CC BY
93
УДК 343.985.7
DOI: 10.37973/KUI.2021.45.18.017
Н.И. Старостенко
СОЦИАЛЬНАЯ ИНЖЕНЕРИЯ КАК ОБЪЕКТ КРИМИНАЛИСТИЧЕСКОГО ИЗУЧЕНИЯ
SOCIAL ENGINEERING AS AN OBJECT OF FORENSIC STUDY
Введение: статья посвящена рассмотрению понятия социальной инженерии, используемой мошенниками в корыстных целях.
Материалы и методы: материальную базу статьи составили нормы действующего российского законодательства, научные труды авторов, рассматривающих вопросы социальной инженерии, и статистические данные о состоянии преступности в России, в частности, тенденции роста количества преступлений, совершенных с использованием информационно-телекоммуникационных технологий. В ходе исследования применялись следующие общенаучные методы: анализ, синтез, дедукция и част-нонаучные методы: формально-юридический, статистический.
Результаты исследования: подробно рассматриваются цели, сущность, а также причины, в связи с которыми злоумышленник применяет психологические техники социальной инженерии в преступной деятельности, анализируются различные точки зрения понятия рассматриваемого явления.
Обсуждение и заключения: предлагается авторское определение мошенничества с использованием методов социальной инженерии, а также криминалистическое понимание прямой и обратной социальной инженерии. В работе также обращается внимание на значимость изучения особенностей обозначенного вида преступности для повышения эффективности раскрытия и расследования преступлений правоохранительными органами.
Ключевые слова: криминалистика, расследование преступлений, объект криминалистического изучения, мошенничество, социальная инженерия, методы социальной инженерии, прямая социальная инженерия, обратная социальная инженерия
Для цитирования: Старостенко Н.И. Социальная инженерия как объект криминалистического изучения // Вестник Казанского юридического института МВД России. 2021. Т. 12, № 1. С. 109-114. DOI: 10.37973/KUI.2021.45.18.017
Introduction: the article is devoted to the consideration of the concept of social engineering used by fraudsters for their own ends.
Materials and Methods: the resource base of the article was made up of the norms of the current Russian legislation, scientific works of authors considered the issues of social engineering, and statistical data on the state of crime in Russia, in particular, the growth trend in the number of crimes committed using information and telecommunication technologies. In the course of the study, the following general scientific methods were used: analysis, synthesis, deduction and special scientific methods: formal legal, statistical.
Results: the goals, essence, and also the reasons for which the attacker uses psychological techniques of social engineering in criminal activity are examined in detail, various points of view of the concept of the phenomenon under consideration are analyzed.
Discussion and Conclusions: the author's definition of fraud using social engineering methods is proposed, as well as a forensic understanding of forward and reverse social engineering. The work also draws attention to the importance of studying the characteristics of the designated type of crime to increase the efficiency of disclosing and investigating crimes by law enforcement agencies.
Keywords: forensic science, crime investigation, subject of forensic study, fraud, social engineering, social engineering methods, forward social engineering, reverse social engineering
For citation: Starostenko N.I. Social Engineering as an Object of Forensic Study // Bulletin of the Kazan Law Institute of MIA of Russia. 2021. V. 12, No 1. P. 109-114. DOI: 10.37973/KUI.2021.45.18.017
Введение
Начиная с 2016 года, мошенничество в сфере информационно-телекоммуникационных технологий с использованием методов социальной инженерии, подразумевающее под собой кражу личных данных и применение разнообразных психологических техник манипулирования людьми для достижения корыстных результатов, демонстрирует тенденцию к увеличению. Преступные действия направлены на то, чтобы обманом заставить отдельных лиц или организации выполнить действия по предоставлению им конфиденциальной информации, такой как паспортные данные, номер социального страхования, записи о состоянии здоровья, пароли, секретные сведения банковских карт и др. Социальная инженерия - одна из самых серьезных проблем, стоящих перед сетевой и компьютерной безопасностью, поскольку она использует естественную склонность человека к доверию и манипулированию.
Обзор литературы
Необходимо акцентировать внимание на том, что в наши дни значительно увеличилось количество научных работ, посвященных рассмотрению обозначенной проблемы, и это является достаточным доказательством того, что социальная инженерия приобрела глобальные масштабы и ее тщательное исследование имеет значение для обеспечения информационной безопасности всего общества.
Актуальные вопросы применения социальной инженерии в преступных целях интересовали таких авторов, как Ю.Н. Жданов, В.С. Овчинский, А.Л. Осипенко, А.В. Черемушкин, П.В. Ревенков, А.А. Бердюгин и др. Проведенное исследование призвано не только обобщить мнения названных авторов, но и конкретизировать понимание мошенничества, совершенного с использованием методов социальной инженерии.
Материалы и методы
Материалами исследования являются нормы действующего российского законодательства, научные труды авторов, рассматривающих вопросы социальной инженерии, и статистические данные о количестве преступлений, совершенных с использованием информационно-телекоммуникационных технологий. В статистических данных о состоянии преступности в России за период с января по октябрь 2020 года обращается внимание на рост преступлений, совершенных в сфере информационно-телекоммуникационных технологий, где неправомерное завладение персональ-
ными данными является основным мотивом мошенников для атак1.
Объектом исследования выступают общественные отношения, возникающие в процессе совершения мошеннических действий с использованием методов социальной инженерии.
В ходе исследования применялись следующие общенаучные методы: анализ, синтез, дедукция и др.
Результаты исследования
Скомпрометированные личные, медицинские и финансовые данные являются основными ресурсами, востребованными киберпреступностью, а еще в большей степени преступностью, связанной с использованием киберпространства, а также мошенничеств с использованием социальной инженерии. Именно указанные данные лежат в основе таких преступных технологий, как фишинг, финансовые мошенничества и т.п. [1].
В связи с этим необходимо более детально рассмотреть смысловое содержание мошенничества с использованием социальной инженерии. Прежде чем ответить на вопрос, что собой представляет данное преступное явление, а также каковы его сущность и цель, следует провести анализ общих положений о понятии социальной инженерии.
Общеизвестно, что понятие социальной инженерии содержится в научных положениях социологии и обозначает совокупность подходов прикладных социальных наук, направленных на модификацию организационных структур, поведение человека и отвечающих за его контроль.
Словарь толкует слово «социальный» (образовано от лат. socialis общий, общественный) как понятие всего межчеловеческого, т.е. того, что имеет связь с коллективной жизнью общества, разнообразными формами общения людей и обладает общественным и общностным характером2, а слово «инженерия» (образовано от лат. ingenium - «искусность» и лат. ingeniare - «изловчиться, разработать», «изобретательность») как сфера деятельности, включающая в себя множество специальных отраслей и дисциплин, которые преимущественно направлены на прагматичное использование и употребление научных, практических, социальных и экономических сведений на пользу человека3.
Истории возникновения понятия социальной инженерии известны случаи впервые использования ее приемов в правомерных целях в Древней Греции и Древнем Риме. В те времена ценились ораторские способности выступающих, имеющих
1 Официальный сайт МВД URL: https://мвд.рф/reports/item/21933965/ (дата обращения 25.11.2020).
2 Словарь Академик. URL: https://dic.academic.ru/dic.nsf/enc_philosophy/ (дата обращения: 23.11.2020)
3 Словарь Академик. URL: https://dic.academic.ru/dic.nsf/ruwiki/ (дата обращения: 23.11.2020)
специальное умение убеждать в дипломатических переговорах. Термин «социальная инженерия» также находит свое применение в политической жизни начала XX века в области науки, где под этим термином понимались психологические методы, позволяющие решать социальные проблемы. С годами, особенно после Второй мировой войны, этот термин приобрел более негативный оттенок и стал ассоциироваться со стереотипами, используемыми политиками для получения электорального преимущества. Сегодня отрицательный термин все еще сохраняется, но получил распространение в области безопасности информационных систем для описания случаев, когда мошенники обманным путем убеждают людей предоставлять им важную конфиденциальную информацию, а также доступ к денежным средствам.
Одним из первых социальную инженерию в противозаконной деятельности стал применять известный всему миру К.Д. Митник. Успешно применяя методы социальной инженерии, К.Д. Митник осуществлял доступ к электронно-вычислительным машинам компаний, проникал в их телефонные линии, воровал корпоративную конфиденциальную информацию и даже получал доступ к национальной системе предупреждения атак. К.Д. Митник является автором известных книг в сфере киберпреступности, таких как «Искусство обмана» и «Искусство вторжения». В них детально описаны способы и мошеннические схемы злоумышленников по использованию социальной инженерии в корыстных целях в информационно-телекоммуникационной среде.
В указанных трудах социальная инженерия понимается как способ воздействия на человека без применения технических средств. В свою очередь, эти способы базируются на использовании уязвимого эмоционально-психологического состояния человека. В понимании К.Д. Митника целью социальной инженерии признается получение неправомерного доступа к секретным данным личности или отдельной организации [2].
Необходимо отметить, что социальная инженерия включает большое количество разнообразных техник и методик, взятых из практической психологии, нейролингвистического программирования, гипноза и других наук, позволяющих благополучно контролировать поведение людей в преступных целях.
Социальная инженерия представляет собой систему «различных психологических методик и мошеннических приемов, целью которых является получение конфиденциальной информации о человеке обманным путем»1. Это своеобразный метод (атак) несанкционированного доступа к информации или системам хранения информации «с помощью техник, основанных на использовании слабостей человеческого фактора. Кроме того, данные техники являются очень эффективным оружием мошенников на сегодняшний день»2. Известный ученый В.С. Овчинский в своем труде «Мафия. Новые мировые тенденции» отметил, что социальная инженерия «превратилась в один из самых распространенных векторов атак на информацию, от которых сложнее всего защититься» [3, с. 121]. Защититься от атак социальной инженерии становится непросто в связи с тем, что мошенники применяют различные способы воздействия, психологического давления на жертву. Зачастую потерпевший до последнего момента не осознает, что передает конфиденциальную информацию преступнику, способную причинить материальный ущерб, так как последний выстраивает доверительные отношения, используя определенные уловки.
Н.В. Лихачев, разделяя вышеупомянутые точки зрения, утверждает, что «введение в заблуждение - основной «компонент» социальной инженерии, который включает целый ряд разнообразных техник, таких как выдача себя за другое лицо, отвлечение внимания, нагнетание психологического напряжения и т.д.3. Злоумышленники научились использовать свои методы воздействия на жертву, исходя из особенностей ее поведения.
А.В. Черемушкин под социальной инженерией понимает «обман информационной системы безопасности с помощью данных, получаемых от контактов с обслуживающим персоналом и пользователями на основе введения их в заблуждение за счет разных уловок, обмана и др. [4]. По мнению П.В. Ревенкова и А.А. Бердюгина, социальная инженерия - это метод хищения конфиденциальной информации пользователей [5].
Социальная инженерия часто рассматривается как манипулирование поведением человека с помощью использования социальных и психологических навыков в целях достижения корыстного результата4.
1 НИЦ корпоративной безопасности в Москве - Артемов Н. Социальная инженерия - технология «взлома» человека. URL: https://srccs.su/tag/nikita-artemov/ (дата обращения 01.02.2020).
2 Официальный сайт Хабр. URL: https://habr.com/ru/post/83415/ (дата обращения: 23.12.2019).
3 Лихачёв Н.В. (Крис Касперский) IT-журналист России, о секретном оружии социальной инженерии. URL: https://studfile. net/preview/3073459/ (дата обращения: 11.12.2019).
4 Социальные инженеры: как не попасться в ловушку кибермошенников. URL:https://www.rbc.ru/money/28/09/2017/59ca44 7b9a79474aa6f65673 (дата обращения: 23.12.2019).
Теперь обратимся к обоснованию сущности социальной инженерии. Специфика методов социальной инженерии кроется в том, что зачастую они обходят особенности критического и аналитического мышления и направлены в первую очередь на эмоциональную сферу личности жертвы. В связи с этим так эффективны методы социальной инженерии у мошенников. Вместе с тем причины, в связи с которыми мошенники предпочитают использовать методы социальной инженерии, следующие: во-первых, манипулирование людьми в целях получения прибыли кажется для них весьма простым и быстрым способом преступной деятельности, поскольку получить доступ к технической системе безопасности, усовершенствованной новейшими средствами защиты информации, намного сложнее, чем получить ту же информацию от обычного пользователя обманным путем. Во-вторых, мошеннические схемы с использованием социальной инженерии являются более результативными, дешевыми и эффективными. Кроме того, степень вероятности быть пойманным, применяя методы психологического воздействия на жертву, для их инициаторов гораздо ниже, нежели вероятность, возникшая в связи с взломом технического средства. В качестве дополнения следует отметить, что причиной, в связи с которой мошенники совершают рассматриваемые преступления, является самонадеянная убежденность людей в том, что проблему информационной безопасности можно успешно решить с использованием технических программ и аппаратных средств.
Обсуждение и заключения
Необходимо подчеркнуть, что методы социальной инженерии оказываются весьма разнообразными и с течением времени могут совершенствоваться и развиваться в зависимости от появления новых схем мошенничества, при этом их цели всегда будут оставаться одинаковыми. К числу основных целей социальной инженерии можно отнести следующие:
1. Получение конфиденциальной информации, такой как Ф.И.О., номер телефона, номер банковской карты, секретные пароли из СМС, сведения о состоянии здоровья и другие личные данные, которые можно использовать для достижения корыстного результата.
2. Получение неправомерного доступа к мобильному банку жертв и их электронным денежным средствам.
3. Получение паролей от социальных сетей пользователей.
Отметим, что названные цели достигаются за счет использования прямой и обратной соци-
альной инженерии, которые отличаются друг от друга спецификой вступления во взаимодействие с жертвой. Прямая социальная инженерия характеризуется использованием мошенником техник непосредственно при совершении преступлений. Нами сформулировано криминалистическое понятие прямой социальной инженерии, под которой необходимо понимать совокупность действий злоумышленника по совершению с корыстной целью деяния, содержащего психологические техники и приемы воздействия, направленные на введение человека в заблуждение и побуждение его выполнять определенные действия для достижения преступного результата в виде предоставления мошеннику персональных данных и (или) конфиденциальных сведений, повлекших причинение имущественного ущерба собственнику.
Кроме того, существует и обратная социальная инженерия, представляющая совокупность действий злоумышленника, направленных на создание такой ситуации, при которой потерпевшее лицо само вынуждено обратиться к мошеннику и, не подозревая об истинности его преступных намерений, сообщить свои персональные данные и (или) конфиденциальные сведения, в результате чего причиняется имущественный ущерб собственнику. В указанной ситуации обратная социальная инженерия выражена в умышленном создании у пользователя технических проблем, для решения которых он вынужден прибегнуть к помощи преступника и обеспечить ему доступ к наиболее важной информации. А.Л. Осипенко выделяет три фазы обратной социальной инженерии: «диверсию» (создание определенной нештатной ситуации, требующей привлечение специалиста для устранения неполадок в системе), «рекламу» (информирование пользователя о том, что определенное лицо способно помочь в устранении его проблемы), «помощь» (получение полного доступа к компьютеру) [6, с. 146].
В атаке обратной социальной инженерии злоумышленник не инициирует контакт с жертвой. Ее обманом заставляют связаться с нападающим. В результате между преступником и жертвой устанавливается высокая степень доверительных отношений. Как только атака обратной социальной инженерии оказалась успешной, злоумышленник установил дружеские отношения с жертвой, он запускает широкий спектр техник социальной инженерии, таких как убеждение жертв перейти по вредоносным ссылкам, шантаж, кража личных данных, фишинг и др.
Таким образом, проанализировав эмпирический материал, разные мнения авторов, мы пришли к выводу, что мошенничество с использо-
ванием социальной инженерии - это виновное противоправное общественно опасное деяние, выраженное в совокупности психологических способов воздействия и контроля людей, побуждающих их совершать определенные действия по предоставлению мошеннику персональных данных или иных конфиденциальных сведений для достижения последним корыстного результата.
Р.С. Белкин, рассматривая функции криминалистики, в том числе прогностическую, отмечает, что последняя «является фундаментом для теории криминалистического прогнозирования, формой практического приложения данных криминалистической науки в практике борьбы с преступностью. Она способствует полезной интеграции знания в системе криминалистики. Ее роль заключается в предвидении развития действительности и, в том числе, государственно-правовых явлений» [7].
Мнение Р.С. Белкина подтверждает то, что криминалистический аспект и роль социальной инже-
нерии заключается в том, что характеристика преступлений данного вида включает в себя описание механизма их совершения, особенностей личности преступника, а также способов, используемых им при противоправном поведении. Однако криминалистика не содержит комплексной информации о социальной инженерии, что свидетельствует о низкой степени осведомленности правоохранительных органов о специфике рассматриваемого преступного явления.
Полагаем, что криминалистическая значимость изучения способов совершения описанных деяний, характеристики механизма их совершения, анализ особенностей личности мошенника и жертвы, а также алгоритма действий органов следствия по организации расследования этих преступлений на первоначальном этапе представляют особую ценность для разработки научных рекомендаций о сущности, целях и задачах социальной инженерии, позволяющих достичь эффективных результатов в борьбе с преступностью.
СПИСОК ЛИТЕРАТУРЫ
1. Жданов Ю.Н., Овчинский В.С. Киберполиция XXI века. Международный опыт / под ред. С.К. Кузнецова. М.: Международные отношения, 2020. 288 с.
2. Кевин К.Д., Вильям Л.С. Искусство обмана. М., 2004. 360 с.
3. Овчинский В.С. Мафия. Новые мировые тенденции «Коллекция изборского клуба». М.: Книжный мир, 2016. 369 с.
4. Черемушкин А.В. Информационная безопасность: глоссарий / под ред. С. Пазизина. М., 2013.
5. Ревенков П.В., Бердюгин А.А. Социальная инженерия как источник рисков в условиях дистанционного банковского обслуживания // Национальные интересы: приоритеты и безопасность. 2017. № 9 (354). URL: https://cyberleninka.ru/article/n/sotsialnaya-inzheneriya-kak-istochnik-riskov-v-usloviyah-distantsionnogo-bankovskogo-obsluzhivaniya (дата обращения: 23.12.2019).
6. Осипенко А.Л. Борьба с преступностью в глобальных компьютерных сетях: международный опыт: монография. М.: Норма, 2004. 432 с.
7. Белкин Р.С. Криминалистика: учебник для вузов / под ред. Р.С. Белкина. М., 2001. 990 с.
REFERENCES
1. ZHdanov YU.N., Ovchinskij V.S. Kiberpoliciya XXI veka. Mezhdunarodnyj opyt / pod red. S.K. Kuznecova. M.: Mezhdunarodnye otnosheniya, 2020. 288 s.
2. Kevin K.D., Vil'yam L.S. Iskusstvo obmana. M., 2004. 360 s.
3. Ovchinskij V.S. Mafiya. Novye mirovye tendencii «Kollekciya izborskogo kluba». M.: Knizhnyj mir, 2016. 369 s.
4. CHeremushkin A.V. Informacionnaya bezopasnost': glossarij / pod red. S. Pazizina. M., 2013.
5. Revenkov P.V., Berdyugin A.A. Social'naya inzheneriya kak istochnik riskov v usloviyah distancionnogo bankovskogo obsluzhivaniya // Nacional'nye interesy: prioritety i bezopasnost'. 2017. № 9 (354). URL: https://cyberleninka.ru/article/n/sotsialnaya-inzheneriya-kak-istochnik-riskov-v-usloviyah-distantsionnogo-bankovskogo-obsluzhivaniya (data obrashcheniya: 23.12.2019).
6. Osipenko A.L. Bor'ba s prestupnost'yu v global'nyh komp'yuternyh setyah: mezhdunarodnyj opyt: monografiya. M.: Norma, 2004. 432 s.
7. Belkin R.S. Kriminalistika: uchebnik dlya vuzov / pod red. R.S. Belkina. M., 2001. 990 s.
Об авторе: Старостенко Нина Игоревна, адъюнкт Краснодарского университета МВД России e-mail: nstarostenko1996@mail.ru
About the author: Starostenko N.I., Postgraduate of Krasnodar University of MIA of Russia e-mail: nstarostenko1996@mail.ru
Статья получена: 09.10.2020
Статья принята к публикации: 29.03.2021
Статья опубликована онлайн: 31.03.2021
Автор прочитал и одобрил окончательный вариант рукописи. The author has read and approved the final version of the manuscript
