Социальная инженерия, ее техники и меры противодействия | Статья в журнале «Молодой ученый»

Отправьте статью сегодня! Журнал выйдет 21 декабря, печатный экземпляр отправим 25 декабря.

Опубликовать статью в журнале

Автор:

Рубрика: Информационные технологии

Опубликовано в Молодой учёный №22 (260) май 2019 г.

Дата публикации: 04.06.2019

Статья просмотрена: 19 раз

Библиографическое описание:

Пазухина А. П. Социальная инженерия, ее техники и меры противодействия // Молодой ученый. — 2019. — №22. — С. 61-62. — URL https://moluch.ru/archive/260/60029/ (дата обращения: 12.12.2019).



В наше время информационный ресурс стал одним из самых мощных рычагов экономического развития. Его ценность предопределяется тем, что монопольное обладание определенной информацией зачастую оказывается решающим преимуществом в конкурентной борьбе.

Проблема защиты информации, то есть предотвращение утечки и обеспечение безопасности информации, становится ключевой. Целью информационной безопасности являются защита и гарантия целостности и защищенности информации.

Но как бы не развивались технические, программные или аппаратные методы защиты информации, в системе защиты остается одно слабое место — это человек. Люди внушаемы и психологически неустойчивы, многие даже не замечают, с какой лёгкостью делятся важной информацией — на это делают ставку мошенники, специализирующиеся на социальной инженерии.

Социальная инженерия — это совокупность методов несанкционированного доступа к информации, которые не предполагают использование технических средств, только слабостей человеческого фактора.

Примером атаки может служить следующие ситуации. Мошенник хочет узнать пароль от Интернет-банка. Он ищет информацию о компании, сотрудниках заранее, после совершает телефонных звонок, притворившись клиентом, просит назвать пароль, сославшись на технические проблемы в системе. Здесь многое зависит от навыков актерской игры. Для того, чтобы вызвать доверие к себе злоумышленник может назвать вымышленное или реальное имя сотрудника, должность, сыграть на чувствах жертвы. Узнав пароль, мошенник использует его, чтобы попасть в личный кабинет и совершить кражу.

Другим примером может служить следующая ситуация. Преступник проникает в организацию под видом служащего или работника технической службы. Ссылаясь на определенные технические неисправности от пытается узнать конфиденциальную информацию: логины и пароли или использует предоставленный доступ к компьютеру для загрузки вредоносного ПО.

Разберем основные техники, используемые злоумышленниками. Все они базируются на особенностях принятия решений. Первые две техники это фишинг — массовые рассылки e-mail сообщений подделанный под официальное письмо, обычно содержащее ссылку на фальшивую web-страницу, где потребуется ввести какую-то конфиденциальную информацию: логины и пароли, пин-коды банковских карт и т. д.

Следующая техника делает ставку на человеческое любопытство или жажду выгоды. Троянский конь — тоже e-mail рассылка, но уже другого содержания. Письмо может содержать ссылки на интересный контент, обновления программ или шокирующую новость. Всё, что угодно, что заставит вас перейти по ней и тем самым заразить компьютер вирусом, избавиться от которого можно только заплатив мошенникам.

Метод дорожного яблока похож на троянского коня с той лишь разницей, что подкидывается жертве не ссылка на вирус, а какой-то физический носитель информации: флешки или диски, также якобы содержащие интересный контент, но на самом деле — зараженный вирусом.

Четвертый метод подразумевает действие, совершаемое человеком по предварительному сценарию-претексту. Обычно претекстинг применяется при телефонных звонках или с использованием мессенджеров. Цель — заставить человека совершить определенные действия или выдать определенную информацию, вызвав у него доверие к злоумышленнику.

Последний метод из тех, которые чаще всего встречаются на практике называется кви про кво. Суть его заключается в том, что мошенники звонят в любую компанию и, представляясь сотрудниками техподдержки, просят ввести команды для решения каких-то технических проблем. Однако команды в действительности позволяют запустить вредоносное ПО на компьютере жертвы, а не помочь ей устранить технические неисправности.

В настоящее время никто не защищен от подобных атак, но если люди будут знать о них и о методах защиты, то они смогут противостоять социальным хакерам. Так как же защититься от таких мошенников? Руководства компании уже разработали и теперь активно проводят различные тренинги для своих сотрудников, цель которых донести до них серьезность данной проблемы и выработать у них навыки противодействия, также компании сами инициируют диверсии, чтобы установить уровень подготовленности работников с атак.

Все работники обычно хорошо осведомлены о том, что все пользовательские данные, в том числе пароли, которые они используют не должны разглашаться ими или применяться для авторизации на сторонних Интернет-ресурсах. Должен существовать определенный регламент, согласно которому происходит взаимодействие с клиентами. Охрана следит за тем, чтобы посетители не оставались одни и не получали доступ к кабинетам, в которых им находится нельзя. Определенные правила корректного раскрытия только необходимой информации по телефону и при личном разговоре, а также процедура проверки является ли человек запрашивающий определенные данные действительно уполномоченным сотрудником с доступом к этой информации.

Но люди часто продолжают беспечно относится к защите информации и пренебрегают предупреждениями. Тогда могут помочь технические средства, например, фильтрующие входящие сообщения и блокирующие те, что возможно содержат вредоносные программы и нежелательный контент.

Однако хоть такие методы и совершенствуются невозможно предусмотреть все варианты написания потенциально опасных сообщений. К тому же такое фильтрующее ПО может серьезно нагружать сервера. Поэтому лучшим советом для защиты от социальных хакеров будет следующее — сохраняйте бдительность, внимательно читайте текст и ссылки, получая почту, пользуйтесь антивирусными программами и не называйте личных данных по телефону, когда вам звонят с незнакомых номеров.

Литература:

  1. Кевин М. Искусство обмана / Пер. с англ. — Москва: Компания АйТи, 2004. — 360 с.
Основные термины (генерируются автоматически): интересный контент, информация, мошенник, пароль, социальная инженерия, троянский конь.


Похожие статьи

Социальная инженерия и информационная безопасность

Социальная инженерия в контексте информационной безопасности, относится к психологической манипуляции людей, которые приводят к совершению действия или разглашению конфиденциальной информации.

Основные виды атак социальной инженерии | Статья в журнале...

Социальная инженерия — метод получения необходимого доступа к информации, основанный на особенностях психологии людей. Основной целью социальной инженерии является получение доступа к конфиденциальной информации, паролям...

Фишинг как основной метод социальной инженерии в схемах...

Атаки с использованием методов социальной инженерии на текущий момент являются одним из самых опасных и распространенных видов атак, нацеленных на нарушение

В настоящее время одним из наиболее распространенных методов социальной инженерии стал фишинг.

Сетевые атаки. Виды. Способы борьбы | Статья в сборнике...

"Троянский конь" - это не программная вставка, а настоящая программа, которая

Перехват имен и паролей создает большую опасность, так как пользователи часто применяют один и

Многие пользователи вообще имеют один пароль для доступа ко всем ресурсам и приложениям.

Интернет-угрозы и способы защиты от них | Статья в журнале...

Социальная инженерия — метод несанкционированного доступа к информационным ресурсам, основанный на особенностях психологии человека. Основной целью социальных инженеров, как и других хакеров и взломщиков, является получение доступа к защищенным системам с...

Угрозы безопасности информации на игровых сервисах и методы...

В данной статье рассмотрены основные виды угроз безопасности информации пользователей на игровых сервисах, способы реализации таких угроз и методы защиты от них. Ключевые слова: игровой сервис, видеоигры, фишинг, DDoS-атака, социальная инженерия, атака грубой силой...

"Паутина в паутине": интернет-мошенничество | Статья в журнале...

В частности, мошенничество, связанное с электронной почтой и предложением работы на дому или в удаленном доступе. Мошенник предлагает потенциальному работнику за определенную сумму перепечатать текст, который отправляется ему на электронную почту, после выполнения.

Проблемы защиты детей в интернет-пространстве

Статья посвящена проблемам защиты детей в Интернет-пространстве, дана характеристика общего спектра виртуальных угроз, а также рассмотрены проблемы подростковых суицидов, совершаемых посредством «групп смерти» в сети Интернет. Приведен зарубежный и...

Тенденции безопасности интернет-вещей | Статья в журнале...

Воздействие — это проблема или ошибка в конфигурации системы, которая позволяет злоумышленнику осуществлять деятельность по сбору информации. Одной из наиболее сложных проблем в IoT является устойчивость к воздействию физических атак.

Похожие статьи

Социальная инженерия и информационная безопасность

Социальная инженерия в контексте информационной безопасности, относится к психологической манипуляции людей, которые приводят к совершению действия или разглашению конфиденциальной информации.

Основные виды атак социальной инженерии | Статья в журнале...

Социальная инженерия — метод получения необходимого доступа к информации, основанный на особенностях психологии людей. Основной целью социальной инженерии является получение доступа к конфиденциальной информации, паролям...

Фишинг как основной метод социальной инженерии в схемах...

Атаки с использованием методов социальной инженерии на текущий момент являются одним из самых опасных и распространенных видов атак, нацеленных на нарушение

В настоящее время одним из наиболее распространенных методов социальной инженерии стал фишинг.

Сетевые атаки. Виды. Способы борьбы | Статья в сборнике...

"Троянский конь" - это не программная вставка, а настоящая программа, которая

Перехват имен и паролей создает большую опасность, так как пользователи часто применяют один и

Многие пользователи вообще имеют один пароль для доступа ко всем ресурсам и приложениям.

Интернет-угрозы и способы защиты от них | Статья в журнале...

Социальная инженерия — метод несанкционированного доступа к информационным ресурсам, основанный на особенностях психологии человека. Основной целью социальных инженеров, как и других хакеров и взломщиков, является получение доступа к защищенным системам с...

Угрозы безопасности информации на игровых сервисах и методы...

В данной статье рассмотрены основные виды угроз безопасности информации пользователей на игровых сервисах, способы реализации таких угроз и методы защиты от них. Ключевые слова: игровой сервис, видеоигры, фишинг, DDoS-атака, социальная инженерия, атака грубой силой...

"Паутина в паутине": интернет-мошенничество | Статья в журнале...

В частности, мошенничество, связанное с электронной почтой и предложением работы на дому или в удаленном доступе. Мошенник предлагает потенциальному работнику за определенную сумму перепечатать текст, который отправляется ему на электронную почту, после выполнения.

Проблемы защиты детей в интернет-пространстве

Статья посвящена проблемам защиты детей в Интернет-пространстве, дана характеристика общего спектра виртуальных угроз, а также рассмотрены проблемы подростковых суицидов, совершаемых посредством «групп смерти» в сети Интернет. Приведен зарубежный и...

Тенденции безопасности интернет-вещей | Статья в журнале...

Воздействие — это проблема или ошибка в конфигурации системы, которая позволяет злоумышленнику осуществлять деятельность по сбору информации. Одной из наиболее сложных проблем в IoT является устойчивость к воздействию физических атак.

Задать вопрос