570 likes | 704 Views
s oci álne inžinierstvo. Sociálne inžinierstvo je eufemistický termín pre presvedčovacie majstrovstvo, ktoré používajú hackeri.
E N D
sociálne inžinierstvo • Sociálne inžinierstvo je eufemistický termín pre presvedčovacie majstrovstvo, ktoré používajú hackeri. • Príklad sociálneho inžinierstva je používanie ľahko dostupných informácií na presvedčenie zamestnanca aby poskytol tajné informácie (napr. niekto môže zatelefonovať do počítačového centra a predstaviť sa ako manažér západoslovenskej divízie pracujúci na na vývoji IS pre celú firmu a potrebuje prístup na súborový server kvôli súrnemu stretnutiu, ktoré začne o 10 minút). Veľa ľudí je ochotných ohýbať (porušiť) bezpečnostné pravidlá firmy kvôli dôveryhodne znejúcim požiadavkám.
Sociálne inžinierstvo je umením a zároveň vedou, ktorá slúži na to aby sme dostali človeka do polohy, v ktorej bude plniť naše priania. Nie jeto však spôsob ako ovládnuť myseľ človeka, do takej miery aby plnil úlohy, ktoré sú ďaleko od jeho normálneho správania a naviac táto metóda nie je stopercentne spoľahlivá.
Zahŕňa to omnoho viac ako len rýchle myslenie a používanie slangu. Tak ako v hackovaní, omnoho viac práce jev príprave ako v samotnom pokuse
Jedinou cestou ako sa brániť sociálnemu inžinierstvu je poznať metódy, ktoré používa. V princípe sa treba vyhýbať pomoci za každú cenu. Soc. ing. sa zameriava na najslabší článok bezpečnostnej politiky firmy – t. j. ľudí, pretože žiadny systém na svete nie je nezávislý od ľudského faktoru. Každý, kto má prístup do systému – či už fyzicky alebo elektronicky je potencionálnym rizikom. Každá informácia, ktorá je o danom systéme môže byť neskôr použitá pri prieniku do siete, tzn. že ktorýkoľvek užívateľ systému môže byť použitý ako zdroj informácií pre prienik do systému. Každý človek má nástroje, ktoré môže použiť na útok sociálnym inžinierstvom, rozdiel je len v schopnostiach použiť tieto nástroje.
Metódy sociálneho inžinierstva: Prvou je jednoduchá požiadavka na vykonanie nejakej operácie. Aj keď najmenej pravdepodobná, je to najjednoduchšia a najpriamočiarejšia metóda. Druhou je navodenie vhodnej situácie, ktorá je individuálnu časťou väčšieho celku. Táto metóda vyžaduje viac práce pre osobu, ktorá sa pokúša o presviedčanie a často sú potrebné veľké znalosti „cieľa“. To však neznamená, že v reále sa táto metóda nepoužíva. V zásade platí – čím menej nezrovnalostí – tým lepšie.
Jedným zo základných nástrojov v sociálnom inžinierstve je dobrá pamäť pre získavanie dôležitých faktov. Je to niečo, v čom hackeri a sysadmini vynikajú, špeciálne čo sa týka ich oblasti. Je potrebné taktiež poznať, že sociálnym tlakom na jedinca dosiahneme to, že svoje rozhodnutie urobí podľa skupiny, dokonca aj vtedy, keď je rozhodnutie skupiny zlé. Ak situácia, či už reálna alebo imaginárna má určité charakteristiky, potom je pravdepodobnejšie, že cieľ bude súhlasiť s našími požiadavkami:
rozptýlenie zodpovednosti cieľa, t.j. je potrebné dosiahnuť, aby cieľ mal pocit, že nenesie zodpovednosť za svoje rozhodnutie príležitosť pre polichotenie. Väčšiu pravdepodobnosť presvedčenia cieľa dosiahneme vtedy ak cieľ verí, že vykonaním daných požiadaviek si cieľ môže polepšiť (urobiť „očko“) u svojích nadriadených morálna povinnosť. Človek nemá rád pocit viny.
Osobné presvedčenie tzn. osoba nie je donútená vykonať dané požiadavaky, ale spolupráca je dosiahnutá dobrovoľne. Cieľ verí, že má kontrolu nad situáciu, a že využíva svoju silu k pomoci druhej strane. Cieľ si je vedomý, že poskytuje určité výhody druhej strane, ale je to pre neho nepodstatné. Verí, že poskytované výhody sú len troškou strateného času a energie.
Je niekoľko faktorov, ktoré môžu zvýšiť pravdepodobnosť spolupráce cieľa s druhou stranou: 1. Čím menej konfliktov s cieľom, tým lepšie. Spolupráca bude úspešnejšia keď bude zvolený jemný prístup k cieľu (to vyplýva z ľudskej povahy, ktorá pomerne nerada znáša kritiku) 2. Faktor „foot in the door“ tzn. cieľ je ochotnejší spolupracovať, keď už má dobré skúsenosti s minulou spoluprácou 3. Čím viac zmyslových informácií môže cieľ dostať, tým lepšie. Je jednoduchšie uveriť druhej strane keď ju vidíte a počujete. Je ľahké odmietať niekoho po chate...
Zainteresovanosť: ľudia, ktorí už majú skúsenosti s útokmi sociálnych inžinierov sú viac predvídaví a skúsenejší. Preto na ich presviedčanie sú potrebné silné argumenty (čím je ich viac, tým lepšie). Je riskanté u takýchto osôb voliť argumenty, ktoré sú ľahko napadnuteľné, lebo tieto osoby sú viac podozieravé a môže to vniesť pochybnosti do ich hláv.
Ako sa brániť? Opis problému: Užívateľ obdrží požiadavku spustiť program, resp. vykonať úkony, ktoré vedú k zachyteniu jeho hesla. Výzva môže prísť napríklad ako emailová správa, broadcast alebo formou telefónneho hovoru. Najnovšie je užívateľ vyzvaný otestovať nový program. Po spustení programu vyzve užívateľa aby zadal svoj login a heslo a následne je tento login spolu s heslom zaslaný emailom do internetu.
Dopad: Votrelec získa prístup k dátam a prístupové práva užívateľa, ktoré boli chránené prístupovým heslom daného užívateľa.
Odporúčané postupy: Každý užívateľ, ktorý obdrží výzvu na spustenie nejakého programu, alebo zadávanie svojho loginu a hesla by si mal overiť autentickosť tejto výzvy u administrátora. V prípade, že užívateľ vykonal túto výzvu a nie je si istý jej autentickosťou, mal by čo najskôr zmeniť svoje prístupové heslo do systému a upozorniť na to svojho systémového administrátora (upozorniť na to, že obdržal takú výzvu a nie o tom, že menil svoje heslo...)
Systémový administrátor by malpriebežne zisťovať, či niektorýz užívateľov systému náhodounevykonal nejakú výzvu, v ktorej poskytoval svoj login a heslo. Systémový administrátor by mal vzdelávať uživateľov systému, aby sa nestali obeťami takéhoto triku
príklad emailu From: Security@yourISP.Com To: taylorwayne@yourISP.Com Subject: Account Compromised We have detected a major security breach to several accounts on our network. While we do not believe that your account was among those compromised by hackers, we recommend that you check your account data immediately. To verify your account, just visit the following URL: http://www.yourISP.Com/security/view.htm Login to your account and check your data. Make special note of the last login data and time. If anything appears to be incorrect, please send an email to security using the link at the bottom of the page. Thanks for your immediate attention. YourISP security
Kevin Mitnick story: Po skončení strednej školy pokračoval v štúdiu výpočtovej techniky v počítačovom centre v LA. „Za pár mesiacov zistil administrátor počítačovej siete, že som našiel zraniteľnosť v operačném systéme a získal som plné administrátorské práva na ich IBM minipočítači. Najlepší počítačový experti v ich profesorskom zbore nemohli prísť na to, ako som to spravil. Prvým nápadom bolo najať hackera. Dostal som ponuku, ktorú som nemohol odmietnuť: Robiť exkluzívny projekt pre dosiahnutie vyššej počítačovej bezpečnosti v škole, konkrétne zamedzenie hackovania systému. Samozrejme, že ponuku som prijal a spromoval som na Cum Laude s vyznamenaním.“ So sociálnym inžinerstvom začal na strednej škole. Postupne si začal uvedomovať svoj talent získavať tajné informácie spôsobom postaveným na trikoch, firemnom žargóne a cielenej manipulácii.
„Umenie ovplyvňovania a presviedčania mám z otcovej strany – po dlhé generácie to boli obchodníci.“ Kevin rozlišuje medzi zlodejom a sociálnym inžinierom. Zlodeja definuje ako osobu, ktorá švindluje a podvádza ľudí aby získal ich peniaze. Sociálneho inžiniera definuje ako niekoho, kto používa klam, ovplyvňovanie a presviedčanie proti firmám, zvyčajne cielené na ich informácie. Sám o sebe tvrdí, že sociálne inžinierstvo nevyužíval pre získanie peňazí, ale preto aby si dokázal, že na to „má“ – zo ctižiadostivosti.
Kevin Mitnick je do značnej miery expert samouk v odhaľovaní zraniteľnosti operačných systémov a telekomunikačných zariadení, používajúci technický aj netechnický prístup. Podarilo sa mu neautorizovaný prístup do systémov najväčších firiem planéty a pohybovať sa v ich databázach. Trestom bol 5 ročný pobyt vo federálnom nápravnom inštitúte (prepustili ho v januári 2000)
Ako najznámejší hacker sveta sa stal Kevin predmetom záujmu množstva novín a časopisov po celom svete. Zúčastňoval sa ako hosť v mnohých rádiách a televíziách, poskytoval odborné komentáre orientované na informačnú bezpečnosť. Zúčastnil sa programov ako napríklad: Court TV, Good Morning America, 60 Minutes, CNN´s Burden of Proof, Street Sweep, Headline News a mnohých iných. Zúčastňoval sa aj mnohých konferencií ako napr.: Giga Information Group´s Infrastructures for E-Business, the Software Developers Expo 2000, DEFCOM security conference. Písal pre magazíny ako Time Magazine, Newsweek, Guardian.
Príbeh Frya Guya Fry Guy si vyslúžil svoju prezývku zo žaržíkov v rýchlom občerstvení. Ukradol heslo vedúceho miestneho MacDonaldu a pripojil sa na sálový počítač MacDonaldu v systéme Sprint Telenet. Menom vedúceho zmenil záznamy MacDonaldu a zariadil niekoľkým svojim mladistvým priateľom, privyrábajúcim si predajom hamburgerov, veľkorysé zvýšenie platu. Nebol pristihnutý.
Povzbudený úspechom, skúsil Fry Guy zneužívať kreditné karty. Mal značné konverzačné schopnosti a naviac vlohy na "sociálne inžinierstvo". Ak ovládate "sociálne inžinierstvo" – umenie vydávať sa za niekoho iného a rýchlym a sebaistým prejavom urobiť nejaký podfuk -- je zneužívanie kreditných kariet ľahké.
Fry Guy sa rýchlo naučil získavať informácie z agentúr informujúcich o používateľoch kreditných kariet. Vo svojich poznámkach mal viac než stovku ukradnutých čísel kreditných kariet a tisíce kradnutých prístupových kódov pre diaľkové telefónne hovory. Vedel, ako sa dostať na ALTOS a ako hovoriť rečou undergroundu. Začal na ALTOSe mámiť znalosti o trikoch s ústredňami od hackerov. Kombináciou týchto znalostí sa Fry Guy vyšvihol k novej forme krádeže cez telefón. Najprv dostal z počítačov spoločnosti ponúkajúcej kreditné karty ich čísla. Skopírované dáta obsahovali mená, adresy a telefónne čísla náhodne vybraných držiteľov kariet.
Potom Fry Guy, vydávajúci sa za majiteľa karty, zavolal Western Union a požiadal o vyplatenie hotovosti zo "svojej" kreditnej karty. Western Union pre zaistenie bezpečnosti zavolal zákazníka späť domov a požiadal o potvrdenie transakcie. Lenže Fry Guy zamenil číslo držiteľa karty za miestnu telefónnu búdku. Potom sa usadil a zahladil svoju stopu smerovaním a presmerovaním hovoru cez vzdialené ústredne, napríklad aj v Kanade. Keď bol hovor spojený, suverénne presvedčil zástupcu Western Union, že je legitímnym držiteľom karty. Pretože odpovedal na zavolanie na správne telefónne číslo, nebolo to ani tak ťažké. A peniaze Western Unionu boli zaslané jeho spoločníkom v jeho rodnom meste v Indiane.
Fry Guy a jeho pomocníci ukradli pomocou techník LoDu Western Unionu od decembra 1988 do júla 1989 šesťtisíc dolárov. Prilepšovali si aj objednávaním tovaru na ukradnuté čísla kreditných kariet. Fry Guy bol opitý úspechom. Šestnásťročný chalan sa svojím hackerským konkurentom vychvaľoval fantastickými príbehmi, tvrdil, že si za nakradnuté peniaze najal limuzínu a vyšiel si na výlet po Spojených štátoch v spoločnosti svojej obľúbenej heavymetalovej skupiny Motley Crue. Rozjarený vedomosťami, mocou a ľahko získanými peniazmi sa Fry Guy pustil do obvolávanie miestnych zástupcov bezpečnostného oddelenia Indiana Bell, aby sa vychvaľoval, chvastal, naparoval a vyhlasoval zlovestné predpovede o tom, ako jeho mocní priatelia z neslávne známej Legion of Doom dokážu zhodiť celonárodnú telefónnu sieť. Fry Guy uviedol dokonca aj dátum plánovanej akcie: národný sviatok 4. júla.
Dôsledkom týchto flagrantných prejavov koledovania si o zatknutie bolo jeho skoré zadržanie. Keď indianská telefónna spoločnosť zistila, kto je Fry Guy, inštaloval Secret Service na jeho domácu linku DNRs -- Dialed Number Recorders. Tieto zariadenia nie sú odpočúvacie, nemôžu zaznamenať obsah telefónnych hovorov, ale zaznamenávajú všetky telefónne čísla, na ktoré sú spojované hovory dovnútra aj von. Sledovanie týchto čísel preukázalo, že Fry Guy intenzívne používa kradnuté kódy na prístup k diaľkovým linkám, jeho rozsiahle styky s pirátskymi boardmi a odhalilo aj početné osobné hovory s priateľmi z LoDu v Atlante.
Tradícia informačnej spoločnosti na Slovensku alebo ľudová slovesnosť v oblasti bezpečnosti informačných systémov.
Keď sa dôkladne začítame do slovenských prísloví a porekadiel, Dobšinského rozprávok, či započúvame do textov lahodne znejúcich slovenských ľudových piesní (Slovak folk songs), poľahky v nich objavíme ako popis základných problémov, s ktorými je možné sa u nás stretnúť pri každom úsilí vyriešiť ochranu údajov a počítačových systémov, tak aj návody (hints) na ich riešenie. Stáročná múdrosť slovenského ľudu, vyjadrená v dochovaných dielach jeho tvorivosti a fantázie, tak názorne preukazuje svoju nadčasovú platnosť.
Začnime hoci základným problémom, sktorým sa v našich podmienkach adept naexperta na informačnú bezpečnosťnezriedka stretne, totiž presvedčiťmanažment organizácie o nevyhnutnosti vôbec prijaťúčinné (a nie len predstieranéopatrenia nazvýšenie bezpečnosti počítačových systémov a údajov. Naši predkovia múdro postrehli, že: Kde Pán Boh kostol stavia, tam si diabol kaplnku pristavuje
a naozaj niet dôvodu veriť že informačné technológie sú v tomto smere nejakou výnimkou. A či vari existuje presvedčivejší argument na podporu tvrdenia o nevyhnutnosti vyriešenia systému ochrany ako poukázanie na reálny fakt, o ktorého pravdivosti nikto nepochybuje? Ktože by po vypočutí textu slovenskej ľudovej piesne: Hej, hora, horadubová chrásť, dubová chrásťhej, dajže božedačo ukrásť, dačo ukrásť,
neuznal, že prinajmenšom v našom regióne je vybudovanie ochranných opatrení úplnou nevyhnutnosťou? Vieme aj, aká je často motivácia páchateľov, veď ktože by na Slovensku nepoznal ono známe: Poďme chlapci, poďme zbíjať,veď nemáme za čo píjať...
Je známe, že nestačí potenciálneho páchateľa len preventívne odstrašovať nejakými normami či zákonmi - náš ľud má s rešpektovaním platnej legislatívy svoje skúsenosti, keď spieva Ešče je, ešče jev tej Trnave mírapod kterú zebralijednej mamke syna Kto len trochu dlhšie pôsobí v oblasti informačnej bezpečnosti, zaiste potvrdí že jedným z najväčších problémov pri realizácií systému ochrany je prirodzená ľudská vlastnosť spoliehať sa že "to urobí niekto iný". Znalca slovenského folklóru tento poznatok neprekvapí, veď aj v texte
Taká sa mi fľaška páči čo sa sama k ruke tlačí spevák vyjadruje svoje sympatie takej druhej strane, ktorej činnosť mu ušetrí zopár pohybov. Je známe, že teória i prax ochrany informačných systémov je v podstatnej miere založená na princípe centralizovaného riadenia prístupu k systému, čo znamená izolovanie chránených objektov od okolia tak, že prístup k nim je možný jedine prostredníctvom špeciálnej entity (v anglosaskej teoreticky zameranej literatúre známej ako tzv. reference monitor), ktorú nemožno ignorovať a ktorá reguluje samotný prístup vonkajších subjektov k chráneným objektom. Len skutočný majster, ktorý dokonale zvládol tento základný princíp úspešného prevádzkovania bezpečného systému, dokáže namiesto drmolenia naučenej poučky takýto suchopárny popis podať novým, sviežim spôsobom. Niet pochybností o tom, že nasledovná ukážka z tvorby slovenského ľudu
Ani sa ma netýkaj, netýkaj materi sa opýtaj, opýtaj. Keď ti mamka dovolí, dovolí urobím ti po vôli, po vôli. svedčí o hlbokom pochopení a precítení spomenutého základného pilieru bezpečnosti informačných systémov. Skúsenosti z praxe informačnej bezpečnosti dnes už bežne poukazujú na nezastupiteľnú úlohu manažmentu pri definovaní bezpečnostných potrieb organizácie a špeciálne pri riadení celého procesu budovania a prevádzkovania systému ochrany, čo je konzistentné so všeobecnejším pozorovaním že radový pracovník obvykle čaká, čo mu "vrchnosť" povie či ukáže. Pre znalca slovenského folklóru je takáto spojitosť medzi úspešným vybudovaním a prevádzkovaním systému ochrany a kvalitou a zainteresovanosťou vrcholového manažmentu samozrejmou záležitosťou, veď
Kde je gazda chorý, tam i sluhu čosi morí Výsledok budovania systému ochrany pod vedením nekvalifikovaného manažmentu predikuje aj ďalšia ľudová múdrosť, nepochybne vychádzajúca z vlastných bolestných skúseností jej autora Keď vedie slepý slepého, padnú oba do jamy Zvlášť pre radového pracovníka - začiatočníka vedomého si nedostatku svojich znalostí je však mimoriadne dôležité, aby vyvíjal tlak na nadriadeného a priamo sa domáhal zlepšenia situácie a prinajmenšom zvýšenia úrovne svojho poznania - aspoň tak, ako sa spieva v pesničke pre tzv. redový tanec
ukladali mladú spať nevedela jak mu dať či nakrivo či prosto príď a ukáž starosto V našom regióne je žiaľ stále pravdepodobné pri poukazovaní na dôležitosť informačnej bezpečnosti stretnutie so spupnou odpoveďou vrchnosti v štýle "my sme bezpeční". Náš ľud spoznal množstvo takýchto chválenkárov a odhalil aj skutočnú hodnotu ich výrokov, ktoré vytrvá len do prvej vážnej skúšky
já jsem chlapem, já jsem ale to len časem nebojím sa ženy keď jej doma neni alebo, stručnejšie ale rovnako výstižne Prázdny sud najviac hučí Ej veru, náš ľud už dávno pochopil, že kvalitu výsledku vykonanej práce, teda v tomto prípade bezpečnosť informačného systému určuje kvalita rozhodnutí už v úvodných fázach projektu, veď Ruža u hovna vyrostená smrdzí
názorne (takpovediac multimediálne) ilustruje závislosť celkového výsledku projektu od úvodného rozhodnutia manažmentu. Ľudová múdrosť sa však nevysporiadala len s takýmito povrchnými tárajmi. V poslednom čase sa v informačnej bezpečnosti stále viac presadzuje myšlienka potreby občasného preverenia skutočného stavu systému, tzv. bezpečnostný audít. Táto novinka pritom nie je pre Slovákov ničím novým, veď rozdiel medzi
Prídi ty šuhajko ráno k nám, uvidíš čo ja to robievam ja ráno vstávam, kravy napájam, ovečky na pole vyháňam... a zistenou skutočnosťou Keď som k nej prišiel na špehy ona si ležala v posteli, kravy bučali, svine kvičali ovečky žalostne bľačali názorne dokazuje nevyhnutnosť pravidelných audítov.
Ďalšou, v zahraničnej literatúre spomenutou, metódou testovania účinnosti bezpečnostných opatrení, či presnejšie demonštrovania iluzórnosti ich spoľahlivosti, je dohoda so skupinou špecialistov, ktorí sa zmluvne zaviažu pokúsiť sa preniknúť do systému a demonštrovať jeho prípadné nedostatky (tzv. tiger team). Tento mnohými velebený spôsob testovania bezpečnosti pritom pre Slovákov nie je ničím novým, ako to demonštruje prastarý popis akcie takéhoto tiger-teamu - rozprávka Klinko a Kompit kráľ (P.Dobšinský: Slovenské rozprávky), v ktorej zbojník Klinko dokázal husárovi koňa spod sedla ukradnúť, a tak demonštrovať jednak svoju kvalifikáciu, jednak nedostatočnosť ochranných opatrení.
Prípad zbojníka Klinka môže byť zároveň varovaním pre všetkých, ktorí podceňujú schopnosti našich šuhajov a dievčeniec a svoj pocit bezpečia zakladajú na predpoklade, že na Slovensku sme v oblasti neoprávneného prenikania do počítačových systémov ešte kdesi na úrovni prvotnopospolnej spoločnosti. Ignorovanie či už spomenutého Klinkovho príbehu, alebo hoci aj slovenskej ľudovej múdrosti To si ani čert nevymyslí, čo má žena v svojej mysli sa im s najväčšou pravdepodobnosťou vypomstí.
Slovenská ľudová slovesná tvorba sa však neobmedzila len na všeobecné princípy informačnej bezpečnosti, ale svoju pozornosť venovala aj špecifickým metódam prieniku či mechanizmom ochrany. Je napríklad pozoruhodné, že problém autentifikácie oprávneného používateľa sa v slovenských rozprávkach nerieši napr. heslom, ako je to v zahraničí (pozri napr. použitie hesla Sezam otvor sa v orientálnej rozprávke Ali Baba a 40 zbojníkov), alebo biometrickými metódami (známa autentifikácia Popolušky prostredníctvom jej črievičky), ale pomocou rôznych tzv. tokenov (kráľov obraz napr. v rozprávke O troch grošoch, špeciálne zelinky ktorých vlastníctvo umožňuje prístup - otvára skaly s ukrytými pokladmi, a podobne)
Keď túto skutočnosť porovnáme s čoraz silnejúcim presvedčením zahriničných špecialistov informačnej bezpečnosti o nevhodnosti používania hesla pre spoľahlivú autentifikáciu, a s tempom rozvoja používania moderne poňatých tokenov – čipových kariet, ostáva nám len trpko priznať pravdu o hriešnom premrhaní nesporného náskoku, ktorý sme v oblasti informačnej bezpečnosti mali.
Je jasné, že vzhľadom na technologické možnosti nášho ľudu v minulých storočiach a na rýchlosť produkovania nových verzií prostriedkov výpočtovej techniky, musí vľudovej slovesnosti absentovať detailný popis tých techník prenikania cez systémy ochrany, ktoré sú založené na chybách či už v návrhu alebo v implementácií konkrétnej verzie systému. Popisu techník, ktoré nie sú tak úzko viazané na konkrétny hardware či software, sa však náš ľud venoval v hojnej miere. Napríklad, zatiaľ čo v zahraničí sa až na odhalených prípadoch počítačovej kriminality učia o dôležitosti tzv. sociálneho inžinierstva, t.j. techniky získavania dôležitých informácií od kľúčových oprávnených osôb sociálnou interakciou s nimi, náš ľud túto techniku spoznal a popísal už dávno, aj keď nie pod takým odborne pôsobiacim názvom.
V tejto súvislosti pripomeňme napríklad rozprávku Popolvár najväčší na svete (P.Dobšinský: Slovenské rozprávky), kde princezná vhodnou sociálnou interakciou so Železným mníchom dosiahla. že jej tento prezradil v čom tkvie jeho moc (z čoho napokon vyťažil Popolvár, ale sprostredkovane aj princezná). Techniky sociálneho inžinierstva sa dostali aj do slovenských ľudových piesní, o čom svedčí aj nasledovný text Dal mi šuhaj jabĺčko za jabĺčkom hrušku potom sa ma spytoval čo mám pod fertušku
v ktorom sa krásne demonštruje základný postup sociálneho inžinierstva, t.j. vhodnými akciami najprv nadviazať užší vzťah - získať si dôveru nič netušiacej "obete" a následne sa pokúsiť o zneužitie takéhoto vzťahu na nenápadné dosiahnutie cieľov o ktoré páchateľovi predovšetkým ide. Pochopiteľne, sociálne inžinierstvo ani zďaleka nevyčerpáva bohatú množinu techník prieniku do chránených systémov.
Každý expert na informačnú bezpečnosť, hodný tohto označenia, vie, že absolútne bezpečný systém neexistuje - úspech pokusu o prienik do systému je prakticky len otázkou dostatočnej sumy peňazí či iných motivačných podnetov, ktoré má páchateľ k dispozícií pre získanie priazne kľúčových prvkov systému ochrany. O tom, že slovenský ľud naplno pochopil a precítil tento jednoduchý ale mimoriadne účinný princíp, svedčí aj text ľudovej piesne Joj, zaprelo sa dievča dubovým záporkom. Joj, nechcelo otvoriť chudobným paholkom