Chris Hadnagy, az egykori hacker (vagy ahogy a „szakmában” ismerték, loganWHD), a Social Engineering: a humán hackelés művészete (Social Engineering: The Art of Human Hacking) című könyvével meglehetősen nagy hírnévre tett szert, hiszen nyíltan beszélt a legkülönfélébb social engineering technikákról. A megtért hacker azóta tanácsadóként és felvilágosítóként a támadások emberi oldalával, a social engineeringgel és a fizikai biztonsággal foglalkozik. Többek között olyan eseteket elemzett, írt le és tett közzé, mint a hírhedt LulzSec csoport CIA, PBS, Sony Pictures vagy X-Factor elleni akcióinak körülményei.
A hypervocal.com webzinnek adott interjúban kifejtette, hogy a social engineeringet egy másik ember befolyásolásának módszereként határozná meg, akit olyan cselekvésre vesznek rá, amelyhez lehet, hogy egyáltalán nem fűződik érdeke vagy éppen ellenérdekelt, de annak nincs tudatában. (Hadnagy erről a social-engineer.org weboldalon számos részletet közöl.) Sokszor aztán az így megszerzett információk képezik az alapját azoknak a támadásoknak, amelyek a célszemély hálózatának vagy szoftverének sérülékenységéhez vezetnek. Még az FBI is áldozatul esett a LulzSec mesterkedéseinek, amelynek eredményeként a VOIP szám megszerzésén keresztül percenként több mint 200 hívást továbbítottak az FBI-központhoz, s megbénították az intézmény kommunikációját.
A hackelés – Chris Hadnagy szerint – elég unalmas és aprólékos munka. Az csak a filmekben fordul elő, hogy percek alatt be lehet jutni egy hálózatba. A valóságban sok fáradság van az információgyűjtéssel, a felkutatott információk értelmezésével, a potenciális támadási irányok kiválasztásával, a támadás megtervezésével. Ezért aztán mielőtt erre adná a fejét, a hacker inkább megpróbálkozik a social engineeringgel. A hálózatba való bejutás egyik legegyszerűbb módja ugyanis, ha valakit sikerül megtéveszteni, aki vagy maga nyit ajtót, vagy ehhez megfelelő információkat szolgáltat ki.
Hadnagy ezért mindenkinek azt ajánlja, hogy gondolkodjon, mielőtt beszél vagy cselekszik. A social engineering művelői ugyanis jól előkészített telefonhívások során próbálnak adatokat halászni az áldozataiktól, akik jobban tennék, ha meggondolnák, hogy kivel is beszélnek valójában, és azok mit kérnek tőlük. Emellett meggondolatlanság túl gyorsan sok információt kiadni, mert mire észbe kapnak, már lehet, hogy késő. De akkor hogyan lehet megelőzni a social engineering-támadásokat?
A szakértők szerint cégmérettől függetlenül a social engineering gyakorlóinak távol tartására érdemes egy három komponensből álló tervet készíteni.
Oktatás
Ki kell okítani az alkalmazottakat a vállalati és a személyes adatok védelmének fontosságáról. Meg kell róla győződni, hogy mind a munkatársak, mind pedig az ügyfelek tudatában vannak a social engineering taktikáinak, és annak is, hogy miként lehet manipulálni az embereket az adatok kiszolgáltatása érdekében, amit persze nekik nem kéne megtenniük.
Auditok
Sok vállalat a PCI adatbiztonsági szabványnak (vagy más biztonsági szabványoknak) való megfelelést auditáltatja, amely az elektronikus kártevők vagy hackertámadások elleni védelemre való előírásszerű felkészültséget ellenőrzi. Az social engineering elleni védelmet azonban nem vizsgálják ezek az auditok, azaz a gyengeségek rejtve maradnak. Ezért olyan felkészítőt és auditort érdemes választani, akinek ezen a területen megfelelő tapasztalata van, de nem hág át jogi vagy etikai normákat.
Technológia
Gyakran a legjobb védekezés, ha a hackerek nem találnak embert, akit rávehetnének a céljaikat segítő lépésekre. De ha ezt nem lehet szavatolni, akkor legalább olyan eszközök kellenek, amelyek azonnal megállíthatják a rosszban sántikálót. Ilyen eszközök például a manipulációt detektáló szoftverek, a biometrikus hangazonosítás, a hívó fél tartózkodási helyét meghatározó alkalmazások telepítése az automata telefonközpontokba, vagy az ügyfél korábbi vásárlásai, kártyahasználata, szokásai alapján generált úgynevezett dinamikus biztonsági kérdések alkalmazása, amelyekkel mind kiszűrhető a hackelési kísérlet. ((felsorolás vége))
Végül is az oktatás, az auditok és a technológiai megoldások együtt alkothatnak olyan tűzfalat, amelyen a humán hackerek nem képesek átjutni az esetek többségében, azaz a cégek és az információik biztonságban vannak tőlük. Közben jó időről időre felidézni Chris Hadnagy véleményét is: a probléma egyik fő eleme, hogy a vállalatok úgy tekintenek a biztonságra, mint aminek meg kell lenni, nem pedig úgy, hogy az közvetlenül hasznot hajt a szervezetnek.