Социальная инженерия в контексте информационной безопасности: понятие, виды, значение

07.06.2022
Достижения в области цифровых коммуникационных технологий сделали общение между людьми повсеместным и мгновенным. Личная информация теперь доступна в социальных сетях и онлайн-сервисах, а меры безопасности для защиты этой информации не всегда эффективны. Уязвимость таких систем позволяет злоумышленникам получать данные пользователей и совершать в отношении них противоправные действия посредством социальной инженерии.
 
В контексте информационной безопасности она реализуется через психологические манипуляции, которые приводят к совершению людьми действий по разглашению конфиденциальной информации в интересах злоумышленников. Исследователи называют это явление одной из самых больших проблем, стоящих перед сетевой безопасностью, поскольку оно использует естественную склонность человека доверять другому. В работе приводятся определения социальной инженерии, данные исследователями Европы и США, виды основных атак в этой сфере, их описание, классификации и способы осуществления.
 
Данным вопросом занимались Ф.Салахдин, Н.Каабуш, Д.Саху, С.Лохани, Р.Сури и многие другие.

Принимая во внимание, что приемы социальной инженерии активно используются в настоящее время как способ совершения преступлений, в особенности мошенничеств и хищений имущества путем модификации компьютерной информации, данная работа является актуальной в рамках исследования правовых и организационно-тактических основ информационной безопасности.

В данной статье будут рассмотрены понятие, виды и значение социальной инженерии в контексте информационной безопасности.

Понятие социальной инженерии

Социальная инженерия – одна из самых больших угроз для людей и организаций в наши дни. Она эксплуатирует естественную человеческую склонность доверять. Некоторые ученые определяют социальную инженерию в контексте национальной безопасности как психологическое манипулирование людьми с целью совершения действий или разглашения конфиденциальной информации [1]. Это отличается от социальной инженерии в рамках социальных наук, которая не касается разглашения конфиденциальной информации. Тип доверительного трюка с целью сбора информации, мошенничества или доступа к системе отличается от традиционного «обмана» тем, что он часто является одним из многих шагов в более сложной схеме мошенничества.

В англоязычной литературе можно найти различные понятия, определяющие социальную инженерию.

Специалисты компании «Social-Engineer.Inc» определили ее как «любое действие, которое оказывает влияние на то, или иное лицо, с целью осуществления им действий, которые могут произойти или не произойти в лучшем случае» [1].

Компания «Kaspersky global cybersecurity» утверждает, что социальная инженерия – это форма методов, используемых киберпреступниками, предназначенных для того, чтобы заманить ничего не подозревающих пользователей в отправку им своих конфиденциальных данных, заражение их компьютеров вредоносными программами или открытие ссылок на зараженные сайты. [2].

Агентство Европейского Союза по кибербезопасности определяет социальную инженерию как относящуюся ко всем методам, направленным на то, чтобы заставить жертву раскрыть конкретную информацию или выполнить конкретное действие для реализации конечной незаконной цели [3].

Специалисты из компании «Imperva, Inc» утверждают, что социальная инженерия – это термин, используемый для широкого спектра вредоносных действий, совершаемых посредством человеческих взаимодействий, представляет собой психологические манипуляции и обман, направленные на совершение пользователями ошибок безопасности и выдачу конфидициальной информации [4].

Ученый из Университета штата Айова Н.Еванс обращает внимание, что для людей, знакомых с информационными технологиями, социальная инженерия имеет много определений, но даже люди за пределами этой области думают о негативных коннотациях термина «социальная инженерия» [5]. Как правило, большинство авторов сходятся во мнении, что информационные атаки социальной инженерии имеют целью сбор определенного объема данных для последующего использования в технической атаке или «взломе», однако другие говорят, что цели не имеют значения и любая мотивация все еще считается социальной инженерией [6].

Сравнивая вышеприведенные термины, следует отметить, что социальная инженерия в контексте информационной безопасности имеет два основных элемента: использование психологических манипуляций для совершения действий или разглашения конфиденциальной информации, использование информационных технологий в качестве поддержки этих психологических манипуляций.

На наш взгляд, социальная инженерия представляет собой совокупность психологических манипуляций, методов и технологий, направленных на получении конфиденциальной информации путем совершения пользователем ошибок безопасности или излишней доверчивости.

Виды социальной инженерии

Атаки социальной инженерии происходят в один или несколько этапов. Преступник сначала исследует предполагаемую жертву, чтобы собрать необходимую справочную информацию, такую как потенциальные точки входа и слабые протоколы безопасности, необходимые для продолжения атаки. Затем злоумышленник пытается завоевать доверие жертвы и обеспечить стимулы для последующих действий, нарушающих правила безопасности, таких как раскрытие конфиденциальной информации или предоставление доступа к критически важным ресурсам. Что делает социальную инженерию особенно опасной, так это то, что она опирается на человеческие ошибки, а не на уязвимости в программном обеспечении и операционных системах. Ошибки, допущенные законными пользователями, гораздо менее предсказуемы, что делает их более трудными для выявления и предотвращения, чем вторжение вредоносного программного обеспечения.

В специальной литературе встречается мнение, что мошенники используют преимущества для получения конфиденциальной информации, которая может быть использована для конкретных целей или продана в «черном интернете». Злоумышленники используют конфиденциальную информацию для извлечения прибыли в своих бизнес-целях. Они собирают огромные объемы данных для продажи оптом в качестве товара [6].

Атаки социальной инженерии отличаются друг от друга, однако у них есть общий шаблон, который включает в себя четыре этапа:

На этапе сбора информации (исследования) злоумышленник выбирает жертву на основе определенных требований. В фазе развития отношений злоумышленник начинает завоевывать доверие жертвы посредством прямого контакта или электронной почты. На этапе использования доступной информации злоумышленник эмоционально воздействует на жертву, чтобы та предоставила конфиденциальную информацию или совершила ошибки безопасности. В фазе «выхода» злоумышленник прерывает контакт, при этом не оставляя никаких сведений о себе.

Большинство ученых сходятся во мнении, что атаки социальной инженерии можно разделить на две категории: связанные с человеком (социальные) и связанные с техникой (технические) [6].

Социальные атаки осуществляются через отношения с жертвами, чтобы воздействовать на их психологию и эмоции. Эти атаки являются наиболее успешными и опасными, поскольку они связаны с взаимодействием между людьми.

Технические атаки проводятся через Интернет, через социальные сети и веб-сайты онлайн-сервисов и собирают необходимую информацию, такую как пароли, данные кредитных карт и секретные вопросы. Физические атаки – это физические действия, выполняемые злоумышленником для сбора информации о цели.

Анализ литературы и практики позволяет сделать вывод, что к наиболее распространенным видам атак следует отнести:

- фишинг (phishing) – вид интернет-мошенничества для получения доступа к конфиденциальной информации, который достигается путем проведения массовых рассылок электронных писем от имени популярных брендов, а также личных сообщений внутри различных сервисов [6].

Так, например, Мостовским районным отделом следственного комитета расследуется уголовное дело, возбужденное по признакам состава преступления, предусмотренного ч.2 ст.212 Уголовного кодекса Республики Беларусь.

В ходе расследования было установлено, что в пользовании 58-летней жительниц Мостов имеется банковская карта одного из государственных банков, на которую ей начисляется заработная плата. Так как интернетом она пользоваться не умеет, то передала данные своего интернет-банкинга племяннице, которая на протяжении длительного времени всегда оплачивала ей необходимые платежи. В один из дней племянница решила совершить операции в интернет-банкинге, в связи с чем ввела в браузере название банка и перешла по первой ссылке, где ввела необходимые данные карты. В последующем было установлено, что злоумышленники создали сайт, внешне идентичный с официальным сайтом банка. В общей сложности потерпевшая лишилась денежных средств в сумме 1300 рублей.
 
Анализируя указанные сведения можно сделать вывод о том, что киберпреступники обладают необходимыми познаниями и ресурсами для создания поддельных сайтов схожих с официальными.

- подражание звонкам из службы поддержки (impersonation on help desk calls), которое представляет собой звонки злоумышленников по случайным номера организаций. В ходе беседы они представляются работниками службы технической поддержки, опрашивающими о наличии каких-либо технических проблем. В процессе их «решения» работник отвечает на многочисленные вопросы злоумышленника, зачастую, не задумываясь, сообщает злоумышленнику конфиденциальную информацию (например, пароли, учетные записи), вводит команды, которые позволяют злоумышленнику запустить вредоносное программное обеспечение [6];

- травля (baiting) как вид атаки включает в себя действия, основанные на предложение пользователю о переходе по ссылке для получения какого-либо бесплатного программного обеспечения. Вместе с указанными программами на устройство устанавливается вирус, который действует незаметно для жертвы и собирает необходимую злоумышленнику информацию [12];

- «Кви про кви» (quid pro quo) или «услуга за услугу»  – это техника атаки, предполагающая общение по электронной почте или телефону. Мошенник представляется сотрудником, например, службы технической поддержки, и предлагает жертве помочь ему устранить определенные неполадки в онлайн-системе или на рабочем месте. Жертва, выполняя его указания, лично передает киберпреступнику средства доступа к важной информации [10];

- предлоги (pretexting) – вид атаки, который основывается на введении жертвы в заблуждение под предлогом оказания услуги, например: устройства на работу, помощи другу в получении доступа к чему-либо или выигрыша в лотерею;

- всплывающие окна (pop-up windows), которые представляют собой сообщения, появляющиеся на экране жертвы и сообщающие о мнимой угрозе [11]. Например, на экране появляются поддельные сообщениями, предупреждающими об обнаружении вируса в компьютере жертвы, с последующим предложением жертве загрузить и установить конкретное антивирусное программное обеспечение для защиты компьютера;

- «звонки роботов» (robocall) – массовые звонки, поступающие с компьютеров к лицам с известными телефонными номерами. Для реализации преступных целей используются устройства или компьютерные программы, которые автоматически набирает список телефонных номеров для доставки предварительно записанных сообщений. Эти звонки могут касаться предложения по продаже услуг или решению проблем. Атаки Robocall стали серьезной проблемой в США и других странах. Единственный способ для людей прекратить эти звонки – не отвечать на неизвестные телефонные номера [6];

- вымогательство (ransomware) как вид атаки включают в себя действия киберперступника, направленные на блокирования доступа к данным и файлам жертвы путем их шифрования, с последующим требованием перевода денежных средств, для восстановления доступа;

- онлайн-социальная инженерия (online social engineering) – это техника атаки, которая основана на обмане пользователей сети, когда злоумышленник выдает себя за системного администратора компании и запрашивает имена пользователей и их пароли для последующего получения конфиденциальной информации [9];

- обратная социальная инженерия (reverse social engineering) – данный вид атаки направлен на создание такой ситуации, при которой жертва будет вынуждена сама обратиться к злоумышленнику за помощью [11]. Например, злоумышленник высылает на электронный ящик письмо с телефонами и контактами «службы технической поддержки», после чего самостоятельно создает неполадки в сети. Пользователь обращается к нему за помощью, в процессе «устранения» проблемы злоумышленник может получить необходимые ему данные;

- телефонная социальная инженерия (phone social engineering), которая представляет собой комплекс действий злоумышленника, направленный на усыпление бдительности жертвы в ходе телефонного разговора. Например, в ходе разговора он обещает жертве приз, после чего задает вопросы, направленные на получение конфиденциальный сведений. [8].

В зависимости от субъекта, атаки социальной инженерии можно классифицировать на две категории: атаки, направленные непосредственно на человека и атаки направленные на программное обеспечение [6].

В зависимости от формы совершения атаки – социальные, технические и физические [6].
 
Также, в специальной литературе существует мнение о том, что атаки социальной инженерии, в зависимости от способа их совершения, можно разделить на две категории: прямые и косвенные [6]. Атаки, отнесенные к первой категории, используют прямые контакты между злоумышленником и жертвой для выполнения атаки. Они представляют собой атаки, совершаемым посредством физического контакта, зрительного контакта или голосового взаимодействия. Они также могут потребовать присутствия злоумышленника в рабочей зоне жертвы для выполнения атаки. Примерами таких атак являются: физический доступ, «плечевой серфинг», «погружение в мусорные контейнеры», телефонная социальная инженерия, предлоги, подражание звонкам в службу поддержки и кража важных документов. Атаки, отнесенные к косвенным, не требуют присутствия злоумышленника. Атака может быть начата удаленно с помощью вредоносного программного обеспечения, переносимого вложениями электронной почты или SMS-сообщениями. Примерами таких атак являются: фишинг, поддельное программное обеспечение, всплывающие окна, программы-вымогатели, SMSishing, онлайн-социальная инженерия и обратная социальная инженерия [6].

Вредоносная социальная инженерия – один из самых больших рисков для информационной безопасности. Фактически, Отчет о расследовании нарушений данных Verizon за 2019 год подтверждает, что преступники активно нацеливаются на человеческие слабости. Например, по данным Data Breach Investigations Report, из 2 013 подтвержденных утечек данных, 33% включали социальные атаки. В социальной атаке преступники нацеливаются на такие эмоции, как страх, срочность или послушание, чтобы повлиять на принятие решений [7].

Фишинговые атаки – это наиболее распространенные атаки, проводимые социальными инженерами [8]. Они нацелены на мошенническое получение частной и конфиденциальной информации от предполагаемых целей с помощью телефонных звонков или электронной почты. Злоумышленники вводят жертв в заблуждение, чтобы получить конфиденциальную информацию. Они включают в себя поддельные веб-сайты, электронные письма, рекламу, антивирус, вредоносное программное обеспечение, бонусы и бесплатные предложения. Например, атакой может быть звонок или электронное письмо от поддельной лотереи о выигрыше с запросом личной информации или необходимостью нажатия на ссылку, прикрепленную к письмам. Эти данные могут быть данными кредитной карты, страховыми данными, полным именем, физическим адресом, именем домашнего животного, первой работой или работой мечты, именем матери, местом рождения, посещенными местами или любой другой информацией, которую человек может использовать для входа в конфиденциальные учетные записи, такие как онлайн-банкинг[10].

Фишинговые атаки можно разделить на пять видов: «копьевой фишинг» (spear phishing), «китобойный фишинг» (whaling phishing), вишинг, фишинг интерактивного голосового ответа и фишинг компрометации деловой электронной почты.

Часто встречаемым в Республики Беларусь видом фишинга является вишинг. Вишинг представляет собой вид мошенничества с использованием социальной инженерии, который основан на прямом контакте злоумышленника и жертвы с использованием телефонной коммуникации [9]. Злоумышленник, играя определенную роль (сотрудник банка, покупатель, сотрудник правоохранительных органов), под разными предлогами выманивает у жертвы конфиденциальную информацию или стимулирует ее к совершению определенных действий.

Так, например Центральным (г.Минска) районным отделом Следственного комитета Республики Беларусь расследуется уголовное дело, возбужденное по признакам состава преступления, предусмотренного ч.4 ст.212 Уголовного кодекса Республики Беларусь. В ходе расследования уголовного дела установлено, что 43-летней женщине позвонил мужчина, который представился сотрудником банка. В ходе разговора, он сообщил, что неизвестные пытаются похитить денежные средства с банковской карты минчанки. Для того, чтобы предотвратить совершение несанкционированной операции и защитить деньги, лжесотрудник банка предложил потерпевшей пообщаться с начальником отдела безопасности банка. Злоумышленники продумывают сложные ходы, связанные с разными голосами и должностями. Разговор продолжил мужчина и сразу уточнил, давала ли согласие потерпевшая третьим лицам пользоваться ее банковскими картами. Женщина, заподозрив неладное, решила убедиться, что это не мошенник и спросила остаток на карте, с которой якобы осуществляется хищение. Лжесотрудник банка назвал сумму, приближенную к реальному остатку на карте, и женщина доверилась ему.
 
Далее, звонивший убеждал потерпевшую, что несанкционированные операции осуществляется с мобильного телефона марки Самсунг и скорее всего это произошло по причине взлома аккаунта в интернет-банкинге. Сообщив минчанке, что ее карта уже заблокирована и денежные средства «спасены», он предложил «застраховать» средства. При этом, указанная услуга позволила бы минчанке пользоваться денежными средствами уже сейчас, без перевыпуска карты. Для убедительности, собеседник сказал, что сейчас на мобильный телефон придет смс-код, который необходимо сообщить роботу. Женщина послушно выполнила все указания и лишилась трех тысяч рублей. Лжесотрудник продолжил разговор, попросив назвать счета, имеющиеся у клиента в банке, чтобы также их «застраховать». Что последняя и сделала. В результате лишившись еще более 19 тысяч долларов США.

Всего потерпевшая лишилась денежных средств на сумму более 52 тысяч рублей.

Как правило, существует много типов атак. Согласно нашему анализу, основными видами вредоносной социальной инженерии в настоящее время являются: фишинг, особенно вишинг, претекстинг, SMSishing.

Проведённое исследование позволяет сделать следующие выводы:
  • Социальная инженерия – это совокупность психологических манипуляций, методов и технологий, направленных на получении конфиденциальной информации путем совершения пользователем ошибок безопасности или излишней доверчивости.
  • К наиболее типичным видам социальной инженерии следует отнести: фишинг, особенно вишинг, претекстинг, SMSishing.
  • Социальная инженерия является одной из самых больших угроз для людей и организаций в наши дни. Рассмотрение социальной инженерии в контексте национальной безопасности позволяет акцентировать внимание на существующих рисках и угрозах в данной сфере, спрогнозировать уязвимые области для применения профилактических мер, в том числе направленных на информирование граждан о существующих угрозах. Ведь, к сожалению, атаки социальной инженерии, не могут быть устранены только при помощи современного программного обеспечения. В развивающемся обществе любая надежная система безопасности может быть преодолена злоумышленниками. В последнее время отмечается значительный рост количества атак социальной инженерии, соответственно и рост преступности с использованием информационно-коммуникационных технологий. Достижению противоправной цели зачастую способствует недостаток осведомленности и знаний их жертв.
Концепцией национальной безопасности Республики Беларусь отводится важное значение наращиванию деятельности правоохранительных органов по предупреждению, выявлению и пресечению преступлений против информационной безопасности [13]. В этой связи нами были подготовлены информационные профилактические материалы, а также видеоролик социальной рекламы, который был одобрен Межведомственным советом по рекламе Министерства антимонопольного регулирования и торговли Республики Беларусь и транслируется на телевизионных каналах страны.



Официальный представитель Следственного комитета
Юлия Гончарова
Официальный представитель Следственного комитета
Юрий Пехота
Текст материала опубликован в сборнике научных трудов:
Следственная деятельность: сборник научных трудов / Институт повышения квалификации и переподготовки Следственного комитета Республики Беларусь; редкол.: Ю.Ф.Каменецкий (гл. ред.) [и др.]. – Минск: СтройМедиаПроект, 2021. – 303 с.

Список использованных источников:

1. "Social Engineering Defined - Security Through Education". Security Through Education. [Electronic resource]. – Mode of access: https://www.social-engineer.org/framework/general-discussion/social-engineering-defined/ – Date of access: 28.03.2020.
2. «What is Social Engineering?» [Electronic resource]. – Mode of access: https://usa.kaspersky.com/resource-center/definitions/social-engineering – Date of access: 28.03.2020.
3. What is "Social Engineering"? [Electronic resource]. – Mode of access: https://www.enisa.europa.eu/topics/csirts-in-europe/glossary/what-is-social-engineering – Date of access: 28.03.2020.
4. What is "Social Engineering"? [Electronic resource]. – Mode of access: https://www.imperva.com/learn/application-security/social-engineering-attack/ – Date of access: 28.03.2020.
5. Evans, Nathaniel Joseph, "Information technology social engineering: an academic definition and study of social engineering - analyzing the human firewall" (2009). Graduate Theses and Dissertations. 10709. pp. 9-10.
6. Salahdine F., Kaabouch N. «Social Engineering Attacks: A Survey» University of North Dakota; Future Internet 2019, 11(4), 89; [Electronic resource]. – Mode of access: https://www.mdpi.com/1999-5903/11/4/89/htm Date of access: 01.04.2020.
7. Verizon Data Breach Investigations Report (DBIR) 2019 [Electronic resource]. – Mode of access: https://enterprise.verizon.com/resources/reports/dbir/2019/introduction/ – Date of access: 2.04.2020.
8. Yeboah-Boateng, E.O.; Amanor, P.M. Phishing, SMiShing & Vishing: An assessment of threats against mobile devices. J. Emerg. Trends Comput. Inf. Sci. 2014, 5, 297–307.
9. Peotta, L.; Holtz, M.D.; David, B.M.; Deus, F.G.; De Sousa, R.T. A formal classification of internet banking attacks and vulnerabilities. Int. J. Comput. Sci. Inf. Technol. 2011, 3, 186–197.
10. Ghafir, I. Social engineering attack strategies and defence approaches. In Proceedings of the IEEE International Conference on Future Internet of Things and Cloud, Vienna, Austria, 22–24 August 2016; pp. 1–5.
11. Suri, R.K.; Tomar, D.S.; Sahu, D.R. An approach to perceive tabnabbing attack. Int. J. Sci. Technol. Res. 2012, 1, 1–4.
12. Lohani, S. Social Engineering: Hacking into Humans. Special Issue based on proceedings of 4th International Conference on Cyber Security (ICCS) Birla Institute of Applied Sciences, Bhimtal, 2018; pp. 385-393.
13. Национальный Интернет-портал Республики Беларусь [Электронный ресурс] / НЦПИ Респ. Беларусь. – Режим доступа: http://www.pravo.by.


Опрос Все опросы

Сталкивались ли Вы с интернет-мошенниками?