CC BY
30
МЕТОДЫ И СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ, ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ / METHODS AND SYSTEMS OF INFORMATION PROTECTION, INFORMATION SECURITY
КОЖНО-ГАЛЬВАНИЧЕСКАЯ РЕАКЦИЯ КАК «ИНСТРУМЕНТ» ЗАЩИТЫ ОТ СОЦИАЛЬНОЙ
ИНЖЕНЕРИИ
Научная статья
Фадюшин С.Г.1' *
1 ORCID : 0000-0002-0098-1828;
1 Дальневосточный федеральный университет, Владивосток, Российская Федерация
* Корреспондирующий автор (fadyushin.sg[at]dvfu.ru)
Аннотация
С точки зрения информационной безопасности социальная инженерия — это различные виды психологического воздействия на людей для того, чтобы заставить человека совершить определенные действия в интересах злоумышленника или передать ему конфиденциальную информацию. Главную роль в социальной инженерии играет человеческий фактор. Линии защиты информации, выстраиваемые современными средствами информационной безопасности, могут быть легко преодолены злоумышленником, использующим социальную инженерию. Поэтому возникает необходимость разработки таких методов защиты информации, которые бы учитывали человеческий фактор. Для этого, в первую очередь, необходимо обоснованно подойти к подбору «инструментов», способных оценить эмоциональное состояние злоумышленника в момент совершения им противоправных действий. Цель исследования заключается в обосновании использования в качестве одного из таких «инструментов» защиты от социальной инженерии кожно-гальванической реакции. Результаты исследования могут представлять интерес для специалистов по информационной безопасности.
Ключевые слова: информационная безопасность, информация, социальная инженерия, кожно-гальваническая реакция.
CUTANEOGALVANIC REACTION AS A TOOL' FOR PROTECTION AGAINST SOCIAL ENGINEERING
Research article
Fadyushin S.G.1' *
1 ORCID : 0000-0002-0098-1828;
1 Far Eastern Federal University, Vladivostok, Russian Federation
* Corresponding author (fadyushin.sg[at]dvfu.ru)
Abstract
From an information security perspective, social engineering is the various types of psychological influence on people to make them commit certain acts for the benefit of an aggressor or to pass sensitive information to them. The human factor plays a major role in social engineering. Lines of information protection built by modern information security tools can be easily overcome by a social engineering attacker. Therefore, there is a necessity to develop information protection methods that take into account the human factor. To do this, firstly, it is necessary to reasonably approach the selection of "tools" capable of evaluating an attacker's emotional state at the time of committing illegal actions. The aim of the study is to substantiate the use of cutaneogalvanic reaction as one of such "tools" for protection against social engineering. The results of the research may be of interest to information security professionals.
Keywords: information security, information, social engineering, cutaneogalvanic reaction.
Введение
В сфере информационной безопасности термин «Социальная инженерия» означает широкий спектр вредоносных действий, совершаемых злоумышленником в отношении атакуемого им человека. Чаще всего авторы исследований по данной теме классифицируют атаки типа социальной инженерии, как акты психологического манипулирования людьми с целью убеждения человека раскрыть доступ к информационным ресурсам, к которым злоумышленник (социальный инженер) не имеет прав доступа [1].
Большинство атак типа социальной инженерии начинаются с предварительных фишинговых рассылок. Под фишингом понимается такой вид интернет-мошенничества, который направлен на то, чтобы получить доступ к конфиденциальным данным человека: имя пользователя, пароль, паспортные данные, номера кредитной карты и ПИН-кода и т.д. [2]. По некоторым статистическим данным почти 75% атак злоумышленников начинаются именно с фишинга. Кроме фишинга существуют другие виды атак типа социальной инженерии: ловля «на живца», претекстинг, вишинг и смишинг, взлом электронной почты и др.
Понятие «социальная инженерия» в информационной безопасности необходимо отличать от этого же понятия в социальных науках, в которых оно не связано с разглашением конфиденциальной информации. Например, в статье [3] рассматриваются вопросы повышения эффективности управления людьми путём использования нейролингвистического программирования и социальной инженерии. В статье [4] социальная инженерия рассматривается как часть социологического знания.
Вектор атаки типа социальной инженерии включает в себя следующие элементы психологического характера: страх, раздражение, невнимательность, любопытство, жадность, желание помочь. Дополнительно к ним опытные социальные инженеры используют усилители (психологические катализаторы), которые повышают эффективность
атак за счёт добавочной апелляции к эмоциональной сфере людей, такие как срочность, авторитет. Перечисленные составляющие вектора атаки способны вызвать эмоции как у атакующего человека, так и у атакуемого.
Для противодействия атакам социальной инженерии разработан целый класс решений Security Awareness, представляющий собой программы и сервисы, которые направлены на повышение знаний сотрудников по информационной безопасности. Однако, несмотря на принимаемые меры, количество атак типа социальной инженерии продолжает увеличиваться. Отсюда следует, что арсенал «инструментов» противодействия социальной инженерии необходимо совершенствовать.
К числу таких «инструментов» можно отнести кожно-гальваническую реакцию (КГР) или электрическую активность кожи (ЭАК). В данной статье используется термин «Кожно-гальваническая реакция». Кожно-гальваническая реакция — это одна из физиологических характеристик человека, которая описывает изменение электрического сопротивления или разности потенциалов кожи. Её применение для защиты от атак социальной инженерии обусловлено рядом причин:
1. В социальной инженерии особую роль играет человеческий фактор.
2. Атаки типа социальной инженерии воздействуют на психоэмоциональную сферу человека и приводят к изменению его эмоционального состояния.
3. КГР является самым результативным способом регистрации даже незначительного изменения эмоционального состояния человека.
Итак, из приведённого перечня причин следует, что сигнал КГР можно рассматривать как эффективный инструмент для распознавания эмоций, играющий важную роль в исследованиях аффективных реакций [5]. Роль эмоций заключается в том, что «... эмоции, выполняющие функции обратной связи, сигнализируют о достижении или не достижении определенных целей» [6, C. 95]. Следует отметить, что метод КГР уже используется для повышения уровня безопасности предприятий, например, путем идентификации сотрудников по их биометрическим показателям, или для сбора информации о поведении сотрудников в различных ситуациях.
Цель данного исследования заключается в обосновании использования в качестве одного из «инструментов» защиты от социальной инженерии кожно-гальванической реакции, т.е. в описании основных оценочных параметров КГР и в экспериментальной проверке возможности их использования для защиты от социальной инженерии. Данная работа является продолжением исследований по теме влияния информации на человека, опубликованных в научных статьях [7], [8].
Методы и принципы исследования
Кожно-гальваническая реакция связана с изменениями биоэлектрической активности кожи вследствие реакции организма на внешние раздражители, что является показателем непроизвольной вегетативной активности человека. В основе формирования электрокожной проводимости лежит регуляция интенсивности обменных процессов в клетках кожи, обусловленная ионными процессами.
Для регистрации КГР используются два метода:
1. Тарханова — регистрация электрических потенциалов кожи.
2. Фере — регистрация электрического сопротивления кожи.
Из перечисленных методов наиболее информативным считается второй из них, при использовании которого сигнал разделяется на две составляющие: тоническую и фазическую. Тоническая составляющая обусловлена постоянной фоновой проводимостью кожи, фазическая — быстрыми изменениями проводимости кожи на фоне тонической составляющей в результате влияния различных раздражителей. Форма сигнала фазической составляющей КГР показана на рис. 1.
Рисунок 1 - График КГР:
1 — активация (положительное приращение сигнала); 2 — 1-я переходная фаза (переход от активации к релаксации); 3 — релаксация (снижение уровня сигнала); 4 — 2-я переходная фаза (переход к следующей реакции)
Примечание: часть графика от A1 до A — выделенная эмоциональная реакция
Каждой из перечисленных фаз соответствуют свои параметры КГР. Рассмотрим наиболее значимые из них для защиты от социальной инженерии, с которыми более подробно можно ознакомиться в работах [9], [10]: 1. КГР-активность(СЛ), сНп/мин:
CA = x 60 (1)
Та
где ai — амплитуда активации, сНп (приращение активации за ,-ю реакцию); Ta — время тестирования, с.
Величина КГР-активности — это сумма амплитуд фазических эмоциональных реакций за время Та, приведенных к одной минуте. КГР-активность представляет собой интегральный показатель динамических процессов энергетических затрат человека на проявление им эмоций. Другими словами, это оценка психофизиологических затрат на регуляцию психоэмоционального состояния.
2. Время активации (t,), с:
и = И"=1 А tj (2)
где Dtj — единичный интервал активации, характеризующий мгновенную скорость сигнала КГР в 1-ой фазе, с; n — количество интервалов квантования, т.е. количество импульсов.
3. Время релаксации (- t,), с:
-ti = zr=i -Аtj (3)
где -Dtj — единичный интервал релаксации, характеризующий мгновенную скорость сигнала КГР в 3-ей фазе, с.
4. Амплитуда активации (а,), сНп:
-<ц = n(-j)/2 (4)
5. Амплитуда релаксации (-а,), характеризующая уменьшение активации после релаксации в i-ой реакции, сНп:
^ = ffx60 (5)
6. Средняя скорость активации (V,), характеризующая мощность реагирования в i-ой реакции, сНп/мин:
v; = ffx60 (6)
7. Средняя скорость релаксации (-V), характеризующая интенсивность восстановительных процессов в коже, сНп/мин:
-V, = Eff х 60 (7)
Основные результаты
С целью оценки возможности использования описанных параметров КГР для определения психоэмоционального состояния социального инженера и атакуемого им человека был проведен следующий эксперимент. К пальцам испытуемого, к безымянному и мизинцу правой и левой руки (соответственно правый и левый канал), подключались датчики аппаратно-программного комплекса (АПК) «Дианел-llS-ION» (Комплекс аппаратно-программный «Дианел-11S-ION» для оценки психофизиологического состояния). Затем для испытуемого на экран монитора выводились специально подобранные слова-раздражители и слова-усилители (психологические катализаторы, усиливающие эмоциональные реакции за счёт дополнительного стимулирования эмоциональной сферы человека): блокировка учетной записи, код банковской карты, пароль для входа в онлайн-банк, взлом учетной записи, прокуратура, уголовный кодекс, наказание и т.п. Запись КГР велась по двум каналам АПК «Дианел-llS-ION» в двух состояниях испытуемого:
1. Перед активацией (до демонстрации слов).
2. В стадии активации (во время демонстрации слов).
Полученные экспериментальные данные автоматически обрабатывались программой статистической обработки данных, встроенной в АПК «Дианел-llS-ION». Итоговые среднестатистические данные для экспериментальной группы испытуемых из 50 человек, в основном состоящей из студентов старших курсов, представлены в табл. 1.
Таблица 1 - Итоговые среднестатистические данные эксперимента
Оценочный Перед активацией В стадии активации
параметр КГР Левый канал Правый канал Левый канал Правый канал
КГР -активно сть, сНп/мин 7,73 0,71 17,14 10,47
Время активации, с 6,76 5,42 10,12 7,59
Время релаксации, с 24,06 69,78 27,32 43,30
Амплитуда активации, сНп 4,72 1,30 15,63 12,74
Амплитуда релаксации, сНп 12,53 29,62 83,78 103,80
Средняя
скорость активации, сНп/мин 0,64 0,23 1,52 1,26
Средняя
скорость 0,47 0,34 2,02 1,63
релаксации
сНп/мин
Полученные результаты (см. табл. 1) показывают, что оценочные параметры КГР, полученные в стадии активации, отличаются по своим значениям в большую сторону от оценочных параметров перед активацией. Это говорит о том, что участники эксперимента эмоционально реагировали на демонстрируемые им слова из «арсенала» социального инженера. Отсюда следует вывод, что с помощью КГР можно определить изменение эмоционального состояния человека, вовлечённого в процесс атаки типа социальной инженерии. Следовательно, метод кожно-гальванической реакции может быть использован как один из «инструментов» защиты от социальной инженерии.
В качестве примера практического использования полученных результатов была разработана концептуальная схема системы идентификации намерений пользователя банкомата — аппаратно-программный комплекс для защиты транзакций, осуществляемых через банкомат с помощью электронных банковских карт. Структура разработанной схемы включает в себя блок фиксации оценочных параметров КГР непосредственно через кожу пальцев человека при введении им ПИН-кода и других команд. Зафиксированный повышенный уровень психоэмоционального состояния пользователя передаётся на процессор, где с помощью специальной программы обрабатывается и в случае необходимости включается сигнал, оповещающий об опасности.
Заключение
Использование физиологических методов, позволяющих оценивать эмоциональное состояние человека, является одним из перспективных направлений совершенствования методов и аппаратно-программного обеспечения для защиты от социальной инженерии. К числу таких методов относится кожно-гальваническая реакция. Метод КГР может использоваться для оценки психоэмоционального состояния злоумышленника, совершающего атаку типа социальной инженерии, и тем самым предотвратить причинение ущерба предприятию или отдельному человеку. Кроме того, метод КГР может «подсказать» человеку о наличии опасности при получении им фишингового электронного письма.
Конфликт интересов
Не указан.
Рецензия
Все статьи проходят рецензирование. Но рецензент или автор статьи предпочли не публиковать рецензию к этой статье в открытом доступе. Рецензия может быть предоставлена компетентным органам по запросу.
Conflict of Interest
None declared.
Review
All articles are peer-reviewed. But the reviewer or the author of the article chose not to publish a review of this article in the public domain. The review can be provided to the competent authorities upon request.
Список литературы / References
1. Neumeier J. Social Engineering, Imperfect Human. / J. Neumeier, K. Lemaire, A.P. Taburchak et al. // Economic Vector.
— 2022. — 2(29). — p. 11-16. — DOI: 10.36807/2411-7269-2022-2-29-11-16
2. Алексеев А.С. Фишинг: интернет-мошенничество с применением социальной инженерии. / А.С. Алексеев // Вестник современных исследований. — 2019. — 1.13(28). — c. 12-16.
3. Крохина В.А. Нейролингвистическое программирование и социальная инженерия как неотъемлемая часть управления. / В.А. Крохина // Молодежный научно-технический вестник. — 2016. — 8. — c. 32.
4. Уржа О.А. Социальная инженерия - методология социально-ориентированного управления / О.А. Уржа. — М.: Российский государственный социальный университет, 2020. — 100 c.
5. Liu M. Human Emotion Recognition Based on Galvanic Skin Response Signal Feature Selection and SVM. / M. Liu, D. Fan, X. Zhang et al. // 2016 International Conference on Smart City and Systems Engineering (ICSCSE); — Hunan: IEEE, 2016. — p. 157-160. doi: 10.1109/ICSCSE.2016.0051
6. Коровкин С.Ю. Экспериментальные исследования эмоций в мышлении в смысловой теории мышления. / С.Ю. Коровкин // Вестник Ярославского государственного университета им. П. Г. Демидова. Серия Гуманитарные науки. — 2018. — 2(44). — c. 92-96.
7. Фадюшин С.Г. Влияние энтропии последовательности текстовых символов на психоэмоциональное состояние человека. / С.Г. Фадюшин, А.С. Лободенко, Е.Е. Миляева // Международный журнал прикладных и фундаментальных исследований. — 2014. — 6. — c. 46-47.
8. Фадюшин С.Г. Психофизиологический анализ влияния информации на человека. / С.Г. Фадюшин, А.С. Лободенко, Е.Е. Миляева // Наука и образование: ежемесячный научный журнал Межотраслевого института. — 2014.
— 6. — c. 20-22.
9. Суходоев В.В. Анализ шкал, применяемых для измерений кожно-гальванических реакций человека / В.В. Суходоев // Физиология человека. — 1992. — Т. 18. — № 1. — c. 56-63.
10. Суходоев В.В. Методическое обеспечение измерений, анализа и применения параметров кожно-гальванических реакций человека / В.В. Суходоев // Проблемность в профессиональной деятельности: Сб. статей; — М.: Издательство института психологии РАН, 1999. — c. 303-328.
Список литературы на английском языке / References in English
1. Neumeier J. Social Engineering, Imperfect Human. / J. Neumeier, K. Lemaire, A.P. Taburchak et al. // Economic Vector.
— 2022. — 2(29). — p. 11-16. — DOI: 10.36807/2411-7269-2022-2-29-11-16
2. Alekseev A.S. Fishing: internet-moshennichestvo s primeneniem social'noj inzhenerii [Phishing: Internet Fraud Using Social Engineering]. / A.S. Alekseev // Vestnik sovremenny'x issledovanij [Bulletin of Modern Research]. — 2019. — 1.13(28). — p. 12-16. [in Russian]
3. Kroxina V.A. Nejrolingvisticheskoe programmirovanie i social'naya inzheneriya kak neot''emlemaya chast' upravleniya [Neuro-linguistic Programming and Social Engineering as an Integral Part of Management]. / V.A. Kroxina // Molodezhny'j nauchno-texnicheskij vestnik [Youth Scientific and Technical Bulletin]. — 2016. — 8. — p. 32. [in Russian]
4. Urzha O.A. Sotsialnaya inzheneriya - metodologiya sotsialno-orientirovannogo upravleniya [Social Engineering - the Methodology of Socially Oriented Management] / O.A. Urzha. — M.: Russian State Social University, 2020. — 100 p. [in Russian]
5. Liu M. Human Emotion Recognition Based on Galvanic Skin Response Signal Feature Selection and SVM. / M. Liu, D. Fan, X. Zhang et al. // 2016 International Conference on Smart City and Systems Engineering (ICSCSE); — Hunan: IEEE, 2016. — p. 157-160. doi: 10.1109/ICSCSE.2016.0051
6. Korovkin S.Yu. E'ksperimental'ny'e issledovaniya e'mocij v my'shlenii v smy'slovoj teorii my'shleniya [Experimental Studies of Emotions in Thinking in the Semantic Theory of Thinking]. / S.Yu. Korovkin // Vestnik Yaroslavskogo gosudarstvennogo universiteta im. P. G. Demidova. Seriya Gumanitarny'e nauki [Bulletin of P. G. Demidov Yaroslavl State University. Humanities Series]. — 2018. — 2(44). — p. 92-96. [in Russian]
7. Fadyushin S.G. Vliyanie e'ntropii posledovatel'nosti tekstovy'x simvolov na psixoe'mocional'noe sostoyanie cheloveka [The Effect of the Entropy of a Sequence of Text Symbols on the Psychoemotional State of a Person]. / S.G. Fadyushin, A.S. Lobodenko, E.E. Milyaeva // Mezhdunarodny'j zhurnal prikladny'x i fundamental'ny'x issledovanij [International Journal of Applied and Fundamental Research]. — 2014. — 6. — p. 46-47. [in Russian]
8. Fadyushin S.G. Psixofiziologicheskij analiz vliyaniya informacii na cheloveka [Psychophysiological Analysis of the Influence of Information on a Person]. / S.G. Fadyushin, A.S. Lobodenko, E.E. Milyaeva // Nauka i obrazovanie: ezhemesyachny'j nauchny'j zhurnal Mezhotraslevogo instituta [Science and Education: Monthly Scientific Journal of the Intersectoral Institute]. — 2014. — 6. — p. 20-22. [in Russian]
9. Sukhodoev V.V. Analiz shkal, primenyaemikh dlya izmerenii kozhno-galvanicheskikh reaktsii cheloveka [Analysis of the Scales Used to Measure Human Galvanic Skin Reactions] / V.V. Sukhodoev // Fiziologiya cheloveka [Human Physiology].
— 1992. — Vol. 18. — № 1. — p. 56-63. [in Russian]
10. Sukhodoev V.V. Metodicheskoe obespechenie izmerenii, analiza i primeneniya parametrov kozhno-galvanicheskikh reaktsii cheloveka [Methodological Support of Measurements, Analysis and Application of Parameters of Human Skin-galvanic Reactions] / V.V. Sukhodoev // Problematic in Professional Activity: Collection of articles; — M.: Publishing house of the Institute of Psychology of the Russian Academy of Sciences, 1999. — p. 303-328. [in Russian]
