Микро-выражения. Основы и ссылки на материалы.

Продолжая тему микро-выражений, мне не хотелось бы постить очередное описание эмоций и их мимических выражений. Это добро вполне можно найти в Интернете в громадных количествах. Я ограничусь такой простенько табличкой. Жирным, я отметил самые простые и характерные, на мой взгляд, проявления той или иной эмоции. Лично я руковожусь ими прежде всего и достаточно точно угадываю эмоции (до 85% в тестах) по этим признакам.

Эмоция Микро-выражение Счастье Уголки губ обращены вверх. Щёки чуть-чуть приподняты. Появление морщинок по краям глаз.  Грусть, печаль Уголки губ обращены вниз. Брови чуть выдвинуты вперёд, сдвинуты к друг другу и приподняты в середине лба. Злость, Гнев Губы сжаты. Углы губ ровные или слегка повёрнуты вниз. Ноздри расширены. Брови сведены и опущены к середине лба. Глаза чуть расширены. Страх Расширенный или приоткрытый рот. Расширенные глаза и приподнятые брови. Презрение Она сторона губ приподнята. Голова чуть отведена назад. Отвращение Приподнята верхняя губа. Сморщенный нос. Удивление Приоткрытый. Приподнятые, больше по центру, брови. Расширенные глаза.

Ещё стоит отметить, что некоторым может быть непонятна разница между презрением и отвращением. Это сложно объяснить словами. Как правило, презрение связано с чувством превосходства. Когда мы можем поставить себя в одной вертикали с презираемым объектом и понимаем, насколько он ниже нас. Отвратительный - это просто мерзкий, вызывающий негативные эмоции.

Также, к презираемому можно отнести такие качества объекта: недостойный, низкий, подлый.

А к отвратительному: гадкий, мерзкий, противный. 

В деле чтения лиц, теория мало спасает. Здесь необходимо практиковаться и ещё раз практиковаться! Слава Богу, это можно делать везде: дома, на работе, в дороге, на друзьях, соседях и т.д.

Поэтому я накидаю здесь ссылок на интересные сайты и полезные штуки, которые можно почитать\попробовать на тему мимических выражений.

1. http://changingminds.org/  (ENG)

Отличный сайт просто с тоннами материалов по психологии, эмоциям и различным техникам. Единственный недостаток, помимо англоязычности - это некоторая энциклопедичность. Материалы даны поверхностно, почти без примеров и практики.

2. http://www.centerforbodylanguage.com/ (ENG)

Хорошие бизнес-тренинги по теме. На сайте много статей, видео, онлайн-курсов. Можно пройти бесплатный небольшой тест. 

3. http://www.lie-emotions.com.ua/ (RUS)

Отличный русскоязычный любительский сайт по практической психологии. Много уникальных и "пиратских" материалов, правда некоторые ссылки устарели. В разделе тестов можно пройти большой тест на определение микровыражений или просто потренироваться. Рекомендую!

4. http://face-reader.ru/

Ещё один русскоязычный портал по микро-выражениям. Также много различных текстовых и видео-материалов.

5. Ещё крайне рекомендую скачать (с сайтов выше, например) или купить программы-тренажёры, разработанные ранее упомянутым доктором Полом Экманом. Их две:

METT - попроще, для новичков.

SETT - посложнее, с частичными и кросс-эмоциями. А также с подробным описанием каждого выражения.

Микро-выражения. Волшебники истины

Для социального инженера, умение "читать по лицам" и безошибочно определять эмоции людей незаменимо. Оно позволяет не только определять говорит ли собеседник правду, но и корректировать своё поведение в зависимости от его реакции. Сегодня я хочу начать целый цикл постов, посвящённых микро-выражениям и чтению людей по сигналам лица и тела.

После выхода на экраны сериала "Lie to me" ("Теория лжи", "Обмани меня"), понятие "микровыражения" (microexpressions) стало известно многим и многих заинтересовало. Естественно, в сериале не всё правда и многое показано очень популярно, но благодаря консультациям известного психолога и основоположника исследований в области микро-выражений Доктора Пола Екмана (Dr. Paul Ekman), этот сериал вполне можно воспринимать как базовое руководство по теме.

Сначала немного расскажу про интересный исследовательский проект, проводимый вышеупомянутым П.Екманом и его коллегой М.О'Салливаном. Оригинальное название проекта "Проект Диогена" (Diogenes Project), но более известен он как "Проект волшебников" (Wizards project). Он проводился в течение нескольких лет, и в нём приняло участие около 20 000 человек различного возраста, пола и профессий. Целью этого исследования, была попытка выявить так называемых Волшебников Истины - людей, способных почти безошибочно определять ложь. Волшебниками истины признавались люди, способные определить ложь в более чем 80% тестов. Из ~20 000 обследованных людей, нашлось только 50 волшебников (~0,25%).
Вот несколько интересных фактов, по результатам данного эксперимента:

• Никто из Волшебников Истины не достиг 100% результата
• Волшебники используют несколько способов (улик) для определения лжи, а не только определённые микро-выражения
• Средняя процент обнаружения лжи составил ~50%
• Психиатры, юристы и полицейские не показали результатов выше средних
• Самые высокие результаты показали сотрудники спец.служб
• Доктор Екман утверждает, что хотя Волшебники не проходили каких-либо специальных тренингов и имеют больше врождённые способности, определению лжи и микровыражений можно научиться. Собственно, у него этому и можно научиться:) 

Однако, критики этого исследования утверждают, что такой низкий процент Волшебников Истины вполне может объясняться обычной теорией вероятности. Т.к. выбор был всего из двух вариантов (ложь - правда), вполне вероятно, что некоторым испытуемым просто повезло угадывать.

Тем не менее, благодаря этому исследованию, темой распознавания лжи и микро-выражениями заинтересовались. И сегодня мы можем узнать много информации про это и даже пройти обучение, улучшив свои навыки чтения людей. 

Раппорт

Сегодня я хочу написать про раппорт. Слово весьма странное для русского уха, но это признанный в психологии термин, поэтому будет использовать его.

Как говорит вики:

Раппо́рт (фр. rapport, от rapporter — возвращать, приносить обратно) — термин в психологии, имеющий несколько смежных значений; подразумевает установление специфического контакта, включающего определенную меру доверия или взаимопонимания с человеком или группой людей, а также само состояние такого контакта.

Лично я вполне согласен с таким определением. Поэтому под раппортом предлагаю понимать и сам процесс установления контакта, и состояние этого контакта (позитивное отношение у цели к происходящему). Раппорт - очень важная, если не самая важная, часть в социальной инженерии. От возможности инженера установить мгновенный раппорт во многом зависит успех всей атаки. 

Разумеется, использование таких методик как "важность", "срочность" не всегда требуют раппорта, но всегда будет полезно оставлять свою Цель в настроении лучшем, чем оно было до разговора с СИ. Тогда Цель не будет лишний раз задумываться о том, "что же сейчас произошло" и "не было ли в этом чего-нибудь подозрительного".

Кроме того, в раппорте Цель всегда расскажет больше информации, чем без него. Ведь очевидно, что мы готовы поделиться гораздо большим с людьми, которые нам нравятся.

Ниже я приведу несколько важных элементов и техник правильного и быстрого установления раппорта и его поддержания.

Невербальные знаки

Помимо ушей у человека ещё как минимум 5 органов чувств, включая необъяснимое "шестое чувство", которому доверяют, кстати, достаточно много людей. Поэтому человек начинает общение с вами ещё до того, как вы открыли рот. Для установления раппорта важно, что все ваши невербальные знаки выражали дружелюбность, расслабленность, открытость. Вы должны отслеживать как разговаривает ваше тело до самых мелочей: поза тела, жестикуляция, мимика, взгляд, дыхание, запах наконец. Каким бы вы не были искусным психологом, сложно понравится человеку, если от вас пахнет потом или воняет изо рта:)

Показывать ценность времени

Время - одна из главных ценностей в жизни любого из нас, поэтому человеку всегда нравится, когда кто-то ценит его время. Это применимо не только к "бизнесменам", но ко всем. Поэтому важно дать понять Цели, что вы уважаете его время и займёте "всего минутку". Можно либо так и сказать ему, либо дать понять это невербально - например двигаясь потихоньку к двери, или быстро взглянув на часы. 

Дальше под катом...

Статья: Структура общения и Позиции Защиты

Атаки в социальной инженерии строятся на таких же математических и логических моделях, как и технические атаки хакеров. Только вместо серверов и компьютеров здесь выступают люди, а вместо протоколов и драйверов - их эмоции и психологические реакции. В этом посте я приведу свой перевод хорошей статьи про структуру общения, Позиции Защиты и построение векторов социальных атак, используя их.

Структура общения

Общение в общем случае можно условно разделить на 3 компонента:

Я
Это то, что происходит с вами: ваше восприятие, ощущения при общении, настроение и общее психоэмоциональное состояние

ОНИ
Люди, с которыми у вас происходит общение и их психоэмоциональное состояние

КОНТЕКСТ
Конкретная, текущая ситуация в который находитесь вы и они. Например спор из-за денег, обсуждение политики, первое знакомство и прочее.

Понимание такой упрощённой структуры, позволит социальному инженеру быстро разбираться в ситуации и управлять общением в нужном ему русле, вызывая нужные эмоции у собеседника (цели атаки).

Ниже рассмотрены типы возможного воздействия на людей при использовании этой модели. Формально их можно назвать Позиции для Общения. Другое подходящее название - Позиции Защиты, т.к. они используются людьми для защиты себя в ситуациях, выведших их из так называемой зоны комфорта. Эти позиции могут быть использованы для разрешения какой-то трудной ситуации или для построения вектора социальных атак.

COPYRIGHT
За основу взята статья с сайта http://www.social-engineer.org/.
При копировании этого материала или его фрагментов в обязательном порядке указывать ссылку на вышеуказанный сайт и этот блог.

Инфографика

Немного инфографики по социальной инженерии.

Приворот отворот

Мошенники, использующие в своих делах навыки социальной инженерии, хорошо понимают, что человек наиболее уязвим, находясь в критической или просто непривычной для него ситуации, т.к. не в состоянии эмоционального равновесия. Это могут быть как переживания негативного характера (печаль, страх, грусть, гнев), так и позитивного (любовь, счастье, благодарность, похоть (это позитивно ведь?:)). Поэтому очень часто, для воздействия на человека, мошенник либо создаёт нужный эмоциональный фон, либо использует существующий. Я бы хотел сегодня рассказать про схемы мошенников во втором варианте.

Хорошей иллюстрацией могут стать популярные сейчас, на фоне передачи "Битва экстрасенсов", схемы отъема денег у населения: "бабка-гадалка", "чёрный\белый\серый маг" и прочие "цыганки-ведьмы в пятом поколении". Суть проста:
1. В социальных сетях регистрируется страничка "Великой колдуньи Авдотьи"
2. Создаётся несколько пабликов\групп для восхищения этой ясновидящей и гадалкой
3. Страница и группы раскручиваются через ботов, спам и пр. Набираются "положительные" отзывы о работе гадалки, комментарии "благодарных" клиентов.
4. Первая консультация бесплатна, гадание таро - 500 руб., обряд приворота - 2000 р., очищение от сглаза - 5000 р.
5. ...
6. PROFIT!

Вы удивитесь какое кол-во людей обоих(!) полов стремятся узнать будущее, приворожить, снять\наложить сглаз, стать учениками великого мага и т.д. Причём, возвращаясь к теме эмоционального фона, 95% обращающихся делают это не из любопытства, а на фоне жизненных проблем и неурядиц. В основном, негативных: бросил муж\парень, ушла жена, не могу забеременеть, будет операция, умер\заболел родственник и т.д. Человек, находящийся под гнётом проблем, в подавленном состоянии, отчаянно ищет помощь хоть где-нибудь и натыкается на мошенников, предлагающих эту "помощь" за деньги. Дальнейшее развитие событий, думаю, понятно.

Внутри я приведу пример диалога с одним из таких "экстрасенсов". Диалог не мой, взят из глубин дакрвеба. Но чтобы не деанонить автора, ссылок и копирайтов не будет.

Схема "Почтальон"

Приведу пример одной из некогда популярных схем мошенничества, особенно в регионах, в которой очевидны навыки соц. инженерии.

Дисклеймер: Автор блога категорически против любых противозаконных действий. Любые публикуемые в блоге материалы предназначены исключительно для ознакомления и направлены на информирование, для защиты от действий мошенников.

Согласно актуальной базе региона печатаются конверты, специально заполненные под коммерческую почтовую службу (название выдумывается), в конверты ложится диск, на который записан в красивой обложке pdf-файл с любой белой темой заработка (не важно какой, главное белой). Далее одеваемся под почтальона, ходим по адресам (выбираем не более двух-трех адресов на подьезд - т.е. не всего 2-3, а если 2-3 клюнуло - уходим в следующий), звоним в дверь, говорим:
"Блабла почтовая служба (или ПочтаРоссииНомер666), Ф.И.О такой то проживает?"
"Да"
"На ваше имя поступила посылка обьявленной ценностью 2300 рублей с пометкой до востребования, будете забирать?"
"Я должен заплатить 2300?"
"Нет, все оплачено, я же говорю - объвленной ценностью, за ней никто не пришел, срок хранения вышел, собираемся отправлять назад" *показываем письмо*
"Могу ее получить?"
"Да, но доставка на дом у нас стоит 100-200 рублей"
Статистика (неофициальная) показывает, что примерно 6 из 10 граждан с удовольствием заплатят 200 рублей за посылку ценой 2300.
Забираете деньги, отдаете письмо, жлоб подписывает уведомление, расписывается в журнале получения, вы уходите в следующему.

Книги. К. Митник "Исскуство обмана"

Ну и конечно, как и в любой области, невозможно обойтись без книг.

Первая и, пока наверно, главная книга начинающего соц. инженера - книга знаменитого хакера Кевина Митника и его товарища Вильяма Л. Саймона "Исскуство обмана".

Книга полностью посвящена проблеме социальной инженерии и защите от неё. Приводится много примеров и реальных историй из жизни, приёмов "взломщиков сознания", забавных ситуаций. Также Кевин даёт рекомендации для руководителей и специалистов по ИБ как защищаться от тех или иных атак и на что обратить внимание.
Однозначный MUSTREAD!

Что мы можем не знать о себе

На днях наткнулся на подборку небольших но очень интересных лекций одного американского специалиста-исследователя и писателя, которого называют "поведенческим экономистом" (behavioral economist) - Дэн Ариэли (Dan Ariely). Лекции Дэна, прочитанные и опубликованные, на известной площадке TED, посвящены конфликту между сознанием людей и бессознательным. Психологов всегда увлекала эта разница, между тем как мы думаем, хотим и поступаем на самом деле. Дэну удалось провести несколько интересных исследований, результатами которых он делится в своих презентациях.
Рекомендую к ознакомлению!

Видео можно посмотреть тут: http://www.ted.com/speakers/dan_ariely#
Можно включить русские субтитры.

Об авторе блога

Второй пост, с вашего позволения, посвящу себе. Чтобы читатель знал автора этого блога и мог ему доверять. Ведь доверие это важно, не так ли? Буквально пару слов.

Зовут меня Антон.
По образованию Специалист по защите информации, закончил МИФИ.

Работал в разных компаниях, в том числе и во одной из спец. служб, связанных с информационной безопасностью напрямую;)
Последнее время занимаюсь больше менеджементом продуктов по защите инфы (product management) и тем, что называют Research and Development (R&D).

Психология и социальная инженерия, в частности, являются моими давними хобби. Чтобы углубиться в этом ещё больше, получаю сейчас второе высшее в Московском институте психоанализа.
Для того, чтобы сохранять самые интересные мысли и материалы, решил создать этот блог. Надеюсь, что информация в нём станет интересной и полезной для многих.

Первый пост

Приветствую случайного странника на этом новообразовании в Интернете. 

В настоящее время в российском интернете практически не присутствует ресурсов, посвящённых такой важной и интересной области в информационной безопасности как "Социальная инженерия". Этот блог призван исправить досадное упущение.

Википедия, со ссылкой на Криса Касперски, даёт такое определение:

Социальная инженерия — метод несанкционированного доступа к информационным ресурсам, основанный на особенностях психологии человека. Основной целью социальных инженеров, как и других хакеров и взломщиков, является получение доступа к защищенным системам с целью кражи информации, паролей, данных о кредитных картах и т.п. Основным отличием от стандартной кибер-атаки является то, что в данном случае в роли объекта атаки выбирается не машина, а ее оператор. Именно поэтому все методы и техники социальных инженеров основываются на использовании слабостей человеческого фактора, что считается крайне разрушительным, так как злоумышленник получает информацию, например, с помощью обычного телефонного разговора или путем проникновения в организацию под видом ее служащего. Для защиты от атак данного вида следует знать о наиболее распространенных видах мошенничества, понимать, что на самом деле хотят взломщики и своевременно организовывать подходящую политику безопасности.

Однако, на мой взгляд, социальная инженерия не ограничивается только атаками "с целью кражи информации". Как известно, в основе ИБ лежат три кита: конфиденциальность, целостность и доступность. Методы социальной инженерии могут быть направлены на нарушение каждого из этих свойств информации, и даже больше. В наш век информационных технологий и повсеместного развития средств вычислительной техники, главные ключи от всех этих систем всё равно остаются у человека. И будут оставаться у него, пока не изобретут полностью автономные машины (что будет очевидно не скоро). Поэтому человеческий фактор будет оставаться одним из важнейших в области защиты информации.

Ну и в качестве громкого завершения первого поста, добавлю старую, но всё ещё любимую многими безопасниками поговорку:

Кто владеет информацией - тот владеет миром!