web-dev-qa-db-ja.com

ソーシャルエンジニアリングにおける理論Xと理論Y

理論Xと理論Y は人間の動機の2つのモデルであり、ビジネスでの人的管理について議論するときによく使用されます。つまり、理論Xは、人々が怠惰で仕事を避け、インセンティブを必要とするのに対し、理論Y人々は野心的で、やる気があり、創造的であると仮定します。

一般的な管理におけるコンセンサスは、理論Xの方が逆効果であり、理論Yは、人間の行動のより正確な描写です。同じ結論がソーシャルエンジニアリングにも当てはまりますか?

私は以下を提案します:

  • ソーシャルエンジニアリングの理論Xは、脅威、恐怖の戦術、および権限が与えられた場合、人々はあなたの要求に応じる可能性が高いということです。この例は、最近の Microsoft call-centre scam です。
  • ソーシャルエンジニアリングの理論Yは、機会、前向きな強化、および感情的な訴えが提示されたときに、人々があなたの要求に準拠する可能性が高いということです。この例は Nigerian 419 scam です。

ある理論が他の理論よりも正確であるという証拠はありますか?これらの戦術の効果を分析した論文はありますか?

social-engineeringpeople-management
7
Polynomial

理論Xと理論Yを元の位置から離れすぎていると思います。理論の最初の主張は、人々と権威の間の関係に関係しています。人々は、マネージャーが雇用条件と結果に対してかなりの程度のコントロールを持っているシステムにいます。

ソーシャルエンジニアリング の概念と戦略は、ソーシャルエンジニアが被害者に対して直接的な権限を持っているという考えに反します。まったく反対-ソーシャルエンジニアは、ソーシャルエンジニアが権限、権限、または必要性を持たない被害者から何かを取得しています。また、目的が詐欺であるので、あなたが関係において同じ役割を果たす自己動機付けについて同じ仮定をすることができるかどうかはわかりません。理論XとYの比較は、通常、利己主義と自己動機付けです。

多くの場合、ソーシャルエンジニアリングはおそらくどちらの方法でも機能します。たとえば、フィッシングがどちらの方法でも機能することを確認します。理論Xの状況では、被害者は罰を回避したい、または金銭的見返りを得ようとするため、フィッシングクエリに応答する意欲があるかもしれません。本質的な動機を提供するいくつかの共有目標。どちらにしても、ソーシャルエンジニアリングの側面では、攻撃者の目的が被害者の最善の利益に反することを被害者が知らないため、攻撃者の動機の性質はそれほど重要ではありません。

6
bethlakshmi

理論X /理論Yモデルは根本的に切り過ぎて乾燥しているため、基本的に私は同意しません。単純な真実は、どんな日にでも人々はさまざまなものによってやる気を起こさせることができるということです。ある日、ある人は野心的で喜んで準備ができているかもしれませんが、別の日には同じ人が仕事回避モードにあるかもしれません。または、その人は2つのプロジェクトに取り組んでいて、一方が野心的で他方が怠惰である可能性があります。

ソーシャルエンジニアリングの観点から見ると、理論Xと理論Yは同じ人物で機能する場合もあれば、どちらも機能しない場合もあります。脅威ではなく、利益では動機付けられた人物を手に入れることはまれです。残念ですが、あまりにも単純すぎます。

2
GdD

私はX/Y理論が詐欺にあまり関連していないと言いがちです。人を理解する専門家、つまり Terry Pratchett を引用します。

「正直な男をだますことはできない」という格言があり、正直な男をだますことで儲かる生計を立てている人たちから絶賛されています。とにかく、湿ってしまったことはありません。あなたが正直な人をだますなら、彼は地元の時計に文句を言う傾向があり、最近では彼らは買い出すのがより困難でした。不正直な男性をだますことはずっと安全で、そして何とかして、よりスポーツ的でした。そしてもちろん、その数はもっとたくさんありました。狙う必要はほとんどありませんでした。

(小説「行く郵便」から)

これは、ナイジェリアの詐欺がどのように機能するかを簡潔に表したものです。彼らは被害者をaccompliceに変えます。彼らは、かなりの金額をある国から別の国に慎重に、大騒ぎせずに移動する必要性を表明することから始めます。被害者になる可能性のある者は、その被害者がある時点でやや不誠実であるとあいまいに信じている計画に誘惑されます。もちろん、詐欺師は決してそれをはっきりと言わないように非常に注意しています。これは行為の一部であり、被害者は自分で何らかの不正なプレイが行われていると推測したことで、より機知に富んだ自信を感じます。自信と、彼のいつもの基本的な誠実さの快適な生活から根絶されることで、被害者は法外な主張や不合理なひねりを受け入れる傾向が強くなります。

だから私はナイジェリアの詐欺は、人々が貪欲で興奮し、道徳的な境界の侵入者であるために機能すると言います。彼らは 犯罪に手を出す のスリルを切望し、これは彼らにすべての慎重さを忘れさせます。

一方、「Microsoftコールセンター詐欺」は、臆病で不安で自然なフォロワーである人々に依存しています。ほとんどの人は、自分の選択の結果を想定する必要があることを完全に恐れています。したがって、(知覚された)脅威、特に罪悪感が関与する脅威(詐欺において)が不穏な場合、詐欺師が最初に言うのは「から問題が発生しているということですコンピュータ」(*))、彼らは、詐欺師が一生懸命に試みようとする最も近い権威者の手紙に続く準備ができています。

Benjamin Franklin として、人々とのやり取りが得意な別の賢い人は、有名に言った:

少しの一時的な安全を購入するために本質的な自由を放棄する人は、自由も安全も必要ありません。

そして、古いベンジはそれを不承認の道徳的な光の下に置きますが、彼は機械的に要点を強調します、それは人々が少しの一時的な安全を購入するためにかなり多くをあきらめる彼らがそれを購入する必要がある場合from彼らを危険にさらしたまさにその男。それは、Microsoftコールセンターの詐欺です。被害者は、サービス提供者が(架空の犯罪のために!)免罪符を購入しようとするため、詐欺師の気まぐれに応じています。

(*)少なくとも昨年以来、私はこれらの詐欺師から隔週ごとに電話で呼ばれてきました。冗談として、それは古くなります。

1
Thomas Pornin