Телефон: 8-800-350-22-65
WhatsApp: 8-800-350-22-65
Telegram: sibac
Прием заявок круглосуточно
График работы офиса: с 9.00 до 18.00 Нск (5.00 - 14.00 Мск)

Статья опубликована в рамках: Научного журнала «Студенческий» № 12(12)

Рубрика журнала: Технические науки

Секция: Технологии

Скачать книгу(-и): скачать журнал

Библиографическое описание:
Семёнов Д.А. СОЦИАЛЬНАЯ ИНЖЕНЕРИЯ И СОВРЕМЕННЫЕ МЕТОДЫ БОРЬБЫ С НЕЙ // Студенческий: электрон. научн. журн. 2017. № 12(12). URL: https://sibac.info/journal/student/12/82127 (дата обращения: 29.03.2024).

СОЦИАЛЬНАЯ ИНЖЕНЕРИЯ И СОВРЕМЕННЫЕ МЕТОДЫ БОРЬБЫ С НЕЙ

Семёнов Дмитрий Андреевич

студент кафедры ИКБиСП Московского Технологического Университета,

 РФ, Москва

Аннотация. В настоящее время информация является одним из важнейших активов современных компаний, а основной задачей является обеспечение безопасности данных. Рассматриваемая тема является одной из основных в информационной безопасности, так как большая часть взломов происходит именно с использованием слабостей человеческого фактора. Современные методы защиты от хакерских (кракерских) угроз предлагают огромный технический инструментарий для защиты от взломов без использования такого звена как оператор рабочей станции. Социальная инженерия подразумевает использование людей для достижения поставленных целей. Типичный социальный инженер должен обязательно сочетать такие качества как убедительность и лживость. Нет ни одной технологии, которая бы успешно противостояла атаке социального инженера.

Ключевые слова: социальная инженерия, конфиденциальность, информация, безопасность, пользователь, злоумышленник, конфиденциальность, претекстинг, квид про кво, фишинг, вишинг.

 

Сам термин социальная инженерия появился недавно, считается, что свою популярность в сфере информационной безопасности он получил благодаря Кевину Митнику, одному из самых известных хакеров двадцатого века. Но при этом очевидно, что социальная инженерия возникла в одно время с возникновением первых общественных связей.

Технологический прогресс не стоит на месте, постоянно идёт усложнение вычислительных систем. Раньше системный оператор мог полностью знать процессы, происходящие внутри рабочей станции. Сейчас же необходимо постоянно следить за всеми новинками и хорошо понимать бэкграунд IT процессов, чтобы разбираться в процессах защиты и атаки.  Чаще всего современные как хакерские группы, так и группы специалистов по информационной безопасности состоят из нескольких узких специалистов в разных сферах

Самое главное, что для защиты от атак социальных инженеров недостаточно применять только технические средства. Как говорили в своём интервью печально известные социальные инженеры и мошенники братья Бадир: «Полностью от сетевых атак застрахован лишь тот, кто не пользуется телефоном, электричеством и ноутбуком». Механика поведения людей не сильно изменилась за последнее время, что позволяет социальным инженерам использовать одни и те же методики, проверенные временем. Но при всем при этом существуют определённые методы, которые снизят риск получения социальным инженером конфиденциальной информации.

В данной статье мы рассмотрим такие техники, как плечевой серфинг, претекстинг, телефонный фрикинг, фишинг и квид про кво.

Начнем с самого старого и простого метода, с плечевого серфинга (shoulder surfing). Данный метод предусматривает получение информации через плечо жертвы. Такой тип атаки очень распространён в общественных местах вроде бизнес-центров, торговых комплексов и так далее. Другими словами, плечевой серфинг — это просто поиск конфиденциальной информации, находящейся почти в открытом доступе. К примеру, почти в любой крупной компании можно заметить у коллег на столах и мониторах информацию, доступ к которой ограничен.

Для того чтобы бороться с плечевым серфингом следует установить политику чистого стола и чистого экрана, снижающую риск несанкционированного доступа к информации. Подробнее о политике чистого стола и чистого экрана можно прочитать пункт 11.2.9 в международном стандарте ISO/IEC 27002.

Претекстинг (pretexting) – это особая техника социальной инженерии, в которой злоумышленник работает по уже подготовленной легенде. Обычно эта техника реализуется через мессенджеры, электронную почту или телефонные переговоры. Здесь большую роль сыграло развитие социальных сетей. Благодаря высокому уровню открытости личной жизни у большинства людей, собрать информацию о конкретном человеке не составляет труда, что облегчает осуществление «маскарада», создаваемого социальным инженером. Так же социальный инженер может довольно долгое время обрабатывать свою жертву, сделать так, чтобы его сообщение или звонок не казались чем-то необыденным, и только после этого попросить оказать нужную ему услугу.

В качестве средства борьбы с претекстингом, можно предложить персоналу ограничивать доступ к своим личным данным в социальных сетях. В большинстве социальных сетей можно установить возможность просмотра личных данных только для одобренных пользователей.

Техника квид про кво (quid pro quo). В переводе на русский язык это словосочетание обозначает услуга за услугу. Суть данной техники в том, чтобы заставить жертву думать, что вы ей помогаете. К примеру, вы можете позвонить сотруднику, имеющему доступ к конфиденциальной информации, представиться техническим консультантом компании. Перед этим следует, либо создать, либо придумать несуществующую проблему, связанную с рабочей станцией. В конце следует доказать, что ваши услуги необходимы для жертвы и в случае успеха, попросить предпринять действия, позволяющее вам удалённо получать информацию и устанавливать программное обеспечение. Как показывает практика большая часть сотрудников готовы вам доверится и разгласить пароли, ради какой-либо услуги. Такие атаки обычно совершаются на новых работников компании, не успевших привыкнуть к внутренней обстановке.

Можно выделить несколько вариантов борьбы с техникой квид про кво. Первый из них, стараться сразу же знакомить новых сотрудников с персоналом, в том числе и с техническими специалистами. Второй вариант заключается в создании белого списка в компании. То есть звонки будут совершаться только с авторизированных телефонных аппаратов.

Самой распространенной техникой социальной инженерии является фишинг (fishing). Это интернет рассылки, где злоумышленники «выуживают» конфиденциальные данные жертвы. Лучше всего работают сообщения вызывающие яркие эмоции у человека, вроде: «Ваш банковский аккаунт заблокирован». Злоумышленники обычно также пытаются подделать страницу авторизации банков, или социальных сетей. Фишинг может быть, как направленным, так и ненаправленным. Направленный фишинг, отличается тем, что у мошенников уже есть некоторая информация о вас, к примеру, каким банком вы пользуетесь, или данные со странички в социальной сети. Данные позволяют создать сообщение, ориентированное лично на вас, что повышает вероятность того, что вы отреагируете на рассылку. Примером ненаправленного фишинга может служить, недавняя рассылка о выигрыше бесплатных авиабилетов таких компаний как Аэрофлот и S7. Там пользователь получал сообщение о выигрыше двух бесплатных билетов в любую точку мира. Для их получения следовало поделиться записью в социальной сети, и ввести свой номер телефона. После ввода своего номера пользователь подписывался на платные услуги, а билеты естественно никто так и не получал.

Для борьбы с фишингом следует постоянно проводить обучение пользователей. Необходимо развивать умение отличать настоящие письма от фишинговых. К примеру сообщение от банка обязательно должно содержать последние, а не первые цифры расчетного счёта, так как первые цифры у большинства держателей карт всегда одинаковые. Так же стоит усложнять процедуры авторизации. К примеру, использовать двухфакторную аутентификацию или менеджеры паролей. Не стоит забывать использовать браузеры, предупреждающие фишинговые атаки. К ним можно отнести: Internet Explorer, Mozilla Firefox, Google Chrome, Safari и Opera.

Перейдём к вишингу (vishing). Им обычно называют мошенничество, связанное с телефонными и мобильными сетями. Может показаться, что данная тема устарела с появлением мобильных мессенджеров и других технологий, позволяющих общаться с помощью сети интернет, но это не так. Вишинг до сих пор довольно часто практикуется, его довольно часто используют хедхантеры (специалисты по поиску сотрудников, подходящих по всем параметрам для вакансии). Злоумышленнику необходимо удержать свою жертву на телефоне, а это не так уж и просто. Чаще всего злоумышленники представляются коллегами по работе, репортерами и банковскими работниками. Мошенники могут либо вытянуть из своей жертвы конфиденциальную информацию, либо побудить к определённым действиям. Вишинг может проходить в несколько этапов. К примеру, несколько звонков могут служить для сбора информации для того, чтобы впоследствии вызывать меньше подозрений.

Можно выделить несколько правил для борьбы с вишингом. Задавайте больше вопросов, человеку, который вам звонит. При возникновении малейших подозрений лучше сразу же закончить разговор. Будьте более бдительными при телефонных разговорах с незнакомыми вам людьми.

В заключение хочется отметить что, при должном уровне осведомлённости человек становится более сложной целью для социального инженера. Не стоит забывать проводить тренинги и проверки сотрудников вашей компании для проверки их знаний в этой сфере. Не стоит недооценивать важность такого аспекта как информационная безопасность.

 

Список литературы:

  1. Гридин А. Краткое введение в социальную инженерию [Электронный ресурс] – Режим доступа: https://habrahabr.ru/post/83415/ (дата обращения: 15.08.2017).
  2. Карев А. Социальная инженерия из первых рук [Электронный ресурс] – Режим доступа: https://habrahabr.ru/post/271717/ (дата обращения: 15.08.2017).
  3. Понтироли С. Социальная инженерия, или Как «взломать» человека [Электронный ресурс] – Режим доступа: https://www.kaspersky.ru/blog/socialnaya-inzheneriya-ili-kak-vzlomat-cheloveka/2559/ (дата обращения: 16.08.2017).
  4. Саймон В.Л., Митник К. Искусство обмана.  – Компания АйТи, 2004; ISBN-5-98453-011-2; 0-471-23712-4.

Оставить комментарий

Форма обратной связи о взаимодействии с сайтом
CAPTCHA
Этот вопрос задается для того, чтобы выяснить, являетесь ли Вы человеком или представляете из себя автоматическую спам-рассылку.