Существует множество различных мнений, что такое социальная инженерия. Некоторые рассматривают социальную инженерию, как жульничество или мошенничество для получения выгоды. Другие думают, что социальная инженерия это не только инструмент, используемый преступниками, а как науку, чьи теории можно разделить на части и изучить.
Социальная инженерия используется ежедневно обычными людьми в повседневных ситуациях. Например во взаимодействии педагогов со своими учениками. Врачи, психологи и психотерапевты часто используют элементы социальной инженерии, чтобы “манипулировать” своими пациентами, для принятия мер, которые помогут пациенту, а мошенник использует элементы социальной инженерии, чтобы убедить его выполнить действия, необходимые злоумышленнику или раскрыть информацию. Хотя конец игры сильно отличается, подход может быть очень похож. Психолог может использовать ряд хорошо продуманных вопросов, чтобы помочь пациенту прийти к выводу, что необходимы перемены. Аналогичным образом мошенник будет использовать ряд хорошо продуманных вопросов, чтобы поставить его цель в уязвимое положение. Как и любой инструмент, социальная инженерия не является «хорошей» или «плохой», это просто инструмент, который имеет много различных применений.
Социальная инженерия в контексте информационной безопасности, относится к психологической манипуляции людей, которые приводят к совершению действия или разглашению конфиденциальной информации. Это может быть злоупотребление доверием с целью сбора информации. Социальная инженерия часто является одним из многих шагов в более сложную схему мошенничества.
В общем значении социальная инженерия- это акт манипуляции человеком, который провоцирует выполнить действие, которое как может быть в интересах человека, так и в интересах злоумышленника.
Рассмотрим основные виды социальных инженеров.
– Хакеры. Поставщики программного обеспечения становятся все более продвинуты в создании такого ПО, которое более безопасно и сложно для взлома. Так как взломать хорошо защищенное ПО затруднительно, хакеры прибегают к социальной инженерии. Они часто используют сочетание аппаратных и личных навыков.
– «Пентестеры». Пентест — метод оценки безопасности компьютерных систем или сетей средствами моделирования атаки злоумышленника. В информационных системах хранится, обрабатывается, циркулирует различная информация, потеря или искажение которой может нанести существенный вред. [1, c. 54] Процесс включает в себя активный анализ системы на наличие потенциальных уязвимостей, которые могут спровоцировать некорректную работу целевой системы, либо полный отказ в обслуживании. Цель испытаний на проникновение — оценить его возможность осуществления и спрогнозировать экономические потери в результате успешного осуществления атаки. «Пентестеры» — это люди, которые проводят моделирование на атаки на систему, анализируют возможные уязвимости, но не используют собранную информацию для личной выгоды или ущерба компании. Однако, потенциально это возможно.
– Шпионы. Используют социальную инженерию как способ жизни. Помимо того, что они изучили искусство социальной инженерии и являются экспертами в этой науке, очень часто шпионы также опираются на доверие. Они немного (а может и много) знают о бизнесе и власти и используют это, как рычаг давления.
– Воры личной информации. Данный вид социальных инженеров использует такую информацию, как, например, имя человека, номер банковского счета, адрес, дата рождения, и номер социального страхования, без ведома владельца. Это преступление основывается на использовании личной информации для гораздо более сложного преступления.
– Недобросовестные сотрудники. В любой сфере деятельности случаются конфликты работника и работодателя, иногда это приводит к тому, что работник начинает враждебно относиться к работодателю. Поскольку работник, как правило, пытается скрыть своё недовольство, чтобы не потерять работу, это приводит к тому, что его враждебность растёт и становится оправданием для хищения, вандализма, раскрытия конфиденциальной информации и других преступлений.
– Аферисты. Мотивом чаще всего служит желание «заработать». Аферисты и мошенники владеют способностью читать людей и находить детали, которые делают человека уязвимым. Они также квалифицированы в создании ситуаций, которые являются отличными возможностями для оценки изучаемого человека.
– Вербовщики. Также освоили многие аспекты социальной инженерии. Овладели приемами сбора, многими психологическими принципами социальной инженерии, они очень умело могут не только читать, но и понимать, что движет людьми.
– Продавцы. Многие гуру продаж говорят, что хороший продавец не должен манипулировать людьми, но ему следует использовать свои навыки, чтобы выяснить, какие потребности есть у людей и увидеть, могут ли они ему что-то предложить. Искусство продаж требует многих навыков, таких как сбор информации, убеждение, и многие другие.
– Врачи, психологи и юристы. На первый взгляд может показаться, что данный тип не вписывается в категорию социальных инженеров. Но эта группа использует те же методы, как и другие группы в этом списке. Они это делают не обязательно для того, чтобы навредить своему клиенту, чаще, чтобы разобраться и подобрать нужный алгоритм для выхода из сложившейся ситуации.
Рассмотрим основные методы социальной инженерии.
– Фишинг — это вид интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей — логинам и паролям. Это самый популярный метод социальной инженерии на сегодняшний день. Самый простой способ реализации данной схемы является письмо на электронную почту, например от банка. Чаще всего письмо от мошенников содержит Чаще всего фишинговые сообщения содержат: сведения, например, о закрытии банковского счета; обещания о выигрыше огромного денежного приза; запросы о добровольных пожертвованиях от лица благотворительных организаций; грамматические ошибки, пунктуационные и другие; умышленный ошибки в данных пользователя, провоцирующие желание исправить их; имитацию поврежденного текста; адрес несуществующей электронной почты, в качестве адреса отправителя.
– Несуществующие ссылки. Атака заключается в отправке письма с причиной посетить сайт, ссылка на который представлена тут же. Ссылки выглядят очень похоже на настоящие сайты, например вместо PayPal.com присылают PayPai.com. При переходе отображается страница, очень похожая на оригинальную, но при вводе данных (логинов, паролей, номеров банковских карт и др.) они отправляются в руки злоумышленников.
– Плечевой серфинг. Плечевой серфинг включает в себя наблюдение личной информации жертвы через ее плечо. Этот тип атаки распространен в общественных местах, например в кафе, торговых центрах, в общественном транспорте и др.
– Quid pro quo. Обычно используется в значении «услуга за услугу». Данная схема подразумевает обращение злоумышленника в компанию, например по корпоративному телефону. Зачастую злоумышленник представляется сотрудником технической поддержки, который сообщает о возникновении технических проблем на рабочем месте сотрудника и предлагает помощь в их устранении. В процессе «решения» технических проблем, злоумышленник вынуждает цель атаки совершать действия, позволяющие атакующему запускать команды или устанавливать различное программное обеспечение на компьютере «жертвы».
– Троянская программа. Данная техника зачастую использует любопытство человека. Чаще всего злоумышленник отправляет жертве электронное сообщение, содержащее интересное содержание. Открывая прикрепленный к письму файл, пользователь устанавливает себе на устройство вредоносное программное обеспечение, позволяющее мошеннику получить доступ к конфиденциальной информации.
– «Дорожное яблоко». Этот метод атаки представляет собой адаптацию троянского коня, и состоит в использовании физических носителей. Статистика показывает, что наиболее распространенными являются атаки, реализуемые с помощью загрузки враждебного содержания. [2, c. 152] Злоумышленник подбрасывает «инфицированные» носители информации в местах общего доступа, где эти носители могут быть легко найдены, такими как парковки, столовые, или на рабочем месте атакуемого сотрудника. Носители оформляются как официальные для компании, которую атакуют, или сопровождаются подписью, призванной вызвать любопытство.
– Сбор информации из открытых источников. Применение техник социальной инженерии требует не только знания психологии, но и умения собирать о человеке необходимую информацию. Относительно новым способом получения такой информации стал её сбор из открытых источников, главным образом из социальных сетей. Как правило, пользователи не уделяют должного внимания вопросам безопасности, оставляя в свободном доступе данные и сведения, которые могут быть использованы злоумышленником.
– Обратная социальная инженерия. Под обратной социальной инженерией, понимают ситуацию, когда жертва сама предлагает злоумышленнику нужную ему информацию. На первый взгляд это может показаться маловероятным, но лица, обладающие авторитетом в технической или социальной сфере, часто получают идентификаторы и пароли пользователей и другую важную личную информацию просто потому, что никто не сомневается в их порядочности. Например, сотрудники службы поддержки никогда не спрашивают у пользователей идентификатор или пароль; им не нужна эта информация для решения проблем. Однако, многие пользователи ради скорейшего устранения проблем добровольно сообщают эти конфиденциальные сведения. Получается, что злоумышленнику даже не нужно спрашивать об этом.
В любой сфере деятельности можно найти элемент социальной инженерии. Будь то информационная безопасность, медицина или политика. Социальная инженерия — это инструмент для достижения цели. Цель может иметь как отрицательный характер так и положительный. Но методы для достижения цели в том и другом случае схожи.
Литература:
- Багров Е. В. Мониторинг и аудит информационной безопасности на предприятии. Вестник волгоградского государственного университета. Волгоград.: 2011, с.54.
- Никишова А. В., Чурилина А. Е. Программный комплекс обнаружения атак на основе анализа данных реестра// Вестник ВолГУ. Серия 10. Инновационная деятельность. Выпуск 6. 2012 г. В.: Изд-во ВолГУ, 2012, стр. 152–155
