UNIVERSITATEA ,,BABEŞ-BOLYAI”

FACULTATEA DE ISTORIE ŞI FILOSOFIE

Managementul Securităţii în Societatea
Contemporană

 INGINERIA SOCIALĂ – PARTE A BUSINESS

INTELLIGENCE

George Lazăr
MSSC an 1

Cluj Napoca
2013
 George Lazăr – Ingineria socială 2013

“If you know the enemy and know yourself, you need not fear the result of a hundred
battles. If you know yourself but not the enemy, for every victory gained you will also
suffer a defeat. If you know neither the enemy nor yourself,
you will succumb in every battle”
Sun TZU

INTRODUCERE

Alianța Nord Atlantică definește informația clasificată ca fiind informație sau

material informativ ce necesită un grad de protecție împotriva distribuirii neautorizate. Cu
toate că mijloacele și metodele de protejare a informațiilor clasificate au evoluat, subiectul
protejării informațiilor sensibile nu este un fenomen nou, acesta fiind de actualitate și astăzi
așa cum a fost și de-a lungul istoriei. În timpul celui de-al doilea Război Mondial, forțele
aliate au condus una dintre cele mai importante debarcări amfibii pe țărmurile Normandiei
datorită în mare parte păstrării locației secrete. Recent, Statele Unite ale Americii au reușit
să-l captureze pe principalul responsabil al atentatului de la l1 septembrie, Osama bin Laden
datorită unui grad ridicat de confidențialitate al acelei operațiuni. Decizia Președintelui
american, Barack Obama a fost atât de atent păzită încât nici Secretarul de Stat sau
Secretarul General al Apărării nu au avut cunoștință de cauză asupra acelei decizii decât cu
câteva săptămâni înaintea raidului asupra complexului în care se știa că acesta locuiește.

În trecut, informațiile secrete erau păzite fizic, prin prezența unor ofițeri înarmați sau
prin obstacole și bariere naturale sau artificiale. Se obișnuia practica scrierilor criptografice
sau a limbajelor inventate. Toate aceste măsuri au avut scopul de a împiedica accesul
neautorizat asupra informațiilor clasificate și păstrarea accesului autorizat doar în mâinile
câtorva persoane de încredere.

Odată cu dezvoltarea conceptului de globalizare și al tehnicilor de calcul și de

comunicare, amenințările la adresa regimului clasificat al informațiilor au crescut
considerabil, născând noi metode de obținere a acestora în mod ilegal și neautorizat. În
momentul de faţă, cu resurse destul de limitate, spioni, răufăcători sau adolescenți plictisiți,
pot din orice colț al globului să acceseze informații delicate în câteva minute sau aproape
instantaneu. Umbrela și scopul atacurilor cibernetice impun măsuri fără precedent și sisteme
de management al securității informațiilor foarte bine elaborate și organizate. Actualele

1
 George Lazăr – Ingineria socială 2013

măsuri de securitate implică investiții în tehnologie de ultimă oră, cod sursă și personal
foarte bine pregătit.

În ciuda numeroaselor eforturi și progrese de natură tehnologică, atât software cât și

hardware în ceea ce privește securitatea informațiilor clasificate, consecințele obținerii
neautorizate de informații senzitive pot fi doar reduse nu și eliminate. Riscul va fi prezent
întotdeauna datorită unui element de risc central – factorul uman.

Dintre toate riscurile la adresa informațiilor clasificate, slăbiciunile umane reprezintă

cel mai mare risc și va continua să fie primordial indiferent de progresul tehnologic sau de
măsurile de siguranță adoptate. Ca rezultat al acestui fapt, una dintre cele mai eficiente
metode de obținere a informațiilor clasificate este ingineria socială mai ales că această
metodă apelează la psihologia umană și cum funcționează aceasta. Mai concret, după
spusele celui mai celebru inginer social, Kevin Mitnick, “Poți să cheltuiești o avere în
tehnologie și servicii însă rețeaua ta va rămâne tot timpul vulnerabilă unei amenințări
convenționale de modă veche.”

1. INGINERIA SOCIALĂ

Conform definiţiilor, ingineria socială este un termen prin care se înțelege arta de a
influența, de a manipula și de a minți. Cu alte cuvinte, este priceperea unor maeștri în
psihologia maselor de a-i face pe alții să gândească și să creadă ceea ce vrea un individ sau
un grup de indivizi 1.

Tocmai această recunoaștere a omului ca piesă centrală în protejarea

confidențialității a pornit acest fenomen de inginerie socială. În trecut exista un alt termen
pentru acest fenomen, spionaj. Arta decepției, a manipulării și persuasiunii era de dorit în
rândurile recruților de ofițeri operativi de informații. Diferența majoră constă în faptul că
spionajul în sensul clasic se rezumă doar la obținerea de informații clasificate al unui alt stat
ori ingineria socială cuprinde atât acest segment cât și societatea civilă și segmentul privat. 2

1
Christopher Hadnagy, Social Engineering: The Art of Human Hacking, Wiley Publisher, 2010, p. 25.
2
Ibidem.
2
 George Lazăr – Ingineria socială 2013

1.1 Psihologia ingineriilor sociale

Pentru a avea o mai bună apreciere a ingineriei sociale, trebuie să înțelegem că este
un exercițiu psiho-social. Ingineria socială folosește declanșatori psihologici cu scopul
obținerii unei forme de putere sau influență asupra unei persoane. Folosind acești
declanșatori, victima este ușor convinsă să divulge informații sau să compromită integritatea
unor informații clasificate. Declanșatorii psihologici includ “strong affect”, suprasolicitarea,
reciprocitatea, relații bazate pe decepție, dizolvarea responsabilității și a obligației morale, a
autorității, integrității și consistenței (SANS). Declanșatorul “strong affect” se referă la
reacția umană de a trece peste parametrii logicii atunci când sunt supuși unui stres
emoțional puternic. De exemplu, dacă o victimă trăiește un sentiment puternic de frică,
euforie, exaltare, nervozitate, furie sau anticipație,atunci el sau ea este puțin probabil să
facă o analiză corectă asupra argumentelor prezentate de către atacatorul ingineriei sociale.
Inginerii sociali folosesc pretexte false pentru a crea o circumstanță în care victima sa este
inundată de emoții precum cea creată de vestea câștigării la loterie sau că un membru al
familiei are nevoie urgentă de ajutor, tocmai în ideea de a-i reduce abilitățile cognitive 3.

Conceptul suprasolicitării este folosit în prezent pentru a expune victima un flux

mare de informații într-un timp foarte scurt. În această situație, oamenii experimentează o
suprasolicitare senzorială și tind să absoarbă informația în loc să o analizeze în mod
rațional. Victima este în acest caz mai compliantă în ceea ce privește argumentele
inginerului social.

Reciprocitatea implică o practică socială foarte cunoscută, dacă cineva îți face o
favoare, fie că i-a fost solicitată sau nu, acea favoare va fi returnată. Inginerul social face o
favoare victimei bazându-se pe sentimentul de reciprocitate. Practica relațiilor deceptive
este folosită îndeosebi în cazul victimelor singure sau retrase, introvertite. Atacatorul
dezvoltă o falsă relație cu victima, pretinzând că ar avea multe în comun cu aceasta iar
victima consideră că a câștigat un prieten. Rezultatul acestei metode constă în ușurința cu
care victima divulgă informațiile cerute 4.

O altă metodă eficientă este dizolvarea responsabilității și obligației morale 5.

Victima este reasigurată că orice consecințe ar decurge din furnizarea de informații nu vor

3
***, A Multi-Level Defense Against Social Engineering, SANS Institute, InfoSec Reading Room, passim.
4
Ibidem.
5
***, Social engineering and cyber attacks: The psychology of Deception , accesată prin
http://www.emc.com/collateral/white-papers/11456-soceng-wp.htm, la 27.06.2013.
3
 George Lazăr – Ingineria socială 2013

avea un impact negativ asupra ei, astfel încât victima să se simtă în siguranță că nu va fi
trasă la răspundere. În acest caz victima poate fi convinsă că este obligația sa morală de a
ajuta un coleg din companie.

Autoritatea rămâne una dintre cele mai eficiente mijloace de obținere a informațiilor.
Oamenii sunt condiționați să respecte caracterul autoritar, în special cei care au o poziție
profesională de subordonare. Este foarte ușor pentru un practicant al ingineriei sociale să-și
asume vocea sau tonalitatea unui superior în cadrul unei convorbiri telefonice în vederea
obținerii de informații.

Integritatea și consistența presupune păstrarea și executarea angajamentelor asumate

chiar dacă o solicitare pare suspicioasă sau nelegitimă. Cu alte cuvinte, dacă un angajat
spune că va face un anumit lucru atunci nu va da înapoi de la cuvântul său. Ca exemplu, un
atacator poate afla programarea concediilor angajaților folosind această informație pentru a
declanșa un atac de tipul ingineriei sociale. Practic colegii angajaților care sunt plecați în
vacanță vor face tot posibilul să-și ajute “prietenii” colegilor datorită generalizării
intențiilor oneste ale colectivului 6.

1.2. Tipuri de inginerie socială

• Bazate pe factorul uman

• Bazate pe tehnica de calcul

Subtipurile de inginerie socială bazate pe factorul uman 7:

Impersonările sau asumarea identității unui utilizator valid reprezintă acea

activitate în care atacatorul se dă drept o persoană cunoscută în acea organizație
asigurându-și credibilitatea prin informații adunate despre un anumit individ a cărui
identitate decide să o folosească. În acest tip de atac, atacatorul poate obțin acces fizic și
libera trecere prin clădire sub forma unui angajat, al unui furnizor de servicii, al unui om
de la serviciul de mentenanță etc. Odată intrat în organizație accesul la tehnica de calcul
este la îndemâna sa.

Impersonarea unei persoane importante, de regulă cu un grad ierarhic superior în

instituția sau organizația respectivă impune intimidarea angajaților cu amenințări dacă

6
Paul Ekman, Emotions Revealed, Second Edition: Recognizing Faces and Feelings to Improve
Communication and Emotional Life, Holt Paperbacks, 2007, pp.81-92.
7
Christopher Hadnagy, op. cit., passim.
4
 George Lazăr – Ingineria socială 2013

aceștia nu furnizează informații de autentificare într-un sistem sau coduri de acces. În

acest tip de atac, cel care execută această operațiune folosește un scenariu plauzibil și
folosește în prima parte un ton calm și empatic. În eventualitatea în care această discuție
diplomatică nu duce nicăieri, atacatorul recurge la amenințări menite să intimideze.

Scenariul existenţei unei a treia persoane implică situația în care atacatorul

pretinde să dețină drepturi de operare din partea unei terțe persoane autorizate.
Elementul esențial al acestui scenariu este imposibilitate verificării informației de la
această terță persoană.

Apelul către suportul cu clienții este una dintre metodele clasice datorită
pregătirii și rigorilor impuse agenților atunci când vorbesc cu un client. Acești agenți de
suport tehnic sau comercial sunt o pradă ușoară pentru asemenea atacuri datorită
deschiderii pe care trebuie să o aibă față de clienți.

Menționăm tehnicile de “shoulder surfing” ce implică practic vizualizarea

discretă a momentului în care un utilizator își introduce utilizatorul și parola și
„dumpster diving” care implică căutarea informațiilor tipărite pe hârtie în ghenele de
gunoi.

Cel mai cunoscut tip de inginerie socială bazată pe tehnica de calcul este
phishingul care se bazează în mod tradițional pe suportul oferit de către poșta
electronică. Utilizatorii sunt induși în eroare de link-uri ce par a fi oficiale însă sunt
defapt redirecționări către un formular ce colectează informații bancare și personale de
la utilizatori.

Companiile pierd în medie, în jur de 100.000 de dolari cu costurile ce derivă

dintr-o scurgere de informație obținută prin inginerie socială. Mai mult, un raport al
organizației RSA arată că în topul atacurilor informatice se situează ingineria socială
urmată mai apoi de atacurile informatice.

2. Ingineria socială şi ameninţările la adresa securităţii

La nivel instituțional, avem celebrul caz al Comandantului Suprem al Forțelor Aliate

din Europa care a fost victima unui atac de inginerie socială pe celebra rețea de socializare
Facebook. Atacatorii au creat mai multe pagini și conturi false sub numele acestuia cu

5
 George Lazăr – Ingineria socială 2013

scopul ademenirii colegilor și apropiaților săi la conturile respective în vederea divulgării de

informații sensibile. În acest secol al unei păci relativ stabile, orice informație în numele
unui oficial înalt ar fi putut pune în pericol viața unor oameni nevinovați și nu numai.

Un caz devenit deja celebru este al hackerului american Kevin Mitnick, declarat unul
dintre cei mai căutați hackeri ai tuturor timpurilor pentru săvârșirea infracțiunii de obținere
de acces neautorizat asupra convorbiriilor Biroului Federal de Investigații. Printre acuzații
se mai adaugă și atacuri la adresa Pentagonului, a departamentului de înmatriculări auto din
statul California, IBM, Motorola, Nokia, Sun Microsystems, Fujistu Siemens. Fiind într-un
secol în care social media nu exista, efectele sale nu s-au propagat atât de rapid încât să
ajungă la urechile celor care vroiau să exploateze acest avantaj în scopul săvârșirilor de
acțiuni ilicite și ilegale însă a creat suficiente daune financiare companiilor și imaginii
Biroului Federal de Investigații. Astăzi, o breșă de securitate la adresa FBI-ului ar putea
constitui o problemă de siguranță națională dacă modul de obținere a accesului neautorizat
ar cădea în mâini greșite.

În această era digitală și interconectată nu mai putem vorbi de securitatea individuală

a unui individ, companie, instituție sau stat. Odată cu globalizarea s-a făcut trecerea de la
individual la global, fapt ce a generat și continuă să genereze amenințări la adresa Alianței
Nord Atlantice și a Uniunii Europene. În epoca globalizării, atacurile de inginerie socială
devin virulente și se externalizează repede atunci când atacatorul atacă instituțiile
guvernamentale dintr-un alt stat. Cetățenia acestuia poate fi asociată cu intenția unei țări de
a face rău celeilalte, premisă ce poate naște tensiuni și care poate escalada mai ales dacă
între cele două țări nu există o relație diplomatică tocmai bună. Orice atac de acest gen
poate fi privit ca intenția statului din care provine acel individ. Pe lângă asta, o amenințare
frecventă la adresa securității Uniunii Europene este crima organizată din ce în ce mai
violentă dar și mai eficientă în săvârșirea activităților ilegale. Ingineria socială le deservește
acestor grupări infracționale cauzând instabilitate și reale probleme economice, sociale,
politice, funcționale și de operare 8.

După cum am menționat anterior, ingineria socială prezintă o amenințare

considerabilă la orice nivel, începând de la individ până la NATO și Națiunile Unite. Chiar
dacă riscul nu poate fi eliminat, acesta poate fi atenuat sau limitat. O apărare

8
Frank Stopa, The human skills: elicitation and interviewing, CreateSpace Independent Publishing
Platform, 2010, p. 10.

6
 George Lazăr – Ingineria socială 2013

pluristratificată este recomandată în ceea ce privește prevenirea atacurilor de inginerie

socială.

3. Măsuri şi strategii de combatere

Orice strategie eficientă de management al securității implică o abordare

pluristratificată bazată pe principiul unei defensive amănunțite. Considerăm că nu există o
singură soluție care să adreseze problema ingineriei sociale ci un tumultul de soluții care
acționează pe mai multe niveluri: educație, rezistența tentației, sistemul managerial și
calitatea leardershipului.

Educația rămâne una dintre cele mai efective metode de apărare împotriva ingineriei
sociale. După cum am mai specificat în rândurile anterioare, ingineria socială manipulează
atribute specifice luării de decizie a factorului uman. Apărarea împotriva atacurilor de
inginerie socială este de cele mai multe ori lasătă pe seama omului, ori oamenii de la orice
nivel sunt expuși și vulnerabili. Pe măsură ce ingineria socială se schimbă și educația
trebuie să țină pasul făcând din aceasta un proces continuu. 9

Membri unei organizații ar trebui să fie instruiți cu privire la cele mai prevalante
metode de inginerie socială, cum să identifice din timp trăsăturile acestui tip de atac și cum
să răspundă în fața acestor amenințări. Procedurile de raportare și de urmărire a unor
asemenea atacuri trebuie foarte clar trasate în politica de securitate a organizației. Potrivit
lui Thor Olavsrud, există câteva practici de bază care pot impiedica un atac de inginerie
socială. Acesta recomandă vigilența și analiza informației ce urmează a fi comunicată, să ia
în calcul împuternicirea pe care o are solicitantul, să fie atent la întrebările care nu se
potrivesc persoanei respective și pe care în mod normal nu le-ar adresa niciodată sau dacă
există un sentiment de presiune în ceea ce privește răspunsul la întrebări, bazați-vă pe
instinct și dacă există dubii consultați-vă cu un supervizor. Executând acești pași la nivel de
invid se pot preveni atacurile de inginerie socială. 10

Instruirea personalului cheie face parte dintr-un sistem solid de management al

securității informațiilor clasificate și include următoarele etape: inocularea, preavertizarea și

9
Fail Fairhurst, The power of framing: creating the language of leadership, Jossey-Bass Publishing,
2010, pp.25-28.
10
Ibidem.
7
 George Lazăr – Ingineria socială 2013

verificarea realității (SANS) 11. Potrivit Institutului SANS, personalul cheie sunt acei oameni
care au cel mai frecvent contact cu publicul, fiind cei mai susceptibili tentativelor de
inginerie socială. Inocularea presupune instruirea în diferitele tipuri de argumente pe care
inginerii sociali vor încerca să le expună. Dacă membri unei organizații cunosc capcanele și
modul de operare al acestor atacatori vor fi mai pregătiți să acționeze corespunzător. În
plus, personalul cheie trebuie avertizat că argumentele unui inginer social vor fi
manipulative, deceptive, nesincere și că intenția acestuia este de a obține informații. În cele
din urmă, ceea ce Institutul SANS descrie ca o verificare a realității devine o necesitate. Cei
mai mulți oameni nu-și vor recunoaște propriile vulnerabilități de aceea este indicat și chiar
ideal să existe simulări ale atacurilor în vederea expunerii acelor slăbiciuni. De îndată ce o
persoană își recunoaște defectele/vulnerabilitățile în termeni de securitate procedurală, acea
persoană va fi mai puțin vulnerabilă unui atac 12.

La nivel organizațional, un sistem managerial de securitate trebuie să impună

politica de securitate, să organizeze sesiuni de instruire și periodic, să instrumenteze teste
neanunțate. Factorul managerial joacă un rol deosebit de important datorită resurselor și
cadrului pe care îl angajează în politica de securitate. Impactul acestei politici este dată de
capacitatea echipei manageriale de a angrena resursele umane, materiale și financiare într-
un mod eficient și coordonat. Procedurile și metodele trebuie conturate în cadrul legal atât
intern cât și extern fără a aduce atingere drepturilor fundamentale ale omului. Restrângerea
libertăților fundamentale nu este acceptată, acest aspect fiind o încălcare gravă a Declarației
Universale a Drepturilor Omului. Sprijinul managerial în politica de securitate este esențială
datorită mizei care este la mijloc, drepturile din proprietatea intelectuală. Brevetele de
invenție, licențele, codul sursă propriu, mărci și drepturile de autor constituie ținta acestor
amenințări de inginerie socială care pot dicta succesul sau insuccesul unei echipe
manageriale. Atenția și energia direcționată înspre limitarea și împiedicarea accesului
neautorizat la informații sensibile trebuie să constituie un punct esențial pe agenda echipei
manageriale. Pierderile se răsfrâng asupra tuturor indivizilor indiferent de poziția lor în acea
organizație. Mai mult, consecințele acestor tipuri de atacuri pune la îndoială capacitatea
acelor manageri de a evita și păstra în siguranță secretele organizației 13.

Efortul angajaților de a produce valoare adăugată și de a-și îndeplini cu brio sarcinile

și atribuțiile de serviciu pot fi zadarnice în cazul unei breșe de securitate soldată cu pierderi

11
***, A Multi-Level Defense Against Social Engineering, SANS Institute, InfoSec Reading Room, passim.
12
Ibidem .
13
Ian Mann, Hacking the human, Gower Publishing, 2008, p.52.

8
 George Lazăr – Ingineria socială 2013

de informații pentru care angajații au lucrat necontenit. Mai mult, un astfel de incident poate
fi privit de către angajați ca o lipsă de profesionalism a manangementului în ciuda
numeroaselor avertizări venite din partea angajaților. Luând în derâdere temerile unor
angajați cu privire la incidente de securitate pot pe viitor să ricoșeze rezultând demisia unor
oameni valoroși care nu se simt apreciați și ascultați atunci când au dreptate.

Probabil, singura și cea mai importantă modalitate de apărare împotriva ingineriei

sociale este leadershipul bun. În timp ce există o infrastructură solidă de securitate,
sancțiuni disciplinare pentru încălcările regulilor de securitate și o cultură a instruirii
continue, membri organizației trebuie să simtă că au un rol important în păstrarea securității
informației. Dacă aceștia nu simt acel grad de importanță în ceea ce privește atribuțiile lor
în cadrul securității organizației, aceștia fie vor cădea pradă ingineriei sociale, fie, mai rău,
vor divulga de bună voie aceste informații.

O organizație construită pe valori și principii etice solide, în care indivizii se simt

respectați și apreciați, va promova obiceiuri bune de management al securității. Într-un
mediu profesional în care onestitatea și profesionalismul sunt valorificate, membri acestuia
vor fi mai ușor de mulțumit și mai diligenți în ceea ce privește respectarea și impunerea
politicii de securitate. Membri organizației care etalează obiceiuri de securitate model
trebuie să fie recompensați și lăudați spre deosebire de cei care nu respectă regulile.
Leaderii organizației trebuie să dea un exemplu în acest sens. În consecință, dacă
identificarea este necesară în vederea intrării într-un spațiu securizat, toată lumea trebuie să
fie obligată să asigure cele necesare identificării lor indiferent de gradul lor în organizație.
Dacă această regulă nu se aplică la toată lumea, atunci nu va mai fi privită ca fiind
importantă aspect ce poate conduce pe viitor la breșe de securitate.

În cele din urmă, indivizii trebuie să se simtă împuterniciți pentru a verifica dacă o
acțiune sau o cerere pentru informații este legimită și autoritatea de a spune nu atunci când
măsurile de securitate nu sunt întrunite conform politicii de securitate. Din nou, subliniem
importanța aplicării regulilor tuturor indiferent de gradul acestora în interiorul organizației.
De cele mai multe ori, inginerii sociali obțin informațiile dorite în cea mai mare parte
datorită aparenței de autoritate aspect care nu este contestat de subordonați, aceștia fiind
instruiți să execute ordine și să fie obedienți. Dacă membri unei organizații știu că sunt
sprijiniți de către management în ceea ce privește aplicarea procedurilor de securitate, cu
siguranță aceștia se vor asigura că sunt îndeplinite corect, conform politicilor de securitate.

9
 George Lazăr – Ingineria socială 2013

CONCLUZII

Amenințarea accesului neautorizat la informații clasificate va rămâne întotdeauna

prezentă datorită factorului uman care chiar și în ciuda unor controale riguroase al trecutului
și al numeroaselor teste de personalitate poate să trădeze organizația. Nici cele mai bune
sisteme de apărare hardware sau software nu garantează eliminarea riscului de obținere
neautorizată a informațiilor secrete.

Inginerie socială este la ora actuală una dintre cele mai mari amenințări la adresa
securității unei organizații fiindcă mută focusul de pe online în offline, apelând la elemente
de psihologie individuală și de masă. O accentuare al acestui fenomen ar crea și probleme
de natură socială datorită lipsei generale de încredere sau și mai corect spus, datorită
sentimentului atacatorului de reușită prin minciună, decepție și manipulare.

Ingineria socială poate fi catalogată drept o problemă de securitate națională dacă obținerea
de informații clasificate și distribuirea lor naște tensiuni ce pot escalada.

Credem că pentru a limita consecințele unui astfel de atac, este imperativ să se

contureze o politică de securitate clară și comprehensivă ale cărei mijloace, metode și
proceduri de operare să fie respectate de către cei vizați fără derogări de la acestea, mai este
nevoie totodată de instruirea și formarea continuă a personalului cheie, asigurarea unui
sentiment de control și de responsabilitate și nu în ultimul rând crearea unor condiții propice
angajaților cheie pentru ca aceștia să nu aibă niciun motiv de divulgare a informațiilor
sensibile

10
 George Lazăr – Ingineria socială 2013

BIBLIOGRAFIE

1. Charles Phillips, Steven Demurjian, Information Sharing and Security in

Dynamic Coalitions accesat prin http://delivery.acm.org/10.1145/510000/507726/p87-
phillips.pdf?ip=82.78.35.116&acc=PUBLIC&CFID=172088128&CFTOKEN=68136911&__acm__=1
358702319_caf5145147521a643997176111ca395d.

2. Christopher Hadnagy, Social Engineering: The Art of Human Hacking, Wiley

Publisher, 2010.

3. Fail Fairhurst, The power of framing: creating the language of leadership,

Jossey-Bass Publishing, 2010.

4. Frank Stopa, The human skills: elicitation and interviewing, CreateSpace

Independent Publishing Platform, 2010.

5. Ian Mann, Hacking the human, Gower Publishing, 2008.

6. Paul Ekman, Emotions Revealed, Second Edition: Recognizing Faces and

Feelings to Improve Communication and Emotional Life, Holt Paperbacks,
2007.

11