Соціальна інженерія (безпека)

Соціа́льна інженерія — це наука, що вивчає людську поведінку та фактори, які на неї впливають.

Основною метою соціальної інженерії є:

  • дослідження причин тої чи іншої поведінки людини;
  • обставин та середовища, що впливають на формування системи цінностей індивіду, і як наслідок — їх поведінки.

На базі цих досліджень можна визначити, що саме спонукає людину на конкретну дію. Наприклад, вивчення середовища, в якому жив вбивця, допоможе зрозуміти його систему цінностей. Ця інформація надасть можливість розробити соціальну структуру, в якій будуть формуватись інші системи цінностей. Системи цінностей, у яких насамперед буде цінуватись людське життя та індивідуальність.

Термін «соціальна інженерія», як акт психологічної маніпуляції, також пов'язують із суспільними науками, однак він широко використовується серед спеціалістів з комп'ютерної та інформаційної безпеки.

Методи і термінологія

Методи несанкціонованого доступу до інформації можна умовно поділити на дві категорії: з використанням методів соціальної інженерії та без них. На відміну від другого випадку, коли зловмисник повинен володіти знаннями у галузі ІТ, у першому для отримання конфіденційних даних він спирається на знання з соціології та психології.

Психологічною передумовою застосування методів соціальної інженерії є така особливість людської психіки, як когнітивні упередження. Через це надійність комп'ютерної системи є не вищою, ніж надійність її оператора. Зловмисники проникають навіть у добре спроектовані, захищені комп'ютерні системи, скориставшись неуважністю довірених користувачів або умисно вводячи їх в оману (наприклад, відрекомендувавшись системним адміністратором або амбасадором комерційного бренду, надсилають повідомлення із запитом паролів).

Існують різні типи кібератак, наприклад, уведення шкідливого коду у код вебсайту або застосування шкідливих програм (вірусів, троянів тощо). Атаки такого виду перешкоджають керуванню пошкодженим продуктом або його налагодженню. Що ж стосується соціальної інженерії, то цей тип атак спрямований не безпосередньо на комп'ютерну систему, а на її користувачів — «найслабшу ланку», і шляхом обходу інфраструктури, призначеної для захисту від шкідливих програм, він дозволяє досягти тих же результатів, що й інші види кібератак. Оскільки такі прийоми значно складніше виявити чи запобігти їм, цей напрям атак є набагато ефективнішим за інші.

Основна тактика соціальної інженерії — за допомогою психологічних методів (наприклад, спілкуючись начебто від імені сервісної компанії чи банку) переконати користувача розкрити інформацію особистого характеру (паролі, номери кредитних карток тощо).

Претекстинг

Претекстинг, від англ. pretexting, у Великій Британії також використовується термін blagging чи bohoing, полягає у застосуванні заздалегідь розробленого сценарію (приводу, чи претексту), щоб спонукати вибрану жертву до розголошення інформації чи виконання дій, до яких у звичайних обставинах вона не вдалася б. Оскільки цей метод ґрунтується на спланованій схемі обману, то атакуванню передує збір інформації, необхідної шахраєві для того, аби видати себе за іншу особу (з'ясування дати народження, паспортних та інших ідентифікуючих даних, суми останнього рахунку тощо), щоб у жертви не виникло сумнівів у законності дій шахрая[1].

Фішинг

Докладніше: Фішинг

Фішинг (англ. phishing) — це метод заволодіння інформацією приватного характеру обманним шляхом. Зазвичай фішер надсилає електронний лист начебто від імені офіційної установи — банку чи платіжної системи — із запитом про «верифікацію» інформації та попередженням про настання певних негативних наслідків у разі невиконання зазначених вимог. Такий лист, як правило, містить посилання на підробну вебсторінку, схожу на справжню (із логотипами компанії, аналогічним контентом та ін.), де від користувача вимагається ввести у форму особисті дані, від домашньої адреси до PIN-коду банківської платіжної картки.

Телефонний фішинг

Докладніше: Вішинг

Телефонний фішинг (англ. vishing від поєднання Voice та Fishing) — це один з найстаріших методів соціальної інженерії. Телефонний зв'язок забезпечує унікальні можливості для проведення соціотехнічних атак і є звичним і знеособленим засобом спілкування, оскільки жертва не може бачити зловмисника. Основні цілі таких атак:

  • Запит інформації, яка забезпечує доступ до самої телефонної системи або дозволяє отримати віддалений доступ до комп'ютерних систем;
  • Отримання можливості здійснювати безкоштовні дзвінки;
  • Отримання доступу до комунікаційної мережі.

Запит інформації чи доступу по телефону є порівняно безпечним видом атаки для зловмисника. Якщо жертва починає підозрювати щось чи відмовляється виконувати запит, зловмисник завжди може покласти трубку.

Дорожнє яблуко

Метод атаки «Дорожнє яблуко» схожий на дію троянської програми. Зміст атаки в тому, щоб підкинути співробітнику компанії фальшивий фізичний носій інформації (флеш-накопичувач, тощо). Носій має виглядати як офіційний, мати логотип чи надпис, що зацікавить співробітника, наприклад флеш-накопичувач з надписом «заробітна плата 2017—2018». Якщо співробітник вставить такий носій до комп'ютеру, що має зв'язок з корпоративною мережею підприємства, запускається шкідливий код і зловмисник отримує доступ до одного комп'ютера чи до усієї мережі. [2]

Інші методи

Пошук інформації в смітті. Варто дотримуватися правил утилізації паперового сміття та електронних носіїв інформації, особливо якщо це стосується конфіденційної та корпоративної, закритої чи відкритої інформації. Міри безпечної утилізації стосуються і електронних офісних пристроїв.

Індивідуальні підходи. До індивідуальних підходів можна віднести як негативні стратегії, так і позитивні. Є наступні підходи: залякування (зловмисники, які обрали цю стратегію, примушують жертву виконати запит за допомогою шантажу або видачі себе за іншу особу), переконання, виклик довіри.

Зворотня соціотехніка. Соціотехніка — цей термін використовується для позначення шахрайських дій, спрямованих на отримання інформації, яка дає змогу проникнути до певної системи та даних, що в ній знаходяться. Соціотехніка зазвичай є грою зловмисника на довірі людини. Захист від атак, заснованих на зворотній соціотехніці, є досить важким. У жертви немає підстав підозрювати зловмисника у чомусь, оскільки при таких атаках створюється враження, що ситуація знаходиться під її контролем.

Методи протидії

Соціальна інженерія є багатогранним і складним способом отримання конфіденційної інформації від користувачів із застосуванням методів переконання і технологічних засобів. Будь-яка людина в сучасному світі є вразливою до соціальної інженерії, а отже, повинна залишатися постійно в курсі того, з ким вона взаємодіє як в режимі онлайн, так і віч-на-віч. Завдяки підвищенню розпізнавання недостовірної інформації та спроб обдурити користувачів у розголошенні секретної інформації компанія та її співробітники зможуть підтримувати безпечне середовище не тільки для себе, а й для клієнтів та власних активів.

Поняття соціальної інженерії було введено Кевіном Митником і досить часто згадується в ряді статей та доповідей з тематики безпеки мереж та інформації[3]. Статистика демонструє, що велика кількість людей ставиться до використання власної конфіденційної інформації недостатньо уважно. Для прикладу можна розглянути вибір складності паролів, обставини доступу до онлайн-рахунку в банку; також яскравим прикладом є необережність при вході в соціальні мережі. Поняття паролю і таємного (секретного) запитання здається тривіальним для більшості користувачів, хоча недооцінювати їх значення не можна[4].

13 серпня 2024 року корпорація Microsoft оголосила про закриття 90 вразливостей, які могли становити загрозу для мільйонів користувачів по всьому світу. Згідно з інформацією від The Hacker News, одна з вразливостей, а саме CVE-2024-38213 (CVSS score: 6.5) — Windows Mark of the Web Security Feature Bypass Vulnerability була пов’язана саме з соціальною інженерією. Зловмисники, експлуатуючи дану вразливість, переконували користувачів відкрити шкідливий файл, що призводив до зараження операційної системи[5][6].

Див. також

Примітки

  1. «Pretexting: Your Personal Information Revealed», Федеральна торгова комісія
  2. Краткое введение в социальную инженерию (рос.). Процитовано 23 травня 2017.
  3. Luscombe, B. 10 Questions. Time, 178(8), pp. 1-37, 2011
  4. Matthew J Duffy, Social Engineering / UWP Computer Science and Software Engineering Technical Report, Volume 12, 2011
  5. Microsoft Issues Patches for 90 Flaws, Including 10 Critical Zero-Days. // By Ravie Lakshmanan. Aug 14, 2024
  6. У Windows виявили 90 вразливостей. // Автор: Андрій Неволін. 16.08.2024

Література

Посилання