Методы социальной инженерии. Социальная инженерия: понятие, основоположник, методы и примеры

Это метод управления действиями человека без использования технических средств. Метод основан на использовании слабостей человеческого фактора и считается очень разрушительным. Зачастую социальную инженерию рассматривают как незаконный метод получения информации, однако это не совсем так. Социальную инженерию можно также использовать и в законных целях, и не только для получения информации, а и для совершения действий конкретным человеком. Сегодня социальную инженерию зачастую используют в интернете, для получения закрытой информации, или информации, которая представляет большую ценность.

Злоумышленник получает информацию, например, путем сбора информации о служащих объекта атаки, с помощью обычного телефонного звонка или путем проникновения в организацию под видом ее служащего.

Злоумышленник может позвонить работнику компании (под видом технической службы) и выведать пароль, сославшись на необходимость решения небольшой проблемы в компьютерной системе. Очень часто этот трюк проходит.

Имена служащих удается узнать после череды звонков и изучения имён руководителей на сайте компании и других источников открытой информации (отчётов, рекламы и т. п.).

Используя реальные имена в разговоре со службой технической поддержки, злоумышленник рассказывает придуманную историю, что не может попасть на важное совещание на сайте со своей учетной записью удаленного доступа.

Другим подспорьем в данном методе являются исследование мусора организаций, виртуальных мусорных корзин, кража портативного компьютера или носителей информации.

Данный метод используется, когда злоумышленник наметил в качестве жертвы конкретную компанию.

Социальная инженерия - относительно молодая наука, которая является составной частью социологии, и претендует на совокупность тех специфических знаний, которые направляют, приводят в порядок и оптимизируют процесс создания, модернизации и воспроизведения новых («искусственных») социальных реальностей. Определенным образом она «достраивает» социологическую науку, завершает ее на фазе преобразования научных знаний в модели, проекты и конструкции социальных институтов, ценностей, норм, алгоритмов деятельности, отношений, поведения и т. п. Занятия сориентированы на вооружение слушателей прежде всего методологией аналитико-синтетического мышления и знаниями формализованных процедур (технологий) конструкторско-изобретательской деятельности. В характеристике формализованных операций, из которых складывается это последнее, особое внимание обращается на операции сложной комбинаторики. Игнорирование принципа системности в операциях комбинаторики нанесли и продолжают наносить большой ущерб на всех уровнях трансформационных процессов, которые происходят в нашем обществе. Последовательные знания принципиальных требований к указанным операциям дают основания к предотвращению ошибочных извращений в реформационной практике на ее макро-, мезо- и микроуровнях.

Несмотря на то, что понятие социальной инженерии появилось недавно, люди в той или иной форме пользовались ее техниками испокон веков. В той же Древней Греции и Риме в большом почете были люди, могущие навешать на уши любую лапшу и убедить собеседника в «очевидной неправоте». Выступая от имени верхов, они вели дипломатические переговоры, а, подмешивая в свои слова вранье, лесть и выгодные аргументы, нередко решали такие проблемы, которые, в противном случае, невозможно было решить без помощи меча. В среде шпионов социальная инженерия всегда являлась главным оружием. Выдавая себя за кого угодно, агенты КГБ и ЦРУ могли выведать самые страшные государственные тайны.

В начале 70-х гг., в период расцвета фрикинга, некоторые телефонные хулиганы забавлялись тем, что названивали с уличных автоматов операторам Ma Bell и подкалывали их на тему компетентности. Потом кто-то, очевидно, сообразил, что, если немного перестроить фразы и кое-где солгать, можно заставить тех. персонал не просто оправдываться, а выдавать в порыве эмоций конфиденциальную информацию. Фрикеры стали потихоньку экспериментировать с уловками и к концу 70-х настолько отработали техники манипулирования неподготовленными операторами, что могли без проблем узнать у них практически все, что хотели.

Заговаривать людям зубы по телефону, чтобы получить какую-то информацию или просто заставить их что-то сделать, приравнивалось к искусству. Профессионалы в этой области очень гордились своим мастерством. Самые искусные социальные инженеры (синжеры) всегда действовали экспромтом, полагаясь на свое чутье. По наводящим вопросам, по интонации голоса они могли определить комплексы и страхи человека и, мгновенно сориентировавшись, сыграть на них. Если на том конце провода находилась молоденькая, недавно поступившая на работу девушка - фрикер намекал на возможные неприятности с боссом, если это был какой-то самоуверенный тюфяк - достаточно было представиться начинающим пользоветелем, которому все нужно показать и рассказать. К каждому подбирался свой ключ. С появлением компьютеров, многие фрикеры перебрались в компьютерные сети и стали хакерами. Навыки СИ в новой области стали еще полезнее. Если раньше мозги оператору пудрили в основном для получения кусочков информации из корпоративных справочников, то теперь стало возможным узнать пароль для входа в закрытую систему и скачать оттуда кучу тех же справочников или что-то секретное. Причем такой способ был намного быстрее и проще технического. Не нужно искать дыры в навороченной системе защиты, не надо ждать, пока Jack the Ripper угадает правильный пароль, не обязательно играть в кошки-мышки с админом. Достаточно позвонить по телефону и, при правильном подходе, на другом конце линии сами назовут заветное слово.

Техники и термины социальной инженерии

Все техники социальной инженерии основаны на особенностях принятия решений людьми, называемых когнитивным базисом. Они также могут быть названы особенностью принятия решения человеческой и социальной психологий, основанной на том, что человек должен кому-либо доверять в социальной среде воспитания.

Претекстинг

Претекстинг - это действие, отработанное по заранее составленному сценарию (претексту). В результате цель должна выдать определённую информацию или совершить определённое действие. Этот вид атак применяется обычно по телефону. Чаще эта техника включает в себя больше, чем просто ложь, и требует каких-либо предварительных исследований (например, персонализации: дата рождения, сумма последнего счёта и др.), с тем, чтобы обеспечить доверие цели. К этому же виду относятся атаки и по онлайн-мессенджерам, например, по ICQ.

Фишинг

Фишинг - техника, направленная на жульническое получение конфиденциальной информации. Обычно злоумышленник посылает цели e-mail, подделанный под официальное письмо - от банка или платёжной системы - требующее «проверки» определённой информации или совершения определённых действий. Это письмо обычно содержит линк на фальшивую веб-страницу, имитирующую официальную, с корпоративным логотипом и контентом, и содержащую форму, требующую ввести конфиденциальную информацию - от домашнего адреса до пин-кода банковской карты.

Троянский конь

Эта техника эксплуатирует любопытство, либо алчность цели. Злоумышленник отправляет e-mail, содержащий во вложении «клёвый» или «сексуальный» скрин-сейвер, важный апгрейд антивируса или даже свежий компромат на сотрудника. Такая техника остаётся эффективной, пока пользователи будут слепо кликать по любым вложениям.

Дорожное яблоко

Этот метод атаки представляет собой адаптацию троянского коня и состоит в использовании физических носителей. Злоумышленник может подбросить инфицированный CD или флэш в месте, где носитель может быть легко найден (туалет, лифт, парковка). Носитель подделывается под официальный и сопровождается подписью, призванной вызвать любопытство.

Пример: Злоумышленник может подбросить CD, снабжённый корпоративным логотипом и ссылкой на официальный сайт компании цели, и снабдить его надписью «Заработная плата руководящего состава Q1 2007». Диск может быть оставлен на полу лифта или в вестибюле. Сотрудник по незнанию может подобрать диск и вставить его в компьютер, чтобы удовлетворить своё любопытство, или просто «добрый самаритянин» отнесёт диск в компанию.

Кви про кво

Злоумышленник может позвонить по случайному номеру в компанию и представиться сотрудником техподдержки, опрашивающим, есть ли какие-либо технические проблемы. В случае, если они есть, в процессе их «решения» цель вводит команды, которые позволяют хакеру запустить вредоносное программное обеспечение.

Обратная социальная инженерия

Целью обратной социальной инженерии (reverse social engineering) является заставить цель саму обратиться к злоумышленнику за «помощью». С этой целью хакер может применить следующие техники:

* Диверсия. Создание обратимой неполадки на компьютере жертвы.

Защита пользователей от социальной инженерии

Для защиты пользователей от социальной инженерии можно применять как технические, так и антропогенные средства.

Антропогенная защита

Простейшими методами антропогенной защиты можно назвать:

* Привлечение внимания людей к вопросам безопасности.

* Осознание пользователями всей серьезности проблемы и принятие политики безопасности системы.

* Изучение и внедрение необходимых методов и действий для повышения защиты информационного обеспечения.

Данные средства имеют один общий недостаток: они пассивны. Огромный процент пользователей не обращает внимания на предупреждения, даже написанные самым заметным шрифтом.

Техническая защита

К технической защите можно отнести средства, мешающие заполучить информацию и средства, мешающие воспользоваться полученной информацией.

Наибольшую распространенность среди атак в информационном пространстве социальных сетей с использованием слабостей человеческого фактора получили атаки при помощи электронных писем, как то: e-mail и внутренняя почта сети. Именно к таким атакам можно с наибольшей эффективностью применять оба метода технической защиты. Помешать злоумышленнику получить запрашиваемую информацию можно, анализируя как текст входящих писем (предположительно, злоумышленника), так и исходящих (предположительно, цели атаки) по ключевым словам. К недостаткам данного метода можно отнести очень большую нагрузку на сервер и невозможность предусмотреть все варианты написания слов. К примеру, если взломщику становится известно, что программа реагирует на слово «пароль» и слово «указать», злоумышленник может заменить их на «пассворд» и, соответственно, «ввести». Так же стоит принимать во внимание возможность написания слов с заменой кириллических букв латиницей для совпадающих символов (a, c, e, o, p, x, y, A, B, C, E, H, K, M, O, P, T, X) и использование так называемого языка t+[неизвестный термин].

Средства, мешающие воспользоваться полученной информацией, можно разделить на те, которые полностью блокируют использование данных, где бы то ни было, кроме рабочего места пользователя (привязка аутентификационных данных к серийным номерам и электронным подписям комплектующих компьютера, ip и физическому адресам), так и те, которые делают невозможным(или труднореализуемым) автоматическое использование полученных ресурсов (например, авторизация по системе Captcha, когда в качестве пароля нужно выбрать указанное ранее изображение или часть изображения, но в сильно искаженном виде). Как в первом, так и во втором случае известный баланс между ценностью требуемой информации и работой, требуемой для ее получения, смещается, вообще говоря, в сторону работы, так как частично или полностью блокируется возможность автоматизации. Таким образом, даже имея все данные, выданные ничего не подозревающим пользователем, например, с целью массово разослать рекламное сообщение (спам), злоумышленнику придется на этапе каждой итерации самостоятельно вводить полученные реквизиты.

Ложь и коварство - прибежище глупцов и трусов

Социальная инженерия, фу, какое мерзкое словосочетание, чувствуете? Точно не наше, не родное. А что же нам говорит всезнающая Википедия? Вот как она там разъясняет сие понятие:

Социальная инженерия - это метод управления действиями человека без использования технических средств. Метод основан на использовании слабостей человеческого фактора и считается очень разрушительным. Зачастую социальную инженерию рассматривают как незаконный метод получения информации, однако, это не совсем так. Социальную инженерию можно также использовать и в законных целях - не только для получения информации, но и для совершения действий конкретным человеком. Сегодня социальную инженерию зачастую используют в интернете для получения закрытой информации, или информации, которая представляет большую ценность.

Тьфу ты! Так это ж обыкновенная ложь! Так бы и писали: ложь, используемая для обмана доверчивой и добродушной части населения планеты, с целью завладения их имуществом и средствами. При этом умение оставаться безнаказанным. А то вишь как замаскировались, такими умными словами прикрываются, куда там! Вы только почитайте историю «социальной инженерии» и её техники. Так посмотрите, до какой наглости дошла тьма, что даже оправдывает это преступление: «…Социальную инженерию можно также использовать и в законных целях». Если ложь, это нарушение закона божьего, то, как она может быть «использована в законных целях»? Что за бред.

Собственно это и рассчитано на людей с невысоким уровнем своего развития. Нет, я не имею в виду интеллект или несколько высших образований. Я имею в виду уровень духовности и нравственности в человеке. Эта «наука» с позволения сказать, всего лишь легитимизация сатанинских законов.

Не удивлюсь, если в скором будущем, когда спросят: ты кем работаешь? В ответ прозвучит: социальный инженер. Вроде бы и приятно на слух, и кто ж тебе скажет честно: я вор и мошенник по совместительству. Думаю сегодня можно найти не единственное тому подтверждение, когда нехорошее прикрывается хорошим. К слову сказать, человечество об этом давно предупреждали.

Достаточно известно о существовании Братства Добра и Братства Зла . Также известно, что Братство Зла пытается подражать Братству Добра в способах и методах действия. Невежды спросят — можно ли человеку отличить приближение того или иного Брата? Если и видимость их и слова будут одинаковы, то не трудно впасть в ошибку и принять советы, ведущие ко злу. Так будет рассуждать человек не знающий, что способ распознавания заключен в сердце. Уявление психической энергии поможет безошибочно распознавать внутреннюю сущность явлений. Не нужно никаких сложных приспособлений, когда человек сам в себе носит искру знания. Исследователи психической энергии могут засвидетельствовать, что показания энергии безошибочны. Они могут быть относительны в земных сроках, но в качестве не будут ошибочными. Между тем, именно качество нужно для распознавания сущности. Не может энергия всеначальная показать отрицательное положительным.

Такое чисто научное показание оградит людей от злобного приближения. Такое распознавание не без основания называется оружием Света.

И пока на свете мало людей, умеющих пользоваться таким оружием Света, Тёмная Иерархия не останется без работы. Каждая вновь воплощённая молодая душа сразу же попадает в их «пенаты», и влачёт своё существование в боли и страдании, до тех пор, пока высшая природа не проснётся. И физический человек сам, добровольно не отдаст бразды правления своей высшей природе. Своему высшему «Я», своей душе и духу.

Что же касается методов социальной инженерии, так там ничем не брезгуют. Начиная лестью, заканчивая наглой ложью. Все мерзости как инструмент тьмы там хороши. Остаётся лишь пожелать всем ставшим на Путь, поскорее овладеть оружием Света и защитить себя самого от подобной инженерии, и защищать других.

Социальная инженерия (развод лохов)

Здравствуйте, дорогие друзья! Давно с вами не обсуждали безопасность, а если быть точнее, данные, которые хранятся не только на ваших компьютерах, но и даже у ваших друзей и коллег. Сегодня поведаю о таком понятии, как социальная инженерия. Вы узнаете, что такое социальная инженерия и как себя предостеречь.

Социальная инженерия – это метод несанкционированного доступа к информационным системам, который был основан на особенностях психологического поведения человека. Любому хакеру в прямом или косвенном смысле, представляет интерес, получение доступа к защищенной информации, пароли, данные о банковских картах и т.п.

Основное отличие данного метода является то, что объектом нападения выбирается не машина, а ее пользователь. Методы социальной инженерии основаны на использовании человеческого фактора. Злоумышленник овладевает необходимой ему информацией в беседе по телефону или, проникая в офис под видом работника.

Претекстинг представляет собой набор действий, отвечающих определенному сценарию, заранее подготовленному (претексту). Для получения информации в данной технике используются голосовые средства (телефон, Skype). Представившись третьим лицом и притворившись, что нуждается в помощи, мошенник заставляет собеседника сообщить пароль или зарегистрироваться на фишинговой web-странице и тем самым получает необходимую информацию.

Давайте представим ситуацию. Вы работаете в большой организации, примерно полгода. Вам звонит человек, который представляется, как работник из какого-нибудь филиала. «Здравствуйте, Ваше имя или должность, мы не можем зайти в почту, которая служит для приема заявок в нашей компании. К нам недавно поступила заявка из нашего города, а шеф просто убьет за такую оплошность, подскажите пароль от почты.

Конечно, когда сейчас читаете его просьбу, кажется немного глупым давать пароль человеку, которого вы первый раз слышите. Но так как люди любят помогать по мелочам, (для вас же не трудно сказать 8-16 символов от пароля?) тут может проколоться каждый человек.

Фишинг (выуживание) – этот вид интернет-мошенничества направлен на получение логинов и паролей. Наиболее популярным видом фишинга является направление жертве сообщения по электронной почте под видом официального письма, например, от платежной системы или банка. В письме, как правило, сообщается об утере данных, о неисправностях в системе и содержится просьба ввести конфиденциальную информацию, пройдя по ссылке.

Ссылка перенаправляет жертву на фишинговую страницу, в точности похожая на страницу официального сайта. Распознать фишинговую атаку неподготовленному человеку сложно, но вполне возможно. В таких сообщениях, как правило, содержатся сведения об угрозах (например, о закрытии банковского счета) или, наоборот, обещание денежного приза даром, просьбы о помощи от лица благотворительной организации. Также фишинговые сообщения можно распознать по адресу, куда вас просят зайти.

К самым популярным фишинговым атакам относится мошенничество с использованием бренда известной фирмы. От лица известной фирмы производится рассылка электронных писем, в которых содержится поздравление с определенным праздником (для примера) и информация о проведении конкурса. Для участия в конкурсе требуется срочно изменить данные учетной записи.

Расскажу, личный опыт. Не кидайте в меня камни 😉 . Было это очень давно, когда я интересовался…... Да да фишингом. В то время было очень модно сидеть в Моем мире и я этим воспользовался. Как-то раз я увидел от майл.ру предложение установить «золотой агент» за деньги. Когда вам говорят купи, вы думаете, а вот когда вам скажут что выиграли, люди сразу ведутся.

Все точно до мелочей не помню, но было примерно так.

Написал сообщение: «Здравствуйте, ИМЯ! Команда Майл.РУ рада Вас поздравить Вы выиграли «золотой агент». Каждый 1000-ый наш пользователь получает его бесплатно. Чтобы его активировать, вам надо зайти на свою страницу и активировать его в Настройках – бла бла бла.»

Ну как Вам предложение? А золотой Skype хотите дорогие читатели? Про все технические тонкости не рассказываю, так как есть молодые люди, которые только и ждут подробной инструкции. Но надо отметить то, что 30% пользователей «Моего мира» перешли по ссылке и ввели свой логин и пароль. Данные пароли я удалил, так как это был просто эксперимент.

Смишинг . Сейчас очень популярны сотовые телефоны, а чтобы узнать ваш номер, не составит труда даже школьнику, который сидит с вашим сыном или дочкой за одной партой. Мошенник, узнав номер, отправляет вам фишинговую ссылку, куда просит зайти для активации бонусных денег на вашей карте. Где естественно есть поля ввода персональных данных. Также могут попросить отправить смс с вашими данными от карты.

Вроде бы нормальная ситуация, а подвох совсем рядом.

Кви про кво («услуга за услугу») – вид атаки, подразумевающий звонок мошенника, например от лица службы технической поддержки. Злоумышленник в процессе опроса работника о возможных технических неполадках заставляет его вводить команды, которые позволяют запустить вредоносное программное обеспечение. Которые можно разместить на открытых ресурсах: социальные сети, серверы компании и т.д.

Посмотрите видео для примера:

Вам могут выслать файл (вирус) на почту, потом позвонить и сказать, что пришел срочный документ и надо его посмотреть. Открывая прикрепленный к письму файл, пользователь сам устанавливает на компьютер вредоносную программу, которая позволяет получить доступ к конфиденциальным данным.

Берегите себя и ваши данные. До скорой встречи!

В этой статье мы уделим внимание понятию «социальная инженерия». Здесь будет рассмотрено общее Также мы узнаем о том, кто был основоположником этого понятия. Отдельно поговорим об основных методах социальной инженерии, которые применяют злоумышленники.

Введение

Методы, позволяющие корректировать поведение человека и управлять его деятельностью без применения технического набора средств, образуют общее понятие социальной инженерии. Все способы базируются на утверждении о том, что человеческий фактор - самая разрушительная слабость любой системы. Часто данное понятие рассматривают на уровне незаконной деятельности, посредством которой преступником совершается действие, направленное на получение информации от субъекта-жертвы нечестным путем. Например, это может быть определенный вид манипуляции. Однако социальная инженерия применяется человеком и в законной деятельности. На сегодняшний день чаще всего ее используют для доступа к ресурсам с закрытой или ценной информацией.

Основоположник

Основоположником социальной инженерии является Кевин Митник. Однако само понятие к нам пришло из социологии. Оно обозначает общий набор подходов, которыми пользуются прикладные соц. науки, ориентированные на изменение организационной структуры, способной определять поведение человека и осуществлять контроль над ним. Кевина Митника можно считать родоначальником данной науки, так как именно он популяризировал соц. инженерию в первом десятилетии XXI века. Сам Кевин ранее был хакером, совершавшим в самые разнообразные базы данных. Он утверждал, что фактор человека является самым уязвимым местом системы любого уровня сложности и организации.

Если говорить о методах социальной инженерии как о способе получения прав (чаще незаконных) на пользование конфиденциальными данными, то можно сказать, что они были уже известны очень давно. Однако донести всю важность их значения и особенности применения смог именно К. Митник.

Фишинг и несуществующие ссылки

Любая техника социальной инженерии базируется на наличии когнитивных искажений. Ошибки поведения становятся «орудием» в руках умелого инженера, который в будущем может создать атаку, направленную на получение важных данных. Среди методов социальной инженерии выделяют фишинг и несуществующие ссылки.

Фишинг - интернет-мошенничество, предназначенное для получения личной информации, например, о логине и пароле.

Несуществующая ссылка - использование ссылки, которая будет заманивать получателя определенными преимуществами, которые можно получить, перейдя по ней и посетив определенный сайт. Чаще всего используют имена крупных фирм, внося малозаметные коррективы в их наименование. Жертва, перейдя по ссылке, «добровольно» передаст свои личные данные злоумышленнику.

Методы с применением брендов, дефектных антивирусов и подложной лотереи

В социальной инженерии также используют методы мошенничества с применением известных брендов, дефектных антивирусов и подложной лотереи.

«Мошенничество и бренды» - способ обмана, который также относится к разделу фишинговых. Сюда входят электронные почты и веб-сайты, которые содержат название крупной и / или «раскрученной» компании. С их страничек рассылаются сообщения с уведомлением о победе в определенном конкурсе. Далее требуется введение важных данных учетной записи и их кража. Также данная форма мошенничества может осуществляться по телефону.

Подложная лотерея - способ, в котором жертве отсылаются сообщение с текстом о том, что он(а) выиграл(а) в лотерею. Чаще всего оповещение маскируют использованием имен крупных корпораций.

Ложные антивирусы - это мошенничество над программным обеспечением. Здесь применяются программы, которые внешне похожи на антивирусы. Однако на деле они приводят к генерированию ложных уведомлений об определенной угрозе. Также они стараются завлекать пользователей в сферу транзакций.

Вишинг, фрикинг и претекстинг

Говоря о социальной инженерии для начинающих, стоит также упомянуть о вишинге, фрикинге и претекстинге.

Вишинг - это форма обмана, использующая телефонные сети. Здесь используются предварительно записанные голосовые сообщения, целью которых является воссоздание «официального звонка» банковской структуры или любой другой системы IVR. Чаще всего просят ввести логин и / или пароль с целью подтверждения какой-либо информации. Другими словами, системой требуется прохождение аутентификации со стороны пользователя с использованием PIN-кодов или паролей.

Фрикинг - это еще одна форма телефонного обмана. Представляет собой систему взлома с применением звуковых манипуляций и тонового набора.

Претекстинг - нападение с применением заранее продуманного плана, суть которого заключается в представлении другим субъектом. Крайне сложный способ обмана, так как он требует тщательной подготовки.

Квид-про-кво и метод «дорожного яблока»

Теория социальной инженерии - многогранная база данных, включающая в себя как методы обмана и манипуляции, так и способы борьбы с ними. Главной задачей злоумышленников, как правило, является выуживание ценной информации.

Среди других видов афер выделяют: квид-про-кво, метод «дорожного яблока», плечевой серфинг, использование открытых источников и обратную соц. инженерию.

Квид-про-кво (от лат. - «то за это») - попытка выудить информацию компании или фирмы. Происходит это путем обращению в нее по телефону или посредством пересылки сообщений по электронной почте. Чаще всего злоумышленники представляются сотрудниками тех. поддержки, которые сообщают о наличии определенной проблемы на рабочем месте работника. Далее они предлагают способы ее устранения, например, посредством установления программного обеспечения. ПО оказывается дефектным и способствует продвижению преступления.

«Дорожное яблоко» - это метод атаки, который основан на идее троянского коня. Его суть заключается в использовании физического носителя и подмене информации. Например, могут снабдить карту памяти определенным «благом», которое привлечет внимание жертвы, вызовет желание открыть и использовать файл или перейти по ссылкам, указанным в документах флешки. Объект «дорожного яблока» сбрасывают в социальных местах и ждут, пока каким-либо субъектом не будет реализован план злоумышленника.

Сбор и поиск информации из источников отрытого типа представляет собой аферу, в которой получение данных основано на методах психологии, умении замечать мелочи и анализе доступных данных, например, странички из социальной сети. Это достаточно новый способ социальной инженерии.

Плечевой серфинг и обратная соц. инженерия

Понятие «плечевой серфинг» определяет себя как наблюдение за субъектом вживую в буквальном смысле. При этом виде выуживания данных злоумышленник отправляется в общественные места, например, кафе, аэропорт, вокзал и следит за людьми.

Не стоит недооценивать данный метод, так как множество опросов и исследования показывают, что внимательный человек может получать множество конфиденциальной информации просто проявляя наблюдательность.

Социальная инженерия (как уровень социологического знания) является средством для «захвата» данных. Существуют способы получения данных, при которых жертва сама предложит злоумышленнику необходимую информацию. Однако она может служить и во благо общества.

Обратная соц. инженерия - еще один метод этой науки. Применение этого термина становится уместным в случае, который мы упомянули выше: жертва сама предложит злоумышленнику необходимую информацию. Не стоит воспринимать это утверждение как абсурд. Дело в том, что субъекты, наделенные авторитетом в определенных сферах деятельности, нередко получают доступ к данным идентификации по собственному решению субъекта. Основой здесь служит доверие.

Важно помнить! Сотрудники служб поддержки никогда не потребуют у пользователя, например, пароль.

Осведомление и защита

Обучение социальной инженерии может осуществляться индивидом как на основе личной инициативы, так и на основе пособий, которые используются в особых учебных программах.

Преступниками могут применяться самые разнообразные виды обмана, начиная от манипуляции и заканчивая ленью, доверчивостью, любезностью пользователя и т. д. От такого вида атак крайне сложно защитить себя, что обусловлено отсутствием у жертвы осознания того, что его (ее) обманули. Различные фирмы и компании для защиты своих данных на этом уровне опасности часто занимаются оценкой общей информации. Далее происходит интегрирование необходимых мер защиты в политику безопасности.

Примеры

Примером социальной инженерии (ее акта) в области способа глобальных фишинговых рассылок является событие, произошедшее в 2003 году. В ходе этой аферы пользователям eBay были посланы письма на электронные адреса. В них утверждалось, что учетные записи, принадлежащие им, были заблокированы. Для отмены блокировки необходимо было ввести заново данные учетной записи. Однако письма были поддельными. Они переводили на страницу, идентичную официальной, но поддельную. По экспертным оценкам, убыток был не слишком значительным (менее миллиона долларов).

Определение ответственности

За применение социальной инженерии может предусматриваться наказание в некоторых случаях. В ряде стран, например, США, претекстинг (обман посредством выдачи себя за другую личность) приравнивают к вторжению в личную жизнь. Однако это может наказываться законом, если полученная в ходе претекстинга информация была конфиденциальной с точки зрения субъекта или организации. Запись телефонного разговора (как метод соц. инженерии) также предусмотрена законом и требует выплаты штрафа в виде 250 000 долларов или лишения свободы сроком до десяти лет для физ. лиц. Юридические субъекты обязаны выплатить 500 000 $; срок остается тот же.

Социальная инженерия - метод получения необходимого доступа к информации, основанный на особенностях психологии людей. Основной целью социальной инженерии является получение доступа к конфиденциальной информации, паролям, банковским данным и другим защищенным системам. Хотя термин социальной инженерии появился не так давно, сам метод получения информации таким способом используется довольно долго. Сотрудники ЦРУ и КГБ, которые хотят заполучить некоторую государственную тайну, политики и кандидаты в депутаты, да и мы сами, при желании получить что-либо, часто даже не понимая этого, используем методы социальной инженерии.

Для того, чтобы обезопасить себя от воздействия социальной инженерии, необходимо понять, как она работает. Рассмотрим основные типы социальной инженерии и методы защиты от них.

Претекстинг - это набор действий, отработанных по определенному, заранее составленному сценарию, в результате которого жертва может выдать какую-либо информацию или совершить определенное действие. Чаще всего данный вид атаки предполагает использование голосовых средств, таких как Skype, телефон и т.п.

Для использования этой техники злоумышленнику необходимо изначально иметь некоторые данные о жертве (имя сотрудника; должность; название проектов, с которыми он работает; дату рождения). Злоумышленник изначально использует реальные запросы с именем сотрудников компании и, после того как войдет в доверие, получает необходимую ему информацию.

Фишинг – техника интернет-мошенничества, направленная на получение конфиденциальной информации пользователей - авторизационных данных различных систем. Основным видом фишинговых атак является поддельное письмо, отправленное жертве по электронной почте, которое выглядит как официальное письмо от платежной системы или банка. В письме содержится форма для ввода персональных данных (пин-кодов, логина и пароля и т.п) или ссылка на web-страницу, где располагается такая форма. Причины доверия жертвы подобным страницам могут быть разные: блокировка аккаунта, поломка в системе, утеря данных и прочее.

Троянский конь – это техника основывается на любопытстве, страхе или других эмоциях пользователей. Злоумышленник отправляет письмо жертве посредством электронной почты, во вложении которого находится «обновление» антивируса, ключ к денежному выигрышу или компромат на сотрудника. На самом же деле во вложении находится вредоносная программа, которая после того, как пользователь запустит ее на своем компьютере, будет использоваться для сбора или изменение информации злоумышленником.

Кви про кво (услуга за услугу) – данная техника предполагает обращение злоумышленника к пользователю по электронной почте или корпоративному телефону. Злоумышленник может представиться, например, сотрудником технической поддержки и информировать о возникновении технических проблем на рабочем месте. Далее он сообщает о необходимости их устранения. В процессе «решения» такой проблемы, злоумышленник подталкивает жертву на совершение действий, позволяющих атакующему выполнить определенные команды или установить необходимое программное обеспечение на компьютере жертвы.

Дорожное яблоко – этот метод представляет собой адаптацию троянского коня и состоит в использовании физических носителей (CD, флэш-накопителей). Злоумышленник обычно подбрасывает такой носитель в общедоступных местах на территории компании (парковки, столовые, рабочие места сотрудников, туалеты). Для того, чтобы у сотрудника возник интерес к данному носителю, злоумышленник может нанести на носитель логотип компании и какую-нибудь подпись. Например, «данные о продажах», «зарплата сотрудников», «отчет в налоговую» и другое.

Обратная социальная инженерия - данный вид атаки направлен на создание такой ситуации, при которой жертва вынуждена будет сама обратится к злоумышленнику за «помощью». Например, злоумышленник может выслать письмо с телефонами и контактами «службы поддержки» и через некоторое время создать обратимые неполадки в компьютере жертвы. Пользователь в таком случае позвонит или свяжется по электронной почте с злоумышленником сам, и в процессе «исправления» проблемы злоумышленник сможет получить необходимые ему данные.

Рисунок 1 – Основные типы социальной инженерии

Меры противодействия

Основным способом защиты от методов социальной инженерии является обучение сотрудников. Все работники компании должны быть предупреждены об опасности раскрытия персональной информации и конфиденциальной информации компании, а также о способах предотвращения утечки данных. Кроме того, у каждого сотрудника компании, в зависимости от подразделения и должности, должны быть инструкции о том, как и на какие темы можно общаться с собеседником, какую информацию можно предоставлять для службы технической поддержки, как и что должен сообщить сотрудник компании для получения той или иной информации от другого сотрудника.

Кроме этого, можно выделить следующие правила:

• Пользовательские учетные данные являются собственностью компании.
Всем сотрудникам в день приема на работу должно быть разъяснено то, что те логины и пароли, которые им выдали, нельзя использовать в других целях (на web-сайтах, для личной почты и т.п), передавать третьим лицам или другим сотрудникам компании, которые не имеют на это право. Например, очень часто, уходя в отпуск, сотрудник может передать свои авторизационные данные своему коллеге для того, чтобы тот смог выполнить некоторую работу или посмотреть определенные данные в момент его отсутствия.
• Необходимо проводить вступительные и регулярные обучения сотрудников компании, направленные на повышения знаний по информационной безопасности .
Проведение таких инструктажей позволит сотрудникам компании иметь актуальные данные о существующих методах социальной инженерии, а также не забывать основные правила по информационной безопасности.
• Обязательным является наличие регламентов по безопасности, а также инструкций, к которым пользователь должен всегда иметь доступ. В инструкциях должны быть описаны действия сотрудников при возникновении той или иной ситуации.
Например, в регламенте можно прописать, что необходимо делать и куда обращаться при попытке третьего лица запросить конфиденциальную информацию или учетные данные сотрудников. Такие действия позволят вычислить злоумышленника и не допустить утечку информации.
• На компьютерах сотрудников всегда должно быть актуальное антивирусное программное обеспечение.
На компьютерах сотрудников также необходимо установить брандмауэр.
• В корпоративной сети компании необходимо использовать системы обнаружения и предотвращения атак.
Также необходимо использовать системы предотвращения утечек конфиденциальной информации. Все это позволит снизить риск возникновения фитиновых атак.
• Все сотрудники должны быть проинструктированы, как вести себя с посетителями.
Необходимы четкие правила для установления личности посетителя и его сопровождения. Посетителей всегда должен сопровождать кто-то из сотрудников компании. Если сотрудник встречает неизвестного ему посетителя, он должен в корректной форме поинтересоваться, с какой целью посетитель находится в данном помещении и где его сопровождение. При необходимости сотрудник должен сообщить о неизвестном посетители в службу безопасности.
• Необходимо максимально ограничить права пользователя в системе.
Например, можно ограничить доступ к web-сайтам и запретить использование съемных носителей. Ведь, если сотрудник не сможет попасть на фишинговый сайт или использовать на компьютере флеш-накопитель с «троянской программой», то и потерять личные данные он также не сможет.

Исходя из всего перечисленного, можно сделать вывод: основной способ защиты от социальной инженерии – это обучение сотрудников. Необходимо знать и помнить, что незнание не освобождает от ответственности. Каждый пользователь системы должен знать об опасности раскрытия конфиденциальной информации и знать способы, которые помогут предотвратить утечку. Предупрежден – значит вооружен!