Соціальна інженерія (безпека)[ред - Google Документы

Соціальна інженерія (безпека)[ред - Google Документы:

Соціальна інженерія (безпека)

Соціа́льна інженерія — це наука, що вивчає людську поведінку та фактори, які на неї впливають. Нині її часто використовують для маніпуляції з метою спонукати людину виконати певні дії чи розголосити конфіденційну інформацію.

Основною метою соціальної інженерії є:

• дослідження причин тої чи іншої поведінки людини;
• обставин та середовища, що впливають на формування системи цінностей індивіду, і як наслідок - їх поведінки.

На базі цих досліджень можна визначити, що саме спонукає людину на конкретну дію.

Наприклад: вивчення середовища, в якому жив вбивця, допоможе зрозуміти його систему цінностей. Ця інформація надасть можливість розробити соціальну структуру, в якій будуть формуватись інші системи цінностей. Системи цінностей, у яких насамперед буде цінуватись людське життя та індивідуальність.

Термін «соціальна інженерія» як акт психологічної маніпуляції також пов'язують із суспільними науками, однак він широко використовується серед спеціалістів з комп'ютерної та інформаційної безпеки.

Методи і термінологія[ред. • ред. код]

Методи несанкціонованого доступу до інформації можна умовно поділити на дві категорії: з використанням методів соціальної інженерії та без них. На відміну від другого випадку, коли зловмисник повинен володіти знаннями у галузі ІТ, у першому для отримання конфіденційних даних він спирається на знання з соціології та психології.

Психологічною передумовою застосування методів соціальної інженерії є така особливість людської психіки, як когнітивні упередження. Через це надійність комп'ютерної системи є не вищою, ніж надійність її оператора. Зловмисники проникають навіть у добре спроектовані, захищені комп'ютерні системи, скориставшись неуважністю довірених користувачів або умисно вводячи їх в оману (наприклад, відрекомендувавшись системним адміністратором або амбасадором комерційного бренду, надсилають повідомлення із запитом паролів).

Існують різні типи кібератак, наприклад, уведення шкідливого коду у код веб-сайту або застосування шкідливих програм (вірусів, троянів тощо). Атаки такого виду перешкоджають керуванню пошкодженим продуктом або його налагодженню. Що ж стосується соціальної інженерії, то цей тип атак спрямований не безпосередньо на комп'ютерну систему, а на її користувачів - "найслабшу ланку", і шляхом обходу інфраструктури, призначеної для захисту від шкідливих програм, він дозволяє досягти тих же результатів, що й інші види кібератак. Оскільки такі прийоми значно складніше виявити чи запобігти їм, цей напрям атак є набагато ефективнішим за інші.

Основна тактика соціальної інженерії - за допомогою психологічних методів (наприклад, спілкуючись начебто від імені сервісної компанії чи банку) переконати користувача розкрити інформацію особистого характеру (паролі, номери кредитних карток тощо).

Претекстинг[ред. • ред. код]

Претекстинг, від англ. pretexting, у Великій Британії також використовується термін blagging чи bohoing, полягає у застосуванні заздалегідь розробленого сценарію (приводу, чи претексту), щоб спонукати вибрану жертву до розголошення інформації чи виконання дій, до яких у звичайних обставинах вона не вдалася б. Оскільки цей метод ґрунтується на спланованій схемі обману, то атакуванню передує збір інформації, необхідної шахраєві для того, аби видати себе за іншу особу (з'ясування дати народження, паспортних та інших ідентифікуючих даних, суми останнього рахунку тощо), щоб у жертви не виникло сумнівів у законності дій шахрая.

Фішинг[ред. • ред. код]

Фішинг (англ. fishing) — це метод заволодіння інформацією приватного характеру обманним шляхом. Зазвичай фішер надсилає електронний лист начебто від імені офіційної установи — банку чи платіжної системи — із запитом про «верифікацію» інформації та попередженням про настання певних негативних наслідків у разі невиконання зазначених вимог. Такий лист, як правило, містить посилання на підробну веб-сторінку, схожу на справжню (із логотипами компанії, аналогічним контентом та ін.), де від користувача вимагається ввести у форму особисті дані, від домашньої адреси до PIN-коду банківської платіжної картки.

Телефонний фішинг[ред. • ред. код]

Телефонний фішинг (англ. vishing від поєднання Voice та Fishing) — це один з найстаріших методів соціальної інженерії. Телефонний зв'язок забезпечує унікальні можливості для проведення соціотехнічних атак і є звичним і знеособленим засобом спілкування, оскільки жертва не може бачити зловмисника. Основні цілі таких атак:

• Запит інформації, яка забезпечує доступ до самої телефонної системи або дозволяє отримати віддалений доступ до комп'ютерних систем.
• Отримання можливості здійснювати безкоштовні дзвінки.
• Отримання доступу до комунікаційної мережі.

Запит інформації чи доступу по телефону є порівняно безпечним видом атаки для зловмисника. Якщо жертва починає підозрювати щось чи відмовляється виконувати запит, зловмисник завжди може покласти трубку.

Дорожнє яблуко[ред. • ред. код]

Метод атаки «Дорожнє яблуко» схожий на дію троянської програми. Зміст атаки в тому, щоб підкинути співробітнику компанії фальшивий фізичний носій інформації (флеш-накопичувач, тощо). Носій має виглядати як офіційний, мати логотип чи надпис, що зацікавить співробітника, наприклад флеш-накопичувач з надписом «заробітна плата 2017—2018». Якщо співробітник вставить такий носій до комп'ютеру, що має зв'язок з корпоративною мережею підприємства, запускається шкідливий код і зловмисник отримує доступ до одного комп'ютера чи до усієї мережі.

Інші методи[ред. • ред. код]

Пошук інформації в смітті. Варто дотримуватися правил утилізації паперового сміття та електронних носіїв інформації, особливо якщо це стосується конфіденційної та корпоративної, закритої чи відкритої інформації. Міри безпечної утилізації стосуються і електронних офісних пристроїв.

Індивідуальні підходи. До індивідуальних підходів можна віднести як негативні стратегії, так і позитивні. Є наступні підходи: залякування (зловмисники, які обрали цю стратегію, примушують жертву виконати запит за допомогою шантажу або видачі себе за іншу особу), переконання, виклик довіри.

Зворотня соціотехніка. Соціотехніка - цей термін використовується для позначення шахрайських дій, спрямованих на отримання інформації, яка дає змогу проникнути до певної системи та даних, що в ній знаходяться. Соціотехніка зазвичай є грою зловмисника на довірі людини Захист від атак, який заснований на зворотній соціотехніці, є досить важким. У жертви немає підстав підозрювати зловмисника у чомусь, оскільки при таких атаках створюється враження, що ситуація знаходиться під її контролем.

Методи протидії[ред. • ред. код]

Соціальна інженерія є багатогранним і складним способом отримання конфіденційної інформації від користувачів із застосуванням методів переконання і технологічних засобів. Будь-яка людина в сучасному світі є вразливою до соціальної інженерії, а, отже, повинна залишатися постійно в курсі того, з ким вона взаємодіє як в режимі онлайн, так і віч-на-віч. Завдяки підвищенню розпізнавання недостовірної інформації та спроб обдурити користувачів у розголошенні секретної інформації, компанія та її співробітники зможуть підтримувати безпечне середовище не тільки для себе, а й для клієнтів та власних активів.

Поняття соціальної інженерії було введено Кевіном Митником і досить часто згадується в ряді статей та доповідей з тематики безпеки мереж та інформації . Статистика демонструє, що велика кількість людей недостатньо зосереджує свою увагу при використанні власної конфіденційної інформації. Для прикладу можна розглянути процес введення паролю при вході в комп’ютер, або доступ до онлайн-рахунку в банку, і яскравим прикладом є необережність при вході в соціальні мережі. Поняття паролю і таємного (секретного) запитання здається тривіальним для більшості користувачів, хоча недооцінювати їх значення не можна.

Примітки[ред. • ред. код]

Література[ред. • ред. код]

• В. Л. Бурячок, В. Б. Толубко, В. О. Хорошко, С. В. Толюпа (2015). У В. Б. Толубко (загальна редакція). Інформаційна на кіберберзпека: соціотехнічний аспект. Київ: Державний університет телекомунікацій. ISBN 978-966-2970-86-9.
• Markus Jakobsson, ред. (2016). Understanding social engineering based scams. New York, NY: Springer Science+Business Media. ISBN 978-1-4939-6455-0.

Див. також[ред. • ред. код]

• Розвинена стала загроза
• Соціальна мережа (Інтернет)

iReader

Социальная инженерия — Википедия

У этого термина существуют и другие значения, см. Социальная инженерия (значения).

Социальная инженерия — метод управления действиями человека без использования технических средств. Метод основан на использовании слабостей человеческого фактора и считается очень разрушительным. Зачастую социальную инженерию рассматривают как незаконный метод получения информации, однако это не совсем так. Социальную инженерию можно также использовать и в законных целях — не только для получения информации, но и для совершения действий конкретным человеком. Сегодня социальную инженерию зачастую используют в интернете для получения закрытой информации или информации, которая представляет большую ценность.

Содержание

[скрыть]

• 1 История
• 2 Техники
• 2.1 Фишинг
• 2.1.1 Как распознать фишинг-атаку
• 2.1.2 Популярные фишинговые схемы
• 2.1.2.1 Несуществующие ссылки
• 2.1.2.2 Мошенничество с использованием брендов известных корпораций
• 2.1.2.3 Подложные лотереи
• 2.1.2.4 Ложные антивирусы и программы для обеспечения безопасности
• 2.1.2.5 IVR или телефонный фишинг
• 2.2 Телефонный фрикинг
• 2.3 Претекстинг
• 2.3.1 Квид про кво
• 2.3.2 «Дорожное яблоко»
• 2.4 Сбор информации из открытых источников
• 2.5 Плечевой серфинг
• 2.6 Обратная социальная инженерия
• 3 Известные социальные инженеры
• 3.1 Кевин Митник
• 3.2 Братья Бадир
• 3.3 Архангел
• 3.4 Другие
• 4 Способы защиты от социальной инженерии
• 4.1 Как определить атаку социального инженера
• 4.2 Классификация угроз
• 4.2.1 Угрозы, связанные с телефоном
• 4.2.2 Угрозы, связанные с электронной почтой
• 4.2.3 Угрозы, связанные с использованием службы мгновенного обмена сообщениями
• 4.3 Основные защитные методы
• 4.4 Многоуровневая модель обеспечения безопасности
• 5 Ответственность
• 5.1 Претекстинг и запись телефонных разговоров
• 5.2 Hewlett-Packard
• 6 В массовой культуре
• 7 Примечания
• 8 См. также
• 9 Ссылки

История[править | править код]

Сам термин "социальная инженерия" является социологическим и обозначает совокупность подходов прикладных социальных наук, которые ориентированы на целенаправленное изменение организационных структур, определяющих человеческое поведение и обеспечивающих контроль за ним. В сфере информационной безопасности данный термин был популяризован в начале 21 века бывшим компьютерным преступником, ныне консультантом по безопасности Кевином Митником, который утверждал, что самое уязвимое место любой системы безопасности - человеческий фактор.

Методы социальной инженерии в смысле получения доступа к конфиденциальной информации либо мотивации к действию с помощью технических и нетехнических методов были известны задолго до популяризации термина Митника и вообще до компьютерной эры. Например, группа исследователей из врачей и медсестер трех больниц Среднего Запада проводила исследование, в котором психологи по телефону представлялись врачами и просили медсестер вколоть пациенту смертельную дозу лекарства. Несмотря на то, что медсестры знали, что делали, в 95 % случаев они беспрекословно выполняли команду (разумеется, их останавливали ассистенты на входе в палату).

Техники[править | править код]

Все техники социальной инженерии основаны на когнитивных искажениях. Эти ошибки в поведении используются социальными инженерами для создания атак, направленных на получения конфиденциальной информации, часто с согласия жертвы.

Так, одним из простых примеров является ситуация, в которой некий человек входит в здание компании и вешает на информационном бюро объявление, выглядящее как официальное, с информацией об изменении телефона справочной службы интернет-провайдера. Когда сотрудники компании звонят по этому номеру, злоумышленник может запрашивать личные пароли и идентификаторы для получения доступа к конфиденциальной информации.

Фишинг[править | править код]

Пример фишингового письма, отправленного от почтового сервиса, запрашивающего «реактивацию счета»

Основная статья: Фишинг

Фишинг (англ. phishing, от fishing — рыбная ловля, выуживание) — это вид интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей — логинам и паролям. Это самая популярная схема социальной инженерии на сегодняшний день. Ни одна крупная утечка персональных данных не обходится без волны фишинговых рассылок, предшествующих ей. Наиболее ярким примером фишинговой атаки может служить сообщение, отправленное жертве по электронной почте и подделанное под официальное письмо — от банка или платёжной системы — требующее проверки определённой информации или совершения определённых действий. Причины могут называться самые различные. Это может быть утеря данных, поломка в системе и прочее. Такие письма обычно содержат ссылку на фальшивую веб-страницу, в точности похожую на официальную и содержащую форму, требующую ввести конфиденциальную информацию[3].

Как распознать фишинг-атаку[править | править код]

Практически каждый день появляются новые схемы мошенничества. Большинство людей может самостоятельно научиться распознавать мошеннические сообщения, познакомившись с их некоторыми отличительными признаками. Чаще всего фишинговые сообщения содержат:

• сведения, вызывающие беспокойство, или угрозы, например, закрытия пользовательских банковских счетов;
• обещания огромного денежного приза с минимальными усилиями или вовсе без них;
• запросы о добровольных пожертвованиях от лица благотворительных организаций;
• непреднамеренные грамматические, пунктуационные и орфографические ошибки, выдающие подделку;
• умышленные грамматические, орфографические или фактологические ошибки в данных, касающихся пользователя и провоцирующие желание исправить их;
• имитацию повреждённого или неправильно перекодированного текста;
• адрес несуществующего почтового ящика, указанного в качестве адреса отправителя.

Популярные фишинговые схемы[править | править код]

Ниже описываются самые популярные фишинговые схемы мошенничества.

Несуществующие ссылки[править | править код]

Атака, которая заключается в отправлении письма с соблазнительной причиной посетить сайт и прямой ссылкой на него, которая лишь имеет сходство с ожидаемым сайтом, например, www.PayPai.com. Выглядит это, будто это ссылка на PayPal, мало кто заметит, что буква "l" заменена на "i". Таким образом, при переходе по ссылке жертва увидит сайт, максимально идентичный ожидаемому, и при вводе данных своей кредитной карты эта информация сразу направляется к злоумышленнику.

Одним из наиболее известных примеров глобальной фишинговой рассылки может служить афера 2003 года, во время которой тысячи пользователей eBay получили электронные письма, в которых утверждалось, что их учетная запись была заблокирована, и для её разблокировки требуется обновить данные о кредитных картах. Во всех этих письмах присутствовала ссылка, ведущая на поддельную веб-страницу, в точности похожую на официальную. Впрочем, по подсчетам экспертов, убытки от этой аферы составили менее миллиона долларов (несколько сотен тысяч)[1].

Мошенничество с использованием брендов известных корпораций[править | править код]

В таких фишинговых схемах используются поддельные сообщения электронной почты или веб-сайты, содержащие названия крупных или известных компаний. В сообщениях может быть поздравление с победой в каком-либо конкурсе, проводимом компанией, о том, что срочно требуется изменить учетные данные или пароль. Подобные мошеннические схемы от лица службы технической поддержки также могут производиться по телефону[4].

Подложные лотереи[править | править код]

Пользователь может получить сообщения, в которых говорится о том, что он выиграл в лотерею, которая проводилась какой-либо известной компанией. Внешне эти сообщения могут выглядеть так, как будто они были отправлены от лица одного из высокопоставленных сотрудников корпорации[4].

Ложные антивирусы и программы для обеспечения безопасности[править | править код]

Подобное мошенническое программное обеспечение, также известное под названием «scareware», — это программы, которые выглядят как антивирусы, хотя, на самом деле, все обстоит совсем наоборот. Такие программы генерируют ложные уведомления о различных угрозах, а также пытаются завлечь пользователя в мошеннические транзакции. Пользователь может столкнуться с ними в электронной почте, онлайн объявлениях, в социальных сетях, в результатах поисковых систем и даже во всплывающих окнах на компьютере, которые имитируют системные сообщения[4].

IVR или телефонный фишинг[править | править код]

Принцип действия IVR систем

Основная статья: Вишинг

Телефонный фишинг — Вишинг (англ. vishing — voice fishing) назван так по аналогии с фишингом. Данная техника основана на использовании системы предварительно записанных голосовых сообщений с целью воссоздать «официальные звонки» банковских и других IVR систем. Обычно жертва получает запрос (чаще всего через фишинг электронной почты) связаться с банком и подтвердить или обновить какую-либо информацию. Система требует аутентификации пользователя посредством ввода PIN-кода или пароля. Поэтому, предварительно записав ключевую фразу, можно выведать всю нужную информацию. Например, любой может записать типичную команду: «Нажмите единицу, чтобы сменить пароль. Нажмите двойку, чтобы получить ответ оператора» и воспроизвести её вручную в нужный момент времени, создав впечатление работающей в данный момент системы предварительно записанных голосовых сообщений[5].

Телефонный фрикинг[править | править код]

Основная статья: Фрикинг

Телефонный фрикинг (англ. phreaking) — термин, описывающий эксперименты и взлом телефонных систем с помощью звуковых манипуляций с тоновым набором. Эта техника появилась в конце 50-х в Америке. Телефонная корпорация Bell, которая тогда покрывала практически всю территорию США, использовала тоновый набор для передачи различных служебных сигналов. Энтузиасты, попытавшиеся повторить некоторые из этих сигналов, получали возможность бесплатно звонить, организовывать телефонные конференции и администрировать телефонную сеть.

Претекстинг[править | править код]

Претекстинг (англ. pretexting) — атака, в которой злоумышленник представляется другим человеком и по заранее подготовленному сценарию выуживает конфиденциальную информацию. Эта атака подразумевает должную подготовку, как то: день рождения, ИНН, номер паспорта либо последние цифры счета, для того, чтобы не вызвать подозрений у жертвы. Обычно реализуется через телефон или электронную почту.

Квид про кво[править | править код]

Основная статья: Quid pro quo

Квид про кво (от лат. Quid pro quo — «то за это») — в английском языке это выражение обычно используется в значении «услуга за услугу». Данный вид атаки подразумевает обращение злоумышленника в компанию по корпоративному телефону (используя актерское мастерство[6]) или электронной почте. Зачастую злоумышленник представляется сотрудником технической поддержки, который сообщает о возникновении технических проблем на рабочем месте сотрудника и предлагает помощь в их устранении. В процессе «решения» технических проблем злоумышленник вынуждает цель атаки совершать действия, позволяющие атакующему запускать команды или устанавливать различное программное обеспечение на компьютере жертвы[1].

Проведенное в 2003 году исследование в рамках программы Информационная безопасность показало, что 90 % офисных работников готовы разгласить конфиденциальную информацию, например свои пароли, за какую-либо услугу или вознаграждение[7].

«Дорожное яблоко»[править | править код]

Этот метод атаки представляет собой адаптацию троянского коня, и состоит в использовании физических носителей. Злоумышленник подбрасывает «инфицированные» носители информации в местах общего доступа, где эти носители могут быть легко найдены, такими как туалеты, парковки, столовые, или на рабочем месте атакуемого сотрудника[1]. Носители оформляются как официальные для компании, которую атакуют, или сопровождаются подписью, призванной вызвать любопытство. К примеру, злоумышленник может подбросить CD, снабжённый корпоративным логотипом и ссылкой на официальный сайт компании, снабдив его надписью «Заработная плата руководящего состава». Диск может быть оставлен на полу лифта или в вестибюле. Сотрудник по незнанию может подобрать диск и вставить его в компьютер, чтобы удовлетворить своё любопытство.

Сбор информации из открытых источников[править | править код]

Применение техник социальной инженерии требует не только знания психологии, но и умения собирать о человеке необходимую информацию. Относительно новым способом получения такой информации стал её сбор из открытых источников, главным образом из социальных сетей. К примеру, такие сайты как livejournal, «Одноклассники», «ВКонтакте», содержат огромное количество данных, которые люди и не пытаются скрыть. Как правило, пользователи не уделяют должного внимания вопросам безопасности, оставляя в свободном доступе данные и сведения, которые могут быть использованы злоумышленником.

Показательным примером может стать история о похищении сына Евгения Касперского. В ходе следствия было установлено, что преступники узнали расписание дня и маршруты следования подростка из его записей на странице в социальной сети[8].

Даже ограничив доступ к информации на своей странице в социальной сети, пользователь не может быть точно уверен, что она никогда не попадет в руки мошенников. Например, бразильский исследователь по вопросам компьютерной безопасности показал, что существует возможность стать другом любого пользователя Facebook в течение 24 часов, используя методы социальной инженерии. В ходе эксперимента исследователь Нельсон Новаес Нето[9] выбрал жертву и создал фальшивый аккаунт человека из её окружения — её начальника. Сначала Нето отправлял запросы на дружбу друзьям друзей начальника жертвы, а затем и непосредственно его друзьям. Через 7,5 часа исследователь добился добавления в друзья от жертвы. Тем самым исследователь получил доступ к личной информации пользователя, которой тот делился только со своими друзьями.

Плечевой серфинг[править | править код]

Плечевой серфинг (англ. shoulder surfing) включает в себя наблюдение личной информации жертвы через её плечо. Этот тип атаки распространён в общественных местах, таких как кафе, торговые центры, аэропорты, вокзалы, а также в общественном транспорте.

Опрос ИТ-специалистов в белой книге[10] о безопасности показал, что:

• 85 % опрошенных признались, что видели конфиденциальную информацию, которую им не положено было знать;
• 82 % признались, что информацию, отображаемую на их экране, могли бы видеть посторонние лица;
• 82 % слабо уверены в том, что в их организации кто-либо будет защищать свой экран от посторонних лиц.

Обратная социальная инженерия[править | править код]

Об обратной социальной инженерии упоминают тогда, когда жертва сама предлагает злоумышленнику нужную ему информацию. Это может показаться абсурдным, но на самом деле лица, обладающие авторитетом в технической или социальной сфере, часто получают идентификаторы и пароли пользователей и другую важную личную информацию просто потому, что никто не сомневается в их порядочности. Например, сотрудники службы поддержки никогда не спрашивают у пользователей идентификатор или пароль; им не нужна эта информация для решения проблем. Однако, многие пользователи ради скорейшего устранения проблем добровольно сообщают эти конфиденциальные сведения. Получается, что злоумышленнику даже не нужно спрашивать об этом.

Примером обратной социальной инженерии может служить следующий простой сценарий. Злоумышленник, работающий вместе с жертвой, изменяет на её компьютере имя файла или перемещает его в другой каталог. Когда жертва замечает пропажу файла, злоумышленник заявляет, что может все исправить. Желая быстрее завершить работу или избежать наказания за утрату информации, жертва соглашается на это предложение. Злоумышленник заявляет, что решить проблему можно, только войдя в систему с учетными данными жертвы. Теперь уже жертва просит злоумышленника войти в систему под её именем, чтобы попытаться восстановить файл. Злоумышленник неохотно соглашается и восстанавливает файл, а по ходу дела крадет идентификатор и пароль жертвы. Успешно осуществив атаку, он даже улучшил свою репутацию, и вполне возможно, что после этого к нему будут обращаться за помощью и другие коллеги. Этот подход не пересекается с обычными процедурами оказания услуг поддержки и осложняет поимку злоумышленника.[11]

Известные социальные инженеры[править | править код]

Кевин Митник[править | править код]

Основная статья: Митник, Кевин

Одним из самых знаменитых социальных инженеров в истории является Кевин Митник. Будучи всемирно известным компьютерным хакером и консультантом по безопасности, Митник также является автором многочисленных книг по компьютерной безопасности, посвященным, в основном, социальной инженерии и методам психологического воздействия на человека. В 2001 году вышла книга «Искусство обмана» (англ. «The Art of Deception») под его авторством[1], повествующая о реальных историях применения социальной инженерии[12]. Кевин Митник утверждает, что намного проще получить пароль путём обмана, нежели пытаться взломать систему безопасности[13].

Братья Бадир[править | править код]

Несмотря на то, что братья Бадир, Мушид и Шади Бадир, были слепыми от рождения, они сумели реализовать несколько крупных схем мошенничества в Израиле в 1990-х, использовав социальную инженерию и подделку голоса. В телеинтервью они сказали: «Полностью от сетевых атак застрахован лишь тот, кто не пользуется телефоном, электричеством и ноутбуком». Братья уже побывали в тюрьме за то, что им удалось услышать и расшифровать секретные интерференционные тоны[неизвестный термин] провайдеров телефонной связи. Они подолгу звонили за границу за чужой счет, перепрограммировав интерференционными тонами компьютеры провайдеров сотовой связи[14].

Архангел[править | править код]

Обложка журнала «Phrack»

Знаменитый компьютерный хакер и консультант по безопасности в известном англоязычном интернет-журнале «Phrack Magazine», Архангел продемонстрировал возможности техник социальной инженерии, за короткое время получив пароли от огромного количества различных систем, обманув несколько сотен жертв.

Другие[править | править код]

Менее известными социальными инженерами являются Фрэнк Абигнейл, Дэвид Бэннон, Питер Фостер и Стивен Джей Рассел.

Способы защиты от социальной инженерии[править | править код]

Для проведения своих атак злоумышленники, применяющие техники социальной инженерии, зачастую эксплуатируют доверчивость, лень, любезность и даже энтузиазм пользователей и сотрудников организаций. Защититься от таких атак непросто, поскольку их жертвы могут не подозревать, что их обманули. Злоумышленники, использующие методы социальной инженерии, преследуют, в общем, такие же цели, что и любые другие злоумышленники: им нужны деньги, информация или ИТ-ресурсы компании-жертвы. Для защиты от таких атак нужно изучить их разновидности, понять, что нужно злоумышленнику, и оценить ущерб, который может быть причинен организации. Обладая всей этой информацией, можно интегрировать в политику безопасности необходимые меры защиты.

Как определить атаку социального инженера[править | править код]

Ниже перечислены методы действий социальных инженеров:

• представление другом-сотрудником либо новым сотрудником с просьбой о помощи;
• представление сотрудником поставщика, партнерской компании, представителем закона;
• представление кем-либо из руководства;
• представление поставщиком или производителем операционных систем, звонящим, чтобы предложить обновление или патч жертве для установки;
• предложение помощи в случае возникновения проблемы и последующее провоцирование возникновение проблемы, которое принуждает жертву попросить о помощи;
• использование внутреннего сленга и терминологии для возникновения доверия;
• отправка вирус или троянского коня в качестве приложения к письму;
• использование фальшивого pop-up окна, с просьбой аутентифицироваться еще раз, или ввести пароль;
• предложение приза за регистрацию на сайте с именем пользователя и паролем;
• записывание вводимых жертвой клавиш компьютером или программой;
• подбрасывание диска или дискеты с вредоносным ПО на стол жертвы;
• подброс документа или папки в почтовый отдел компании для внутренней доставки;
• модифицирование надписи на факсе, чтобы казалось, что он пришел из компании;
• просьба секретаря принять, а затем отослать факс;

• просьба отослать документ в место, которое кажется локальным (т.е. находится на территории организации);
• получение голосовой почты, чтобы работники, решившие перезвонить, подумали, что атакующий — их сотрудник;

Классификация угроз[править | править код]

Угрозы, связанные с телефоном[править | править код]

Телефон до сих пор является одним из самым популярных способов коммуникации внутри и между организациями, следовательно, он все так же является эффективным инструментом социальных инженеров. При разговоре по телефону невозможно увидеть лицо собеседника для подтверждения его личности, что дает злоумышленникам шанс выдать себя за сотрудника, начальника либо любое другое лицо, которому можно доверить конфиденциальную либо не кажущуюся важной информацию. Злоумышленник часто организует разговор так, что у жертвы практически не остается выхода, кроме как помочь, особенно когда просьба выглядит пустяковой.

Также популярны различные способы мошенничества, направленные на кражу денег у пользователей мобильных телефонов. Это могут быть как звонки, так и смс-сообщения о выигрышах в лотереях, конкурсах, просьбы вернуть по ошибке положенные средства, либо сообщения о том, что близкие родственники жертвы попали в беду и необходимо срочно перевести определенную сумму средств.

Меры по обеспечению безопасности предполагают скептическое отношение к любым подобным сообщениям и некоторые принципы обеспечения безопасности:

• Проверка личности звонящего;
• Использование услуги определения номера;
• Игнорирование неизвестных ссылок в смс-сообщениях;

Угрозы, связанные с электронной почтой[править | править код]

Многие сотрудники ежедневно получают через корпоративные и частные почтовые системы десятки и даже сотни электронных писем. Разумеется, при таком потоке корреспонденции невозможно уделить должное внимание каждому письму. Это значительно облегчает проведение атак. Большинство пользователей систем электронной почты спокойно относятся к обработке таких сообщений, воспринимая эту работу как электронный аналог перекладывания бумаг из одной папки в другую. Когда злоумышленник присылает по почте простой запрос, его жертва часто выполняет то, о чём её просят, не задумываясь о своих действиях. Электронные письма могут содержать гиперссылки, склоняющие сотрудников к нарушению защиты корпоративной среды. Такие ссылки не всегда ведут на заявленные страницы.

Большинство мер по обеспечению безопасности направлены на предотвращение доступа неавторизованных пользователей к корпоративным ресурсам. Если, щелкнув присланную злоумышленником гиперссылку, пользователь загрузит в корпоративную сеть троянскую программу или вирус, это позволит легко обойти многие виды защиты. Гиперссылка может также указывать на узел с всплывающими приложениями, запрашивающими данные или предлагающими помощь. Как и в случае с другими разновидностями мошенничества, самым эффективным способом защиты от атак злоумышленников является скептическое отношение к любым неожиданным входящим письмам. Для распространения этого подхода в организации в политику безопасности следует включить конкретные принципы использования электронной почты, охватывающие перечисленные ниже элементы.[15]

• Вложения в документы.
• Гиперссылки в документах.
• Запросы личной или корпоративной информации, исходящие изнутри компании.
• Запросы личной или корпоративной информации, исходящие из-за пределов компании.

Угрозы, связанные с использованием службы мгновенного обмена сообщениями[править | править код]

Мгновенный обмен сообщениями — сравнительно новый способ передачи данных, однако он уже приобрел широкую популярность среди корпоративных пользователей. Из-за быстроты и легкости использования этот способ коммуникации открывает широкие возможности для проведения различных атак: пользователи относятся к нему как к телефонной связи и не связывают с потенциальными программными угрозами. Двумя основными видами атак, основанными на использовании службы мгновенного обмена сообщениями, являются указание в теле сообщения ссылки на вредоносную программу и доставка самой программы. Конечно, мгновенный обмен сообщениями — это ещё и один из способов запроса информации. Одна из особенностей служб мгновенного обмена сообщениями — это неформальный характер общения. В сочетании с возможностью присваивать себе любые имена, этот фактор позволяет злоумышленнику гораздо легче выдавать себя за другого человека и значительно повышает его шансы на успешное проведение атаки. Если компания намерена использовать возможности сокращения расходов и другие преимущества, обеспечиваемые мгновенным обменом сообщениями, необходимо предусмотреть в корпоративных политиках безопасности механизмы защиты от соответствующих угроз. Для получения надежного контроля над мгновенным обменом сообщениями в корпоративной среде следует выполнить несколько требований.[16]

• Выбрать одну платформу для мгновенного обмена сообщениями.
• Определить параметры защиты, задаваемые при развертывании службы мгновенного обмена сообщениями.
• Определить принципы установления новых контактов
• Задать стандарты выбора паролей
• Составить рекомендации по использованию службы мгновенного обмена сообщениями.

Основные защитные методы[править | править код]

Специалисты по социальной инженерии выделяют следующие основные защитные методы для организаций:

• разработка продуманной политики классификации данных, учитывающей те кажущиеся безвредными типы данных, которые могут привести к получению важной информации;
• обеспечение защиты информации о клиентах с помощью шифрования данных или использования управления доступом;
• обучение сотрудников навыкам для распознавания социального инженера, проявлениям подозрения при общении с людьми, которых они не знают лично;
• запрет персоналу на обмен паролями либо использование общего;
• запрет на предоставление информации из отдела с секретами кому-либо, не знакомому лично или не подтвержденному каким-либо способом;
• использование особых процедур подтверждения для всех, кто запрашивает доступ к конфиденциальной информации;

Многоуровневая модель обеспечения безопасности[править | править код]

Для защиты крупных компаний и их сотрудников от мошенников, использующих техники социальной инженерии, часто применяются комплексные многоуровневые системы безопасности. Ниже перечислены некоторые особенности и обязанности таких систем.

• Физическая безопасность. Барьеры, ограничивающие доступ в здания компании и к корпоративным ресурсам. Не стоит забывать, что ресурсы компании, например, мусорные контейнеры, расположенные вне территории компании, физически не защищены.
• Данные. Деловая информация: учетные записи, почтовая корреспонденция и т. д. При анализе угроз и планировании мер по защите данных нужно определить принципы обращения с бумажными и электронными носителями данных.
• Приложения. Программы, запускаемые пользователями. Для защиты среды необходимо учесть, как злоумышленники могут использовать в своих целях почтовые программы, службы мгновенной передачи сообщений и другие приложения.
• Компьютеры. Серверы и клиентские системы, используемые в организации. Защита пользователей от прямых атак на их компьютеры, путём определения строгих принципов, указывающих, какие программы можно использовать на корпоративных компьютерах.
• Внутренняя сеть. Сеть, посредством которой взаимодействуют корпоративные системы. Она может быть локальной, глобальной или беспроводной. В последние годы из-за роста популярности методов удаленной работы, границы внутренних сетей стали во многом условными. Сотрудникам компании нужно разъяснить, что они должны делать для организации безопасной работы в любой сетевой среде.
• Периметр сети. Граница между внутренними сетями компании и внешними, такими как Интернет или сети партнерских организаций.

Ответственность[править | править код]

Претекстинг и запись телефонных разговоров[править | править код]

В правовом кодексе США претекстинг, то есть выдача себя за другого человека с целью получения информации, которая может быть предоставлена этому человеку, приравнивается к вторжению в личную жизнь[17]. В декабре 2006 года Конгресс США одобрил законопроект, предполагающий наказание за претекстинг и запись телефонных разговоров в виде штрафа до 250 000 $ или заключения на срок до 10 лет для физических лиц (или штраф в размере 500 000 $ для юридических лиц). Соответствующий указ был подписан президентом Джорджем Бушем 12 января 2007 года[18].

Hewlett-Packard[править | править код]

Патриция Данн, президент корпорации Hewlett Packard, сообщила, что HP наняла частную компанию с целью выявить тех сотрудников компании, кто был ответствен за утечку конфиденциальной информации. Позже глава корпорации признал, что в процессе исследования использовалась практика претекстинга и других техник социальной инженерии[19].

В массовой культуре[править | править код]

• В фильме «Поймай меня, если сможешь» герой Леонардо ДиКаприо использовал различные методы социальной инженерии: претекстинг, подделывание чеков, квид про кво.
• В комедии «Поймай толстуху, если сможешь» Мелисса Маккарти использовала претекстинг для получения имени и другой идентификационной информации Джейсон Бейтман, за которую Маккарти себя выдавала.
• В фильме «Один дома» грабитель Гарри выдает себя за полицейского, чтобы узнать у жильцов о том, как функционируют системы защиты в отсутствие хозяев.
• В фильме «Хакеры» главное действующее лицо использовало претекстинг, когда спрашивал охрану номер телефона модема телекомпании, выдавая себя за исполнителя власти.
• В фильме «Афера Томаса Крауна» один из главных героев позвонил в музей для того, чтобы охранник отошел со своего рабочего места.
• В фильме «Бриллианты навсегда» Джеймс Бонд проник в лабораторию, минуя систему идентификации картой доступа. Он подождал, когда придет сотрудник лаборатории и откроет дверь своей карточкой, и, прислоняя пустую карту к считывателю, проходит за сотрудником, пока дверь открыта.
• В фильме «Кто я» широко используется и описывается социальная инженерия

Примечания[править | править код]

1. ↑ Перейти к: 1 2 3 4 5Кевин Д. Митник; Вильям Л. Саймон.Искусство обмана. — АйТи, 2004. — ISBN 5-98453-011-2.
2. ↑ Роберт Чалдини.Психология влияния. — Эксмо, 2015. — ISBN 978-5-699-79694-6.
3. ↑ Phishing.
4. ↑ Перейти к: 1 2 3 Как защитить внутреннюю сеть от атак, Microsoft TechNet.
5. ↑ Ross, Dave. How Interactive Voice Response (IVR) Works.
6. ↑ Кви про кво
7. ↑ Leyden, John Office workers give away passwords. Theregister.co.uk (18 апреля 2003). Архивировано 20 ноября 2012 года.
8. ↑ Goodchild, L!FENEWS. Сын Касперского похищен в Москве (21 April 2011).
9. ↑ Nelson Novaes Neto.
10. ↑ European Visual Data Security. "Visual Data Security White Paper" (2014).
11. ↑ Как защитить внутреннюю сеть и сотрудников компании от атак, Microsoft TechNet.
12. ↑ Social Engineering (рус.).
13. ↑ Mitnick, K.Введение // CSEPS Course Workbook. — Mitnick Security Publishing, 2004. — С. 4.
14. ↑ Война хакеров на Ближнем Востоке, IsraelReport.
15. ↑ Использование электронной почты, CITForum.
16. ↑ Руководство по безопасной работе в интернете, KasperskyLab.
17. ↑ Restatement 2d of Torts § 652C
18. ↑ Eric Bangeman.Congress outlaws pretexting (англ.). Ars Technica(12 November 2006).
19. ↑ Stephen Shankland.HP chairman: Use of pretexting 'embarrassing' (англ.).CNET News.com (8 September 2006).

См. также[править | править код]

• Информационная безопасность
• Фишинг
• Смишинг
• Уязвимость (компьютерная безопасность)
• Испытание на проникновение
• Несанкционированный доступ
• Социальная инженерия (социология)

Ссылки[править | править код]

• Социальная инженерия: основы. Часть I: тактики хакеров
• Защита от фишинг-атак
• Social Engineering Fundamentals — Securityfocus.com.
• Social Engineering, the USB Way — DarkReading.com.
• Should Social Engineering be a part of Penetration Testing? — Darknet.org.uk.
• «Protecting Consumers' Phone Records», Electronic Privacy Information Center US Committee on Commerce, Science, and Transportation .
• Plotkin, Hal. Memo to the Press: Pretexting is Already Illegal.
• Striptease for passwords — MSNBC.MSN.com.
• Social-Engineer.org — social-engineer.org.
• Overview of Social Engineering Threats -Presented for Parents & Teachers
• Social Engineering Awareness Training video — Короткое видео, описывающее методы социальной инженерии, а также их применение.
• Социальная инженерия, или Как «взломать» человека -Запись в блоге Евгения Касперского
• PSYCHO: Социальный инженер – всем хакерам пример! Практикум по социальной инженерии

iReader

'via Blog this'