e o alvo mais propenso a ajudar. A atribuição
também pode se referir a uma técnica para ajudar o alvo a explicar comportamento.
Nesse uso, o engenheiro social diz ao alvo que outra pessoa disse que era aceitável,
ou que a informação solicitada é inútil sem algum outra informação. Isso ajuda o alvo a
transferir a responsabilidade por a situação para outra pessoa, liberando-a para fazer o
que é pedido.

Gostos
Os engenheiros sociais entendem que as pessoas estão muito mais inclinadas a ajudar
as pessoas eles gostam, então eles tentam ser simpáticos. Eles refletem interesses,
origens, valores, qualquer coisa que puderem para tornar o alvo como eles. Isso, como
o altercasting, envolve lendo o alvo com precisão e envolve uma boa quantidade de
habilidade.

medo
O ano é um excelente motivador. O engenheiro usa o medo criando uma situação de
crise que requer manuseio em um período de tempo comprimido, geralmente para
evitar outra, mais séria, conseqüência. Isso leva o alvo para a heurística modo de
pensar como eles não têm mais tempo para processar todos os elementos antes tomar
uma decisão. Uma tática favorita envolve o uso do que os termos do Sr. Mitnick Medo
próprio referencial. O dilema iminente afeta apenas o engenheiro social, não tem
impacto ou relevância para o alvo. Por exemplo, o engenheiro poderia reivindicar a
necessidade de acessar o sistema, porque eles precisam de um arquivo que contém ou
então eles será demitido. A ameaça de término não tem impacto no alvo; em vez disso
coloca-os no papel de alguém que pode ajudar a evitar este resultado.

Reactance
Finalmente, a reatância pode ser utilizada para fazer um pedido normalmente
inaceitável mais palatável. O engenheiro se faz passar pelo departamento de TI e
informa um usuário de um pendente de perda prolongada para armazenamento de
rede devido a manutenção, por exemplo. este perturbação é, obviamente, perturbador
para o engenheiro oferece uma saída se o alvo fornecerá apenas algumas
informações importantes para ajudar no trabalho. O pedido para informações pessoais
que normalmente é recebido com ceticismo é agora visto como um favor.
Uma compreensão firme de por que a engenharia social funciona é necessária para
entendê-lo e implementá-lo. Como afirmado anteriormente, a engenharia social
atravessa a disciplina limites, alavancando mecanismos psicológicos contra um objetivo
tecnológico. Um como visão completa desta interação começa com uma compreensão
completa da engenharia social
Fundação. Além disso, as informações descritas aqui facilitarão uma discussão
posterior sobre as formas mais vantajosas de treinar combatentes nesta arena única.
O coração da engenharia social é a persuasão, persuadir um alvo a liberar
informações que o engenheiro considera desejáveis. Muito tem sido escrito sobre
mecanismos de persuasão. O artigo de Thomas Peletier intitulado "Engenharia Social:
Conceitos e A Solutions condensou as informações de maneira facilmente
compreensível. Mr. Peltier delineia quatro características humanas que os engenheiros
sociais exploram:
O desejo de ser útil
Uma tendência para confiar nas pessoas
medo de entrar em problemas
Vontade de cortar cantos
Se alguma coisa, essas características são ampliadas na cultura militar. Cada asa,
grupo, esquadrão, vôo realiza alguma função que por sua vez é um serviço para outra
pessoa.
Mesmo as operações de combate são um serviço quando visto do assento do
combatente comandante. Na verdade, o Service Before Self é um dos três principais
valores da Força Aérea. Essa ênfase no serviço cria um forte desejo de ajudar. A Força
Aérea também é um
Tabela 2.1:

força seletivamente tripulada. Enquanto permanece todo o voluntário, os candidatos

têm que se encontrar
certos requisitos para participar. Aqueles que conseguem usar o uniforme são de certa
forma select e outros membros do serviço respondem a isso. Quando outra pessoa de
uniforme vem buscar ajuda, eles recebem o benefício da dúvida se não por outra razão
que alocação organizacional. A Força Aérea também é muito orientada para os
rankings. Tem um definitivo hierarquia que todos os membros conhecem e respeitam
necessariamente. Esta consciência rank tem o efeito colateral de produzir certa
quantidade de medo, especialmente naqueles de níveis mais baixos.
Quando um indivíduo com classificação mais alta solicita algo, a solicitação não é
questionada, é respondida. Finalmente, o advento da modelagem de força juntamente
com o aumento da implantação e o tempo de operação deixou praticamente todos os
membros com muitas tarefas para realizar em muito pouco tempo. Esta
superabundância de trabalho cria uma atmosfera onde qualquer
A chance de economizar tempo cortando um canto parece atraente.
ouso ο
Dr. Brad Sagarin é professor associado do Departamento de Psicologia da
Northern Illinois University e concentra sua pesquisa na área de persuasão. Dentro
Na verdade, ele é citado várias vezes por Kevin Mitnick em seu livro The Art of
Intrusion.
O Dr. Sagarin trabalha na área de conformidade, persuadindo os indivíduos a dizer sim
a um proposição, produziu um conjunto de princípios de influência que induzem a
conformidade 13. Esses seis princípios são reciprocidade, validação social,
compromisso / consitência, amizade / gosto, escassez e autoridade. Curiosamente,
muitos desses mesmos princípios são mencionados por Kevin Mitnick como métodos
disponíveis para um engenheiro social. A Tabela 2.2 exibe esses princípios de
influência, bem como algumas características descritivas. Dr. Sagarin também discute
métodos para empregar ou alavancar a influência princípios, muitos dos quais são
muito semelhantes às técnicas discutidas por Kevin Mitnick. Enquanto a pesquisa do
Dr. Sagarin não se concentra na engenharia social, o engenheiro faz uso desses
pontos de pressão de persuasão para obter as informações desejadas.
De fato, outro pesquisador está atualmente trabalhando em formas eficazes de se
defender contra engenharia social baseada em grande parte nos princípios do Dr.
Sagarin
Dr. BJ Fogg, professor da Universidade de Stanford, introduziu o Captology em 1996 e
continua a ser o especialista neste novo campo de estudo. Captologia é um acrônimo
com base na sigla computadores como tecnologia persuasiva 19. É importante note
que o Dr. Fogg não vê essa relação persuasiva em termos de atacantes e metas, mais
como uma interação social benigna. No entanto, dado o foco deste pesquisa e a
aplicabilidade óbvia da pesquisa do Dr. Fogg, a atenção ao seu trabalho é garantido.
.. Computadores como Ferramentas.
O livro do Dr. Fogg é organizado em três áreas, cada um dedicado a um dos papéis
que os computadores desempenham quando agem de forma persuasiva
Função. O primeiro deles é Computadores como Ferramentas. Dentro dessa ampla
categorização, o Dr. Fogg define sete ferramentas tecnológicas persuasivas que estão
disponíveis.
15

Página 28
Tecnologia de Redução: Persuadindo Através da Simplificação
Reduction Technology fornece ao alvo uma gama de opções, assegurando
que a opção de maior benefício também é a mais fácil de seguir. Alternativamente,
também pode se manifestar assumindo uma tarefa complexa e eliminando a maioria
das os obstáculos até que tudo o que resta são um punhado de tarefas simples que
levam ao resultado desejado.
Tecnologia de Tunelamento: Persuasão Guiada
Tecnologia de Tunelamento apresenta uma sequência predeterminada de ações ou
eventos que finalmente levam a um resultado desejado. Esta abordagem é eficaz
porque geralmente simplifica a conclusão da tarefa do ponto de vista do assunto. Ad
tradicionalmente, há uma tendência para a maioria das pessoas ficar com um curso de
ação eles se comprometeram a, independentemente de evidências contrárias
colocadas em seu caminho.
Tecnologia de adaptação: persuasão através da personalização
Tailoring Technology fornece informações específicas para o usuário, dando
a ilusão de personalização completa. Spear phishing, a prática de enviar
phishing emails contendo informações pessoais sobre o alvo 17, é um
exemplo oportuno desta ferramenta. Um subconjunto é a adaptação para o contexto
que faz com que o informações específicas para o destinatário pretendido, mas
também fornece essa informação em um momento ou local em que o destinatário
provavelmente o achará útil.
Tecnologia de sugestão: Intervir na hora certa A Tecnologia de Sugestões apresenta
os comportamentos desejados ao usuário na maior oportunidade
momento de sintonia. Um exemplo das forças armadas são operações de PSYOP que
vêm
depois de uma batalha particularmente devastadora. As tecnologias de sugestão
geralmente baseiam-se motivações ou comportamentos já existentes, apresentando a
sugestão em um momento em que terá o maior impacto.
Tecnologia de Auto-Monitoramento: Tirando o Tédio do Rastreamento
A tecnologia SelfMonitoring depende do usuário para observar seu próprio
comportamento e ajustar o desempenho de acordo. Esta ferramenta pressupõe uma
certa quantidade de desejo de mudar por parte do alvo e assim oferece benefício
limitado de um ponto de vista militar ofensivo.
Tecnologia de Vigilância: Persuasão Através da Observação
A tecnologia de vigilância monitora o comportamento do sujeito, mas é
propositadamente conspícuo. O assunto é persuadido pelo conhecimento de que suas
ações estão sendo assistiu e assim eles mudam esses comportamentos de acordo.
Vigilância secreta tem um papel no domínio militar, mas quando o objetivo declarado é
persuadir o alvo para mudar comportamentos, a vigilância deve ser evidente e
perceptível.
Tecnologia de Condicionamento: Reforçando Comportamentos Alvo
A tecnologia de condicionamento recompensa o sujeito por exibir comportamentos
favoráveis. Em relação ao Captology, não inclui punir por comportamento incorreto.
É uma tecnologia sensível ao tempo com o cronograma sendo impulsionado pelo
sujeito como o reforço positivo deve aparecer dentro de uma janela limitada em para ter
o efeito desejado. Curiosamente, adicionando um elemento de aleatoriedade a
recompensa também é benéfica; essa é a recompensa para a exibição do desejado o
comportamento sempre aparece rapidamente se aparecer. Não se manifesta a cada
Tempo. Desta forma, um tipo de vício é criado.
O tema comum que percorre essas ferramentas é maximizar o custo / benefício relação
para um usuário do sistema. Um usuário interage com um computador para realizar
alguma tarefa, qual é a razão básica para a interação. Realizar essa tarefa tem algum
custo associado a ele em termos de tempo, esforço, pensamento, etc. A quantidade de
custo necessária para completar a tarefa pretendida pode ser visto como uma relação
custo / benefício. O custo de realizando a tarefa versus o retorno da conclusão da
tarefa. Como o benefício é fixa, a tarefa está completa ou não, a única variável restante
é o custo.
Assim, reduzindo o custo percebido de realizar uma tarefa, o sistema tem efeito
elevou a relação custo / benefício.
.. Mídia persuasiva.
O segundo papel que um computador pode assumir quando agindo em um papel para
persuadir os humanos é o da mídia persuasiva. Nesta função, o
computador e as informações que ele fornece tornam-se o meio pelo qual um usuário
tem uma experiência. Simulações de computador são excelentes exemplos disso.
Como Mídia Persuasiva, os computadores permitem que os humanos experimentem
novas idéias, novas ideias narios e novos comportamentos sem nunca realmente
mudá-los. Se a experiência for executada perdido, eles simplesmente redefinem e
tentam novamente. Este método não-falha de tentativa e erro pode ser um poderoso
persuasor.
De particular interesse é a tendência de um alvo experimentar uma simulação para
desconto a precisão do que eles são mostrados. As pessoas tendem a ficar muito
envolvidas o que está sendo apresentado para se preocupar com a precisão. Isso
permite a simulação designers para incluir seus próprios preconceitos na realidade
virtual que eles criaram e ter esses preconceitos sutilmente aceitos pelo alvo.
Social.. Agente social persuasivo.
O terceiro e último papel que um computador pode Assume-se que é de um ator social
persuasivo. Este emprego particular de engenharia está fora do escopo desta pesquisa
e é mencionado para Apenas informação. Nesta função, um computador age como e é
tratado como outro ser. O computador pode fornecer suporte social, modelar
comportamentos ou atitudes, ou recompensar o alvo com feedback positivo. Desta
forma, o alvo deixa de pensar o computador como uma máquina e começa a vê-lo
como se estivesse vivo. Esse papel também é
relevante para a engenharia social à luz de alguns artigos recentes sobre bots sendo
usados para conduza conversas com humanos . O computador exibe um ou mais de
cinco pistas sociais para alcançar este efeito
Físico
As pistas físicas podem ser muito amplas. Pode ser algo tão simples quanto o
Assistente personalizável que fazia parte do Microsoft Office 2000 ou tão complexo
quanto o robô ASIMO da Honda mostrado na Figura 2.3. O que é importante é que a
tecnologia exibir alguma aparência ou comportamento que o usuário pode identificar e,
portanto, atribuir-lhe o rótulo de alive.