CC BY
0УДК 004.056.53
Паршиков К.А.
студент кафедры вычислительные системы и информационная безопасность Донской государственный технический университет (г. Ростов-на-Дону, Россия)
СОЦИАЛЬНАЯ ИНЖЕНЕРИЯ КАК УГРОЗА ДЛЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Аннотация: под термином «информационная безопасность» зачастую подразумевают о технических методах и способах защиты информации. Но это не единственный способ обеспечить защиту информации. На данный момент конфиденциальная информация неплохо защищена с технической точки зрения, но люди, которые ей владеют или имеют к ней доступ являются большой уязвимостью информационной безопасности. Процесс получения доступа к информации, используя человеческие слабости — это социальная инженерия. В данной статье рассматриваются её виды, методы, осуществляемые злоумышленниками, а также способы распознания и предотвращения атак.
Ключевые слова: информационная безопасность, социальная инженерия, конфиденциальные данные, методы атаки, способы защиты, фишинг, претекстинг.
На данный момент практически вся информация перемещена в киберпространство. Ее обработкой занимаются производительные ЭВМ с высокотехнологичными средствами обеспечения целостности, доступности и конфиденциальности информации. Конечно, нельзя утверждать, что данные системы полностью технически неуязвимы, ведь рано или поздно специалистами находится их слабое место и своевременно устраняется. В данных реалиях злоумышленникам практически невозможно осуществить несанкционированный доступ к информации посредством специально направленного ПО. Но, если судить по новостям, регулярно обнаруживаются какие-либо утечки информации. Это обусловлено тем, что самым слабым
местом, которым пользуются злоумышленники, являются обычные люди, ведь обмануть доверчивого человека в разы легче, чем машину. Данный способ атаки приобрел название: метод социальной инженерии. Что это такое, какие могут быть последствия и методы ее предотвращения будут рассмотрены в основной части статьи.
Для начала обозначим понятие социальной инженерии. Социальная инженерия — это метод манипуляции действиями человека, заключающийся в использовании слабостей человеческого фактора в целях незаконного доступа к информации, ее изменения или удаления [1].
Методы социальной инженерии (далее СИ) способны обойти даже самые продвинутые системы обеспечения информационной безопасности, что очень выгодно для злоумышленников, так как использование данного метода в разы проще, чем обход защиты безопасности систем, к тому же СИ невозможно вычислить посредством технических средств. Еще немалым преимуществом этого метода для злоумышленников является то, что данная атака не требует вложений, но в свою очередь очень результативна.
Под различные цели продуманы разные методы использования СИ [2]. Рассмотрим их подробнее.
Ловля «на живца» основана на расположении особой приманки: в большинстве случаев специально подготовленного ШВ-накопителя. Если условная жертва «клюнет» на данную приманку и из любопытства захочет проверить что на накопителе, то с незащищенным персональным компьютером жертвы может произойти все, что задумал злоумышленник: от присоединения компьютера к ботнету до полного его уничтожения (посредством ЦЗВ-киллера).
Фишинг и претекстинг. Данные атаки являются самыми распространенными на сегодняшний день. При применении злоумышленником творческого подхода они могут быть мощным инструментом для осуществления несанкционированного доступа к информации. Претекстинг представляет собой предлог, придуманный злоумышленником, который
привлечёт внимание жертвы и заставит ее сообщить информацию. Например, во время какого-либо онлайн тестирования могут ненавязчиво узнать у жертвы необходимую информацию: номер телефона, паспортные данные и т. д. При осуществлении фишинга подход злоумышленников к делу слегка отличается. В частых случаях злоумышленники сами связываются с жертвой посредством электронных писем, звонков, SMS-сообщений, социальных сетей, представившись сотрудником банка или другим лицом, чтобы повысить доверие жертвы. Таким способом 31 марта 2022 года компании Apple и Meta* (* запрещено в РФ) передали злоумышленникам адреса зарегистрированных пользователей и номера телефонов, ответив на заявку якобы от уполномоченных органов.
Атака «услуга-за-услугу» представляет собой убеждение жертв в том, что, совершив действия, которые необходимы злоумышленнику она получит что-то взамен. Именно так работают вредоносные программы, которые под видом антивируса предлагают устранить угрозу, хотя сам «антивирус» и является угрозой.
За последние 2 года огромное количество людей пострадали от взломов электронных почт и аккаунтов социальных сетей. Имея идентификационные данные жертвы, злоумышленники устраивали рассылки всем, кто как-либо связан с жертвой. Сообщения могут быть различными, от обычной просьбы занять денег, до вербовки для совершения незаконных действий.
Описанные ранее методы являются частью охоты. Охота — это комплексное применение атак, для получения необходимой информации. Ее суть заключается в том, чтобы проникнуть, захватить информацию и уйти незамеченным. Однако некоторые социальные инженеры все же налаживают связь с жертвой. При таком подходе увеличивается вероятность разоблачения, но и при успехе увеличивается и «урожай» для злоумышленника.
Теперь рассмотрим базовые методы для обнаружения и предотвращения проникновения методом СИ.
При обнаружении подозрительного сообщения, неизвестного накопителя на рабочем месте, или поступления звонка, в котором вас просят уточнить ваши данные необходимо всегда проверять источник. Например, сравнить заголовки электронного письма и его манеру написания с более ранними письмами этого отправителя и ни в коем случае не переходить по ссылкам, находящимся в подозрительном письме. Социальные инженеры часто используют иллюзию срочности, чтобы жертва не задумывалась о происходящем. В такие моменты нужно хоть немного, но вдуматься, ведь даже минута размышлений может вывести обман на чистую воду. Не нужно спешить сообщать свои данные по телефону или почте, необходимо использовать другой способ связи, чтобы уточнить подлинность письма или звонка. При личной встрече со злоумышленником, который представляется поддельным лицом у него необходимо запросить документы, устанавливающие личность. Если у вас запрашивают информацию при телефонном звонке - уточните имя и номер звонящего или его непосредственного руководителя. Затем просто проверьте эту информацию в интернете или справочнике прежде, чем сообщать какие-либо персональные данные.
Сегодня защита персональных данных имеет высокую важность. С каждым шагом улучшением систем защиты, методы их обхода совершенствуются не меньше. Но как бы система ни была защищена, всегда есть вероятность того, что конфиденциальная информация может быть обнародована из-за человеческого фактора. В связи с этим, последние, успешно выполненные, крупные атаки были осуществлены не сколько благодаря техническим средствам, а именно незнании уполномоченных людей. В связи с этим проведение мероприятий направленных на увеличение знаний о методах атак, способов их обнаружения и предотвращения как для обычных людей, так и рабочего персонала может снизить количество происшествий связанных и раскрытием конфиденциальных данных.
СПИСОК ЛИТЕРАТУРЫ:
1. Социальная инженерия / Avast — Режим доступа: https://www.avast.ra/c-social-engineering (дата обращения: 10.04.2022);
2. Об угрозах / Kaspersky [сайт] — URL: https://www.kaspersky.ru/resource-center (дата обращения: 17.04.2022)
Parshikov K.A.
Don State Technical University (Rostov-on-Don, Russia)
SOCIAL ENGINEERING AS THREAT TO INFORMATION SECURITY
Abstract: when using the phrase "information security", many people think about technical methods and ways to protect information. But this is not the only way to get protected information. Now, the information is well protected technically, but the people who own it or have access to it are the biggest vulnerability of information security. Getting access to information through human weaknesses is social engineering. This article discusses its types, methods conducted by attackers, as well as ways to recognize and prevent an attack.
Keywords: information security, social engineering, confidential data, attack, phishing, pretexting.
