Москва
+7-929-527-81-33
Вологда
+7-921-234-45-78
Вопрос юристу онлайн Юридическая компания ЛЕГАС Вконтакте

Методы социальной инженерии в информационном противоборстве.

Обновлено 11.01.2023 06:32

 

В настоящее время, в соответствии с принятой терминологией, под термином "социальная инженерия" понимаются методы и средства несанкционированного доступа к информационным ресурсам, основанные на особенностях психологии человека. Основной целью социальных инженеров является получение доступа к защищенным системам с целью кражи информации, паролей пользователей, данных о кредитных картах и тому подобное. Основным отличием от стандартной кибератаки является то обстоятельство, что в роли объекта атаки в данном случае выбирается не вычислительная машина, а ее оператор.

Использование социальной инженерии представляет собой особое направление информационного противоборства, включающее в себя набор методов и методик проведения подготовительных и основных мероприятий по несанкционированному получению защищаемой информации.

Методов социальной инженерии, как особых способов воздействия на человека, очень много, при этом, очевидно, не может существовать никаких универсальных средств ввиду уникальности присущих каждой личности морально-психологических, волевых установок, жизненной позиции и отношения к исполнению обязанностей.

В настоящей статье рассматриваются и анализируются лишь наиболее часто применяемые и наиболее эффективные для получения необходимой информации методы социальной инженерии:

- метод прямого воздействия;

- введение в заблуждение;

- метод обратной инженерии;

- сбор и анализ информации из открытых источников [4].

Рассмотрим более подробно каждый из перечисленных методов.

Метод прямого воздействия.

Метод прямого воздействия является самым примитивным, но, несмотря на это, одним из самых действенных способов получения конфиденциальной информации.

В основе данного метода лежит естественное желание каждого человека доверять коллегам по работе и оказывать им при необходимости всестороннюю помощь. Для успешного применения метода прямого воздействия злоумышленнику необходимо изучить и свободно ориентироваться в терминологии и проблемах, связанных с производственной деятельностью организации. Социальный инженер при проведении атаки не стесняется звонить должностным лицам организации и задавать вопросы относительно запланированных или выполняемых в настоящий момент мероприятий. В момент постановки вопроса социальный инженер вводит "атакуемого" сотрудника в режим принятия экстренного решения. Например, должностному лицу сообщается о необходимости проведения срочной работы в интересах организации, для выполнения которой требуется знать определенную информацию. После слов "требуется знать" социальный инженер называет ту информацию, которая ему необходима. Стремление помочь коллегам и всей организации в срочном проведении работ, например в обеспечении бесперебойного электропитания или телефонной связи, заставляет сотрудников забыть о правилах обработки конфиденциальной информации в данной организации, и они сообщают нужные сведения позвонившему лицу.

Методы прямого воздействия чаще всего используются в отношении сотрудников, имеющих большой оборот входящей и исходящей информации (сотрудники call-центра, секретари, офисные служащие). После успешного проведения атаки методом прямого воздействия такой сотрудник вряд ли вспомнит о звонившем лице и о характере информации, которая ему была передана.

Метод введения в заблуждение.

Метод введения в заблуждение широко используется в телекоммуникационной сети общего пользования Интернет. Хорошо известно его другое название - фишинг (от англ. fishing - рыбачить).

В основе метода лежит особенность человека доверять используемым на протяжении определенного интервала времени вещам, предметам, ресурсам. В эпоху информационных технологий значительную часть информации человек обрабатывает, получает, анализирует, отправляет с помощью ресурсов, размещенных в сети Интернет. Часть ресурсов носит информационный характер и не представляет определенной угрозы информационной безопасности, остальные являются интерактивными, требующими от пользователя ввода определенных данных. В качестве вводимой информации может выступать как безобидная информация, например количество заказываемых товаров и услуг, так и конфиденциальная информация: платежные реквизиты банковских карт, персональные данные и тому подобное.

Для получения доступа к вводимой пользователем информации социальный инженер создает в сети Интернет информационный ресурс-близнец, пользовательский интерфейс которого с точностью до мелочей повторяет привычный для пользователя ресурс. Главным отличием ресурса-близнеца от реального является отсутствие элементов функциональной части информационного ресурса или их замена на собственные, содержащие дополнительные функции. Вся информация, введенная пользователем на "привычный" ресурс, записывается на компьютер злоумышленника и может быть использована им по своему усмотрению.

При проведении атаки методом введения в заблуждение злоумышленнику следует учитывать, что компьютер атакуемого может автоматически запоминать адрес ресурса в сети Интернет и вводимую пользователем информацию. В этом случае социальный инженер самостоятельно инициирует выход пользователя на ресурс-близнец с целью повторного ввода требуемой информации [5].

Например, сотруднику организации присылается электронное письмо. В электронном письме социальный инженер убеждает "атакуемого" сотрудника перейти на ресурс и заново ввести учетные данные. При этом адрес ресурса целенаправленно изменяется на адрес ресурса-близнеца. Причины могут указываться самые разные: от простейших, таких как изменение формы представления и хранения информации, до самых фантастических. Например, в письме сообщается, что администрация информационного ресурса проводит расследование фактов несанкционированного использования учетных данных пользователя и просит подтвердить введенную информацию. Естественно, никакого расследования никто не проводит, но атакуемому об этом знать совсем не обязательно.

Атакуемый сотрудник, чувствуя важность процесса и стремясь помочь в нужном и срочном деле, без всякого подозрения выходит на ресурс-близнец и самостоятельно, без какого-либо принуждения, предоставляет злоумышленнику необходимую информацию.

Следует отметить, что в рассмотренном примере, помимо введения в заблуждение, применяется метод обратного инжиниринга, о котором речь пойдет далее.

Метод обратной инженерии.

Метод обратной инженерии - это метод получения информации злоумышленником, при котором атакуемый самостоятельно, без всякого принуждения, предоставляет требуемую информацию [6].

Для проведения атаки методом обратной инженерии злоумышленнику требуется собрать полную информацию об объекте нападения: личная жизнь, увлечения, морально-психологические особенности поведения, жизненные позиции и т.д.

Социальный инженер для достижения поставленной цели становится другом семьи, напарником в спортивных состязаниях, ярым болельщиком любимой команды атакуемого и т.п. Совместные мероприятия, проводимые в неформальной обстановке, заставляют атакуемого потерять бдительность, расслабиться, забыть о должностных обязанностях, необходимости сохранения в тайне сведений, ставших известными по работе.

Отличительной особенностью этого метода социальной инженерии является его большая протяженность по времени. Социальному инженеру могут понадобиться месяцы, а то и годы, чтобы досконально изучить объект атаки. За это время обстановка может кардинально измениться: информация может потерять свою актуальность, объект - сменить место работы, а организация - изменить форму хозяйственной деятельности. В любом из представленных примеров проведенные мероприятия по сбору и обработке информации относительно объекта атаки становятся бесполезными или неактуальными.

Метод сбора и анализа информации из открытых источников.

Как ни парадоксально, но данный метод является самым эффективным среди методов, рассмотренных в настоящей статье. Его эффективность связана с таким технико-социальным явлением XXI века, как социальные сети.

Социальная сеть представляет собой интернет-ресурс, предназначенный для обмена текстовыми сообщениями, медиаресурсами (фото-, аудио-, видеоинформация) и другими видами информации.

Желание поделиться своей радостью (знаменательные даты, события), успехами, а зачастую и обычное хвастовство заставляет человека отключить разумную часть своего сознания и не контролировать содержание выдаваемой им собственноручно информации при общении в социальных сетях.

Анализ представленной человеком информации в социальных сетях позволяет злоумышленнику часто без особого труда составить его морально-психологический портрет, узнать об увлечениях, семейном положении, обычаях, запланированных мероприятиях. Полученная в результате сбора и обработки информация из социальных сетей является исходной в проведении атак рассмотренными в статье методами.

Значительным достижением для социального инженера будет получение необходимой ему информации через социальные сети. В этом случае, как правило, дальнейшее изучение человека, тем более применение других методов социальной инженерии, вообще не требуется.

Как следует из сказанного выше, методы социальной инженерии основываются на человеческих слабостях, особенностях его воспитания, мировоззрения и миропонимания. В настоящей статье рассмотрены, на наш взгляд, основные методы социальной инженерии, создающие реальные каналы утечки конфиденциальной информации в обход принятой политики безопасности.