Что такое социальная инженерия в контексте информационной безопасности
Перейти к содержимому

Что такое социальная инженерия в контексте информационной безопасности

  • автор:

Социальная инженерия и информационная безопасность

Социальная инженерия и информационная безопасность / Л. Е. Мартынова, К. Е. Назарова, С. М. Попков [и др.]. — Текст : непосредственный // Молодой ученый. — 2017. — № 1 (135). — С. 61-63. — URL: https://moluch.ru/archive/135/37956/ (дата обращения: 01.11.2023).

Существует множество различных мнений, что такое социальная инженерия. Некоторые рассматривают социальную инженерию, как жульничество или мошенничество для получения выгоды. Другие думают, что социальная инженерия это не только инструмент, используемый преступниками, а как науку, чьи теории можно разделить на части и изучить.

Социальная инженерия используется ежедневно обычными людьми в повседневных ситуациях. Например во взаимодействии педагогов со своими учениками. Врачи, психологи и психотерапевты часто используют элементы социальной инженерии, чтобы “манипулировать” своими пациентами, для принятия мер, которые помогут пациенту, а мошенник использует элементы социальной инженерии, чтобы убедить его выполнить действия, необходимые злоумышленнику или раскрыть информацию. Хотя конец игры сильно отличается, подход может быть очень похож. Психолог может использовать ряд хорошо продуманных вопросов, чтобы помочь пациенту прийти к выводу, что необходимы перемены. Аналогичным образом мошенник будет использовать ряд хорошо продуманных вопросов, чтобы поставить его цель в уязвимое положение. Как и любой инструмент, социальная инженерия не является «хорошей» или «плохой», это просто инструмент, который имеет много различных применений.

Социальная инженерия в контексте информационной безопасности, относится к психологической манипуляции людей, которые приводят к совершению действия или разглашению конфиденциальной информации. Это может быть злоупотребление доверием с целью сбора информации. Социальная инженерия часто является одним из многих шагов в более сложную схему мошенничества.

В общем значении социальная инженерия- это акт манипуляции человеком, который провоцирует выполнить действие, которое как может быть в интересах человека, так и в интересах злоумышленника.

Рассмотрим основные виды социальных инженеров.

– Хакеры. Поставщики программного обеспечения становятся все более продвинуты в создании такого ПО, которое более безопасно и сложно для взлома. Так как взломать хорошо защищенное ПО затруднительно, хакеры прибегают к социальной инженерии. Они часто используют сочетание аппаратных и личных навыков.

– «Пентестеры». Пентест — метод оценки безопасности компьютерных систем или сетей средствами моделирования атаки злоумышленника. В информационных системах хранится, обрабатывается, циркулирует различная информация, потеря или искажение которой может нанести существенный вред. [1, c. 54] Процесс включает в себя активный анализ системы на наличие потенциальных уязвимостей, которые могут спровоцировать некорректную работу целевой системы, либо полный отказ в обслуживании. Цель испытаний на проникновение — оценить его возможность осуществления и спрогнозировать экономические потери в результате успешного осуществления атаки. «Пентестеры» — это люди, которые проводят моделирование на атаки на систему, анализируют возможные уязвимости, но не используют собранную информацию для личной выгоды или ущерба компании. Однако, потенциально это возможно.

– Шпионы. Используют социальную инженерию как способ жизни. Помимо того, что они изучили искусство социальной инженерии и являются экспертами в этой науке, очень часто шпионы также опираются на доверие. Они немного (а может и много) знают о бизнесе и власти и используют это, как рычаг давления.

– Воры личной информации. Данный вид социальных инженеров использует такую информацию, как, например, имя человека, номер банковского счета, адрес, дата рождения, и номер социального страхования, без ведома владельца. Это преступление основывается на использовании личной информации для гораздо более сложного преступления.

– Недобросовестные сотрудники. В любой сфере деятельности случаются конфликты работника и работодателя, иногда это приводит к тому, что работник начинает враждебно относиться к работодателю. Поскольку работник, как правило, пытается скрыть своё недовольство, чтобы не потерять работу, это приводит к тому, что его враждебность растёт и становится оправданием для хищения, вандализма, раскрытия конфиденциальной информации и других преступлений.

– Аферисты. Мотивом чаще всего служит желание «заработать». Аферисты и мошенники владеют способностью читать людей и находить детали, которые делают человека уязвимым. Они также квалифицированы в создании ситуаций, которые являются отличными возможностями для оценки изучаемого человека.

– Вербовщики. Также освоили многие аспекты социальной инженерии. Овладели приемами сбора, многими психологическими принципами социальной инженерии, они очень умело могут не только читать, но и понимать, что движет людьми.

– Продавцы. Многие гуру продаж говорят, что хороший продавец не должен манипулировать людьми, но ему следует использовать свои навыки, чтобы выяснить, какие потребности есть у людей и увидеть, могут ли они ему что-то предложить. Искусство продаж требует многих навыков, таких как сбор информации, убеждение, и многие другие.

– Врачи, психологи и юристы. На первый взгляд может показаться, что данный тип не вписывается в категорию социальных инженеров. Но эта группа использует те же методы, как и другие группы в этом списке. Они это делают не обязательно для того, чтобы навредить своему клиенту, чаще, чтобы разобраться и подобрать нужный алгоритм для выхода из сложившейся ситуации.

Рассмотрим основные методы социальной инженерии.

– Фишинг — это вид интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей — логинам и паролям. Это самый популярный метод социальной инженерии на сегодняшний день. Самый простой способ реализации данной схемы является письмо на электронную почту, например от банка. Чаще всего письмо от мошенников содержит Чаще всего фишинговые сообщения содержат: сведения, например, о закрытии банковского счета; обещания о выигрыше огромного денежного приза; запросы о добровольных пожертвованиях от лица благотворительных организаций; грамматические ошибки, пунктуационные и другие; умышленный ошибки в данных пользователя, провоцирующие желание исправить их; имитацию поврежденного текста; адрес несуществующей электронной почты, в качестве адреса отправителя.

– Несуществующие ссылки. Атака заключается в отправке письма с причиной посетить сайт, ссылка на который представлена тут же. Ссылки выглядят очень похоже на настоящие сайты, например вместо PayPal.com присылают PayPai.com. При переходе отображается страница, очень похожая на оригинальную, но при вводе данных (логинов, паролей, номеров банковских карт и др.) они отправляются в руки злоумышленников.

– Плечевой серфинг. Плечевой серфинг включает в себя наблюдение личной информации жертвы через ее плечо. Этот тип атаки распространен в общественных местах, например в кафе, торговых центрах, в общественном транспорте и др.

– Quid pro quo. Обычно используется в значении «услуга за услугу». Данная схема подразумевает обращение злоумышленника в компанию, например по корпоративному телефону. Зачастую злоумышленник представляется сотрудником технической поддержки, который сообщает о возникновении технических проблем на рабочем месте сотрудника и предлагает помощь в их устранении. В процессе «решения» технических проблем, злоумышленник вынуждает цель атаки совершать действия, позволяющие атакующему запускать команды или устанавливать различное программное обеспечение на компьютере «жертвы».

– Троянская программа. Данная техника зачастую использует любопытство человека. Чаще всего злоумышленник отправляет жертве электронное сообщение, содержащее интересное содержание. Открывая прикрепленный к письму файл, пользователь устанавливает себе на устройство вредоносное программное обеспечение, позволяющее мошеннику получить доступ к конфиденциальной информации.

– «Дорожное яблоко». Этот метод атаки представляет собой адаптацию троянского коня, и состоит в использовании физических носителей. Статистика показывает, что наиболее распространенными являются атаки, реализуемые с помощью загрузки враждебного содержания. [2, c. 152] Злоумышленник подбрасывает «инфицированные» носители информации в местах общего доступа, где эти носители могут быть легко найдены, такими как парковки, столовые, или на рабочем месте атакуемого сотрудника. Носители оформляются как официальные для компании, которую атакуют, или сопровождаются подписью, призванной вызвать любопытство.

– Сбор информации из открытых источников. Применение техник социальной инженерии требует не только знания психологии, но и умения собирать о человеке необходимую информацию. Относительно новым способом получения такой информации стал её сбор из открытых источников, главным образом из социальных сетей. Как правило, пользователи не уделяют должного внимания вопросам безопасности, оставляя в свободном доступе данные и сведения, которые могут быть использованы злоумышленником.

– Обратная социальная инженерия. Под обратной социальной инженерией, понимают ситуацию, когда жертва сама предлагает злоумышленнику нужную ему информацию. На первый взгляд это может показаться маловероятным, но лица, обладающие авторитетом в технической или социальной сфере, часто получают идентификаторы и пароли пользователей и другую важную личную информацию просто потому, что никто не сомневается в их порядочности. Например, сотрудники службы поддержки никогда не спрашивают у пользователей идентификатор или пароль; им не нужна эта информация для решения проблем. Однако, многие пользователи ради скорейшего устранения проблем добровольно сообщают эти конфиденциальные сведения. Получается, что злоумышленнику даже не нужно спрашивать об этом.

В любой сфере деятельности можно найти элемент социальной инженерии. Будь то информационная безопасность, медицина или политика. Социальная инженерия — это инструмент для достижения цели. Цель может иметь как отрицательный характер так и положительный. Но методы для достижения цели в том и другом случае схожи.

  1. Багров Е. В. Мониторинг и аудит информационной безопасности на предприятии. Вестник волгоградского государственного университета. Волгоград.: 2011, с.54.
  2. Никишова А. В., Чурилина А. Е. Программный комплекс обнаружения атак на основе анализа данных реестра// Вестник ВолГУ. Серия 10. Инновационная деятельность. Выпуск 6. 2012 г. В.: Изд-во ВолГУ, 2012, стр. 152–155

Основные термины (генерируются автоматически): социальная инженерия, злоумышленник, конфиденциальная информация, личная информация, банковский счет, достижение цели, информационная безопасность, обратная социальная инженерия, Сбор информации, сфера деятельности.

«Социальная инженерия в информационной безопасности»

Самое слабое звено в структуре информационной безопасности – это человек; можно создать надежную систему защиты и написать очень подробные инструкции по безопасности, однако халатное обращение сотрудников с важными сведениями, их доверчивость и беспечное поведение способны свести на нет все усилия. Может показаться, что угроза со стороны социальной инженерии преувеличена, однако это не так. Многие фирмы уже сталкивались с нарушениями пропускного режима: даже самый строгий охранник способен нарушить правила, если видит женщину с ребенком или больного человека, которому срочно необходима помощь, зачастую социальные инженеры (синженеры) играют на лучших струнах человеческой души. Они способны проникнуть в здание, притворившись больными. Впрочем, в их арсенале имеется немало и других способов. Например, синженеры могут представляться знакомыми руководителей или сотрудниками. Существуют определенные методики, с помощью которых им удается быть убедительными для охраны, здесь главное – иметь правильный настрой и держаться уверенно.

Для эффективного противодействия социальным инженерам–злоумышленникам необходимо изучить все наиболее распространенные сценарии атак, которые они применяют, а затем провести соответствующую работу с персоналом, научив его распознавать опасных людей. Очень часто социальные инженеры используют телефон в качестве средства, помогающего осуществить определенные злонамеренные действия. Поэтому важно проинструктировать сотрудников, чтобы они не произносили лишней информации по телефону. И в том случае, если человек представляется коллегой, необходимо организовать проверку его личности. Например, это может быть кодовое слово, правда, как показывает практика, если «пароль» известен широкому кругу лиц (коллективу организации), он становится достоянием и третьих лиц. Для повышения уровня безопасности можно менять кодовое слово каждый день и рассылать его по корпоративной почте.

Социальные инженеры знают о том, что у сотрудников есть определенные варианты ответов на звонки, и они пытаются работать на исключениях из этих правил, т. е. создают такие ситуации, когда обычный порядок действий оказывается неприменимым. Например, это может быть просьба о помощи: коллега уехал в отпуск, нет доступа к компьютеру, невозможно дозвониться до руководителя отдела, кодовое слово не прислали, но очень срочно нужна информация. Социальные инженеры часто играют на лучших качествах людей, однако в этом случае отзывчивость и взаимовыручка сотрудников могут привести к печальным последствиям. Многие не пройдут мимо чужой проблемы, отступят от формальностей, помогут человеку – на это синженеры и рассчитывают. Иногда злоумышленник организовывает все так, чтобы жертва сама попросила у него защиты. Например, это может быть надуманная проблема, которую он успешно решит. Синженер для получения доступа к компьютеру может позвонить сотруднику компании и представиться новым системным администратором из удаленного офиса. Важно отметить, что особенно страдают от социальных инженеров компании с территориально распределенной структурой, потому что в случае с небольшой организацией трудно выдать себя за ее работника – там все друг друга знают в лицо и по голосу.

Различают прямую и обратную социальную инженерию. Прямая социальная инженерия характеризуется таким воздействием на людей, поокончании которого они часто не понимают, что же с ними произошло. К примеру, если средством атаки был телефон, то после звонка синженера оператор будет уверен, что разговаривал с обычным сотрудником. Методы обратной социальной инженерии вынуждают самого работника обратиться за помощью к синженеру.

Средства, которыми пользуются социальные инженеры, – это телефон, электронная почта, фальшивые интернет-сайты, программы для обмена короткими сообщениями, социальные сети, а их самих можно встретить и в реальной жизни. Необходимо обучить всех сотрудников мерам противодействия, объяснить, что необходимо быть бдительными. Для отработки таких навыков и выявления степени защищенности объекта могут помочь тестовые попытки проникновения. Для этих целей можно прибегнуть к услугам сторонней компании либо организовать проверку собственными силами. Важно, чтобы в подобных контрольных мероприятиях участвовали люди, которых персонал не знает.

Объектами угроз для социальных инженеров являются в первую очередь такие сотрудники, как секретарь в приемной, оператор call-центра, менеджер по работе с клиентами, потому что именно их телефоны и электронные адреса обычно можно найти в открытом доступе. Рекомендуется тщательно следить, чтобы контактная информация на сайте, визитках, в СМИ не была избыточной. Кроме того, следует помнить, что, связавшись с секретарем и войдя к нему в доверие, злоумышленник может получить телефоны других сотрудников, которые он бы не смог узнать из общедоступных источников.

Часто к телефонным справочникам относятся небрежно, никому не приходит в голову их защищать, хотя это кладезь информации для лиц с недобрыми намерениями. Телефонный справочник позволяет не только отыскать номера, по которым можно связаться с сотрудниками, но и получить представление о структуре организации, чтобы потом оперировать точными названиями отделов, должностей. Сведения, которые будут извлечены из открытых источников, придадут легенде социального инженера больше правдоподобности. Например, он, узнав точное название отдела, с большей вероятностью сможет выдать себя за сотрудника.

Если у компании есть офисы в других городах и населенных пунктах, то обычно связь с ними поддерживается по телефону и сети Интернет. Часто она бывает настолько плохой, что идентифицировать личность говорящего по голосу достаточно трудно. Поэтому выдать себя за работника филиала легче, чем за сотрудника, доступ к которому осуществляется по внутренней линии.

Необходимо, чтобы все в организации, а особенно работающие с клиентами, соблюдали определенные правила безопасности при разговорах с пользователями услуг и персоналом. Во-первых, необходимо убедиться, что на том конце действительно находится сотрудник организации, сделать это можно различными способами, как уже говорилось выше, например с помощью кодовых слов. Даже когда личность сотрудника подтверждена, нельзя разглашать конфиденциальную информацию по телефону и электронной почте, если это не предусмотрено инструкцией. Когда четко регламентировано, что конфиденциальные сведения передаются исключительно на бумажных носителях из рук в руки, то отходить от этого правила нельзя, даже если обратившийся утверждает, что эти данные ему очень нужны и он находится в затруднительном положении. Например, лжесотрудник может уверять, что потерял свой пароль от компьютера, при этом находится в отпуске, но ему срочно понадобился доступ к определенному документу.

Иногда невинная фраза, которую обронил, например, охранник при разговоре с социальным инженером может привести к уязвимости. Допустим, он упомянул, что бухгалтер находится в отпуске, в этом случае социальный инженер, получив с помощью технических средств доступ к локальной сети организации, может написать от имени бухгалтера со своего компьютера, что работает дома, будучи в отпуске. Легенда в этом случае будет выглядеть достоверной. Теперь лжесотруднику достаточно набрать номер приемной. Секретарь знает, что бухгалтер находится в отпуске и переведет звонок на системного администратора. Тот, в свою очередь, услышав от секретаря, что на проводе бухгалтер, без тени сомнения даст ему доступ к нужному документу. Именно детали – то, что посторонний не знает об организации, точные названия отделов, фамилии руководителей, сотрудников – все это придает речи социального инженера правдивый характер

Охранник, который осуществляет пропускной режим, должен быть обязательно проинструктирован касательно возможных действий социальных инженеров. Несмотря на то что ему предписано следовать довольно простым правилам: пропускать только сотрудников с пропусками, всех посетителей регистрировать в журнале и позволять им пройти в помещение только в сопровождении других работников организации, он порой позволяет себе от них отступать. Если к охраннику обратится некий человек с просьбой пропустить его к директору, утверждающий, что является его близким другом, и при этом он будет солидно выглядеть, вести себя уверенно, разговаривать начальственным тоном по телефону, то ему вполне могут пойти навстречу. Не каждый охранник при этом запишет данные о нем в журнал. Потребовать паспорт у такого человека решатся очень немногие.

Для подготовки сотрудников к отражению угроз, исходящих со стороны социальных инженеров, необходимо проводить тесты с использованием методов социальной инженерии. Они позволяют понять, насколько работники компании доверчивы и в какой мере выполняют требования безопасности. В этих целях можно использовать посторонних людей. Самый простейший вариант, который можно придумать, – это звонок в кадровую службу. Нужно назваться сотрудником государственной организации, например военкомата, и попросить предоставить персональные данные работников. Если специалист службы выполнит эту просьбу, значит, с ним необходимо провести разъяснительную беседу о том, что персональные данные ни в коем случае нельзя разглашать по телефону, даже если на том конце якобы находится сотрудник уполномоченной организации. Также необходимо проверять такой канал общения, как электронная почта, для этого можно пробовать разослать фишинговые письма и понаблюдать за реакцией персонала на них.

При регулярном осуществлении подобных мероприятий у работников сформируется определенная подозрительность к любым ситуациям, касающимся персональных данных, коммерческой тайны. Они станут проверять личность обратившегося и в большинстве случаев предпочтут ему отказать в предоставлении какой-либо информации без личного общения. Контролировать электронную почту в компаниях обычно довольно просто, ведь, как правило, сообщения там проходят через единый почтовый сервер. Телефонные разговоры, в свою очередь, могут записываться. Однако стоит помнить о том, что сотрудники не забывают информацию по окончании рабочего дня, и в нерабочее время социальный инженер может связаться с ними по социальной сети, аське, скайпу и другим средствам общения.

Защититься от этого можно только постоянными беседами и тренингами. Для того чтобы сотрудники поняли важность аккуратного обращения с информацией, необходимо объяснить им, в чем заключается опасность ее предоставления посторонним лицам, которые могут оказаться злоумышленниками. Нужно особо обратить их внимание на то, какие последствия может повлечь за собой вторжение социального инженера. Стоит также напомнить персоналу, что в случае разглашения коммерческой тайны каждого из них могут уволить по соответствующей статье Трудового кодекса, что негативно повлияет на возможность дальнейшего трудоустройства на ответственную должность.

Так же хорошо, как кнут, действует пряник. Необходимо поощрять сотрудников, которые выявляют попытки злоумышленников получить доступ к конфиденциальной информации. В одной из коллекторских фирм применялась следующая методика воздействия на персонал. Был организован конкурс сочинений на тему «Как я убедил в телефонном разговоре должника погасить задолженность». За лучшие работы выдавалась премия. Этот метод можно перенести и на борьбу с социальными инженерами. Необходимо собирать информацию о том, как действовали те или иные сотрудники в ситуации, когда злоумышленники пытались получить доступ к конфиденциальной информации или к другим важным ресурсам с использованием методов социальной инженерии, и уведомлять об этом других работников. Также необходимо поощрять бдительных сотрудников за то, что они отстояли честь организации и не поддались на уговоры социального инженера. Такое стимулирование приведет к тому, что все работники будут осторожно относиться к общению с посторонними лицами. В случае возникновения подозрений они предпочтут обратиться в службу безопасности, зная, что и их могут поощрить за проявленную бдительность и следование разработанным в компании правилам.

Другая мера защиты – она касается в первую очередь организаций с распределенной структурой – это сплачивание коллектива, установление дружеских связей внутри него, проведение корпоративных вечеров. Когда сотрудники друг друга хорошо знают, в том числе работников из удаленных офисов, то вероятность того, что посторонний человек представится кем-то из персонала, будет значительно уменьшена, по крайней мере, по голосу люди будут друг друга узнавать. Также очень важно, чтобы регулярно выходил новый телефонный справочник и все были в курсе того, кого на работу приняли, кто уволился. Если, допустим, позвонит человек и назовется новым системным администратором, то сотрудник попросит его представиться, и если прозвучавшей фамилии в справочнике не найдется, значит, скорее всего, в компанию обратился социальный инженер.

Часто социальные инженеры прибегают к следующему приему: звонят и представляются распространенным именем. Например, говорят: «Здравствуйте, это Мария!» Как правило, женщина с таким именем есть в каждой организации. Необходимо обучить сотрудников тому, чтобы они задавали уточняющие вопросы, не боялись спрашивать, если есть возможность, проверяли личность другим способом. Например, просили подтвердить разговор по телефону сообщением по почте. Чтобы выполнить эту просьбу, социальный инженер должен располагать не только нужным номером телефона, но и иметь контроль над электронной почтой, т. е. он должен отправить письмо с локального адреса с домена компании, а это сделать уже гораздо сложнее. Можно производить проверку, перезванивая на личный номер сотового телефона.

Навыки социального инженера могут пригодиться и самому специалисту по безопасности при отборе кадров. Правильно организованное собеседование позволяет выявить слабые и сильные места кандидатов. Зачастую крупные организации прибегают к стрессовым собеседованиям. В этом случае личные и профессиональные вопросы задаются таким образом, чтобы чередовать напряжение и непринужденную атмосферу. При этом новому претенденту на должность очень трудно лгать по поводу деталей своей биографии, так как вопросы во многом дублируют друг друга и часто взаимосвязаны. Если после третьего вопроса выясняется, что ответом на первый была ложь, то к такому потенциальному работнику возникает недоверие. Также полезно владеть приемами социальной инженерии для выявления нелояльных сотрудников и тех, кто хочет покинуть свое место работы. Причем наиболее эффективными являются те методики, которые позволяют специалисту службы безопасности расположить к себе человека и установить с ним дружеские отношения, это помогает выйти на откровенный разговор, в ходе которого можно выяснить полезные детали.

Необходимо, чтобы о такой проблеме, как возможные атаки социальных инженеров, знали те, кто постоянно взаимодействует с людьми: операторы, кассиры, охранники, секретари. Именно они обычно связаны с внешним миром больше других сотрудников. Наиболее подвержены атакам социальных инженеров секретари. Зачастую эту должность занимают женщины без высшего образования, которые порой достаточно доверчивы и отзывчивы, что как раз на руку социальным инженерам. Необходимо объяснить секретарю, почему опасно переводить подозрительные внешние звонки на внутреннюю линию. У сотрудника, которому был переведен такой звонок, возникает ощущение, что ему позвонили по внутреннему номеру, и его бдительность снижается. Также требуется, чтобы секретарь при уговорах дать номер какого-либо работника, директора или руководителя уточнял личность звонящего, записывал информацию о нем в журнал, в том числе указывал бы цель звонка. Документировать такие ситуации необходимо как можно подробнее: кто звонил и почему, полезно также передавать суть разговора.

Если при попытке атаки компании через секретаря социальный инженер обычно использует в качестве орудия телефон и электронную почту, то охранник сталкивается с ним непосредственно. В целях контроля над пропускным режимом необходимо организовывать периодическую проверку работы охранников для выяснения, не позволяют ли они кому-то проходить в здание, пренебрегая инструкциями из гуманных соображений (бабушки, женщины с детьми, инвалиды) или по договоренности. Под любым невинным предлогом, например мытья рук, социальный инженер может проникнуть в здание и осуществить определенные деструктивные действия. Талантливыми социальными инженерами обычно являются представители сетевых маркетинговых фирм. Они способны уверить охрану в чем угодно, например в том, что им физически плохо, поэтому требуется попасть в здание к медсестре, чтобы воспользоваться аптечкой, или болит живот и необходимо срочно в туалет. Такие продавцы косметики, книг, биологически активных добавок могут быть очень убедительными и вызвать сочувствие у охранника. Цели их проникновения в помещение – распространение продукции и навязывание услуг. Таких людей бывает достаточно сложно распознать, они весьма настойчивы, умеют аргументировать и за их плечами большой опыт. Но обычно они отказываются от прохода на территорию, если им предлагают сопровождение. И это естественно, ведь при таком развитии событий теряется смысл проникновения в здание, ведь им нужно именно неконтролируемое перемещение.

Для проведения проверки можно попросить каких-либо знакомых попытаться под благовидным предлогом пройти в офис компании. По окончании такого контрольного мероприятия следует подвести итоги. В том случае, если они неутешительны, полезно активизировать профилактическую работу, например провести дополнительную разъяснительную беседу с охранниками о необходимости строжайшим образом соблюдать инструкцию о пропускном режиме, не делая ни для кого исключений.

Также стоит обратить внимание на системного администратора, он обладает практически неограниченными правами доступа, располагает возможностью изменять эти права для сотрудников, ограничивать и разрешать доступ к ресурсам. Атаки социальных инженеров часто связаны с попытками через администратора установить удаленный доступ к документам. Это может быть сделано хитростью, когда социальный инженер выдает себя за работника, шантажом и даже с использованием романтических чувств. Часто социальный инженер специально собирает информацию о потенциальной жертве – сделать это сегодня очень легко, учитывая, что многие люди добровольно выкладывают сведения о себе в социальных сетях и блогах. Такие данные помогают социальным инженерам осуществлять свои атаки: если, например, системный администратор – одинокий тридцатилетний мужчина, то он с большой долей вероятности выполнит нужные действия, если с ним будет общаться девушка, которая при разговоре станет флиртовать и показывать свою заинтересованность в дальнейшем общении.

Социальные инженеры берут на вооружение психологию, которая помогает им манипулировать людьми и получать нужную информацию. Многие недооценивают социальную инженерию как таковую и считают, что технические и организационные меры предотвращения угроз обеспечивают полный контроль над ситуацией. Это верно, если организация стремится обезопасить себя от случаев копирования сотрудниками документов, выноса носителей информации либо проникновений грабителей и краж системных блоков. Однако не всегда атаки происходят в лоб, часто при этом применяется хитрость: злоумышленник выдает себя за другого человека. Вот это как раз и есть социальная инженерия. Для того чтобы ей эффективно противостоять, необходимо самому быть чуточку синженером.

Не только против злоумышленников можно применять методы социальной инженерии, они могут оказаться полезными при отборе персонала, для контроля уровня лояльности внутри коллектива, выявления виновных в нарушениях, произошедших на предприятии. Это огромная область знаний, каждый уважающий себя специалист по безопасности должен иметь навыки в этой сфере. Защищая информацию на уровне компьютеров и других устройств, мы остаемся открытыми для иных угроз, исходящих напрямую от людей. Социальная инженерия не защитит сервер от действий хакеров (за исключением случаев, когда у системного администратора пытаются выманить пароль доступа). Она не предотвратит случайную отправку сотрудником важных документов на чужой адрес. Однако она, безусловно, поможет справиться с ситуациями, связанными с действиями злоумышленников, которые пытаются добиться своих целей с помощью хитрости и обмана.

Роль и значение социальной инженерии в обеспечении информационной безопасности

Аннотация: В статье исследуется роль и значение социальной инженерии в контексте обеспечения информационной безопасности. Социальная инженерия является одной из самых сложных и непредсказуемых атак, использующих человеческий фактор для доступа к конфиденциальной информации. Также рассматриваются основные принципы социальной инженерии, такие как манипуляция, вовлечение, обман и маскировка, и объясняется, какие методы и тактики используются злоумышленниками для достижения их целей. Вместе с этим, анализируется важность обучения персонала о потенциальных угрозах, связанных социальной инженерией, и предлагаются меры предосторожности, которые организации и компании могут принять для защиты своей информации. Кроме того, уделяется особое внимание роли технических средств, в предотвращении социальной инженерии и обеспечении информационной безопасности. В заключение, в статье подчеркивается, что социальная инженерия является критическим аспектом обеспечения информационной безопасности и в связи с этим, необходимо уделять ей должное внимание. Познание принципов социальной инженерии и принятие мер предосторожности помогут предотвратить множество попыток несанкционированного доступа к конфиденциальной информации.

Ключевые слова: социальная инженерия, информационная безопасность, превентивные меры, методы манипуляции, культура безопасности.

Введение

Современный мир информационных технологий и сетевых коммуникаций несет в себе не только огромные возможности, но и сопряженные с ними угрозы безопасности. Взломы систем, кража конфиденциальной информации и мошенничество – все это становится более распространенным и серьезным вызовом для организаций и индивидуальных пользователей. Информационная безопасность становится одним из важнейших аспектов деятельности и требует принятия мер для ее обеспечения.

Одной из наиболее опасных и хитрых угроз информационной безопасности является социальная инженерия. Эта техника атаки не использует технических уязвимостей сетей или программного обеспечения, а основывается на манипуляции и использовании человеческого фактора. Именно в этом и состоит роль и значение социальной инженерии в обеспечении информационной безопасности — развитие понимания и защиты от таких атак.

Целью настоящей статьи является исследование роли и значения социальной инженерии в области информационной безопасности. Будут проанализированы основные принципы такой техники атаки, приведены примеры и методы ее использования злоумышленниками, а также рассмотрены меры предосторожности и действия, которые можно предпринять для защиты от социальной инженерии.

Результаты исследования

Социальная инженерия играет значительную роль в обеспечении информационной безопасности. Она является процессом, при котором атакующие используют манипуляции социальными навыками для получения несанкционированного доступа к информации или системам.

Социальные инженеры могут использовать разнообразные методы для достижения своих целей. Они могут выполнять обман, используя убедительные приемы, чтобы убедить цель предоставить конфиденциальную информацию или выполнить определенные действия. Они могут также использовать физические методы, такие как взлом замков или физическое проникновение в помещение для получения доступа к системам [1].

Роль социальной инженерии в обеспечении информационной безопасности заключается в выявлении слабых мест и уязвимостей в системах, связанных с поведением людей. Социальные инженеры могут идентифицировать слабые места путем анализа поведения пользователей и оценки их уровня осведомленности о правилах безопасности.

Они также могут использовать различные методы тестирования на проникновение, чтобы определить, насколько уязвимым является данный объект. Путем проведения фишинговых атак или атак при помощи злоумышленных программ социальные инженеры могут выявить недостаточные знания пользователей или слабые места в системах безопасности.

Социальная инженерия также помогает обучать пользователей правилам безопасности, чтобы они могли узнать и избегать таких атак. Обучение пользователям может включать в себя информирование о рисках, связанных с раскрытием личной информации или кликом по сомнительным ссылкам. Также может предлагаться обучение по повышению осведомленности о безопасности, чтобы пользователи становились более бдительными и заботливыми относительно своей информации [3].

Защита от социальной инженерии является критическим аспектом обеспечения информационной безопасности в организациях и государственных структурах. Вот несколько мер, которые могут быть приняты для защиты от социальной инженерии:

  1. Обучение и осведомление: Один из ключевых аспектов защиты от социальной инженерии – это обучение и повышение осведомленности сотрудников об опасности и методах атак. Регулярные тренинги и обучение помогут сотрудникам распознавать типичные тактики социальной инженерии, такие как фишинг, физические проникновения и манипуляции убеждением.
  2. Улучшенные политики и процедуры: Установка политик и процедур, связанных с защитой от социальной инженерии, помогает предотвратить утечку информации и нарушение систем. Эти политики должны включать строгие процедуры для проверки подлинности и запроса доступа к конфиденциальной информации и системам.
  3. Использование многофакторной аутентификации: Введение многофакторной аутентификации, такой как пароль в сочетании с биометрией или одноразовыми кодами, поможет в защите от несанкционированного доступа. Это делает сложнее для социальных инженеров перехватить и использовать учетные данные сотрудников.
  4. Физическая безопасность: Значительную роль в защите от социальной инженерии также играет физическая безопасность. Ограничение доступа к важным помещениям с помощью пропускного режима, установка видеонаблюдения и контролируемый доступ к компьютерам и другим устройствам помогут предотвратить возможные атаки.
  5. Актуализация систем безопасности: Регулярное обновление систем безопасности, включая антивирусное программное обеспечение, межсетевые экраны и исправление уязвимостей, снижает вероятность успешной атаки социальной инженерии.
  6. Строгая политика управления информацией: Организации и государственные структуры должны иметь строгую политику управления информацией, которая включает классификацию данных, ограничение доступа и регулярную проверку безопасности. Это поможет защитить конфиденциальную информацию от несанкционированного доступа.

Все эти меры должны быть регулярно аудиторованы и обновляться, чтобы оставаться эффективными в борьбе с новыми техниками социальной инженерии. Использование внутренних или внешних экспертов в области информационной безопасности также может помочь организациям развивать и усовершенствовать свои защитные меры [5].

Тренинги и обучение персонала по противодействию социальной инженерии являются важным аспектом защиты организаций от потенциальных атак. Вот несколько шагов, которые могут быть предприняты для обучения персонала:

  1. Идентификация уязвимых мест: В начале процесса следует провести анализ рисков и идентифицировать области, где персонал более подвержен атакам социальной инженерии. Это могут быть, например, отделы, имеющие доступ к конфиденциальным данным или информации, связанной с финансами.
  2. Разработка программы обучения: На основе анализа рисков следует разработать целевую программу обучения, которая будет подходить конкретным потребностям организации. Программа должна включать основы социальной инженерии, типичные тактики и методы атак, а также методы защиты и предотвращения.
  3. Проведение тренировок и симуляций: Ролевые игры и симуляции являются эффективным способом обучения персонала по противодействию социальной инженерии. Персонал может играть роль атакующего и цели, чтобы изучить типичные подходы и поведение социальных инженеров. Это помогает сотрудникам развить критическое мышление и лучше распознавать и предотвращать такие атаки.
  4. Информирование о типичных тактиках: Обучение персонала о типичных тактиках социальной инженерии, таких как фишинг, представление поддельных личностей, манипуляции убеждением и обман, помогает им узнавать и предотвращать возможные атаки. Сотрудники должны быть обращены внимание на признаки мошенничества, ошибки в письмах или сообщениях, сомнительные просьбы о предоставлении информации и т. д.
  5. Регулярное обновление тренингов: Социальные инженеры постоянно разрабатывают новые тактики и методы, поэтому важно, чтобы тренировки проводились регулярно и были обновлены в соответствии с последними тенденциями и угрозами. Это позволит персоналу оставаться в курсе и актуальных методов и защиты.
  6. Создание культуры безопасности: Обучение персонала по противодействию социальной инженерии не должно быть одноразовым событием. Оно должно быть частью широкой культуры безопасности в организации. Ответственность за информационную безопасность должна быть распределена между всеми сотрудниками, а безопасные практики должны стать естественной частью их ежедневной работы [6].

Заключение

Таким образом, роль и значение социальной инженерии в обеспечении информационной безопасности являются критическими и необходимыми. Социальная инженерия позволяет атакующим получать доступ к защищенным системам и конфиденциальной информации, изменив поведение или мнение людей с помощью уловок, манипуляций и обмана. Она основывается на психологических и социальных аспектах, которые позволяют злоумышленникам внедряться в сети и системы, используя людей в качестве слабого звена в цепи безопасности.

Для защиты от таких атак, необходимо принимать меры информационной безопасности, которые включают в себя обучение сотрудников, проведение социальных инженерных тестов и создание сильных политик безопасности. Повышение информационной грамотности сотрудников, осведомленность о различных методах социальной инженерии и большая осторожность помогут минимизировать риски, связанные с обманом и мошенничеством.

Очень важно понимать, что социальная инженерия является постоянно развивающейся областью, и методы атак постоянно меняются и усовершенствуются. Поэтому постоянное обновление знаний о последних трендах и уязвимостях является неотъемлемой частью современной информационной безопасности. В целом, вопрос обеспечения информационной безопасности требует внимания не только со стороны
IT-специалистов, но и сотрудников во всех сферах деятельности. Только тесное сотрудничество и взаимодействие между ними может обеспечить надежную защиту от социальной инженерии и других атак.

  1. https://www.securitymagazine.com/articles/86260-the-role-of-social-engineering-in-achieving-information-security.
  2. Linn, J. (2018). Social engineering in the context of terrorism. In The Routledge Handbook of Terrorism and Counterterrorism (pp. 145-156). Routledge.
  3. https://resources.infosecinstitute.com/social-engineering-and-its-role-in-information-security/.
  4. Prakash, A. (2016). Social engineering enabling a new era of nation-state cybersecurity attacks. International Journal of Advanced Research in Computer Science, 7(6), 427-431.
  5. https://www.csoonline.com/article/2124681/what-is-social-engineering-and-how-to-stop-it.html.
  6. https://www.darkreading.com/attacks-breaches/social-engineering-the-basics/d/d-id/1140162.

Социальная инженерия: как использовать манипуляцию для успешного пентеста

Социальная инженерия – это метод, используемый в области информационной безопасности, который позволяет злоумышленникам получать доступ к системам и данным, обманывая людей и манипулируя их поведением. В контексте пентеста, она является мощным инструментом для проверки безопасности компаний и оценки уязвимостей в их системах. В этой статье мы рассмотрим основные принципы социальной инженерии и расскажем, как использовать манипуляцию для успешного проведения пентеста.

Приходите на наш бесплатный вебинар по разработке без кода, чтобы задать вопросы, узнать больше про зерокодинг и попробовать себя в новой профессии!

Основы социальной инженерии

Социальная инженерия – это искусство манипуляции людьми с целью получения конфиденциальной информации или физического доступа к ограниченным ресурсам. Социальный инженер, используя знания психологии и поведения людей, умело манипулирует жертвами, чтобы достичь своих целей.

В контексте пентеста, она играет ключевую роль в оценке уязвимостей человеческого фактора в безопасности компаний. Она позволяет проверить готовность персонала к атакам и выявить слабые места в системе защиты.

Этапы социальной инженерии в пентесте

  • Сбор информации

Перед тем как начать манипулировать людьми, необходимо провести тщательный сбор информации о цели пентеста. Важно выяснить как можно больше деталей о компании, ее сотрудниках, структуре и сетевой инфраструктуре. Для этого можно использовать открытые источники, соцсети, а также техники фишинга.

  • Установление контакта

Человек должен наладить контакт с жертвой, чтобы начать манипуляцию. Важно выбрать подходящий способ коммуникации, будь то электронная почта, телефонный звонок или личная встреча.

  • Установление доверия

Основная цель социального инженера – убедить жертву в своей подлинности и создать доверительные отношения. Для этого можно использовать различные техники, такие как представление себя важным лицом или создание ситуации, в которой жертва будет испытывать эмоциональное вовлечение.

После установления доверия “тестер” начинает манипулировать жертвой, чтобы получить нужную информацию или физический доступ к системам. Важно использовать техники влияния, такие как авторитетность, схемы вознаграждения и создание срочности. Примеры таких техник: просьба оказать услугу важному руководителю компании, предложение финансового вознаграждения за выполнение определенных действий или создание ситуации, требующей немедленного реагирования.

  • Получение доступа

Когда социальный инженер успешно манипулирует жертвой, он может получить доступ к системам или информации. Это может быть физический доступ к помещению, получение паролей или других учетных данных, или даже установка вредоносного программного обеспечения на компьютер жертвы.

Защита от манипуляций

  • Обучение персонала

Самый эффективный способ – обучение сотрудников. Регулярные тренинги по выявлению и предотвращению атак повысят осведомленность персонала о методах манипуляции и научить их распознавать потенциальные угрозы.

  • Разработка строгих политик безопасности

Компании должны разработать и внедрить строгие политики безопасности, которые запрещают передачу конфиденциальной информации или учетных данных по телефону или по электронной почте без предварительной проверки личности получателя.

  • Физическая безопасность

Важна физическая безопасность, так как социальные инженеры могут использовать методы взлома помещений или кражи устройств для получения доступа к системам и данным. Но это уже очень грубые методы, применяемые лишь в узких кругах.

Заключение

Социальная инженерия является мощным инструментом в руках злоумышленников, но при правильном использовании она может быть эффективным средством проверки безопасности компаний. Пентест, включающий социальную инженерию, позволяет выявить слабые места в системах защиты и принять меры по их устранению. Нужно учить персонал психологической защите, разрабатывать строгие политики безопасности и обеспечивать физическую безопасность. Будьте бдительны и помните о потенциальных угрозах, чтобы защитить свою компанию и данные от несанкционированного доступа.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *