Соціальна інженерія (безпека): відмінності між версіями

Матеріал з Вікіпедії — вільної енциклопедії.
Перейти до навігації Перейти до пошуку
Інтерактивний перегляд історії
(Переглянути усі неперевірені зміни)
[перевірена версія][перевірена версія]
← Попереднє редагуванняНаступне редагування →
Вилучено вміст Додано вміст
ВізуальнийВікірозмітка
Рядок 61: Рядок 61:
| isbn = 978-966-2970-86-9
| isbn = 978-966-2970-86-9
| url = http://www.dut.edu.ua/ua/lib/1/category/1311/view/1209 }}
| url = http://www.dut.edu.ua/ua/lib/1/category/1311/view/1209 }}
* {{Cite book| edition = 1st edition| publisher = Springer Science+Business Media| isbn = 978-1-4939-6455-0| title = Understanding social engineering based scams| location = New York, NY| date = 2016}}


== Див. також ==
== Див. також ==

Версія за 12:35, 28 вересня 2016

Соціа́льна інженерія — це наука що вивчає людську поведінку та фактори, які на неї впливають. Нині її часто використовують для маніпуляції з метою спонукати людину виконати певні дії чи розголосити конфіденційну інформацію.

Основною метою соціальної інженерії є:

  • дослідження причин тої чи іншої поведінки людини;
  • обставин та середовища, що впливають на формування системи цінностей індивіду, і як наслідок їх поведінки.

На базі цих досліджень можна визначити, що саме спонукає людину на конкретну дію.

Наприклад: вивчення середовища, в якому жив вбивця, допоможе зрозуміти його систему цінностей. Ця інформація надасть можливість розробити соціальну структуру, в якій будуть формуватись інші системи цінностей. Системи цінностей, у яких на сам перед буде цінуватись людське життя та індивідуальність.

Термін «соціальна інженерія» як акт психологічної маніпуляції також пов'язують із суспільними науками, однак він широко використовується серед спеціалістів з комп'ютерної та інформаційної безпеки.

Методи і термінологія

Методи несанкціонованого доступу до інформації можна умовно поділити на дві категорії: з використанням методів соціальної інженерії та без них. На відміну від другого випадку, коли зловмисник повинен володіти знаннями у галузі ІТ, у першому для отримання конфіденційних даних він спирається на знання з соціології та психології.

Психологічною передумовою застосування методів соціальної інженерії є така особливість людської психіки, як когнітивні упередження. Через це надійність комп'ютерної системи є не вищою, ніж надійність її оператора. Зловмисники проникають навіть у добре спроектовані, захищені комп'ютерні системи, скориставшись неуважністю довірених користувачів або умисно вводячи їх в оману (наприклад, відрекомендувавшись системним адміністратором, надсилають повідомлення із запитом паролів).

Існують різні типи кібератак, наприклад, уведення шкідливого коду у код веб-сайту або застосування шкідливих програм (вірусів, троянів тощо). Атаки такого виду перешкоджають керуванню пошкодженим продуктом або його налагодженню. Що ж стосується соціальної інженерії, то цей тип атак спрямований не безпосередньо на комп'ютерну систему, а на її користувачів - "найслабшу ланку", і шляхом обходу інфраструктури, призначеної для захисту від шкідливих програм, він дозволяє досягти тих же результатів, що й інші види кібератак. Оскільки такі прийоми значно складніше виявити чи запобігти їм, цей напрям атак є набагато ефективнішим за інші.

Основна тактика соціальної інженерії - за допомогою психологічних методів (наприклад, спілкуючись начебто від імені сервісної компанії чи банку) переконати користувача розкрити інформацію особистого характеру (паролі, номери кредитних карток тощо).

Претекстинг

Претекстинг, від англ. pretexting, у Великій Британії також використовується термін blagging чи bohoing, полягає у застосуванні заздалегідь розробленого сценарію (приводу, чи претексту), щоб спонукати вибрану жертву до розголошення інформації чи виконання дій, до яких у звичайних обставинах вона не вдалася б. Оскільки цей метод ґрунтується на спланованій схемі обману, то атакуванню передує збір інформації, необхідної шахраєві для того, аби видати себе за іншу особу (з'ясування дати народження, паспортних та інших ідентифікуючих даних, суми останнього рахунку тощо), щоб у жертви не виникло сумнівів у законності дій шахрая[1].

Фішинг

Докладніше: Фішинг

Фішинг (англ. phishing) — це метод заволодіння інформацією приватного характеру обманним шляхом. Зазвичай фішер надсилає електронний лист начебто від імені офіційної установи — банку чи платіжної системи — із запитом про «верифікацію» інформації та попередженням про настання певних негативних наслідків у разі невиконання зазначених вимог. Такий лист, як правило, містить посилання на підробну веб-сторінку, схожу на справжню (із логотипами компанії, аналогічним контентом та ін.), де від користувача вимагається ввести у форму особисті дані, від домашньої адреси до PIN-коду банківської платіжної картки.

Телефонний фішинг

Телефонний фішинг (IVR, чи вішинг) — це один з найстаріших методів соціальної інженерії. Телефонний зв'язок забезпечує унікальні можливості для проведення соціотехнічних атак і є звичним і знеособленим засобом спілкування, оскільки жертва не може бачити зловмисника. Основні цілі таких атак:

  • Запит інформації, яка забезпечує доступ до самої телефонної системи або дозволяє отримати віддалений доступ до комп'ютерних систем.
  • Отримання можливості здійснювати безкоштовні дзвінки
  • Отримання доступу до комунікаційної мережі

Запит інформації чи доступу по телефону є порівняно безпечним видом атаки для зловмисника. Якщо жертва починає підозрювати щось чи відмовляється виконувати запит, зловмисник завжди може покласти трубку.

Інші методи

Пошук інформації в смітті. Варто дотримуватися правил утилізації паперового сміття та електронних носіїв інформації, особливо якщо це стосується конфіденційної та корпоративної, закритої чи відкритої інформації. Міри безпечної утилізації стосуються і електронних офісних пристроїв.

Індивідуальні підходи. До індивідуальних підходів можна віднести як негативні стратегії, так і позитивні. Є наступні підходи: залякування (зловмисники, які обрали цю стратегію, примушують жертву виконати запит за допомогою шантажу або видачі себе за іншу особу), переконання, виклик довіри.

Зворотна соціотехніка. Соціотехніка - цей термін використовується для позначення шахрайських дій, спрямованих на отримання інформації, яка дає змогу проникнути до певної системи та даних, що в ній знаходяться. Соціотехніка зазвичай є грою зловмисника на довірі людини Захист від атак, який заснований на зворотній соціотехніці, є досить важким. У жертви немає підстав підозрювати зловмисника у чомусь, оскільки при таких атаках створюється враження, що ситуація знаходиться під її контролем.

Методи протидії

Соціальна інженерія є багатогранним і складним способом отримання конфіденційної інформації від користувачів із застосуванням методів переконання і технологічних засобів. Будь-яка людина в сучасному світі є вразливою до соціальної інженерії, а, отже, повинна залишатися постійно в курсі того, з ким вона взаємодіє як в режимі онлайн, так і віч-на-віч. Завдяки підвищенню розпізнавання недостовірної інформації та спроб обдурити користувачів у розголошенні секретної інформації, компанія та її співробітники зможуть підтримувати безпечне середовище не тільки для себе, а й для клієнтів та власних активів.

Поняття соціальної інженерії було введено Кевіном Митником і досить часто згадується в ряді статей та доповідей з тематики безпеки мереж та інформації [2]. Статистика демонструє, що велика кількість людей не достатньо зосереджує свою увагу при використанні власної конфіденційної інформації. Для прикладу можна розглянути процес введення паролю при вході в комп’ютер, або доступ до онлайн-рахунку в банку, і яскравим прикладом є необережність при вході в соціальні мережі. Поняття паролю і таємного(секретного) запитання здається тривіальним для більшості користувачів, хоча недооцінювати їх значення не можна[3].

Примітки

  1. "Pretexting: Your Personal Information Revealed", Federal Trade Commission
  2. Luscombe, B. 10 Questions. Time, 178(8), pp. 1-37, 2011
  3. Matthew J Duffy, Social Engineering / UWP Computer Science and Software Engineering Technical Report, Volume 12, 2011.

Література

  • В. Л. Бурячок, В. Б. Толубко, В. О. Хорошко, С. В. Толюпа (2015). В. Б. Толубко (загальна редакція) (ред.). Інформаційна на кіберберзпека: соціотехнічний аспект. Київ: Державний університет телекомунікацій. ISBN 978-966-2970-86-9.
  • Understanding social engineering based scams (вид. 1st edition). New York, NY: Springer Science+Business Media. 2016. ISBN 978-1-4939-6455-0.

Див. також


Інформаційні технології Це незавершена стаття про інформаційні технології.
Ви можете допомогти проєкту, виправивши або дописавши її.
Діють
Колишні
Інструменти
Загальне
Застосунки
Інтерфейс користувача
Пов'язані значення
Отримано з https://uk.wikipedia.org/w/index.php?title=Соціальна_інженерія_(безпека)&oldid=18877385