Разработка методики противодействия социальному инжинирингу на предприятиях БРО ООО «ВДПО» и ООО «Служба Мониторинга – Уфа»

Социальный инжиниринг основан на изначальном стремлении людей оказать помощь другим. Социальный инжиниринг – наименее техническое, но и наиболее эффективное средство в арсенале злоумышленников.

Социальный инжиниринг, как незаконный метод получения информации, обычно использует обман, влияние и убеждение, но его можно также использовать и в законных целях, к примеру, для совершения действий конкретным человеком. Чаще всего социальный инжиниринг используют для получения закрытой информации, или информации, которая представляет большую ценность.

Основные области применения социального инжиниринга [24, с. 28] показаны на рисунке 1.

Рисунок 1  Основные области применения социального инжиниринга

К счастью, подавляющее большинство социальных инженеров действует по одинаковым или близким шаблонам, поэтому изучение приемов их «работы» позволяет распознать обман [21, с. 13] и не выдать закрытую информацию.

Организации приобретают лучшие технологии по безопасности, тренируют и обучают сотрудников, нанимают охранников, но они все еще остается полностью уязвимыми.

Чем больше технологических уровней  организация нагромождает, тем больше разнообразие этих уровней, и, следовательно, тем сильнее должна быть защита сетей в организации. Однако организациям не всегда удается избежать  неудач, потому, что они упускают из вида внутренние проблемы. Даже очень надежно защищенную сеть может обойти очень простой и вместе с тем многогранный элемент – человеческий фактор [20, с. 79].

Успешные злоумышленники чаще всего используют социальный инжиниринг и проводят атаку манипулируя пользователями. По этой причине, для предприятий очень важно вкладывать время и деньги в подготовку, обучение и тестирование этого жизненно важного компонента безопасности.

Объяснение сущности социального инжиниринга и, в частности, таких его разновидностей, как гипноз и нейролингвистическое программирование (НЛП), является взаимодействие между сознанием и подсознанием. Люди верят в то, что принимают решения осознанно, но НЛП и гипноз уже давно продемонстрировали силу подсознания, а исследования последних лет подтвердили, что подсознательное принятие решений опережает сознательное порой на 10 секунд [15, с. 119].

На этом основаны технологии, позволяющие манипулировать людьми, чтобы заставить их выполнить определенные действия и тем самым раскрыть конфиденциальную информацию.

Многие профессионалы информационных технологий придерживаются неправильного представления, считая, что они используют стандартные продукты по безопасности: файерволы, системы для обнаружения вторжений или серьезные устройства для аутентификации, такие как биометрические смарт-карты. Кроме того, безопасность – это не технологическая проблема, это проблема людей и управления [23, с. 95].

Кроме технических методов защиты информации, необходима серьезная работа с персоналом, обучение сотрудников применению политики безопасности и техники противостояния социальным инженерам – только в этом случае система обеспечения информационной безопасности будет комплексной.

 

1. Цели социального инжиниринга

Атака социального инженера разделяется на три стадии подготовки:

1. Определение точной цели (происходит конкретное определение, за какого рода информацией идет охота и где она находится, причем, в связи со знанием точного местоположения информации на диске или на другом носителе, «операция» проводится очень быстро, и в итоге, никто не определяет такой доступ как НСД).
2. Сбор информации об объекте обработки (производится изучение жертвы – это позволяет понять характер человека, его уязвимые места, привычки и т.д., источником же информации об объекте может служить практически все: анализ трафика, почты, даже кассовых чеков).
3. Разработка плана действий, моральная подготовка/тренировка (происходит проработка сценария, каждое слово сопоставляется с психологической моделью изученной жертвы) [27, с. 46].

Общая схема работы социальных инженеров представлена [24, с. 22] на рисунке 2

Рисунок 2 Общая схема методов работы социальных инженеров

Социальный инжиниринг, в совокупности с техническими знаниями систем информационной безопасности, используют для достижения следующих целей:

1. Сбор информации о потенциальной жертве.
2. Получение конфиденциальной информации (для достижения данной цели при продолжительном общении с жертвой, социальный инженер входит в доверие и под удобными предлогами получает необходимую информацию).
3. Получение информации, необходимой для несанкционированного доступа (НСД) [35, с. 99].
4. Вынуждение объекта совершить необходимые социальному инженеру действия (т.е. совершение таких действий, которые вынуждают жертву сделать то, что повлечет за собой потенциальную возможность НСД).

Атаки социальных инженеров представлены [24, с. 13] в виде рисунка 3.

Рисунок 3 Основная схема воздействия в социальном инжиниринге

Эта схема называется «схема Шейнова». В общем виде она приведена в книге белорусского психолога и социолога В.П.Шейнова, который долгое время занимался психологией мошенничества [42, с. 89].

Сначала всегда формулируется цель воздействия на тот или иной объект (под «объектом» понимается жертва, на которую нацелена атака социального инженера). Далее собирается информация об объекте, с целью обнаружения наиболее удобных мишеней воздействия, после чего наступает этап, называемый аттракцией. Аттракция (от лат. Attrahere – привлекать, притягивать) – это создание нужных условий для воздействия социальным инженером на объект. Принуждение к нужному для социального инженера действию чаще всего достигается выполнением предыдущих этапов, т.е. после того, как достигается аттракция, жертва сама делает нужные социальному инженеру действия (например: подкуп сотрудника. Мишенью является потребность сотрудника в деньгах. О нужде в деньгах узнается на этапе сбора информации. Аттракцией является создание условий, при которых сотрудник будет очень нуждаться в деньгах).

Для того чтобы обойти средства безопасности, социальный инженер находит способ обмана сотрудника, для раскрытия информации или получения доступа к информации.

В большинстве случаев, успешные социальные инженеры обладают сильными человеческими качествами. Они очаровательны, вежливы и просты.

Большая часть корпоративной информации может казаться общедоступной или не секретной, но она может быть очень ценна для социального инженера, потому что может сыграть существенную роль для большей правдоподобности.

Иногда только одно знание внутренней терминологии может заставить социального инженера казаться авторитетным и хорошо осведомлённым.

Многие атаки социальной инженерии являются сложными, включая в себя тщательно планируемый ряд шагов, сочетая манипуляцию и технологические знания [31, с. 14].

Чтобы осуществить атаку, социальный инженер полагается на межличностное взаимодействие (социальные навыки), посредством которого компрометирует сведения об организации или ее компьютерных системах. Если социальный инженер не может собрать достаточно сведений из одного источника, то он обращается к другому источнику в той же организации и, используя информацию, полученную от первого, повышает свою убедительность.

Одна из основных техник социального инжиниринга включает в себя создание чувства доверия со стороны жертвы. Чем естественней социальный инженер общается с жертвой, тем больше он ослабляет подозрение.

Из-за высокого темпа жизни, человеку не хватает времени, чтобы задуматься над принятием какого-то решения, даже очень важного. Запутанные ситуации, нехватка времени, эмоциональное напряжение – вот одни из предпосылок. Таким образом, решение принимается в спешке, полученная информация не анализируется, такой процесс называется автоматическим ответом.

Большинство сотрудников организаций даже не подозревают о наличии угроз, связанных с социальным инжинирингом. Они имеют доступ к информации, не разбираясь в деталях работы, и не осознавая важности обрабатываемой информации. Социальный инженер, чаще всего, выбирает своей целью сотрудника с низким уровнем владения компьютером [18, с. 13].

Социальные инженеры используют человеческие чувства. Одно из таких чувств – это вызов сочувствия у собеседника. При рассказе о причинах, вызывающих сочувствие у собеседника, он смягчает свою просьбу.

Так же, социальные инженеры используют профессиональный жаргон, в связи с тем, что сотрудники доверяют тем, кто знает профессиональный жаргон, некую внутреннюю форму общения их организации, которая скрыта от посторонних глаз.

Социальный инжиниринг делится на два вида:

1. Краткосрочный.
2. Долговременный.

Краткосрочный производится за короткий срок времени. Его плюс в том, что он не требует лишних временных ресурсов, а минус заключается в том, что социальный инженер не может заставить совершить человека какие-то значимые действия [25, с. 23].

Долговременный означает, что необходимо потратить много времени на то, чтобы подчинить себе человека. Минус – продолжительность подготовки, плюс в том, что можно заставить человека совершить более значимые действия.

Основными причинами реализации угроз социального инжиниринга являются:

1. Страх – это самый часто используемый и самый опасный психокомплекс человека, существуют десятки разновидностей страха, начиная от боязни потерять работу и боязни понижения в должности и заканчивая боязнью потери престижа и боязни сделать что-то не так [30, с. 368].
2. Любопытство.
3. Жадность.
4. Превосходство.
5. Великодушие и жалость – эти два похожих психокомплекса ориентированы на то, что почти каждому человеку свойственны жалость и великодушие.
6. Доверчивость – людям свойственно надеяться на лучшее и верить, что именно их никто не обманет, именно этот психокомплекс использовался при организации пирамид «МММ», «Русский Дом Селенга» и т. д.  [14, с. 15].

Как же остановить социальный инжиниринг? «Цена вопроса – 64 миллиона долларов, – говорит Стюарт Макклюр, президент и технический директор «Foundstone». – Единственным успешным методом противодействия является обучение» [50].

Рич Могулл, директор по исследованиям «Gartner» в сфере информационной безопасности и рисков, говорит, что «социальный инжиниринг – более серьезная проблема, чем хакерство. Люди по своей природе непредсказуемы и подвержены манипуляции и убеждению. Исследования показывают, что у человека существуют определенные поведенческие тенденции, которые можно эксплуатировать при помощи тонкой манипуляции. Многие наиболее разрушительные проникновения в защищенные системы совершаются, и будут совершаться методами социального инжиниринга, а не электронного взлома или хакерства [50].

По словам Могулла, наиболее опасна кража идентификационных данных, так как большинство преступников «заново изобретают старые аферы» с применением новой технологии. Мошенники используют социальный инжиниринг для кражи идентификационных данных либо из корыстных побуждений, либо для последующего сбора информации об организации. Это не только вмешательство в бизнес, но и нарушение тайны личной жизни. Так же мы убеждены, что в ближайшее десятилетие главную угрозу для безопасности будет представлять социальный инжиниринг [50].

Социальный инжиниринг так же успешно применяется для достижения таких целей, как:

1. Извлечение прибыли.
2. Способ ведения статистики.
3. В целях повышения уровня доверия посетителя.
4. Формирование цен.
5. Борьба с конкурентами (например: борьба за клиента в такси. Количество ложных вызовов за ночь может превышать количество перевезенных клиентов в несколько раз, а это затраты времени, топлива, и потерянные клиенты, которых забрали другие. Цель этого – получение денег обманным путем).

 

2. Техники и виды атак

Естественно, при проведении атаки с использованием социального инжиниринга так же, как и в обычных атаках, присутствует классификация степени доступа при успешно проведенной атаке. Эта степень зависит от уровня подготовленности социального инженера и того, кем является жертва.

Всего уровней четыре, ниже они перечислены в порядке убывания полномочий:

1. Администратор.
2. Начальник.
3. Пользователь.
4. Знакомый.

В таблице 1 показана вероятность получения доступа разных уровней и средства применения (1 – низкая; 2 – средняя; 3 – высокая) [21, с. 14].

 

 

 

 

 

Таблица 1 Вероятность получения доступа разных уровней