Популярное
Свежее
Моя лента
Сообщения
Рейтинг
Курсы
Темы
Маркетинг
Деньги
Сервисы
Личный опыт
Крипто
Маркетплейсы
AI
Путешествия
Карьера
Образование
Показать все
vc.ru
О проекте
Правила
Реклама
Приложения
CyberSecurity

Социальная инженерия в информационной безопасности

Социальная инженерия в информационной безопасности

Аннотация: В статье рассматривается социальная инженерия в информационной безопасности. Приводятся сущность и подходы к определению социальной инженерии, отмечается её манипулятивная составляющая. Выявляются факторы, обуславливающие распространённость использования социальной инженерии для несанкционированного получения конфиденциальной информации. Приводятся основные методы социальной инженерии и способы противодействия им.

Ключевые слова: конфиденциальная информация, информационная безопасность, социальная инженерия, киберпреступления, манипуляция.

Согласно данным Positive Technologies, в 2023 г. в 45 % успешных кибератак на организации использовались методы социальной инженерии, что свидетельствует о роли этого явления в обеспечении информационной безопасности [1]. С развитием информационных технологий происходит усложнение техник социальной инженерии: злоумышленники активно используют искусственный интеллект для поддержания иллюзии осмысленного диалога с жертвой, генерации поддельных сообщений и дипфейков. Также повышается распространённость многоэтапных атак, в которых злоумышленники добиваются преступной цели за несколько шагов, совместно используя различные методы обмана.

Атаки социальных инженеров включают психологические, физические и технические аспекты, используемые на различных этапах [2]. Даже если атака изначально неудачна, злоумышленник может использовать полученную информацию об индивидуальных и организационных процессах безопасности для будущих атак. Сотрудники компаний, которые не осведомлены о методах социальной инженерии, являются одним из наибольших рисков информационной безопасности в организации.

Целью работы является изучение социальной инженерии в информационной безопасности. Для её достижения были использованы аналитический и синтетический методы исследования материалов по угрозам и методам обеспечения информационной безопасности, применён системно-структурный подход к рассмотрению ключевых аспектов проблемы исследования.

Социальная инженерия – сравнительно молодая наука о преобразовании социальной реальности [3]. Выделяют следующие подходы к определению этого явления:

  • институциональный – создание и управление социальными институтами и значимыми общественными процессами, при которых осуществляется качественная модификация социальной системы в целом;
  • управленческий – стимулирование и управление поведением людей для коррекции социальных установок, формирования необходимого общественного мнения, влияния на трудовую мотивацию сотрудников, действия потенциальных клиентов и бизнес-конкурентов;
  • функциональный – внедрение нового социального опыта путём частных функциональных преобразований в процессе формирования поведенческих моделей;
  • манипуляционный – целенаправленное влияние на индивидов для получения определённого социального действия.

Все подходы к определению социальной инженерии содержат манипулятивную составляющую, поскольку данное явление сопряжено с вмешательством в социальные структуры и социальное поведение для изменения психологических характеристик индивидов и общества с целью реализации определённых идей, обычно достижения материальной или нематериальной выгоды.

Используя методы социальной инженерии, злоумышленники могут обойти даже самые сложные системы информационной безопасности [4]. Повышение частоты использования социальной инженерии для несанкционированного получения конфиденциальной информации обусловлено следующими факторами:

  • простота получения интересующих данных по сравнению с техническим вторжением в информационные системы;
  • сложность обнаружения атак при помощи автоматизированных защитных систем;
  • минимальный риск;
  • минимальные финансовые вложения;
  • высокая вероятность достижения цели атаки.

Социальные инженеры используют психологические методы воздействия на людей, основанные на манипулировании базовыми эмоциями: страхом, ожиданиями, жадностью, любопытством, состраданием, эмпатией [5]. Ключевой целью социальной инженерии является найти подход к конкретному человеку и подтолкнуть его к совершению действий, которые необходимы злоумышленнику. Использование техник социальной инженерии требует не только знаний психологии, но и навыков сбора необходимых данных. В настоящее время злоумышленники могут получать большие объёмы информации о гражданах и компаниях из открытых источников – социальных сетей, поисковых систем, форумов, блогов, файлообменников, сообществ по интересам и профессиональных сообществ, сайтов с частными объявлениями, публичных отчётов государственных и коммерческих организаций, опубликованных данных аэросъёмок и радиомониторинга. Помимо этого, собрать нужные для атаки сведения можно на офлайн-мероприятиях: докладах, конференциях, мастер-классах и прочих.

Процесс применения методов социальной инженерии состоит из нескольких этапов [6, 7]:

  • Подготовка. Включает определение вида и объёма целевой информации, уровня информационной защищённости объекта атаки, разработку плана проникновения и выбор направлений применения методов социальной инженерии.
  • Сбор информации об объектах воздействия. Предполагает выбор жертвы, обычно сотрудника компании, поддающегося психологическому манипулированию. Лучшими претендентами на роль жертвы становятся доверчивые люди, субъекты с чувством обиды или выраженной эмпатией. Для выбора жертвы может использоваться тестовая атака, обычно в форме рассылки электронных писем. Данные о том, кто и когда перешёл по указанному в письме адресу и какие действия выполнял, позволяют получить объективную оценку осведомлённости пользователей об основах кибербезопасности. О намеченной жертве злоумышленник собирает сведения, используя активные и пассивные методы разведки на основе открытых источников.
  • Техническая подготовка. Включает регистрацию, настройку и обкатку домена и хостинга.

Большая часть кибератак сочетает технические и нетехнические векторы [8]. Специалисты по информационной безопасности обычно сфокусированы на технических векторах, поскольку их проще отследить и настроить соответствующие сценарии реагирования. Однако технических средств недостаточно для обнаружения социальной инженерии, поскольку действия реализующих её лиц отличаются непредсказуемостью. К основным техникам социальной инженерии относятся первичная обработка, манипуляции и обман, нейролингвистическое программирование, предлоги, извлечение информации, социальное, юридическое и организационное влияние. Важно учитывать, что ряд атак в рамках социальной инженерии действует на уровне подсознания, запуская предсознательные процессы. Это делает человека на порядки более уязвимым объектом атаки, чем программное обеспечение.

Основной метод борьбы с социальной инженерией – повышение осведомлённости сотрудников компаний о методах, используемых злоумышленниками. В число основных методов входят [9-11]:

  • Претекстинг. Представляет собой применение предлога, заставляющего жертву действовать по типовому сценарию и предоставить конфиденциальные данные.
  • Фишинг. Суть метода заключается в создании поддельных ресурсов и продуктов, имитирующих настоящие и заслуживающие доверие. Злоумышленники рассчитывают, что пользователи не заметят подделки и добровольно введут свои личные данные. Наиболее известен почтовый фишинг, при котором злоумышленники массово рассылают электронные письма и с помощью манипулятивных техник побуждают пользователей перейти по подмененным ссылкам.
  • Троянский конь. Это вредоносное программное обеспечение, проникающее в устройство пользователя, думающего, что он запустил установку или обновление программы.
  • Кви про кво. Метод основан на общении жертвы и злоумышленника, в процессе которого последний подталкивает собеседника на совершение целевых действий.
  • Дорожное яблоко. Предполагает использование физических носителей, оставленных в людных местах, которые жертва запускает из любопытства. Носитель может быть заражён вирусом или физически повредить устройство.
  • Обратная социальная инженерия. Злоумышленник создаёт ситуацию, в которой жертва вынуждена обратиться к нему за помощью для устранения искусственно созданных неисправностей.

Помимо регулярных тренингов и обучения сотрудников, для борьбы с социальной инженерией специалисты по информационной безопасности могут использовать следующие меры [12]:

  • установка политик и процедур, контролирующих доступ к конфиденциальной информации и системам;
  • использование многофакторной аутентификации;
  • обеспечение физической безопасности: введение пропускного режима, установка видеонаблюдения и контролируемого доступа к устройствам;
  • регулярное обновление систем безопасности;
  • введение строгой политики управления информацией.

Таким образом, человек является наиболее слабым звеном в системе защиты информации. Злоумышленники применяют методы социальной инженерии для получения доступа к конфиденциальным данным, используя психологическое воздействие на людей и манипулируя эмоциями. Социальные инженеры могут применять различные тактики в зависимости от обстоятельств и психологических качеств жертвы, поэтому гражданам и организациям важно регулярно совершенствовать компетенции в области распознавания и противостояния таким атакам и информационной безопасности в целом.

Список литературы

  1. Актуальные киберугрозы для организаций: итоги 2023 года [Электронный ресурс] // Positive Technologies. – 2024. – URL: https://www.ptsecurity.com/ru-ru/research/analytics/aktualnye-kiberugrozy-dlya-organizacij-itogi-2023-goda/ (дата обращения: 20.07.2024).
  2. Горелов А.А., Лексиков Е.В., Калашников Р.Ю. Влияние уровня подготовки сотрудников в сфере информационной безопасности на их способность противостоять угрозам социальной инженерии // Образование и право. – 2021. – № – С. 310-318. – DOI: 10.24411/2076-1503-2021-00101
  3. Санина Л.В. Деструктивная социальная инженерия как угроза экономической безопасности: масштабы явления и меры предотвращения / Л.В. Санина, О.А. Чепинога, Э.А. Ржепка, О.Ю. Палкин // Baikal Research Journal. – 2021. – Т. 12, № – DOI: 10.17150/2411-6262.2021.12(2).14
  4. Адамович В.В., Романова О.Л. Использование социальной инженерии как способа совершения киберпреступлений // Учёные записки Казанского юридического института МВД России. – 2023. – Т. 8, №2 (16). – С. 6-11.
  5. Унукович А.С. Социальная инженерия и кибербезопасноть: виктимологический аспект // Психопедагогика в правоохранительных органах. – 2021. – Т. 26, №3 (86). – С. 346-351. – DOI: 10. 24412/1999-6241-2021-3-86-346-351
  6. Янгаева М.О. Социальная инженерия как способ совершения киберпреступлений // Вестник Сибирского юридического института МВД России. – 2021. – №1 (42). – С. 133-138.
  7. Иванов А.В. Особенности защиты от угроз социальной инженерии // Вестник Московского университета МВД России. – 2023. – № – С. 237-241. – DOI: 10.24412/2073-0454-2023-7-237-241
  8. Стрельников Р.В. SOC. Начинает и проигрывает // Вестник Балтийского федерального университета им. И. Канта. Сер.: Физико-математические и технические науки. – 2021. – № 1. – С. 26-30.
  9. Репенко В.А., Резниченко С.А.. Защита от атак с применением средств и методов социальной инженерии // Вестник Дагестанского государственного технического университета. Технические науки. – 2022. – № 49 (4). – С. 85-96. – DOI: 10.21822/2073-6185-2022-49-4-85-96
  10. Афанасьева Н.С., Елизаров Д.А., Мызникова Т.А. Классификация фишинговых атак и меры противодействия им // Инженерный вестник Дона. – 2022. – №5 (89). – С. 169-182.
  11. Свищёв А.В., Акатьев Я.А. Искусственный интеллект как средство защиты от атак методами социальной инженерии // Colloquium-Journal. – 2020. – №7-1 (59). – С. 52-55. – DOI: 10.24411/2520-6990-2020-11490
  12. Лещенко В.С. Роль и значение социальной инженерии в обеспечении информационной безопасности // Научный аспект. – 2023. – Т. 18, № – С. 2282-2288.

Автор: Козловский Станислав
25.10.2024 г.

Начать дискуссию