Галлямова М. Р. Социальный инжиниринг в сфере образования

Социальный инжиниринг в сфере образования

                                                       Social engineering in education              

 

Галлямова Миляуша Равильевна

Gallyamova Milyausha Ravilevna

Магистрант ФГАОУ ВО  Санкт-Петербургский национальный исследовательский университет информационных технологий, механики и оптики»,  г. Санкт-Петербург

Miljausha-18@mail.ru

Аннотация.  В статье рассматривается социальная инженерия. Социальная инженерия в контексте информационной безопасности относится к психологическим манипуляциям людьми, для совершения ими действий, либо разглашения конфиденциальной информации. Применятся для сбора информации, мошенничества или доступа к системе, путем получения доверия у оппонента.

Abstract. This article discusses a social engineering. Social engineering, in the context of information security, refers to psychological manipulation of people into performing actions or divulging confidential information. A type of confidence trick for the purpose of information gathering, fraud, or system access.

Ключевые слова: политика безопасности, информационная безопасность, социальный инжиниринг, социальный инженер, несанкционированный доступ.

Keywords: security policy, information security, social engineering, social engineer, unauthorized access.

В современных условиях основными тенденциями являются переход к информационному типу общества и процессы глобализации. Под их влиянием существенно возрастает значимость качества образования и эффективность всех видов деятельности для всех звеньев системы подготовки специалистов.

Хоть и эффективность мер безопасности для защиты конфиденциальной информации растет, люди остаются восприимчивыми к манипуляции и человеческий фактор остаётся самым слабым звеном.

            Пока службы безопасности устанавливают новое антивирусное ПО, разрабатывают сложную систему идентификации и аутентификации, злоумышленники проникают внутрь сети с помощью сотрудников образовательных организаций, а также ничего не подозревающих, обучающихся.       

            При получении доступа к сети применяется один из самых популярных методов взлома, так называемый социальный инжиниринг, на который, уделяют меньше всего внимания. Социальный инжиниринг формируется на управлении человеком, используя его личные качества, для получения желаемых целей, такие как: страх, любопытство, жадность, превосходство, великодушие и жалость, доверчивость, лень. Все методы социальной инженерии основываются на конкретных атрибутах человеческого принятия решений, известные как когнитивные предубеждения.

Социальная инженерия — это самый тяжелый вид атаки, относительно защиты против него, потому что он не может быть защищен только аппаратным или программным обеспечением. Успешная защита требует эффективной информационной безопасности, начиная с политики безопасности и руководящих документов, заканчивая оценкой уязвимости.

Питер Стивенсон указал, что 30% всех взломов происходит от чужаков: то есть людьми, которые не работают в организации. Это значит, что 70% нарушителей находятся внутри организации. [1]

Сегодня социальная инженерия признана одной из величайших угроз безопасности, стоящих перед организациями. В случае успеха многие атаки социальной инженерии позволяют злоумышленникам получить законный, санкционированный доступ к конфиденциальной информации.

Социальная инженерия в контексте информационной безопасности, относится к психологической манипуляцией людьми,  с целью сбора информации, мошенничества, или получения доступа к системе. [2]

Атаки социальных инженеров представлены на рисунке 1. В общем виде  схема приведена в книге белорусского психолога и социолога В.П. Шейнова, который долгое время занимался психологией мошенничества. [3]

Рис. 1. Основная схема воздействия в социальном инжиниринге

            Теперь рассмотрим распространенные техники и виды атак, которыми пользуются социальные инженеры:

  1. Претекстинг – эта техника использует преднамеренно продуманный сценарий (претекст),чтобы привлечь целевую жертву и сделать так, чтобы жертва дала нужную информацию или выполнила определенные действия. [2]
  2. Фишинг – в данном методе используются массовые рассылки электронных писем от имени популярных брендов, а также личных сообщений внутри различных сервисов. (В письме содержится прямая ссылка на fakelink[1]). После попадания на страницу, пользователя просят ввести свои логин и пароль. Таким образом, мошенники получают доступ к личным данным, банковским счетам и т.п. [2]
  3. Вишинг – данная техника использует поддельную IVR[2] систему, чтобы воссоздать, законно звучащие, официальные звонки от банковских и других IVR систем.[2]
  4. Фарминг – перенаправление жертвы по ложному интернет — адресу. Для этого используется некая навигационная структура (файл «hosts[3]«, система доменных имен – «DNS[4]«). Жертва открывает письмо или посещает какой-либо веб-сервер, на котором выполняется скрипт-вирус, при этом происходит искажение файла «hosts», в результате жертва попадает на один из ложных сайтов.
  5. Услуга за услугу – эта техника предполагает под собой звонок злоумышленника в организацию по корпоративному телефону, далее онутверждает, что он из службы технической поддержки и просит выполнить определенные действия. [2]
  6. Троянский конь – это вредоносная программа, которая используется для сбора информационных ресурсов, нарушения работы системы противника, либо доступа в саму систему. Злоумышленник отправляет e-mail, в котором содержится «классный» скрин-сейвер, важное обновление антивирусного ПО или даже компромат на сотрудника. [2]  
  7. «Дорожное яблоко» – в этойатаке, злоумышленники наклеивают на физический носитель (предварительно инфицированный) логотип фирмы, оставляют его в местах, часто посещаемых сотрудниками, и ждут, пока его найдет жертва. Сотрудник может найти его и вставить в компьютер или вернуть в компанию. [2]
  8. Сбор информации из открытых источников. Это сбор из открытых источников, преимущественно из социальных сетей. Например такие, как «Facebook», «Одноклассники», «VK» имеют большое количество данных, которые люди выставляют напоказ.
  9. Обратный социальный инжиниринг. Это тот случай, когда жертва сама рассказывает социальному инженеру нужные ему данные. Многие люди для более быстрой работы или устранения неполадок, добровольно сообщают логины и пароли, а так же другие конфиденциальные сведения.
  10. Человеческий отказ в обслуживании – смысл этого метода заключается в том, чтобы потенциальная жертва (незаметно для неё) не среагировала на ситуацию. Злоумышленник представляет ложное понятие об одной операции, а на деле выполняет совсем другую.
  11. Личный визуальный контакт – вычисляется слабое место жертвы, злоумышленник беседует с жертвой «в рамках слабого места», что в дальнейшем приведет к тому, что жертве понравится её собеседник, и та расскажет все, что необходимо социальному инженеру.
  12. Системы обмена мгновенными сообщениями (IM). В данный момент в сети существует множество программ, которые могут влиять на работу ICQ, Skype, Messenger, WhatsApp и др. С их помощью злоумышленник может посылать сообщения от имени другого пользователя. Основным путем распространения вирусов через IM является передача файлов.
  13. Анализ мусора – социальный инженер может использовать деловые бумажные отходы таким образом, чтобы во время атаки казалось, что он является сотрудником организации.
  14. Личностные подходы — в данной технике используют четыре основных разновидности подхода: запугивание, убеждение, использование доверительных отношений, помощь.

В результате видно, как важно защищать информационную безопасность со стороны психологии, так как самое слабое звено в системе — это человеческий фактор.

Полностью уберечь себя от атак социального инжиниринга практически невозможно, но можно соблюдать некоторые правила, благодаря которым можно добиться очень высоких результатов.

Основные рекомендации, которых стоит придерживаться любому сотруднику:

  1. Постоянно изучать новые методы защиты информационной безопасности и не забывать повторять старые.
  2. Проходить тренинги, которые будут повышать бдительность.
  3. Соблюдать элементарные правила безопасности, несмотря ни на что.
  4. Быть аккуратным и сосредоточенным.
  5. Не доверять посторонним людям.
  6. Не открывать конфиденциальную информацию по телефону или электронной почте, если это не прописано в политике безопасности.
  7. Правильно обращаться с документами и физическими носителями, а также их устранением.
  8. Ответственно относиться к работе.
  9. Важно помнить, что любое должностное лицо может стать жертвой социального инженера.

Библиографический список:

  1. Социальное проектирование: концепции и решения [Электронный ресурс] (последнее обращение: 12.04.2018).
  2. Социальная инженерия [Электронный ресурс] https://en.wikipedia.org/wiki/Social_engineering_(security) (последнее обращение: 12.04.2018).
  3. Социальная инженерия [Электронный ресурс]  http://ru.wikipedia.org/wiki/Социальная_инженерия (последнее обращение: 11.04.2018 г.)

[1] Fakelink — поддельная страница, которая внешне неотличима от настоящей, либо сайт, содержащий редирект (автоматическое перенаправление пользователей с одного сайта на другой).

[2] IVR (англ. Interactive Voice Response) — система предварительно записанных голосовых сообщений, выполняющая функцию маршрутизации звонков внутри call-центра с использованием информации, вводимой клиентом на клавиатуре телефона с помощью тонального набора

[3] hosts — текстовый файл, содержащий базу данных доменных имен и используемый при их трансляции в сетевые адреса узлов. Запрос к этому файлу имеет приоритет перед обращением к DNS-серверам. В отличие от системы DNS, содержимое файла контролируется администратором компьютера.

[4]DNS (англ. Domain Name System — система доменных имён) — компьютерная распределённая система для получения информации о доменах. Чаще всего используется для получения IP-адреса по имени хоста (компьютера или устройства), получения информации о маршрутизации почты, обслуживающих узлах для протоколов в домене.