Некоторые факты о социальной инженерии

В настоящее время на полигоне киберпространства развиваются разные виды киберугроз, способствующие развитию так называемой кибервойны между развитыми странами, что подвергает опасности менее развитые страны, в том числе Узбекистан. При этом кибербезопасность является неотъемлемой частью мероприятий, обеспечивающих  противостояние подобным угрозам.

Современные виды угроз подталкивают отечественных специалистов к изучению нестандартных подходов и направлений защиты информации. Отдельные министерства и ведомства Узбекистана, в свою очередь, проводят ряд мероприятий по борьбе с киберпреступностью.

По мнению экспертов, информационная безопасность (далее – ИБ) должна представлять собой совокупность принципов, средств и стратегий для обеспечения неуязвимости и защиты информационной среды как на техническом, так и психологическом уровнях, обеспечивая доступность, целостность и конфиденциальность данных.

Важно отметить, что большинство основополагающих документов по ИБ фокусируется только на технологиях, однако без человеческого вмешательства все само не решится. Человек является субъектом технологического процесса и его действия играют главную роль в обеспечении ИБ. В этой связи в целях достижения приемлемого уровня безопасности важно также прорабатывать и меры психологического характера.

Данные меры должны реализовываться исходя из анализа методов действий злоумышленников, которые основаны на особенностях психологии людей в случаях, когда сам человек является основной целью атаки. Такие методы, направленные на получение несанкционированного доступа к важной конфиденциальной информации, получили название «социальная инженерия». Данный термин появился в США в середине ХХ века, широко применялся в университетах и окончательно оформился в 70-х как учебная дисциплина на стыке прикладной социологии, социальной психологии и теории управления.

Ярким примером искусного специалиста по социальной инженерии является Кевин Митник – известный компьютерный преступник, которому противостояли лучшие специалисты Федерального бюро расследований (ФБР). По мнению многих экспертов, Митник не обладал ни значительной технической базой, ни большими познаниями в программировании. При этом он владел искусством общения по телефону для получения нужной ему информации. По утверждению Кевина Митника, социальная инженерия – это наука, которая определяется как набор методов манипулирования поведением человека, основанных на использовании человеческих слабостей. Как бы ни совершенствовались технические средства защиты, человек остается самым слабым звеном в обеспечении ИБ.

Социальная инженерия как наука состоит из разных взаимосвязанных сфер: «претекстинга», «фишинга», системы «услуга за услугу» (мотивация), «дорожного яблока» и обратной социальной инженерии.

ПРЕТЕКСТИНГ – это набор действий, отработанных по определенному, заранее составленному сценарию, в результате которых человек может выдать какую-либо информацию или совершить определенное действие. Чаще всего данный вид атаки предполагает использование голосовых программ, например, Skype и т. п.

ФИШИНГ – техника интернет-мошенничества, направленная на получение конфиденциальной информации пользователей из различных систем. Основным видом фишинговых атак является поддельное письмо, отправленное жертве по электронной почте, которое выглядит как официальное письмо от банка. В письме содержится форма для ввода персональных данных (пин-кодов, логина и пароля и т. п.) или ссылка на web-страницу, на которой располагается такая форма. Примером является так называемая группа «Синий кит», созданная в середине 2016 года и мотивирующая подростков на самоубийство. «Синий кит» является социальной игрой, распространенной в странах Азии и Европы, в том числе и в Узбекистане, основной целью которой является доведение до самоубийства. В данной игре фишинг использовался для получения конфиденциальной информации о жертве.

УСЛУГА ЗА УСЛУГУ (МОТИВАЦИЯ)

– данная техника предполагает обращение злоумышленника к пользователю по электронной почте или корпоративной связи. Злоумышленник может представиться, например, сотрудником технической поддержки и проинформировать о возникновении технических проблем. В процессе решения таких проблем злоумышленник подталкивает человека к совершению действий, позволяющих атакующему выполнить определенные команды или установить необходимое программное обеспечение на компьютер жертвы.

ДОРОЖНОЕ ЯБЛОКО – этот метод представляет собой адаптацию «троянского коня» и предполагает использование физических носителей (CD, флэш-накопителей). Злоумышленник обычно подбрасывает такие носители в общедоступные места на территории компании (парковки, столовые, рабочие места сотрудников, туалеты). Для того чтобы у сотрудника возник интерес к данному носителю, злоумышленник может нанести на носитель логотип компании или другую привлекающую надпись, например, «данные о продажах», «зарплата сотрудников», «отчет в налоговую» и т. п.

ОБРАТНАЯ СОЦИАЛЬНАЯ ИНЖЕНЕРИЯ – данный метод направлен на создание такой ситуации, при которой человек вынужден обратиться к самому злоумышленнику за помощью. Последний, например, может выслать письмо с телефонами и контактами «службы поддержки» и через некоторое время создать неполадки в компьютере жертвы. Пользователь в таком случае позвонит или свяжется с ним по электронной почте, и в процессе «исправления» проблем злоумышленник может получить все необходимые ему данные. Злоумышленник, использующий указанные методы социальной инженерии, должен пройти серьезную психологическую подготовку, а также обладать следующими методами воздействия:

  1. Формулирование цели воздействия на объект.
  2. Исследование психофизических характеристик объекта в целях выбора наиболее подходящего способа воздействия.
  3. Разработка методов воздействия на объект и осуществление этого воздействия.

Формулирование цели воздействия необходимо для обнаружения наиболее «удобных» жертв. После этого наступает этап, который называется аттракцией. Аттракция – это создание нужных условий для воздействия на объект. Принуждение к нужному действию достигается за счет выполнения предыдущих этапов. В результате применения данной тактики объект начинает выполнять определенные действия, которые приводят злоумышленника к нужной цели. Злоумышленники, применяющие социальную инженерию, зачастую манипулируют доверчивостью, ленью, любезностью и даже энтузиазмом сотрудников организаций.

Вместе с тем для того, чтобы защититься от таких угроз, необходимо изучать и анализировать их разновидности, научиться понимать, что нужно злоумышленнику и какой вред может быть причинен компании. В этой связи необходимо выработать комплекс мер по противостоянию указанным угрозам. Помимо этого потребуется создание современных методических систем, которые будут включать в себя не только теоретические, но и практические навыки в области психологии.

Наряду с этим следует учитывать следующие рекомендации по обеспечению политики безопасности:

  1. Постоянный мониторинг и анализ угроз психологического характера.
  2. Выработка предложений по противодействию угрозам психологического характера.
  3. Доведение информации об угрозах до сотрудников предприятий.
  4. Проведение тренингов и бесед по вопросам информационной безопасности с сотрудниками компании.
  5. Осуществление аудита системы безопасности раз в полгода и доработка политики информационной безопасности компании.
  6. Установка систем обнаружения атак.

В заключение нужно отметить, что первые шаги следует делать в направлении развития методологии, методов и средств тестирования человеческой уязвимости. При разработке мер по противодействию угрозам психологического характера необходимо учесть тот факт, что объектом атаки может стать любой, при этом важно следить за своим окружением, поскольку любое нападение начинается с подготовки.

Касимов Рахмонали, начальник отдела развития информационных
технологий Министерства Здравоохранения Республики Узбекистан