Разработка методики противодействия социальному инжинирингу на предприятиях БРО ООО "ВДПО" и ООО "Служба Мониторинга-Уфа"

Тип работы:
Дипломная
Предмет:
Программирование


Узнать стоимость

Детальная информация о работе

Выдержка из работы

Министерство образования и науки РФ

Федеральное государственное бюджетное образовательное учреждение

высшего профессионального образования

«БАШКИРСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ»

Институт управления и безопасности предпринимательства

Кафедра информационной безопасности

Специальность 90 103. 65 «Организация и технология защиты информации»

ДИПЛОМНАЯ РАБОТА

Тема: Разработка методики противодействия социальному инжинирингу на предприятиях БРО ООО «ВДПО» и ООО «Служба Мониторинга — Уфа»

Студент Балдин И. А.

Уфа 2013

Содержание

Введение

1. Теоретические и методологические основы социального инжиниринга

1.1 Цели социального инжиниринга

1.2 Техники и виды атак

1.3 Известные социальные инженеры

2. Анализ состояния изучаемой проблемы в организациях

2.1 Краткие характеристики организаций

2.2 Выявление уязвимостей и оценка рисков

2.3 Предпринятые меры

3. Разработка методики противодействия социальному инжинирингу

3.1 Теоретические аспекты создания методики противодействия

3.1.1 Создание тренировочной и образовательной программы

3.1.2 Цели, структура и содержание методики обучения персонала

3.2 Методика противодействия социальному инжинирингу

Заключение

Библиографический список

Приложение А

Приложение Б

Приложение В

Введение

Использование компьютерных систем во всех сферах современной жизни, стремительное развитие сетевых технологий, помимо преимуществ, повлекли за собой появление большого ряда специфических проблем. Одной из таких проблем является необходимость обеспечения эффективной защиты информации, которая обусловлена ростом правонарушений, связанных с кражами и неправомерным доступом к данным, хранящимся в памяти компьютерных систем и передаваемым по линиям связи.

Сегодня компьютерные преступления происходят во всем мире распространены во многих областях человеческой деятельности. Эти преступления характеризуются высокой скрытностью, сложностью сбора улик по установленным фактам их совершения и сложностью доказательства в суде подобных дел [26, с. 27].

По данным зарубежных аналитиков, каждую неделю в мире регистрируется более 55 миллионов различных компьютерных взломов. Размер ущерба, причиненного пользователям в результате хакерских нападений, продолжает увеличиваться с каждым годом. К сожалению, даже столь угрожающая статистика не мешает огромному числу компаний и пользователей персональными компьютерами (ПК) игнорировать любые правила компьютерной безопасности. По оценкам экспертов, в мире лишь 1% офисных сотрудников следует корпоративным правилам пользования персональным компьютером. Данное обстоятельство приводит к возможности осуществления некоторых информационных угроз.

Первая угроза — это физические атаки. Самой простой причиной утечки информации является возможность физического доступа к компьютеру, на котором эта информация расположена [43, с. 14]. Физическая безопасность подразумевает под собой охрану компьютерного оборудования путем ограничения физического доступа к нему. Кража или утеря компьютера или другого устройства стала причиной 57% всех случаев утечки информации во втором полугодии 2011 года и 46% - в первом полугодии [46, с. 109].

Вторая угроза — это социальные атаки. Одним из наиболее эффективных методов, компьютерными злоумышленниками для проникновения в защищенные паролем системы, является получение конфиденциальных данных от пользователей под видом службы технической поддержки, которая просит сообщить пароль.

Но чаще всего для получения доступа к сети применяется метод, который называется социальный инжиниринг — и на него же зачастую обращают меньше всего внимания. Социальный инжиниринг (от англ. social engineering) основан на управлении личностью человека для достижения своей цели.

В то время как службы безопасности ставят антивирусы, разрабатывают сложную систему допусков и паролей, злоумышленники проникают в сеть с помощью рядовых ничего не подозревающих пользователей.

На самом деле, примерно 70% взломов и проникновений в компьютерные системы не возможно без социального инжиниринга. Поэтому это направление очень важно, и люди должны уделять на его изучение не меньше времени, чем на изучение компьютерных систем.

Хотелось бы заострить внимание, что самым слабым звеном в любой структуре информационной безопасности является человек; можно создать надежную систему защиты и написать очень подробные инструкции по безопасности, однако халатное обращение сотрудников с важными сведениями, их доверчивость и беспечное поведение способны свести на нет все усилия.

Так исторически сложилось, что сегодня для общества термин «социальный инжиниринг» является синонимом набора прикладных психологических и аналитических приемов, которые, в свою очередь, злоумышленники применяют для скрытой мотивации пользователей публичной или же корпоративной сети к нарушениям устоявшихся правил и политик в области информационной безопасности.

В основе данного подхода лежит системность, которая подкреплена методологией и анализом, что позволяет сочетать технологическую инновационность, инженерную точность расчетов с использованием социально-психологического моделирования. Мастерское владение этими инструментами является залогом успешного выстраивания поведенческой модели людей, «добровольно» и «самостоятельно» действующих в нужном направлении для социальных инженеров [44, c. 73].

Социальный инжиниринг — это метод несанкционированного доступа к информации или системам хранения информации без использования технических средств [55]. Основной целью социальных инженеров является получение доступа к защищенным системам с целью кражи каких-либо данных. Основное отличие от простого взлома является то, что в роли объекта атаки выбирается не машина, а ее оператор. Именно поэтому все методы и техники социальных инженеров основываются на использовании слабостей человеческого фактора, что может считаться крайне разрушительным, т.к. злоумышленник получает информацию, к примеру, с помощью телефонного разговора или путем проникновения в организацию под видом ее сотрудника. Для защиты от атак данного вида следует знать о наиболее распространенных видах мошенничества, необходимо понимать, что на самом деле хотят социальные инженеры и своевременно организовывать подходящую политику безопасности. Вся информация в этом мире защищается людьми, и ее основными носителями являются тоже люди, которые имеют свой обычный набор комплексов, слабостей и предрассудков, с помощью которых и «играют» социальные инженеры. Тому, как это делают и как от этого защититься, и посвящена данная работа.

При анализировании причин и методов взлома программного обеспечения (ПО) или каналов утечки информации из различных структур, можно сделать очень интересный вывод о том, что примерно в 80% случаев, причина этого — человеческий фактор, или умелое манипулирование им.

Сейчас интерес к социальному инжинирингу во всем мире очень высок. Это можно заметить по очень многим признакам. К примеру, пару лет назад по запросу «социальный инжиниринг» в поисковых системах было только 2 ссылки. Теперь их сотни. Известный хакер Кевин Митник, использующий для взломов методы социального инжиниринга, сейчас выступает с лекциями для топ-менеджеров крупных IT-компаний и специалистов служб безопасности корпораций. По социальному инжинирингу стали устраивать конференции, а в ряде университетов собираются вводить курсы лекций на эту тему [24, с. 15].

Вышесказанным и обусловлена актуальность настоящей работы.

Исходя из актуальности темы, была поставлена следующая цель дипломной работы: разработать методику противодействия социальному инжинирингу на предприятиях Башкортостанское региональное отделение общероссийской общественной организации «Всероссийское Добровольное Пожарное Общество» (БРО ООО «ВДПО») и Общество с ограниченной ответственностью «Служба Мониторинга — Уфа» (ООО «СМ — Уфа»).

Задачами дипломной работы являются:

1. Определение угроз, связанных с социальным инжинирингом, и основных существующих методов, используемых социальными инженерами.

2. Описание основных способов противодействия социальному инжинирингу.

3. Разработка методики противодействия социальному инжинирингу.

Поставленные задачи определили структуру выпускной дипломной работы, которая включает в себя введение, три главы, заключение, библиографический список, приложения.

Теоретической и методологической основой исследования являются труды отечественных и зарубежных авторов в области информационных технологий, таких как Митник К. Д. (NYC.: «Wiley Books»), Кузнецов М. В., Симдянов И. В. (СПб.: «БХВ-Петербург»), в области управления персоналом: Скопылатов И. А., Ефремов О. Ю. (М.: «Издательство Смольного университета»), и в области психологии: Литвак М. Е. (Р. -н-Д.: Феникс), Варламов В. А., Варламов Г. В., Власова Н. М. (М.: «Русичи»), Оглобин С. И., Молчанов А. Ю. (издательство «Нюанс», г. Ярославль) и ряда других. В числе информационных источников работы использовались публикации в периодической печати.

1. Теоретические и методологические основы социального инжиниринга

Социальный инжиниринг — это метод несанкционированного доступа к информации или системам хранения информации без использования технических средств. Основная цель социальных инженеров — это получение доступа к защищенным системам с целью кражи информации, паролей, данных о кредитных картах и т. п. Основным отличием от простого взлома — это то, что в роли объекта атаки выбирается не машина, а человек [55]. Поэтому все методы и техники социальных инженеров основаны на использовании слабостей человеческого фактора, что считается крайне опасным, так как злоумышленник получает информацию, к примеру, с помощью обычного телефона или путем проникновения в организацию под видом сотрудника или другого лица.

Несмотря на то, что понятие «социальный инжиниринг» появилось относительно недавно, люди в той или иной мере пользовались этими техниками испокон веков, так как в основе лежит психология общения между людьми. Социальный инжиниринг появился в мире с первым образовавшимся обществом, так как само слово «социальность» — это общественность, или же гражданственность. Суть социального инжиниринга — это заставить человека совершить какое-либо действие, которое не выгодно ему, но необходимо социальному инженеру.

Социальный инжиниринг — это вполне состоявшееся направление в хакинге, и взломы компьютерных систем можно осуществлять не только техническими методами, но и на уровне психологии.

Социальный инжиниринг образовался как отдельная часть из прикладной психологии. Ему обучают шпионов, тайных агентов. Все техники социального инжиниринга основаны на особенностях принятия решений людьми, называемых когнитивным базисом [32, с. 53].

Тонкая манипуляция сознанием применялась во все времена: даже в древности. «Ночные демоны» в Японии, или ниндзя, весьма активно практиковали эти способности человеческого разума наряду с гипнозом. В Древней Греции и Риме в большом почете были люди, которые могли различными способами убедить собеседника в его очевидной неправоте. Выступая от имени верхов, они вели дипломатические переговоры. Умело используя ложь, лесть и выгодные аргументы, они нередко решали такие проблемы, которые, казалось, невозможно было решить без помощи меча. В среде шпионов социальный инжиниринг всегда был главным оружием. Выдавая себя за другое лицо, агенты КГБ и ЦРУ могли выведать секретные государственные тайны.

Заговаривать людям зубы по телефону, чтобы получить необходимую информацию или просто заставить их что-то сделать, приравнивалось к искусству. Профессионалы в этой области по наводящим вопросам, по интонации голоса, могли определить комплексы и страхи человека и, мгновенно сориентировавшись, использовать их [55].

Социальный инжиниринг основан на изначальном стремлении людей оказать помощь другим. Социальный инжиниринг — наименее техническое, но и наиболее эффективное средство в арсенале злоумышленников.

Социальный инжиниринг, как незаконный метод получения информации, обычно использует обман, влияние и убеждение, но его можно также использовать и в законных целях, к примеру, для совершения действий конкретным человеком. Чаще всего социальный инжиниринг используют для получения закрытой информации, или информации, которая представляет большую ценность.

Основные области применения социального инжиниринга [24, с. 28] показаны на рисунке 1.

К счастью, подавляющее большинство социальных инженеров действует по одинаковым или близким шаблонам, поэтому изучение приемов их «работы» позволяет распознать обман [21, с. 13] и не выдать закрытую информацию.

Рисунок 1 Основные области применения социального инжиниринга

Организации приобретают лучшие технологии по безопасности, тренируют и обучают сотрудников, нанимают охранников, но они все еще остается полностью уязвимыми.

Чем больше технологических уровней организация нагромождает, тем больше разнообразие этих уровней, и, следовательно, тем сильнее должна быть защита сетей в организации. Однако организациям не всегда удается избежать неудач, потому, что они упускают из вида внутренние проблемы. Даже очень надежно защищенную сеть может обойти очень простой и вместе с тем многогранный элемент — человеческий фактор [20, с. 79].

Успешные злоумышленники чаще всего используют социальный инжиниринг и проводят атаку манипулируя пользователями. По этой причине, для предприятий очень важно вкладывать время и деньги в подготовку, обучение и тестирование этого жизненно важного компонента безопасности.

Объяснение сущности социального инжиниринга и, в частности, таких его разновидностей, как гипноз и нейролингвистическое программирование (НЛП), является взаимодействие между сознанием и подсознанием. Люди верят в то, что принимают решения осознанно, но НЛП и гипноз уже давно продемонстрировали силу подсознания, а исследования последних лет подтвердили, что подсознательное принятие решений опережает сознательное порой на 10 секунд [15, с. 119].

На этом основаны технологии, позволяющие манипулировать людьми, чтобы заставить их выполнить определенные действия и тем самым раскрыть конфиденциальную информацию.

Многие профессионалы информационных технологий придерживаются неправильного представления, считая, что они используют стандартные продукты по безопасности: файерволы, системы для обнаружения вторжений или серьезные устройства для аутентификации, такие как биометрические смарт-карты. Кроме того, безопасность — это не технологическая проблема, это проблема людей и управления [23, с. 95].

Кроме технических методов защиты информации, необходима серьезная работа с персоналом, обучение сотрудников применению политики безопасности и техники противостояния социальным инженерам — только в этом случае система обеспечения информационной безопасности будет комплексной.

1.1 Цели социального инжиниринга

Атака социального инженера разделяется на три стадии подготовки:

1. Определение точной цели (происходит конкретное определение, за какого рода информацией идет охота и где она находится, причем, в связи со знанием точного местоположения информации на диске или на другом носителе, «операция» проводится очень быстро, и в итоге, никто не определяет такой доступ как НСД).

2. Сбор информации об объекте обработки (производится изучение жертвы — это позволяет понять характер человека, его уязвимые места, привычки и т. д., источником же информации об объекте может служить практически все: анализ трафика, почты, даже кассовых чеков).

3. Разработка плана действий, моральная подготовка/тренировка (происходит проработка сценария, каждое слово сопоставляется с психологической моделью изученной жертвы) [27, с. 46].

Общая схема работы социальных инженеров представлена [24, с. 22] на рисунке 2

Рисунок 2 Общая схема методов работы социальных инженеров

Социальный инжиниринг, в совокупности с техническими знаниями систем информационной безопасности, используют для достижения следующих целей:

1. Сбор информации о потенциальной жертве.

2. Получение конфиденциальной информации (для достижения данной цели при продолжительном общении с жертвой, социальный инженер входит в доверие и под удобными предлогами получает необходимую информацию).

3. Получение информации, необходимой для несанкционированного доступа (НСД) [35, с. 99].

4. Вынуждение объекта совершить необходимые социальному инженеру действия (т.е. совершение таких действий, которые вынуждают жертву сделать то, что повлечет за собой потенциальную возможность НСД).

Атаки социальных инженеров представлены [24, с. 13] в виде рисунка 3.

Рисунок 3 Основная схема воздействия в социальном инжиниринге

Эта схема называется «схема Шейнова». В общем виде она приведена в книге белорусского психолога и социолога В. П. Шейнова, который долгое время занимался психологией мошенничества [42, с. 89].

Сначала всегда формулируется цель воздействия на тот или иной объект (под «объектом» понимается жертва, на которую нацелена атака социального инженера). Далее собирается информация об объекте, с целью обнаружения наиболее удобных мишеней воздействия, после чего наступает этап, называемый аттракцией. Аттракция (от лат. Attrahere — привлекать, притягивать) — это создание нужных условий для воздействия социальным инженером на объект. Принуждение к нужному для социального инженера действию чаще всего достигается выполнением предыдущих этапов, т. е. после того, как достигается аттракция, жертва сама делает нужные социальному инженеру действия (например: подкуп сотрудника. Мишенью является потребность сотрудника в деньгах. О нужде в деньгах узнается на этапе сбора информации. Аттракцией является создание условий, при которых сотрудник будет очень нуждаться в деньгах).

Для того чтобы обойти средства безопасности, социальный инженер находит способ обмана сотрудника, для раскрытия информации или получения доступа к информации.

В большинстве случаев, успешные социальные инженеры обладают сильными человеческими качествами. Они очаровательны, вежливы и просты.

Большая часть корпоративной информации может казаться общедоступной или не секретной, но она может быть очень ценна для социального инженера, потому что может сыграть существенную роль для большей правдоподобности.

Иногда только одно знание внутренней терминологии может заставить социального инженера казаться авторитетным и хорошо осведомлённым.

Многие атаки социальной инженерии являются сложными, включая в себя тщательно планируемый ряд шагов, сочетая манипуляцию и технологические знания [31, с. 14].

Чтобы осуществить атаку, социальный инженер полагается на межличностное взаимодействие (социальные навыки), посредством которого компрометирует сведения об организации или ее компьютерных системах. Если социальный инженер не может собрать достаточно сведений из одного источника, то он обращается к другому источнику в той же организации и, используя информацию, полученную от первого, повышает свою убедительность.

Одна из основных техник социального инжиниринга включает в себя создание чувства доверия со стороны жертвы. Чем естественней социальный инженер общается с жертвой, тем больше он ослабляет подозрение.

Из-за высокого темпа жизни, человеку не хватает времени, чтобы задуматься над принятием какого-то решения, даже очень важного. Запутанные ситуации, нехватка времени, эмоциональное напряжение — вот одни из предпосылок. Таким образом, решение принимается в спешке, полученная информация не анализируется, такой процесс называется автоматическим ответом.

Большинство сотрудников организаций даже не подозревают о наличии угроз, связанных с социальным инжинирингом. Они имеют доступ к информации, не разбираясь в деталях работы, и не осознавая важности обрабатываемой информации. Социальный инженер, чаще всего, выбирает своей целью сотрудника с низким уровнем владения компьютером [18, с. 13].

Социальные инженеры используют человеческие чувства. Одно из таких чувств — это вызов сочувствия у собеседника. При рассказе о причинах, вызывающих сочувствие у собеседника, он смягчает свою просьбу.

Так же, социальные инженеры используют профессиональный жаргон, в связи с тем, что сотрудники доверяют тем, кто знает профессиональный жаргон, некую внутреннюю форму общения их организации, которая скрыта от посторонних глаз.

Социальный инжиниринг делится на два вида:

1. Краткосрочный.

2. Долговременный.

Краткосрочный производится за короткий срок времени. Его плюс в том, что он не требует лишних временных ресурсов, а минус заключается в том, что социальный инженер не может заставить совершить человека какие-то значимые действия [25, с. 23].

Долговременный означает, что необходимо потратить много времени на то, чтобы подчинить себе человека. Минус — продолжительность подготовки, плюс в том, что можно заставить человека совершить более значимые действия.

Основными причинами реализации угроз социального инжиниринга являются:

1. Страх — это самый часто используемый и самый опасный психокомплекс человека, существуют десятки разновидностей страха, начиная от боязни потерять работу и боязни понижения в должности и заканчивая боязнью потери престижа и боязни сделать что-то не так [30, с. 368].

2. Любопытство.

3. Жадность.

4. Превосходство.

5. Великодушие и жалость — эти два похожих психокомплекса ориентированы на то, что почти каждому человеку свойственны жалость и великодушие.

6. Доверчивость — людям свойственно надеяться на лучшее и верить, что именно их никто не обманет, именно этот психокомплекс использовался при организации пирамид «МММ», «Русский Дом Селенга» и т. д. [14, с. 15].

Как же остановить социальный инжиниринг? «Цена вопроса — 64 миллиона долларов, — говорит Стюарт Макклюр, президент и технический директор „Foundstone“. — Единственным успешным методом противодействия является обучение» [50].

Рич Могулл, директор по исследованиям «Gartner» в сфере информационной безопасности и рисков, говорит, что «социальный инжиниринг — более серьезная проблема, чем хакерство. Люди по своей природе непредсказуемы и подвержены манипуляции и убеждению. Исследования показывают, что у человека существуют определенные поведенческие тенденции, которые можно эксплуатировать при помощи тонкой манипуляции. Многие наиболее разрушительные проникновения в защищенные системы совершаются, и будут совершаться методами социального инжиниринга, а не электронного взлома или хакерства [50].

По словам Могулла, наиболее опасна кража идентификационных данных, так как большинство преступников «заново изобретают старые аферы» с применением новой технологии. Мошенники используют социальный инжиниринг для кражи идентификационных данных либо из корыстных побуждений, либо для последующего сбора информации об организации. Это не только вмешательство в бизнес, но и нарушение тайны личной жизни. Так же мы убеждены, что в ближайшее десятилетие главную угрозу для безопасности будет представлять социальный инжиниринг [50].

Социальный инжиниринг так же успешно применяется для достижения таких целей, как:

1. Извлечение прибыли.

2. Способ ведения статистики.

3. В целях повышения уровня доверия посетителя.

4. Формирование цен.

5. Борьба с конкурентами (например: борьба за клиента в такси. Количество ложных вызовов за ночь может превышать количество перевезенных клиентов в несколько раз, а это затраты времени, топлива, и потерянные клиенты, которых забрали другие. Цель этого — получение денег обманным путем).

1.2 Техники и виды атак

Естественно, при проведении атаки с использованием социального инжиниринга так же, как и в обычных атаках, присутствует классификация степени доступа при успешно проведенной атаке. Эта степень зависит от уровня подготовленности социального инженера и того, кем является жертва.

Всего уровней четыре, ниже они перечислены в порядке убывания полномочий:

1. Администратор.

2. Начальник.

3. Пользователь.

4. Знакомый.

В таблице 1 показана вероятность получения доступа разных уровней и средства применения (1 — низкая; 2 — средняя; 3 — высокая) [21, с. 14].

Таблица 1 Вероятность получения доступа разных уровней

Класс атаки / подготовленность злоумышленника

Новичок

Любитель

Профессионал

Средства применения

Телефон

3

3

3

Электронная почта

2

3

3

Обыкновенная почта

1

3

3

Разговор по Internet

3

3

3

Личная встреча

1

2

3

Уровень общения (отношения)

Официальный

2

3

3

Товарищеский

3

3

3

Дружеский

1

2

3

Степень доступа

Администратор

1

2

3

Начальник

1

2

3

Пользователь

3

3

3

Знакомый

2

3

3

Теперь рассмотрим распространенные техники и виды атак, которыми пользуются социальные инженеры. Все они основаны на особенностях принятия людьми решений, известных как когнитивные предубеждения. Эти предрассудки используются в различных комбинациях, с целью создания наиболее подходящей стратегии обмана в каждом конкретном случае. Но общей чертой всех этих методов является введение в заблуждение, целью которых является заставить человека совершить какое-либо действие, необходимое социальному инженеру. Для достижения поставленного результата используется целый ряд всевозможных тактик:

· выдача себя за другое лицо;

· отвлечение внимания;

· нагнетание психологического напряжения и т. д.

Конечные цели обмана так же могут быть весьма разнообразными [55].

Техники социального инжиниринга:

1. Претекстинг — это набор действий, осуществляемый по определенному сценарию (претексту). Данная техника предполагает использование голосовых средств, таких как телефон, «Skype» и т. п. для получения нужной информации. Как правило, представляясь третьим лицом или притворяясь, что кто-то нуждается в помощи, социальный инженер просит жертву сообщить ему пароль или авторизоваться на фишинговой веб-странице, тем самым заставляя цель совершить необходимое действие или предоставить определенную информацию. В большинстве случаев данная техника требует каких-либо изначальных данных об объекте атаки. Самая распространенная стратегия при данной технике — использование в начале небольших запросов и упоминание имен реальных людей из организации, в дальнейшем, социальный инженер объясняет, что нуждаются в помощи (большинство людей могут выполнить задачи, которые не воспринимаются ими как подозрительные). Как только доверительная связь установлена, социальный инженер может попросить что-то более существенное и важное.

2. Фишинг (от англ. phishing, от fishing -- рыбная ловля, выуживание) — это вид интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей. Достигается путём проведения массовых рассылок электронных писем от имени популярных брендов, а также личных сообщений внутри различных сервисов (например: от имени банков (Ситибанк, Альфа-банк), сервисов (Rambler, Mail. ru) или внутри социальных сетей (Facebook, Вконтакте, Одноклассники. ru) [33, с. 95]. В письме содержится прямая ссылка на сайт, который внешне неотличим от настоящего, либо на сайт, содержащий редирект (автоматическое перенаправление пользователей с одного сайта на другой). После попадания на поддельную страницу, происходят попытки различными психологическими приёмами побудить пользователя ввести свои логин и пароль, которые он использует для доступа к определённому сайту, что позволяет мошенникам получить доступ к аккаунтам, банковским счетам и т. п. Техника фишинга первый раз была подробно описана в 1987 году, а сам термин появился 2 января 1996 года в новостной группе «alt. online-service. America-Online» сети «Usenet» [55]. Пожалуй, это самая популярная схема социального инжиниринга на сегодняшний день. Ни одна крупная утечка персональных данных не обходится без волны фишинговых рассылок. Чаще всего целью фишеров являются клиенты банков и электронных платёжных систем. Социальные сети также представляют большой интерес для фишеров, позволяя собирать личные данные пользователей. В данный момент множество ссылок на фишинговые сайты, нацелены на кражу регистрационных данных. По оценкам специалистов, более 70% фишинговых атак в социальных сетях успешны. Фишинг стремительно набирает свои обороты, а оценки ущерба сильно разнятся: по данным компании «Gartner», «в 2008 году жертвы фишеров потеряли 2,4 миллиарда долларов США, в 2009 году — ущерб составил 2,8 миллиарда долларов, в 2010 — 3,2 миллиарда [55].

3. Вишинг — данная техника основана на использовании системы предварительно записанных голосовых сообщений, целью которых является воссоздание «официальных звонков» от банковских и других IVR (англ. Interactive Voice Response) систем [40, с. 175]. Обычно, жертва получает запрос (чаще всего через фишинг электронной почты) о необходимости связи с банком для подтверждения или обновления какой-либо информации. Система требует аутентификации пользователя с помощью ввода PIN-кода или пароля. Основное отличие фишинга в том, что, так или иначе, задействуется телефон. Принцип действия IVR систем показан на рисунке 4.

Рисунок 4 Принцип действия IVR систем

Согласно информации от «Secure Computing» [49], мошенники конфигурируют автонабиратель, который набирает номера в определенном регионе и при ответе на звонок происходит следующее:

· автоответчик предупреждает потребителя, что с банковской картой производятся мошеннические действия, и дает инструкции — перезвонить по определенному номеру немедленно;

· при последующем перезванивании, на другом конце провода отвечает компьютерный голос, который сообщает, что человек должен пройти сверку данных и ввести 16-значный номер карты с клавиатуры телефона;

· после введения номера, вишер становится обладателем всей необходимой информации (номер телефона, полное имя, адрес);

· затем, используя этот звонок, можно собрать и дополнительную информацию, такую, как PIN-код, срок действия карты, дата рождения, номер банковского счета и тому подобное.

4. Фарминг (англ. Pharming) — перенаправление жертвы по ложному интеренет-адресу. Для этого используется некая навигационная структура (файл «hosts», система доменных имен — «domain name system») [16, c. 69]. Суть работы фарминга имеет много общего со стандартным вирусным заражением. Жертва открывает письмо или посещает какой-либо веб-сервер, на котором выполняется скрипт-вирус, при этом происходит искажение файла «hosts», в результате жертва попадает на один из ложных сайтов. Механизмов защиты от фарминга на сегодня просто не существует.

5. Услуга за услугу — этот вид атаки подразумевает под собой звонок социального инженера в организацию по корпоративному (внутреннему) телефону. В большинстве случаев социальный инженер представляется сотрудником технической поддержки, который производит опрос на возникновение технических проблем. Во время процесса «решения» технических проблем, социальный инженер «заставляет» цель вводить команды, которые позволяют ему запустить или установить вредоносное ПО на компьютер пользователя [13, с. 433].

6. Троянский конь (или троянская программа) — это вредоносная программа, которая используется социальным инженером для сбора и использования информационных ресурсов в своих целях [39, с. 473]. Данная техника использует любопытство, либо другие эмоции человека.

Разработчики троянских программ используют те же приемы, что и маркетологи. Для достижения своей цели вирусописатели используют человеческие слабости:

· недостаточная подготовка;

· желание выделиться;

· жалость и милосердие;

· желание просмотра «интересного» контента;

· интерес к продукту, который нужен населению или который очень сложно достать;

· интерес к методикам быстрого обогащения с помощью финансовых пирамид, супер-идеям для успешного ведения бизнеса или беспроигрышной игры в казино.

Открывая прикрепленный к письму файл, сотрудник устанавливает на компьютер вредоносное ПО, которое позволяет социальному инженеру получить доступ к конфиденциальной информации.

Распространение троянских программ происходит путем размещения их на открытых ресурсах (файл-серверы, открытые для записи накопители самого компьютера), носителях информации или присылаются с помощью служб обмена сообщениями (например: электронная почта, ICQ) из расчета на их запуск на каком-то конкретном или случайном компьютере [17, с. 174].

Редко использование «троянов» является лишь частью спланированной многоступенчатой атаки на определенные компьютеры, сети или ресурсы.

Троянские программы чаще всего разрабатываются для вредоносных целей. Существует классификация, где они разбиваются на категории, основанные на том, как «трояны» внедряются в систему и наносят ей вред. Существует 5 основных типов:

· удалённый доступ;

· уничтожение данных;

· загрузчик;

· сервер;

· дезактиватор программ безопасности.

Целью троянской программы может являться:

· закачивание или скачивание файлов;

· копирование ложных ссылок, ведущих на поддельные веб-сайты, чаты или другие сайты с регистрацией;

· создание помех работе пользователя;

· похищение данных, представляющих ценность или тайну, в том числе информации для аутентификации, для НСД к ресурсам;

· распространение других вредоносных программ, таких как вирусы;

· уничтожение данных (стирание или переписывание данных на диске, трудно замечаемые повреждения файлов) и оборудования, выведения из строя или отказа обслуживания компьютерных систем, сетей;

· сбор адресов электронной почты и использование их для рассылки спама;

· шпионство за пользователем и тайное сообщение третьим лицам каких-либо сведений;

· регистрация нажатий клавиш с целью кражи информации такого рода как пароли и номера кредитных карточек;

· дезактивация или создание помех работе антивирусных программ и файервола [45, с. 37].

7. Сбор информации из открытых источников. Применение техник социального инжиниринга требует не только знания психологии, но и умения собирать о человеке необходимую информацию. Относительно новым способом получения такой информации стал ее сбор из открытых источников, главным образом из социальных сетей [34, с. 210]. К примеру, такие сайты, как «livejournal», «Одноклассники», «Вконтакте» содержат огромное количество данных, которые люди не скрывают (пример: «в ходе следствия о похищении сына Евгения Касперского, было установлено, что преступники узнали расписание дня и маршруты следования подростка из его записей на странице в социальной сети»).

8. «Дорожное яблоко» — представляет собой адаптацию троянского коня, и состоит в использовании физических носителей. Социальный инженер подбрасывает «инфицированный» диск, или флэш-карту в место, где носитель может быть легко найден (туалет, лифт, парковка). Носитель подделывается под официальный, и сопровождается подписью, призванной вызвать любопытство [22, с. 80] (например, социальный инженер может подбросить диск, снабженный корпоративным логотипом и ссылкой на официальный сайт организации, снабдив его надписью «Заработная плата руководящего состава». Диск оставляется на полу лифта, или в вестибюле. Сотрудник по незнанию подбирает диск и вставляет его в компьютер, чтобы удовлетворить любопытство).

9. Обратный социальный инжиниринг. О нем упоминают в том случае, когда жертва сама предлагает злоумышленнику нужную ему информацию (например: сотрудники службы поддержки, для решения проблемы, никогда не спрашивают у сотрудников идентификатор или пароль. Однако многие пользователи ради скорейшего устранения проблем добровольно сообщают эти конфиденциальные сведения).

Обратный социальный инжиниринг строится на трех факторах:

· создание ситуации, которая вынуждает человека обратиться за помощью;

· реклама своих услуг или опережение оказания помощи другими людьми;

· оказание помощи и воздействие.

10. Человеческий отказ в обслуживании — суть атаки заключается в том, чтобы заставить человека (незаметно для него) не реагировать на какие-либо ситуации. Т. е., делается так, чтобы каждое слово социального инженера воспринимается как правда безоговорочно и без осмысливания. К такого рода атакам относится и отвлечение внимания. Социальный инженер осуществляет ложное представление о выполнении одной операции, а на самом деле выполняет совсем другую. Таким образом, пока жертва занята одним, другого она не замечает. Атаки такого рода выполняются довольно сложно, т.к. необходимо хорошо просчитать психологию жертвы, ее знания и реакции на такие действия [27, с. 50].

11. Технический социальный инжиниринг. К этому виду атак относятся все те атаки, в которых нет ни «жертвы» ни «воздействия на нее». В атаках этого типа используются принципы и стереотипы социума, что и относит их к социальному инжинирингу. В качестве примера можно привести следующие рассуждения: «Раз стоят камеры, то, скорее всего, никто не полезет» или «Чем больше организация, тем тверже у людей мнение о ее защищенности». Такой способ более широко известен как анализ ситуации. Человек видит, что пройти обычным путем (стандартным) не получится, и начинает просматривать иные варианты, то есть занимается анализированием ситуации [27, с. 51].

12. Личный визуальный контакт — является наисложнейшей техникой. Осуществить эту технику могут только профессиональные психологи или специально подготовленные люди. Техника осуществляется следующим образом: к жертве находится подход, находится слабое место, вычисляется это с помощью анализа ответов на вопросы. Главное для социального инженера в таком случае — разговаривать с жертвой «в рамках слабого места», что впоследствии приведет к тому, что он очень понравится жертве как человек, и та выложит все, что необходимо, считая, что ничего особо важного не рассказывает.

13. Системы обмена мгновенными сообщениями (IM). В настоящее время в интернет существует множество программ, которые могут тем или иным способом влиять на работу ICQ [29, с 18]. В список их возможностей входит отсылка сообщения от имени другого пользователя. Также злоумышленник может проводить атаку в виде специально сформированного текста, но основным путем распространения вирусов через ICQ является передача файлов, поэтому необходимо быть очень осторожным с предложениями загрузить файл от постороннего человека, т.к. операционная система не всегда способна правильно выдать информацию о запускаемом файле. Microsoft Windows по умолчанию не показывает расширения имен (например: имя файла «foto. jpg. ехе» будет показано как «foto. jpg»). Для маскировки реального расширения применяется двойное расширение вроде «xxx. jpg. exe» (в данном случае может помочь то, что некоторые почтовые серверы отказываются пропускать исполняемые файлы) или добавляется большое количество пробелов, из-за чего имя файла отображается не полностью.

Пользователи расценивают данную службу как телефон и не связывают ее с потенциальными угрозами ПО. Болтливая природа IM, вместе с опцией предоставления прозвища весьма расширяет возможности для атаки [47]. На рисунке 5 показано, как работает имитация при использовании электронной почты и IM.

Рисунок 5 Имитация при использовании IM и e-mail

Социальный инженер (на рисунке выделен красным цветом) исполняет роль известного пользователя и посылает электронную почту или IM-сообщение, рассчитывая на то, что получатели примут их за сообщения от того, кого они знают.

14. Анализ мусора — это ценная деятельность для социальных инженеров. Деловые бумажные отходы неоценимы [19, с. 85], т.к. во время атаки, это может помочь казаться сотрудником организации.

15. Личностные подходы. Самый простой путь получения информации — это попросить об этом непосредственно. Существует четыре разновидности такого подхода [48]:

· запугивание (этот подход может использовать олицетворение полномочий, чтобы принудить жертву исполнить запрос);

· убеждение (самые обычные формы убеждения включают лесть);

· использование доверительных отношений (этот подход требует более долгого срока, в течение которого подчиненный или коллега формируют отношения, чтобы получить доверие и информацию от жертвы);

· помощь (в этом подходе предлагается помощь жертве. Помощь будет требовать, чтобы жертва обнародовала личную информацию).

1.3 Известные социальные инженеры

Одним из самых знаменитых социальных инженеров в истории является Кевин Митник. Будучи всемирно известным компьютерным хакером и консультантом по безопасности, Митник является автором книг по компьютерной безопасности, посвященным, в основном, социальному инжинирингу и методам психологического воздействия на человека.

Братья Бадир. Несмотря на то, что братья Мушид и Шади Бадир были слепыми от рождения, они сумели реализовать несколько крупных схем мошенничества в Израиле в 1990-х годах, использовав социальный инжиниринг и подделку голоса. В телеинтервью они сказали: «Полностью от сетевых атак застрахован лишь тот, кто не пользуется телефоном, электричеством и ноутбуком» [55].

Менее известными социальными инженерами являются Фрэнк Абигнейл, Дэвид Бэннон, Питер Фостер и Стивен Джей Рассел.

2. Анализ состояния изучаемой проблемы в организациях

2.1 Краткие характеристики организаций

Исследование данной проблемы рассматривалось на примерах двух конкретных организаций:

1. Общество с ограниченной ответственностью «Служба Мониторинга — Уфа».

2. Башкортостанское региональное отделение Общероссийской общественной организации «Всероссийское добровольное пожарное общество».

Общество с ограниченной ответственностью «Служба Мониторинга — Уфа» (ООО «СМ — Уфа») учреждено решением общего собрания учредителей 25 мая 2011 года, зарегистрировано Федеральной налоговой службой 7 июля 2011 года, действует на основании Устава ООО «Служба Мониторинга — Уфа», действует в соответствии с Гражданским кодексом Российской Федерации, Федеральным законом Российской Федерации от 8 февраля 1998 г. № 14-ФЗ «Об обществах с ограниченной ответственностью» и иным действующим законодательством Российской Федерации.

Основные задачи организации — это построение и обслуживание системы передачи информации о пожарах для единой дежурно-диспетчерской службы (ЕДДС) МЧС РФ по РБ, реализация государственных и общественных программ защиты населения и имущества от пожаров [54]. Основой работы организации являются передовые технологии в области радиоэлектронных технологий.

Организация осуществляет следующие виды деятельности:

· производство электромонтажных работ;

· производство радио- и телевизионной передающей аппаратуры;

· производство частей теле- и радиопередающей аппаратуры, телефонной или телеграфной электроаппаратуры;

· производство санитарно-технических работ;

· монтаж прочего инженерного оборудования;

· оптовая торговля прочими машинами, приборами, оборудованием общепромышленного и специального назначения;

· разработка программного обеспечения и консультирование в этой области;

· деятельность в области права;

· консультирование по вопросам коммерческой деятельности и управления;

· предоставление услуг по установке, ремонту и техническому обслуживанию теле- и радиопередатчиков;

· предоставление услуг по монтажу, ремонту и техническому обслуживанию прочего электрооборудования, не включенного в другие группировки;

· оптовая торговля производственным электрическим и электронным оборудованием, включая оборудование электросвязи;

· осуществление научно-технических, научно-исследовательских, технологических, конструкторских, опытно-конструкторских, информационных исследований и разработок, а так же тиражирование и разработка программного обеспечения и наукоемкой продукции с последующим внедрением в производство;

· мониторинг охраняемых объектов по телерадиоканалам;

· удаленный контроль состояния и местоположения объектов;

· проектирование, монтаж и эксплуатационное обслуживание средств охранно-пожарной сигнализации;

· проектирование, монтаж и обслуживание установок пожаротушения, систем противопожарного водоснабжения и дымоудаления;

· монтаж, ремонт и обслуживание систем оповещения и эвакуации при пожаре;

· проектирование систем и средств обеспечения пожарной безопасности зданий и сооружений;

· тушение и разработка мероприятий по предотвращению пожаров;

· иные виды деятельности в соответствии с действующим законодательством Российской Федерации [10, с. 2−3].

Основной деятельностью организации является установка и обслуживание программно-аппаратного комплекса «Стрелец-Мониторинг» (ПАК «Стрелец-Мониторинг), осуществляющего вывод сигнала по радиоканалу, на специально выделенной для этого частоте МЧС, о пожаре в автоматическом режиме (без участия человека) в единую дежурно-диспетчерскую службу (ЕДДС), оповещение хозоргана и пожарные службы, на следующих объектах:

1. Детские дошкольные образовательные учреждения.

2. Специализированные дома престарелых и инвалидов (неквартирные).

3. Больницы.

4. Спальные корпуса образовательных учреждений интернатного типа и детских учреждений.

5. Гостиницы.

6. Общежития.

7. Спальные корпуса санаториев.

8. Спальные корпуса домов отдыха общего типа.

9. Кемпинги.

10. Мотели.

11. Пансионаты.

12. Общеобразовательные учреждения.

13. Образовательные учреждения дополнительного образования детей.

14. Образовательные учреждения начального профессионального образования.

15. Образовательные учреждения среднего профессионального образования.

16. Образовательные учреждения высшего профессионального образования.

17. Образовательные учреждения дополнительного профессионального образования (повышения квалификации) специалистов [6].

18. Коммерческие организации.

Данное оборудование производит ЗАО «Аргус-Спектр» (г. Санкт-Петербург), оно было принято на вооружение МЧС России «Приказом от 28. 12. 2009 № 743 «О принятии на снабжение в системе МЧС России программно-аппаратного комплекса системы мониторинга, обработки и передачи данных о параметрах возгорания, угрозах и рисках развития крупных пожаров в сложных зданиях и сооружениях с массовым пребыванием людей, в том числе в высотных зданиях» [5].

После монтажа данного программно-аппаратного комплекса, организация занимается мониторингом всех сигналов, приходящих с объектов, а так же техническим обслуживанием оборудования.

Башкортостанское региональное отделение Общероссийской общественной организации «Всероссийское добровольное пожарное общество» (БРО ООО «ВДПО») зарегистрировано Федеральной регистрационной службой 19 декабря 2007 года, действует на основании устава Общероссийской общественной организации «Всероссийское добровольное пожарное общество».

Основные задачи — содействие разработке и реализации государственной политики, целевых и иных программ и проектов, совершенствованию законодательства и нормативно-правовой базы в сфере пожарной безопасности и защиты от чрезвычайных ситуаций.

Организация имеет право заниматься следующими видами деятельности:

· монтаж, ремонт и обслуживание установок пожаротушения;

· монтаж, ремонт и обслуживание установок пожарной и охранно-пожарной сигнализации;

· монтаж, ремонт и обслуживание систем противопожарного водоснабжения;

· монтаж, ремонт и обслуживание систем дымоудаления;

· монтаж, ремонт и обслуживание систем оповещения и эвакуации при пожаре;

· монтаж, ремонт и обслуживание противопожарных занавесов и завес;

· монтаж, ремонт и обслуживание заполнений проемов в противопожарных преградах;

· производство работ по огнезащите материалов, изделий и конструкций;

· монтаж, ремонт и обслуживание первичных средств пожаротушения;

· осуществление трубо-печных работ [9, с. 2−3].

На основании лицензии Управления по контролю и надзору в сфере образования при Министерстве образования Республики Башкортостан от 26 мая 2010 года, БРО ООО «ВДПО» имеет право осуществления образовательной деятельности по следующим образовательным программам: обучение мерам пожарной безопасности (пожарно-технический минимум; противопожарный инструктаж).

Организации, помимо Уфы, имеют филиалы и организации подрядчиков в следующих населенных пунктах Республики Башкортостан:

1. Агидель.

2. Акъяр.

3. Баймак.

4. Белебей.

5. Белорецк.

6. Бижбуляк.

7. Бирск.

8. Благовещенск.

9. Бураево.

10. Дюртюли.

11. Исянгулово.

12. Ишимбай.

13. Красноусольск.

14. Кумертау.

15. Месягутово.

16. Мишкино.

17. Нефтекамск.

18. Новобелокатай.

19. Раевский.

20. Салават.

21. Сибай.

22. Стерлибашево.

23. Стерлитамак.

24. Туймазы.

25. Учалы.

26. Федоровка.

27. Чишмы.

28. Янаул.

Суммарный штат сотрудников составляет — 221 человек.

Организации работают в сотрудничестве с таким органами, как:

1. МЧС РФ по РБ.

2. ЗАО «Аргус-Спектр» (г. Санкт-Петербург".

3. Министерство жилищно-коммунального хозяйства по РБ.

4. Министерство здравоохранения по РБ.

5. Министерство образования по РБ.

6. Централизованная бухгалтерия муниципальных учреждений по РБ.

7. Централизованная бухгалтерия здравоохранения по РБ.

8. ООО «РОССПАС».

2.2 Выявление уязвимостей и оценка рисков

Для того чтобы произвести выявление уязвимостей в организациях, необходимо понять, какая информация обрабатывается. А информация обрабатывается следующего типа:

1. Персональные данные собственников и руководящего состава социально-значимых и других объектов.

2. Банковские реквизиты объектов.

3. Описания объектов, с полным перечислением технических характеристик строений и уязвимых мест.

4. Схемы и документация охранно-пожарных сигнализаций.

5. Схемы подъездных территорий, расположений пожарных гидрантов, поэтажные планы строений.

Каждый вид информации может служить социальным инженерам для извлечения какой-либо выгоды, или для использования в определенных целях (например: терроризм).

В связи с тем, что обрабатывается большой массив информации о социально-значимых, медицинских, образовательных и коммерческих объектах, то к подобной базе данных имеет доступ большое количество сотрудников, которые потенциально могут быть подвержены социальным атакам, что может привести к разглашению конфиденциальной информации, в том числе: персональных данных, коммерческой тайны и другой служебной информации.

Осознав всю широту спектра существующих угроз, необходимо было выполнить три действия для создания системы защиты сотрудников от угроз, связанных с использованием социального инжиниринга. Необходимо помнить, что эффективность защиты во многом определяется во время ее планирования. Чтобы не допустить угроз, было выполнено три следующих действия:

1. Разработаны стратегии управления обеспечением безопасности. Были определены задачи защиты от угроз, связанных с социальным инжинирингом и назначены сотрудники, отвечающие за их выполнение.

2. Оценка риска. Была проанализирована каждая угроза и определена, насколько она опасна для организации.

3. Интеграция принципов защиты от атак социальных инженеров в политики безопасности. Были разработаны и задокументированы политики и процедуры, которые регламентируют действия сотрудников в ситуациях, которые могут оказаться атаками социальных инженеров.

Стратегия управления обеспечением безопасности дает общее представление об угрозах социального инжиниринга, которым подвергается организация, и определены сотрудники, отвечающие за разработку политик и процедур, блокирующих эти угрозы:

1. Куратор по безопасности — руководитель высшего звена (уровня совета директоров), который следит за тем, чтобы все сотрудники относились к обеспечению безопасности серьезно, и обладает необходимым для этого авторитетом.

ПоказатьСвернуть
Заполнить форму текущей работой