CC BY
19~ _ЕСТЕСТВЕННЫЕ НАУКИ_ ~
- КОМПЬЮТЕРНЫЕ НАУКИ И ИНФОРМАТИКА
Научная статья УДК 343
https://doi.org/10.24412/2687-0185-2023-1-204-209 NIION: 2007-0083-1/23-244 MOSURED: 77/27-005-2023-01-443
Использование информационно-телекоммуникационных технологий в методах социальной инженерии
Елена Петровна Полянская
Московский университет МВД России имени В.Я. Кикотя, Москва, Россия, azhara87@bk.ru
Аннотация. Дается описание способов совершения дистанционных преступлений с использованием современного программного обеспечения в комплексе с методами социальной инженерии, являющимися основным фактором, способствующим росту преступности в России и наиболее эффективными инструментами преступников. Рассмотрены психологические аспекты, делающие уязвимыми граждан перед мошенниками, и даны рекомендации по противодействию социальной инженерии с использованием информационно-телекоммуникационных технологий.
Ключевые слова: дистанционные преступления, информационно-телекоммуникационные технологии, мошенничество, преступления в сфере собственности, преступник, программное обеспечение, социальная инженерия, способы совершения преступлений
Для цитирования: Полянская Е. П. Использование информационно-телекоммуникационных технологий в методах социальной инженерии // Криминологический журнал. 2023. № 1. С. 204-209. https://doi. org/10.24412/2687-0185-2023-1-204-209.
Original article
The use of information and telecommunication technologies in social engineering methods
Elena Р. Polyanskaya
Moscow University of the Ministry of Internal affairs of Russia named after V.Ya. Kikot', Moscow, Russia,
azhara87@bk.ru
Abstract. A description is given of the methods of committing distant crimes using modern software in conjunction with social engineering methods, which are the main factor contributing to the growth of crime in Russia and the most effective tools of criminals. The psychological aspects that make citizens vulnerable to fraudsters are considered and recommendations on countering social engineering using information and telecommunication technologies are given.
Keywords: remote crimes, information and telecommunication technologies, fraud, property crimes, criminal, software, social engineering, methods of committing crimes
For citation: Polyanskaya E. Р. The use of information and telecommunication technologies in social engineering methods. Criminological journal. 2023. (1):204-209. (In Russ.). https://doi.org/10.24412/2687-0185-2023-1-204-209.
На сегодняшний день социальная инженерия, определяемая как прогнозируемое поведение, является основным инструментом любого преступника, совершающего преступление дистанционным способом. Кроме того, это основа совершения всех мошеннических действий. В юридической литературе дано множество авторских определений социальной инженерии, практически все они определяют ее как комбинацию методов управления действиями человека при
© Полянская Е. П., 2023
принятии им решений на основе сформированных психологических характеристик и поведенческих основ в социуме. В технической литературе социальная инженерия определяется как несанкционированный доступ к информации или системам хранения информации без использования технических средств. К сожалению, за счет использования человеческого фактора, она остается на протяжении многих лет самым эффективным инструментом совершения преступле-
_NATURAL SCIENCES_
COMPUTER SCIENCE AND INFORMATICS
Ям
ний, а использование возможностей информационного пространства только способствует этому. В подтверждение масштабности используемого способа, можно привести статистику Банка России, который ежегодно опубликовывает обзор операций, совершенных без согласия клиентов финансовых организаций. Согласно отчетной документации, за последние три года было похищено от 5,7 до 6,3 млрд рублей, осуществлено от 572 до 860 тыс. операций. В семи из десяти случаев, люди сами сообщали мошенникам информацию, способствовавшую хищению денежных средств. Банковскими организациями возвращено 870 млн похищенных рублей. Средней суммой большинства хищений являлась сумма в 10 тыс. рублей. Наиболее распространенными способами преступлений стали хищения через банкоматы и платежные терминалы (40 тыс. инцидентов), хищения при оплате товаров и услуг в сети Интернет (371 тыс. транзакций), хищения через системы дистанционного банковского обслуживания (161 тыс. инцидентов). Наибольшее количество несанкционированных операций приходится на г. Москву, г. Санкт-Петербург, Костромскую, Свердловскую и Ульяновскую области1.
Осуществить взлом любого технического устройства не просто без наличия необходимых специальных знаний по пентесту2, использованию SQL-инъекций3, брутфорсу4, использованию дистрибутива Kali Linux5 и т.п., куда проще «взломать» человека. Всегда использованию социальной инженерии предшествует сбор информации. Более продвинутые, но технически не подкованные преступники используют метод OSINT6, иначе говоря, интернет-разведку. Как показывает практика, большинство людей не прочь поделиться всей необходимой информацией в Сети. Речь даже не идет об извлечении метаданных из фото, видео, выложенных в социальной сети, достаточно части персональных данных человека, чтобы осуществить обман.
Как правило, кажущийся технически сложным для нас способ совершения преступления на самом
1 Обзор операций, совершенных без согласия клиентов финансовых организаций за 2019, 2020, 2021 г. // URL://cbr.ru>Collection/Collection... transactions_2019; cbr.ru>analytics/ib/review_2q_2020/; cbr.ru>analytics/ib/ operations_survey_2021/
2 Pentest, Penetration Testing — определенные мероприятия, направленные на поиск уязвимостей в информационной системе. Цель пентеста — выявить любые слабые места в защите системы, которыми могут воспользоваться злоумышленники.
3 SQL-инъекция — один из распространенных способов взлома сайтов и программ, работающих с базами данных, основанный на внедрении в запрос произвольного SQL-кода.
4 Брутфорс (Brute force) — метод взлома различных учетных записей, путем подбора логина и пароля.
5 Специальный дистрибутив, содержащий в себе множество программ и утилит, связанных с проверкой безопасности и взломом.
6 OSINT (Open Source INTelligence) — это разведка по открытым источникам, т. е. поиск информации о человеке или организации по базам данных, которые доступны всем.
деле предполагает минимум манипуляций. Злоумышленнику достаточно аналитических способностей для определения интересов человека. Собрав интересующую информацию, он знакомиться с жертвой, предлагает что-то приобрести, и вводя в заблуждение сбрасывает «фишинговую» ссылку, либо вызывает жалость упоминая детей, животных, пожилых людей с просьбой перевести денежные средства для их нужд. Способов завладения денежными средствами сотни, все зависит от воображения, знаний и навыков преступника. На наш взгляд, одним из основных способов борьбы в данной ситуации является профилактика подобных преступлений. Граждан необходимо постоянно информировать о способах совершения преступлений, о возможных ситуациях и используемых злоумышленниками методах, что, несомненно, осуществляется Центральным банком России, Министерством внутренних дел Российской Федерации и др.
Однако, все не так просто. Преступники совершенствуют свои навыки ежедневно. Использование различного софта, позволяющего ввести в заблуждение человека, затрудняет выявление мошеннической схемы и заставляет поверить в реальность происходящей с лицом ситуации.
К примеру, большинство людей знает о классической схеме преступников, где жертве звонит человек, представляется родственником или его знакомым, поясняя, что попал в беду и просит передачи денежных средств для исправления сложившейся ситуации.
Однако использование информационно-телекоммуникационных технологий позволяет обмануть даже осведомленного об указанном преступном способе гражданина.
Чтобы не попасться на уловки преступников, людьми используются различные приложения, вроде GetContact (определителя абонентских номеров). Не стоит забывать, что все имеющиеся сервисы не только разрабатываются в помощь гражданам, но в тоже время могут быть использованы против них.
Опишем один из механизмов совершения преступления, основанный исключительно на использовании социальной инженерии и информационно-телекоммуникационных технологиях.
Злоумышленник выбрал в социальной сети жертву — мужчину. По размещенным в аккаунте фото и локациям проанализировал его благосостояние исходя из стоимости авто и посещаемых заведений, просмотрел список друзей, среди которых нашел однофамильца — возможного родственника. В интернет-сервисе, используемом для «пробива информации о человеке» по имеющимся в социальной сети сведениям, в том числе по номерному знаку транспортного средства, преступник получил телефонные номера и полные персональные данные указанных выше лиц.
Далее, используя сервис для подмены телефонно-
ЕСТЕСТВЕННЫЕ НАУКИ
КОМПЬЮТЕРНЫЕ НАУКИ И ИНФОРМАТИКА
го номера, вроде SafeCallsBot1, содержащий несколько вариаций изменения женских и мужских голосов, злоумышленник указал в графе «кому позвонить» номер жертвы, а в графе «подменный номер» — абонентский номер его возможного родственника. В настройках изменил тембр, тональность голоса, на фоне включил громкий шум и позвонил жертве. За счет того, что у гражданина записан контактный номер однофамильца, поскольку тот действительно являлся его родственником, на дисплее высветилась именно та запись, которая имелась в списке контактов. Ввиду сложившейся ситуации у жертвы никаких сомнений в том, что ему звонило знакомое лицо не возникло. Пользуясь этим, преступник представился именем родственника и сказал, что срочно необходимы деньги в долг, которые нужно перевести на определенный счет, а вечером он все объяснит и вернет их. Не верить звонящему оснований у жертвы не было, ведь
1 Внесен Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) в реестр запрещенных сайтов.
абонентский номер первого высветился на дисплее мобильного устройства, к тому же тот правильно назвал свои данные и по имени обратился к жертве. Таже схема эффективна в ситуации, когда задействуют коллег или руководителей.
Практически аналогичная ситуация складывается, когда какому-либо лицу звонят и представляются сотрудниками правоохранительных органов, используя подмену абонентского номера на номер дежурной части ГУ МВД России по г. Москве, размещенный на сайте ведомства. В таком случае, у жертвы, увидевшей на дисплее запись ДЧ ГУ МВД России по г. Москве, выданную определителем номера, не возникает сомнений в личности звонящего, что позволяет преступникам прогнозировать поведение жертвы.
Техник социальной инженерии достаточно много, в литературе можно встретить различную классификацию этапов их осуществления, представленных на рис. 1, 2, но все они сводятся к единым базовым элементам: постановке цели, определению жертвы, сбору информации, выявлению уязвимостей, атаке, получению результата.
Формулирование цели воздействия на объект _^ Сбор информации об объекте воздействия Обнаружение наиболее удобных мишеней воздействия
-►
£
Аттракция -► Понуждение к нужному действию
Нужный итог
Рис. 1. Схема воздействия по мнению психолога В.П. Шейнова [1]
Рис. 2. Жизненный цикл социальной инженерии [2]
_NATURAL SCIENCES_
COMPUTER SCIENCE AND INFORMATICS
Ям
Наиболее эффективными являются следующие техники:
• Претекстинг (Pretexting) осуществляется по спланированному сценарию, где реализуется прием «выбор без выбора», подразумевающий предложение нескольких готовых вариантов, вследствие которых человек на автоматизме рассуждает и предпринимает действия в заданном направлении «перепрыгивая» этап собственного выбора. Так, в начале 2020 года от мошеннических действий пострадала сотрудница Центрального банка России, переславшая 240 тыс. звонившему ей сотруднику службы безопасности Сбербанка России, который предложил снять денежные средства в банкомате и положить их на безопасный счет, что являлось обязательной процедурой для защиты от хищения их мошенниками [3];
• Фишинг (password harvesting fishing — «ловля паролей») предполагает получение злоумышленником интересующей его информации посредством направления жертве ссылки на вредоносную программу, собирающую логины и пароли от приложений в браузере, либо устройстве (в зависимости от целей написанного скрипта);
• Кви про кво. В данной технике присутствуют элементы технологии продаж «холодные звонки». Преступник звонит в организации по найденным в Сети контактным номерам, представляется сотрудником технической поддержки, выясняя наличие сбоев в работе технических устройств. При наличии таковых, «решает» их удаленно, поясняя жертве, какие команды следует выполнять для устранения проблемы, завуалированно вынуждая его запустить вредоносное программное обеспечение;
• Обратная социальная инженерия. Цель данной техники - заставить жертву обратиться к злоумышленнику за «помощью». К примеру, за счет создания обратимой неполадки в компьютере жертвы. Этому предшествует вручение рекламного проспекта с предложением диагностики или ремонта технического устройства. Показательным примером рассматриваемой техники служит случай, произошедший в период самоизоляции. Мужчина, представлявшийся в социальной сети врачом-гинекологом клиники «Евромед» и ведущий с соответствующим контентом аккаунт, в ходе диалога с жительницей г. Калуги предложил провести «онлайн-прием», убедив что является высококвалифицированным специалистом и может оказать дистанционную помощь в период самоизоляции. Женщина согласилась на оказание «услуги» несмотря на то, что стоимость «видеоконсультации» составляла три тысячи рублей.
Злоумышленник попросил продемонстрировать половые органы, записав происходящее на видео и потребовав затем 200 000 рублей за нераспространение видео. В аккаунте мошенник использовал фотографию известного гинеколога г. Москвы, в связи с чем, потерпевшей данные действия подозрительными не показались [4].
Задействуя человеческий фактор, потребности и интересы, преступниками используются различные принципы влияния на жертв. Приведем несколько наиболее ярких примеров из практической деятельности правоохранительных органов.
1. Авторитетность. Людям свойственно желание услужить человеку с авторитетом (властью). Злоумышленник получит необходимое поведение жертвы, если последний будет уверен, что первый имеет власть или право задавать тон разговору, либо ответному поведению. Существенную роль играет использование в речи специфических терминов, подача информации, модель и манера поведения злоумышленника.
Так, «глава администрации Всеволожского района перевел 300 тыс. рублей позвонившему ему незнакомому человеку, представившемуся руководителем Следственного управления Следственного комитета Российской Федерации по Ленинградской области за невозбуждение уголовного дела по результатам некой проверки» [5]. Наиболее типичным примером является звонок якобы сотрудника правоохранительного органа родственникам попавшего в беду близкого им человека с требованием передачи денежных средств за непривлечение к уголовной ответственности последнего.
2. Взаимность. В случае, если человек видит проявленную к нему доброту, у него возникает желание отплатить взаимностью. Эта сильная черта человеческой натуры, как правило, проявляющаяся в тот момент, когда человек неожиданно и безвозмездно получает подарок или услугу. К примеру, позвонивший в организацию преступник, представляется работником службы технической поддержки и выясняет сведения о наличии технических проблем.
В процессе их решения, либо консультации, сотрудник организации, уже находясь в некоторых доверительных отношениях с собеседником, остается на линии и отвечает на заданные вопросы, иногда не задумываясь об их характере сообщает конфиденциальную информацию (пароли, учетные записи), вводит команды, позволяющие запустить вредоносное программное обеспечение.
3. Ограниченное количество «бесплатного сыра». Одна из потенциально опасных для безопасности информации человеческих черт — вера в то, что субъект делится частью информации, на которую претендуют другие, или что информация доступна только в этот момент. Как это ни странно, но способ действует по настоящее время. Как правило, при использовании приема анонсируется крайне выгодная акция, либо заманчивый розыгрыш. К примеру, мошенником рассылаются электронные письма, сообщающие, что первые
_ЕСТЕСТВЕННЫЕ НАУКИ_
КОМПЬЮТЕРНЫЕ НАУКИ И ИНФОРМАТИКА
300 зарегистрировавшихся на новом сайте выиграют 3 билета на премьеру фильма. В процессе регистрации требуют ввести адрес электронной почты и пароль. Многие, не задумываясь, вводят запрашиваемые сведения, что категорически делать нельзя.
К факторам, способствующим совершению преступлений со стороны жертвы являются: потеря бдительности; доверчивость любым источникам информации; отсутствие критического мышления; сложность выявления правдивой, либо неправдоподобной информации в большом количестве информационного шума; трудности при выявлении поддельных интернет-ресурсов ввиду профессионального подхода к их оформлению злоумышленников; устойчивое мнение о том, что соблюдение политики информационной безопасности является пустой тратой времени и сил; недооценка значимости информации, которой владеют; желание искренне помочь каждому, кто об этом просит; неосознанность пагубных последствий своих действий.
Основными и крайне важными факторами, позволяющими мошенникам успешно совершать преступления, являются использование информационно-телекоммуникационных технологий и их профессиональный рост, совершенствование навыков. Сложно не заметить, что с годами преступники стали намного образованнее, способы совершения преступлений существенно усовершенствованы, в том числе технически.
В криминологии профессиональная преступность выделена в отдельный вид, к которой можно отнести преступления, совершаемые с использованием информационно-телекоммуникационных технологий, требующие наличия специальных знаний, навыков и характеризующиеся устойчивым характером и стабильным источником извлечения дохода. В преступлениях против собственности большая часть уличных преступлений и квартирных краж нивелировалась, на сегодняшний день преобладает «беловорот-ничковая» преступность, молодежь чаще «уходит» в информационное пространство.
Как мы знаем, практически все подразделения органов внутренних дел проводят профилактические мероприятия, направленные на предотвращение преступлений, равно как и банковские организации. Казалось бы, сотрудники правоохранительных органов в силу бдительности, осмотрительности и знания преступных схем и способов не могут стать жертвой преступников. Но как показывает практический опыт работы в следственных органах автора, все обстоит иначе. Будучи проинформированным о преступной схеме, в самый пик дистанционного мошенничества, заместитель начальника Главного следственного управления одного из регионов попался на классическую уловку преступника. В вечернее время ему позвонил оператор и сообщил о переводе денежных средств с принадлежащего ему счета некому лицу, что сотрудник правоохранительных органов не подтвердил и для отмены транзакции продиктовал код из присланного смс-сообщения. Таким образом трижды
приходили смс-сообщения и трижды их содержимое было продиктовано злоумышленнику, в результате чего пострадавший лишился 96 тыс. рублей. В данном случае компенсации банковской организацией в соответствии с п. 12 ст. 9 Федерального закона «О национальной платежной системе» № 161-ФЗ не последовало, поскольку списание произошло вследствие действий, произведенных клиентом.
Как мы уже говорили, нередко жертвами мошенников становятся и сотрудники финансово — кредитных учреждений.
Практически все модели совершения дистанционных преступлений включают использование методов социальной инженерии и информационно-телекоммуникационных технологий. Даже для осуществления «технической» кражи денежных средств необходимо выяснить данные для получения доступа к личному кабинету банковской организации, произвести манипуляции с переадресацией звонков на другой абонентский номер у оператора сотовой связи и т. д., Несомненно, ряд преступлений может совершаться исключительно посредством осуществления метода OSINT, брутфорса, использования SQL-инъекций, стиллера1 и многого другого.
На наш взгляд, защититься от социальных хакеров можно только зная методы их работы. Необходимо лишить социальных хакеров главного козыря: неискушенности жертв в вопросах мошенничества и методах скрытого управления человеком.
К мерам противодействия рассматриваемого способа относятся повышение финансовой грамотности населения, ее предупреждение за счет стратегии банковских организаций и обучение граждан действиям, препятствующим совершению преступлений.
В последнее время банковскими организациями выпускаются симуляторы для тренировки пользователей по определению мошеннических действий. В организациях проводятся киберучения среди сотрудников и работников. Банк России, Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации, а также другие ведомства и организации запустили серию видеороликов, квесты, игры, курсы, платформы и онлайн-сервисы для повышения цифровой грамотности. В данном направлении работа, несомненно ведется, но как видно по росту преступности, она не является достаточной. Многие сегменты населения остаются неохваченными. Основной категорией пострадавших являются люди, не столь хорошо ориентирующиеся в информационном пространстве. Возможно, для них необходимо предоставление как можно большего количества профилактической информации на телевидении, в средствах массовой информации, распространение памяток в торговых организациях, государственных учреждениях. Для жителей г. Москвы действенным является
1 Стиллер — вирусное программное обеспечение (ПО), используемое для хищения логинов и паролей потенциальной жертвы.
NATURAL SCIENCES
COMPUTER SCIENCE AND INFORMATICS
непрерывный показ в вагонах метро видеороликов о способах совершения мошенничества, содержание которых при постоянном просмотре откладывается в памяти, после чего выяснение по телефону CVV-кода банковской карты автоматически вызывает у человека подозрение. Подобного уровня профилактики в населенных пунктах России, особенно в удаленных ее уголках не имеется, а банковские продукты там распространены практически также и в крупно населенных городах. Однако, все эти меры не помогут если человек не будет: проявлять внимательность к интернет-сервисам и принимаемой информации; критически мыслить; анализировать; оценивать риски предоставления персональных данных организациям, лицам и интернет-сервисам и т. п.
Противодействию совершаемым преступлениям могут способствовать следующие действия граждан: повышение компетентности в вопросах информационной безопасности; использование актуального антивирусного программного обеспечения, двухфак-торной аутентификации и сложных паролей; проверка источника ссылок. Кроме того, гражданам необходимо помнить, что категорически нельзя переходить по незнакомым ссылкам, следует перепроверять поступающую информацию, вызывающую подозрение и не доверять звонящим незнакомым людям, нагнетающим обстановку и требующим выполнения каких-либо действий. Несоблюдение указанных требований является основной причиной совершения преступлений в сфере собственности, совершенных дистанционным способом.
В полной мере противодействовать социальной инженерии невозможно, это наиболее эффективный инструмент XXI в., способы преступников еженедельно совершенствуются, равно как и используемое ими программное обеспечение, но снизить уровень общей преступности возможно одним способом: повысить осознанность граждан.
Список источников
1. Социальная инженерия // URL://https://
artemsannikov.ru/social-engineering/whats-is-social-engineering/
2. Киберугроза №1, или, как бороться с социальной инженерией // URL://https://www. securitylab.ru/analytics/500877.php.
3. Специалиста Центробанка сделали жертвой «банковских мошенников» // URL:// https://www.uralinform.ru/news/society/323589-specialista-centrobanka-sdelali-jertvoi-bankovskih-moshennikov/
4. Лжегинеколог убедил россиянку провести он-лайн-прием, а потом стал шантажировать // URL://https://life.ru/p/1320124.
5. Задержана мошенница, выманившая 300 тысяч рублей у главы администрации Всеволожского района // URL://https://konkretno. ru/kriminal/85611-zaderzhana-moshennica-vymanivshaya-300-tysyach-rublej-u-glavy-administracii-vsevolozhskogo-rajona.html.
References
1. Social Engineering // URL://https:// artemsannikov.ru/social-engineering/whats-is-social-engineering/
2. Cyber Threat №1, or how to fight against social engineering // URL://https://www.securitylab.ru/ analytics/500877.php.
3. Specialist of the Central Bank was made a victim of «bank fraudsters» // URL://https://www. uralinform.ru/news/society/323589-specialista-centrobanka-sdelali-jertvoi-bankovskih-moshennikov/
4. False gynecologist convinced a Russian woman to hold an online appointment and then began to blackmail her // URL://https://life.ru/p/1320124.
5. Fraudster who swindled 300 thousand rubles from the head of Vsevolozhsky district administration was detained // URL://https://konkretno. ru/kriminal/85611-zaderzhana-moshennica-vymanivshaya-300-tysyach-rublej-u-glavy-administracii-vsevolozhskogo-rajona.html.
Информация об авторе
Е. П. Полянская — преподаватель кафедры информационной безопасности учебно-научного комплекса информационных технологий Московского университета МВД России имени В.Я. Кикотя.
Information about the author E. Р. Polyanskaya — lecturer of the Department of Information Security of the educational and Scientific complex of Information Technologies of the Moscow University of the Ministry of Internal Affairs of Russia named after V.Ya. Kikot'.
Статья поступила в редакцию 13.01.2023; одобрена после рецензирования 30.01.2023; принята к публикации 08.02.2023.
The article was submitted 13.01.2023; approved after reviewing 30.01.2023; accepted for publication 08.02.2023.
