Научная статья на тему 'Противодействие негативным методам социальной инженерии'

Противодействие негативным методам социальной инженерии Текст научной статьи по специальности «Право»

CC BY
52
16
i Надоели баннеры? Вы всегда можете отключить рекламу.
Журнал
Виктимология
ВАК
Область наук
Ключевые слова
методы социальной инженерии / современные угрозы информационной безопасности / пресечение социальной инженерии / social engineering techniques / modern threats to information security / suppression of social engineering

Аннотация научной статьи по праву, автор научной работы — Черецких А. В.

В статье раскрываются вопросы противодействия, предупреждения и пресечения деструктивных методов социальной инженерии в сфере информационного-телекоммуникационного взаимодействия. Рассмотрены распространенные в настоящее время приемы и методы деструктивной социальной инженерии. Проведен анализ имеющихся способов противодействия и предупреждения негативного влияния социальной инженерии, представлены обоснованные выводы об эффективности указанных способов. Предложены пути решения выявленных в ходе изучения проблем, а именно приведены приемы пресечения (искоренения) негативных методов социальной инженерии. Представленные в статье выводы имеют практическую значимость, которая состоит в том, что сформулированные в них положения и рекомендации могут быть использованы для обоснования предложений по совершенствованию законодательной базы в сфере пресечения, предупреждения и профилактики преступлений в совершенных с использованием информационно-телекоммуникационных технологий.

i Надоели баннеры? Вы всегда можете отключить рекламу.

Похожие темы научных работ по праву , автор научной работы — Черецких А. В.

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

Countering Negative Social Engineering Techniques

The article reveals the issues of counteraction, prevention and suppression of destructive methods of social engineering in the sphere of information-telecommunication interaction. The techniques and methods of destructive social engineering that are currently widespread are considered. The available ways of counteraction and prevention of the negative influence of social engineering are analyzed, reasonable conclusions about the effectiveness of these methods are presented. The ways of solving the problems identified in the course of the study, namely, the methods of suppression (eradication) of negative methods of social engineering are proposed. The conclusions presented in the article have practical significance, which consists in the fact that the provisions and recommendations formulated in them can be used to justify proposals to improve the legislative framework in the field of suppression, prevention and prophylaxis of crimes committed with the use of information and telecommunication technologies.

Текст научной работы на тему «Противодействие негативным методам социальной инженерии»

V-

Научная статья УДК 343 . 9

DOI: 10.47475/2411-0590-2023-10-4-474-484

Противодействие негативным методам социальной инженерии

Антонина Владимировна Черецких

Тюменский институт повышения квалификации

сотрудников органов внутренних дел Российской Федерации, Тюмень, Россия [email protected]

Аннотация. В статье раскрываются вопросы противодействия, предупреждения и пресечения деструктивных методов социальной инженерии в сфере информационного-телекоммуникационного взаимодействия . Рассмотрены распространенные в настоящее время приемы и методы деструктивной социальной инженерии . Проведен анализ имеющихся способов противодействия и предупреждения негативного влияния социальной инженерии, представлены обоснованные выводы об эффективности указанных способов . Предложены пути решения выявленных в ходе изучения проблем, а именно приведены приемы пресечения (искоренения) негативных методов социальной инженерии . Представленные в статье выводы имеют практическую значимость, которая состоит в том, что сформулированные в них положения и рекомендации могут быть использованы для обоснования предложений по совершенствованию законодательной базы в сфере пресечения, предупреждения и профилактики преступлений в совершенных с использованием информационно-телекоммуникационных технологий.

Ключевые слова: методы социальной инженерии, современные угрозы информационной безопасности, пресечение социальной инженерии

Для цитирования: Черецких А . В . Противодействие негативным методам социальной инженерии // Виктимология . 2023.Т. 10, № 4. С . 474-484. DOI: 10.47475/2411-0590-2023-10-4-474-484

Research article

Countering Negative Social Engineering Techniques

Antonina V. Cheretskikh

Tyumen Institute for Advanced Training of Internal Affairs Officers

of the Russian Federation, Tyumen, Russia

[email protected]

Abstract. The article reveals the issues of counteraction, prevention and suppression of destructive methods of social engineering in the sphere of information-telecommunication interaction . The techniques and methods of destructive social engineering that are currently widespread are

© А .В .Черецких

considered . The available ways of counteraction and prevention of the negative influence of social engineering are analyzed, reasonable conclusions about the effectiveness of these methods are presented . The ways of solving the problems identified in the course of the study, namely, the methods of suppression (eradication) of negative methods of social engineering are proposed . The conclusions presented in the article have practical significance, which consists in the fact that the provisions and recommendations formulated in them can be used to justify proposals to improve the legislative framework in the field of suppression, prevention and prophylaxis of crimes committed with the use of information and telecommunication technologies

Keywords: social engineering techniques, modern threats to information security, suppression of social engineering

For citation: Cheretskih AV. Countering Negative Social Engineering Techniques . Viktimologiya [Victimology] . 2023;10(4):474-484. DOI: 10.47475/2411-0590-2023-10-4-474-484 (In Russ .)

Введение

В связи со стремительным развитием и внедрением информационно-коммуникационных технологий во все сферы деятельности людей, наблюдается существенный рост преступлений, совершаемых с использованием современных информационно-коммуникационных технологий . Цифровая революция, технический прогресс и инновационные достижения несут в себе дополнительные риски и угрозы, в том числе и преступного характера.

К самым распространенным методам совершения противоправных деяний с использованием информационно-телекоммуникационных технологий или в сфере компьютерной информации, в настоящее время следует отнести социальную инженерию . По результатам отчета «Актуальные киберугрозы: итоги 2022 года» Российской компании Positive Technologies социальная инженерия по-прежнему оказалась на высоте, атаки на организации этот метод применялся в 43 % случаев, на частных лиц- в 93 % [6, с . 110] .

Социальная инженерия—психологическое манипулирование людьми с целью совершения определенных и необходимых для манипулятора действий[1, с . 58] . Другими словами «социальная инженерия» — это обман пользователей и использование их слабостей с целью получения конфиденциальных сведений

Описание исследования

В настоящее время важное внимание уделяется информационной безопасности

в частности проблемам социальной инженерии . Внимание исследователей обращено в сторону изучения тактики и методов социальной инженерии, однако отсутствуют фундаментальные исследования и решения по предотвращению и (или) полному устранению данной проблемы . Например, А .С .Кабанов, А .Б .Лось и А .В .Суроев подробно описывают именно методы социальной инженерии . Авторы придерживаются направления непосредственной профилактической работы с самим пользователем [3, с . 35-36] .

С. С .Созаев, Д. А . Кунашев в своей работе предлагают следующее определение социальной инженерии—«это метод управления действиями человека без использования технических средств... данный метод базируется исключительно на слабостях человеческого фактора» [3, с . 86]. Они приводят некоторые методы социальной инженерии, такие как «фишинг» и «троянский конь». В качестве меры противодействия социальной инженерии они предлагают проведение тренингов и учебных диверсий [9, с . 88] .

Авторы А . Н .Сударик, Д .А . Волис в статье «Специфика применения приемов социальной инженерии при совершении преступлений и пути профилактики», рассматривают термин социальная инженерия под призмой социальной и юридической психологии [10, с . 230] . Действенным способом борьбы с киберпреступлениями, построенными на основе социальной инженерии, называют профилактику неосторожного поведения в Интернете [10, с . 231] .

Аналогичной точки зрения придерживаются авторы А .В .Яшин, Т. А .Фролова, которые в качестве мер, разрабатываемых для предотвращения кибератак, предлагают «минимизировать количество ки-берпреступлений в сети Интернет путем просвещения населения, создание эффективной системы оповещения об опасности киберпреступности и мошенничества в сфере компьютерных технологий путем размещения рекламы в школах, средних и высших образовательных организациях, государственных учреждениях, а также транслирования в средствах массовой информации предупредит большую часть населения об опасности, которая может встретиться в сети Интернет» [11, с . 61] .

При детальном изучении имеющихся на сегодняшний день исследований по вопросу социальной инженерии можно прийти к выводу, что социальная инженерия — это, в первую очередь, психология направленного влияния на человека. Причина этому в отсутствии связи между психологией и информационными технологиями . На наш взгляд в данном аспекте термин «социальная инженерия» необходимо трактовать как «психология направленного влияния на человека с использование информационно телекоммуникационных технологий»

Коллектив авторов во главе с Л . В . Саниной в работе «Деструктивная социальная инженерия как угроза экономической безопасности: масштабы явления и меры предотвращения» выделяют четыре основных подхода к определению термина «социальная инженерия», а именно:

1. Институциональный подход заключается в создании и управлении социальными институтами и значимыми социальными процессами (например, реорганизация системы образования), при которых происходит качественная модификация общественной системы в целом. Институциональный подход социальной инженерии имеет практически необратимый или слабо обратимый эффект

2 . Управленческий подход заключается в использовании методов стимулирования и управления поведением общества, включающие в себя политическое воздействие

при коррекции социальных установок при формировании общественного мнения, воздействие на трудовую мотивацию в рамках определенной организационной структуры, а также воздействие на потенциальных клиентов и конкурентов в бизнес среде

3. Функциональный подход — целенаправленное воздействие на изменение частной функции социальной среды в процессе социализации индивидов Применение данного подхода может быть организованным (через СМИ, школу, семью) или стихийным (реклама, улица, интернет) . Внедрение нового социального опыта через частные функциональные преобразования при формировании поведенческих моделей

4 . Манипуляционный подход — целенаправленное воздействие с целью получения определенного социального действия Характеризуется психологическим внедрением информации и изменения посредством данного внедрения определенных психологических реакций людей, таких как привычка, интерес, доверие и т. д . Чаще всего манипуляции направлены на достижение ожидаемой материальной или нематериальной выгоды, которая, как правило, оказывается очевидной для субъекта манипулятивного воздействия [8] .

Также стоит учесть, что социальная инженерия может представлять как негативный или деструктивный, так и позитивный или конструктивный характер . Под позитивной социальной инженерией предлагаем понимать — способы влияния на людей с целью совершения определенных действий или бездействия, результат которых будет «позитивен», то есть будет во благо людей . Примером позитивной социальной инженерии могут выступать видеоролики в средствах массовой информации о необходимости соблюдения правил дорожного движения

Л .В .Санина, О .А.Чепинога, Э .А.Ржепка и О . Ю . Палкин выделяют шесть основных методов социальной инженерии, в деструктивном ее аспекте [8] (рисунок 1) .

Фишинг (англ . phishing, от fishing — рыбная ловля, выуживание) — это вид интернет-мошенничества, целью которого

Рисунок 1- Методы социальной инженерии, имеющие деструктивный характер [Figure 1 -Social engineering methods with destructive nature]

является получение доступа к конфиденциальным данным пользователей — логинам и паролям1 . Это самая популярная схема социальной инженерии на сегодняшний день

Претекстинг (англ . pretexting) — атака, в которой правонарушитель представляется другим человеком и по заранее подготовленному сценарию узнает конфиденциальную информацию . Эта атака подразумевает должную подготовку, как то: день рождения, ИНН, номер паспорта либо последние цифры счета, для того, чтобы не вызвать подозрений у жертвы . Обычно реализуется через телефон или электронную почту2 .

Плечевой серфинг (англ . shouldersurf-ing) включает в себя наблюдение личной информации жертвы через её плечо . Этот тип атаки распространён в общественных местах, таких как кафе, торговые центры, аэропорты, вокзалы, а также в общественном транспорте3.

См .: Социальная инженерия . URL: https://web . archive . org/Web/20130508080634/http://ru.wikipedia .org/ wiki/Социальная_инженерия

2 Там же .

3 Там же .

Обратная социальная инженерия — жертва сама предлагает правонарушителю нужную ему информацию4 .

Телефонный фишинг — Вишинг (англ . vishing — voicefishing) назван так по аналогии с фишингом . Данная техника основана на использовании системы предварительно записанных голосовых сообщений с целью воссоздать «официальные звонки» банковских и других IVR систем5 .

Совершение преступлений с использованием цифровых технологий уже очевидный факт, количество этих преступлений в последние годы получило широкое распространение [5, с . 151] . Согласно статистическим сведения МВД России в январе— августе 2023 года зарегистрировано 430,0 тыс . преступлений, совершенных с использованием информационно-телекоммуникационных технологий или в сфере компьютерной информации, что на 28,7 % больше, чем за аналогичный период прошлого года . В общем числе зарегистрированных преступлений их удельный

См.: URL: https://telegra . ph/Socialnaya-inzheneriya-fflast-l-Tehniki-Plechevoj-serfing-Obratnaya-sodalnaya-inzheneriya-07-27

5

Там же .

вес увеличился с 25,0 % в январе — августе 2022 года до 32,9 % .

Больше половины таких преступлений (52,2 %) относится к категориям тяжких и особо тяжких (224,4 тыс .; +27,2 %), более чем три четверти (76,9 %) совершается с использованием сети Интернет (330,9 тыс .; +35,6 %), почти половина (45,1 %) — средств мобильной связи (193,8 тыс .; +48,4 %) .

Почти три четверти таких преступлений (71,0 %) совершается путем кражи или мошенничества: 305,4 тыс . (+28,8 %), каждое восьмое (12,6 %) — с целью незаконного производства, сбыта или пересылки наркотических средств: 54,1 тыс . (+33,0 %/ .

Анализируя данные статистики и результаты проводимых исследований, можно определить три ключевых классификации негативных методов социальной инженерии:

1) угрозы, сопряженные с использованием средств телефонии (мобильных, стационарных телефонов);

2) угрозы, с использованием информационной телекоммуникационной сети Интернет (электронная почта, мессенджеры, социальные сети);

3) угрозы, сопряженные с непосредственным контактом с носителем информации (сбор информации из открытых источников, плечевой серфинг, обратная социальная инженерия)

Одним из самых распространенных способов социальной инженерии является дистанционное или телефонное мошенничество, другими словами преступления, совершаемые с применением средств связи, а именно мобильных устройств и информационно-телекоммуникационной сети Интернет.

Отдельного внимания заслуживает претексинг (или предлог), как формы социальной инженерии, заключающиеся в том, что правонарушитель выдает себя за другого человека с целью получения от потенциальной жертвы информации или совершения определенных действий. Претекстинг—«направленная атака, при

1 Краткая характеристика состояния преступности в Российской Федерации за январь-август 2023 года // МВД РФ : [сайт]. URL: https://мвд.рф/reports/ item/41741442/ (дата обращения: 10.09.2023).

которой правонарушитель выдает себя полностью за другого человека по сценарию, досконально подготовленному заранее» [11, с . 59] . Задача правонарушителя использующего претексинг, в дальнейшем использование полученных записей голоса жертв либо самого содержания диалога для достижения, как правило, корыстных целей (например: использование образцов голоса при обращении в банковские организации) .

Е . В . Зотина предлагает рассматривать претексинг как «вид мошеннических действий, совершаемых, как правило, посредством сотовой связи, когда преступник отрабатывает заранее подготовленный текст (сценарий), целью которого является совершение потенциальной жертвой определенных действий либо получение конфиденциальной информации» [2, с . 95] . В вопросе профилактики автор солидарна с позицией авторов указанных выше, и считает одной из основных форм профилактических мероприятий «повышение уровня информационной (цифровой) грамотности населения, информирование о существующих мошеннических схемах, обучение навыкам психологической устойчивости к техникам манипулирования» [2, с . 98] .

В декабре 2006 года в США был одобрен законопроект, который запрещает претекстинг, практику получения записей телефонных разговоров третьих лиц без

2 г)

их ведома и разрешения В отечественном законодательстве никак не отражен данный метод социальной инженерии, хотя косвенно п . 1. ст . 24 Конституции РФ3

2 В правовом кодексе США претекстинг приравнивается к вторжению в личную жизнь. В декабре 2006 года Конгресс США одобрил законопроект, предполагающий наказание за претекстинг и запись телефонных разговоров в виде штрафа до $250 000 или заключения на срок до 10 лет для физических лиц (или штраф в размере $500 000 для юридических лиц) . Соответствующий указ был подписан президентом Джорджем Бушем 12 января 2007 года (см.: Социальная инженерия) .

3 Сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются // СПС «Консультант-Плюс». URL: https://www. consultant, ru/document/ cons_doc_LAW_28399/bcddbd9060e44ed6085b65a1af0f-b90aa3ef0175/ (дата обращения: 07.10.2023) .

указывает на недопустимость обмана людей посредством претекстинга

При реализации указанных выше методов социальной инженерии, как правило, с целью сокрытия личности, правонарушители продолжают использовать обезличенные абонентские номера, то есть приобретают сим-карты различных операторов сотовой связи без заполнения и составления прилагаемых к ним пакетов документов — договоров . Поставщик услуг связи (далее — Провайдер) в свою очередь продолжает предоставлять услуги связи абонентам с незарегистрированными сим-картами . В случае ограничения предоставления услуг провайдером правонарушители приобретают новые сим-карты и продолжают реализовывать преступный умысел, направленный на получение материальной выгоды или право получения указанной выгоды

В ч .2 ст. 13 . 29 Кодекса об административных правонарушениях Российской Федерации (далее — КоАП РФ) предусмотрена административная ответственность провайдера, за предоставление услуг обезличенному субъекту. Согласно судебной практике, опубликованной на официальных сайтах1, по указанной статье КоАП РФ вынесено всего четыре решения за период с 2015 года по настоящее время, причем по одному из них назначен административный штраф в сумме 2000 рублей, по другим решения обжаловались и отменялись Для пресечения описанных выше ситуаций считаем необходимым на законодательном уровне обязать провайдера в предоставлении услуг связи только после подписания пользователями договор на оказание услуг связи . То есть, после приобретения сим-карты услуги связи будут доступны только после предоставления

1 Судебная практика СОЮ РФ по статье 13 . 29 Кодекса об административных правонарушениях // Гражданское законодательство : [сайт] . URL: https://lawnotes. ru/sudpraktika-po-st-13. 29-koap/ sou?ysclid=lj41dbgekd512440298 (дата обращения: 07.10.2023) ; Постановление суда по ст. 13 . 29 КоАП РФ № 5-174/2017 | Заключение договора об оказании услуг подвижной радиотелефонной связи неуполномоченным лицом // Судебная практика : [сайт]. URL: https://sud-praktika . ru/precedent/490119. html (дата обращения: 07.10.2023).

физическими лицами провайдеру персональных данных, таких как фамилия, имя, отчество, дата рождения, адрес регистрации и серия/номер документа удостоверяющего личность .

При предоставлении корпоративных услуг связи должна быть предусмотрена ответственность организаций за не предоставление сведений о физическом лице — сотруднике, в чье пользование были предоставлены те или иные сим-карты, оператору сотовой связи — провайдеру. Также считаем оптимальным принятие мер в отношении менеджеров (продавцов) услуг связи, которые без истребования и заполнения необходимых документов предоставляют доступ к услугам связи, а именно квалифицировать их действия (или бездействие) как пособничество в совершении преступлений, предусмотрев внесение соответствующих поправок в действующий Уголовный кодекс Российской Федерации (далее—УК РФ) .

Согласно п . 6 ст. 44 Федерального закона от 07.07.2003 № 126-ФЗ «О связи», «в случае неподтверждения достоверности сведений об абоненте, сведений о пользователях услугами связи абонента — юридического лица либо индивидуального предпринимателя, представленных лицом, действующим от имени оператора связи, оператор связи приостанавливает оказание услуг связи в порядке, установленном правилами оказания услуг связи, другими словами оказание услуг приостанавливается, если пользователь-абонент не предоставил своих данных в течение 30 суток с момента ее активации»2 .

Кроме того, не следует оставлять без внимания провайдеров, предоставляющих доступ к информационно-телекоммуникационной сети «Интернет» .Считаем возможным закрепление на законодательном уровне ответственность провайдеров за непредоставление сведений в Роскомнадзор о подозрительной активности абонентов в информационно-телекоммуникационной

2 О связи : Федеральный закон от 07.07.2003 № 126-ФЗ // СПС «КонсультантПлюс». URL: https:// www. consultant . ru/document/cons_doc_LAW_43224/f7 a7810cf56882f4ac05d0b11af4fc4a2d3c9d23/ (дата обращения: 07.10.2023) .

сети Интернет, так как провайдер осуществляет сбор, аналитику и мониторинг пользовательской активности . Предлагаем определять в качестве подозрительной активности абонента, следующие действия:

1. Регистрация или авторизация в течение 24 часов более чем пяти аккаунтов в одной и той же социальной сети Позволит сократить число преступлений в социальных сетях

2 . Частые поступления мелких сумм (от 300 руб . до 3000 руб .) или переводы значительных сумм (от 50 000 руб .), онлайн транзакции При этом необходимо учитывать принадлежность расчетного счета (частное лицо, организация), и наличие обоснования, что данные переводы производятся в рамках действующего законодательства

3 . Размещение в сети Интернет файлов значительного (более 100 Мб) объема (возможно за исключением облачных хранилищ, файл-обменников, систем дистанционного образования и т. д .) . Обеспечит соблюдение авторских прав, позволит пресечь размещение в информационно-телекоммуникационной сети Интернет противозаконных материалов, предоставит возможность контролировать контент, размещаемый видеоблогерами

В свою очередь, при дистанционных мошенничествах, а именно в случаях хищения денежных средств граждан с их расчетных счетов с использованием методов социальной инженерии и применением информационно-телекоммуникационных технологий, кредитными организациями в одностороннем порядке могли бы предприниматься следующие меры по защите клиентов:

1. Ограничение количества и сокращение сумм транзакций

2 Письменное подтверждение перевода при личном визите держателя счета в кредитную организацию в случае превышения установленных ограничений транзакций, по принципу «безопасной сделки» .

3 . Многофакторная аутентификация при смене персональных данных (например, при смене абонентского номера привязанного к личному кабинету) . Предотвращение противоправных действий третьих

лиц, в случае установления ими логина и пароля от личного кабинета пользователя в кредитной организации

4 . Переадресация для социально незащищенного населения В данном случае под социально незащищенными, следует понимать лиц в возрасте до 18 лет, а также лиц пенсионного возраста от 60 лет и старше . Метод заключается в переадресации соединений (в том числе телефонных и интернет) в адрес родственников (законных представителей), с целью подтверждения или опровержения действий указанных лиц со средствами и данными в личных кабинет кредитных организаций

Также следует отметить, что зарубежные корпорации—разработчики программного обеспечения для мобильных устройств — осуществляют сбор и хранение сведений о пользователях, их персональные данные . Но для правоохранительных органов в Российской Федерации эти данные недоступны, так как указанные корпорации находятся за пределами территориальных границ Российской Федерации и международными договорами о сотрудничестве не предусмотрены процедуры запросов и предоставления указанных данных. Это данные

0 личности пользователя, которые указываются им в пользовательском соглашении, без заключения которого устройство теряет большую часть своих функций . К этим данным относятся: абонентский номер пользователя, адрес электронной почты, данные банковских карт, история запросов в информационно-телекоммуникационной сети Интернет, сведения из социальных сетей и т д Имея доступ к подобным данным, можно с легкостью идентифицировать интересующее лицо

Согласно Федеральному закону от

1 июля 2021 г. № 236-ФЗ «О деятельности иностранных лиц в информационно-телекоммуникационной сети „Интернет" на территории Российской Федерации»1, иностранные интернет-компании с суточной аудиторией свыше 500 тыс . пользователей

1 Официальный интернет-портал правовой информации. URL: http://pravo.gov.ru/proxy/ ips/?docbody=&lmkJd=0&nd=602263580&intelsearch =&firstDoc=1 (дата обращения: 07.10.2023).

должны будут открыть свои уполномоченные представительства на территории Российской Федерации .

Перечень таких компаний опубликован на официальном сайте Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), в него включены 13 иностранных компаний, владеющих 22 информационными ресурсами1 .

Кроме требования об учреждении с 1 января 2022 года филиала/представительства/российского юридического лица на иностранных лиц нормативными правовыми актами возлагается целый ряд обязанностей . В частности, они должны разместить на своем сайте электронную форму обратной связи с российскими пользователями, зарегистрировать личный кабинет на сайте Роскомнадзора для взаимодействия с органами власти, установить на информационном ресурсе рекомендованный счетчик посещаемости (перечень рекомендованных счетчиков посещаемости определен Роскомнадзором и размещен на главной странице сайта), также иностранные лица обязаны ограничивать доступ к информации, нарушающей российское законодательство2 .

1 марта 2023 года вступили в силу поправки к Федеральному закону от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»3 . Они устанавливают для ряда российских компаний запрет на использование иностранных мессенджеров4.

Анализ указанных изменений и вносимых поправок в российское законодательство позволяет сделать вывод, что

1 Деятельность иностранных лиц в сети интернет на территории российской федерации // Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций : [сайт]. URL: https://236-fz .rkn.gov.ru (дата обращения: 07.10.2023).

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

2 Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций : [сайт]. URL: https://rkn.gov.ru/news/rsoc/ news73944.htm (дата обращения: 07.10.2023).

3 Российская газета . 2006. 29 июля (№ 165) .

4 По состоянию на 1 марта 2023 года к таким сер-

висам могут быть отнесены: Discord, Microsoft Teams,

Skype for Business, Snapchat, Telegram, Threema, Viber,

WhatsApp, WeChat .

перечисленные меры могут быть достаточными для установления правонарушителей, использующих методы социальной инженерии, но не исчерпывающими и не позволяющими предотвращать сам факт «обмана», а лишь оказывать противодействие уже совершенному деянию, такому как социальная инженерия

Объединенная редакция агентства РБК в феврале 2023 года опубликовала материал под заголовком «Россияне сдали мошенникам рекордные 14 млрд»5, в котором указано что рост объемов операций без согласия клиентов произошел вместе с ростом всех электронных переводов в 2022 году по сравнению с 2021 годом . В 2022 году кредитные организации вернули жертвам банковских мошенников всего 4,4 % от похищенных средств, или 618,4 млн руб . Это минимальный показатель с 2019 года, следует из обзора Банка России об инцидентах при переводе денежных средств . «Такой уровень возмещения объясняется сохранением высокой доли социальной инженерии, когда граждане самостоятельно переводят средства злоумышленникам или раскрывают банковские данные»6, — объясняется в сообщении ЦБ .

Также при осуществлении транзакций с использованием информационно-телекоммуникационных технологий пользователи получают смс-оповещение от кредитных организаций с кодом подтверждения (дополнительный фактор аутентификации) и предупреждаются о недопустимости передачи данных кода третьим лицам, в том числе сотрудникам самих кредитных организаций . Однако, как показывает статистика7, по состоянию на август 2023 года число

5 Газета РБК : [сайт]. URL: https://www. rbc.ru/ne wspaper/2023/02/15/63eb5da89a794701b759621f (дата обращения: 07.10. 2023) .

6 Количество случаев хищения денег с банковских счетов сократилось впервые за 7 лет: итоги 2022 года // Банк России : [сайт]. URL: https://cbr.ru/press/ event/?id=14544 (дата обращения: 07.10.2023).

7 В январе—августе 2022 года зарегистрировано 83 243 преступления, совершенных с использованием информационно-телекоммуникационных технологий или в сфере компьютерной информации с использованием или применением расчетных (пластиковых) карт, за аналогичный период 2023 г. зарегистрировано 87 531 (+5,2 %) . URL: https://мвд.рф/reports/item/41741442/

дистанционных мошенничеств продолжает увеличиваться, что опять же указывает на неэффективность предпринимаемых мер по предотвращению и пресечению социальной инженерии

Безусловно, нельзя оставлять без внимания информационную грамотность пользователей, так как именно на них направлена социальная инженерия, а не на устройства, которые они могут использовать . А . В . Майоров отмечает, что «цифровой мир открыт для всех, вне зависимости от возраста, социального положения и принадлежности . При этом цифровая девиация во многом зависит от опыта и навыков в сфере цифровых технологий» [4, с . 12] . Исходя из выражения «Предупрежден—значит вооружён», необходимо в достаточной мере информировать пользователей, своевременно оповещать о новых способах и методах социальной инженерии . Г. Роблинг (G . Rößling) и М . Мюллер (M . Müller), предполагает, что «только две вещи действительно помогают против социальной инженерии: осведомленность и бдительность» [1] . Многие исследователи придерживаются аналогичных позиций и полагают, что осведомленность о безопасности является наиболее важным инструментом в борьбе с социальной инженерией

Одним из способов предотвращения негативных последствий социальной инженерии является развитие критического мышления и осознанности . Именно эти качества помогают личности не поддаваться на манипуляции и принимать взвешенные решения на основе собственных

убеждений и интересов . Кроме того, важно развивать общие навыки коммуникации и работы в коллективе, которые помогают устойчиво противостоять негативному влиянию со стороны социальных инженеров . Многие организации и компании размещают на своих интернет ресурсах «информационные листы» («памятки») о способах социальной инженерии и необходимых мерах безопасности, в качестве примера сайт Комитета социальной политики города Челябинска1 .

Заключение

Разработанные и сформулированные в рамках данного исследования меры позволят пресечь правонарушения с использованием социальной инженерии, обеспечат дополнительную безопасность граждан при работе в информационно-коммуникационной сети Интернет, предотвратят хищение персональных данных из социальных сетей, при этом позволят в полной мере соблюдать права граждан без какого-либо ущерба для последних. Но основным щитом граждан и пользователей, должно выступать Государство, поэтому необходимо принимать кардинальные решения по блокированию потенциально опасного контента на законодательном уровне, только так можно в полной мере противостоять социальной инженерии

1 Памятка о способах социальной инженерии и необходимых мерах безопасности // Комитет социальной политики города Челябинска : [сайт]. URL: https://socchel. ru/print/4858?ysdid=leqssHokp27652791 (дата обращения: 07.10.2023).

Описок источников

1 . Rößling G . , Müller M . Social engineering: a serious underestimated problem // Proceedings of the 14th Annual SIGCSE Conference on Innovation and Technology in Computer Science Education, ITiCSE 2009, Paris, France, July 6-9, 2009. URL: https://www.researchgate ,net/publication/220807213_ Social_engineering_a_serious_underestimated_problem (дата обращения: 05 .10.2023) .

2 . Зотина Е .В .Претекстинг как прием социальной инженерии, используемый телефонными мошенниками: криминологический взгляд на проблему // Вестник Казанского юридического института МВД России . 2022. № 4 (50) . С . 93-99. DOI: https://doi . org/10.37973ZKUI . 2022 .55 . 63 .012

3 . Кабанов А . С . , Лось А . Б . , Суроев А . В . Методы социальной инженерии в сфере информационной безопасности и противодействие им // Российский следователь . 2015 . № 18 . С . 32-37.

4 . Майоров А . В . Виктимная безопасность общества в современных условиях // Вестник Прикамского социального института . 2023. № 1 (94) . С . 8-16.

5 . Майоров А . В . Влияет ли цифровизация на виктимизацию в современном обществе? // Виктимология . 2022 . Т. 9, № 2 . С . 148-156. DOI: https://doi . org/10.47475/2411-0590-2022-19202

6 . Михалёва У. А . Претекстинг и способы противодействия ему. Вестник Дагестанского государственного технического университета . Технические науки . 2023. Т. 50, № 2 . С . 109-116 . DOI: https://doi .org/10.21822/2073-6185-2023-50-2-109-116

7 . Романов В .Г. , Романова И .В . Социальное мошенничество «COVID-19» и манипулятивные технологии социальной инженерии // Вестник Забайкальского государственного университета . 2020. Т. 26, № 9. С . 57-67. DOI: https://doi . org/10.21209/2227-9245-2020-26-9-57-67

8 . Санина Л . В . , Чепинога О . А . , Ржепка Э . А . , Палкин О . Ю . Деструктивная социальная инженерия как угроза экономической безопасности: масштабы явления и меры предотвращения // Baikal Research Journal . 2021 . Т. 12, № 2 . С . 14 . DOI: https://doi . org/10. 17150/2411-6262 .2021 .12(2) .14

9. Созаев С . С . , Кунашев Д . А . Социальная инженерия, ее техники и методы ее противодействия // Вестник науки . 2020. № 2 (23) . С . 85-88.

10 . Сударик А .Н . , Волис Д .А . Специфика применения приемов социальной инженерии при совершении преступлений и пути профилактики // Психология и педагогика служебной деятельности. 2020. № 4. С . 229-231 . DOI: https://doi. org/10.24411/2658-63 8Х-2020-10160

11 . Яшин А . В . , Фролова Т. А . Современные проблемы противодействия киберпреступле-ниям в Российской Федерации // Вестник ПензГУ. 2023 . № 2 (42) . С . 58-62.

1 . Rößling G, Müller M . Social engineering: a serious underestimated problem . Proceedings of the 14th Annual SIGCSE Conference on Innovation and Technology in Computer Science Education, ITiCSE 2009, Paris, France; July 6-9, 2009. URL: https://www. researchgate .net/publication/220807213_So-cial_engineering_a_serious_underestimated_problem (date of reference: 05 .10.2023) .

2 . Zotina EV. Pretexting as a social engineering technique used by telephone fraudsters: a criminological view of the problem . Vestnik Kazanskogo yuridicheskogo instituta MVD Rossii [Bulletin of the Kazan Law Institute of the Ministry of Internal Affairs of Russia], 2022;(4):93-99. (In Russ .) DOI: https://doi. org/10.37973ZKUI . 2022 . 55 . 63 .012

3 . Kabanov AS, Los AB, Suroev AV. Methods of social engineering in the field of information security and counteraction to them . Rossijskij sledovatel [Russian investigator] . 2015;(18):32-37. (In Russ .)

4 . Mayorov AV. Victim security of society in modern conditions . Vestnik Prikamskogo socialnogo instituta [Bulletin Prikamskiy social institute]. 2023;(1):8-16 . (In Russ .)

5 . Mayorov AV. Does digitalization influence victimization in modern society? Viktimologiya [Victimology] . 2022;9(2):148-156. (In Russ .) DOI: https://doi . org/10.47475/2411-0590-2022-19202

6 . Mikhaleva UA . Pretexting and means to counter it . Vestnik Dagestanskogogosudarstvennogo tekh-nicheskogo universiteta. Tekhnicheskie nauki [Herald of Daghestan State Technical University. Technical Science] . 2023; 50(2):109-116. (In Russ .) DOI: https://doi. org/10.21822/2073-6185-2023-50-2-109-116

7 . Romanov VG, Romanova IV. Social fraud "COVID-19" and manipulative technologies of social engineering. Vestnik Zabajkalskogo gosudarstvennogo universiteta [Bulletin of the Transbaikal State University] . 2020;26(9):57-67. (In Russ .) DOI: https://doi . org/10.21209/2227-9245-2020-26-9-57-67

8 . Sanina LV, Chepinoga OA, Rzhepka EA, Palkin OY. Destructive social engineering as a threat to economic security: the scale of the phenomenon and prevention measures . Baikal Research Journal. 2021;12(2):14 . (In Russ .) DOI: https://doi .org/10.17150/2411-6262 .2021.12(2) .14

9 Sozaev SS, Kunashev DA Social engineering, its techniques and methods of its counteraction Vestnik nauki [Bulletin of Science], 2020;(2):85-88 . (In Russ .)

References

10 . Sudarik AN, Volis DA . Specificity of the use of social engineering techniques in the commission of crimes and ways of prevention . Psihologiya i pedagogika sluzhebnoj deyatelnosti [Psychology and pedagogy of service activity] . 2020;(4):229-231 . (In Russ .) DOI: https://doi .org/10.24411/2658-63 8X-2020-10160

11 . Yashin AV, Frolova TA . Modern problems of counteraction to cybercrime in the Russian Federation. Vestnik PenzGU [Bulletin PenzSU] . 2023;(2):58-62 . (In Russ .)

ИНФОРМАЦИЯ ОБ АВТОРЕ

Черецких Антонина Владимировна

Старший преподаватель кафедры информационно-аналитического и документационного обеспечения деятельности органов внутренних дел, Тюменский институт повышения квалификации сотрудников органов внутренних дел Российской Федерации .

625049, Тюмень, ул . Амурская, д . 75 .

acheretskih@bk . ги

INFORMATION ABOUT THE AUTHOR Antonina V. Cheretskikh

Senior Lecturer of the Department of Information-Analytical and Documentary Support of Internal Affairs Bodies, Tyumen Institute for Advanced Training of Internal Affairs Officers of the Russian Federation.

75 Amurskaya str. , Tyumen, 625049 Russia. acheretskih@bk . ru

КОНФЛИКТ ИНТЕРЕСОВ CONFLICT OF INTEREST

Конфликт интересов отсутствует. There is no conflict of interest.

Дата поступления статьи / Received: 08.11.2023.

Дата рецензирования статьи / Revised: 20.12.2023.

Дата принятия статьи к публикации / Accepted: 30.12.2023.

i Надоели баннеры? Вы всегда можете отключить рекламу.