Соціальна інженерія (безпека)

Матеріал з Вікіпедії — вільної енциклопедії.
Перейти до: навігація, пошук

Соціа́льна інженері́янаука, що вивчає можливість отримання інформації унаслідок людської неуважності, використання простих паролів, не вживанні необхідних заходів безпеки. Отримання інформації без згоди іншої людини (викрадення особистих даних) грубо можна поділити на дві категорії: з використанням методів соціальної інженерії та без них. В першому випадку для отримання конфіденційних даних застосовуються знання більше з соціології та психології, ніж зі сфери ІТ. У другому випадку, по-іншому хакерство, людина повинна бути професіоналом (хакером) у відповідній галузі. Поняття соціальної інженерії було введено Кевіном Митником і досить часто згадується в ряді статей та доповідей з тематики безпеки мереж та інформації [1]. Статистика демонструє, що велика кількість людей не достатньо зосереджує свою увагу при використанні власної конфіденційної інформації. Для прикладу можна розглянути процес введення паролю при вході в комп’ютер, або доступ до онлайн-рахунку в банку, і яскравим прикладом є необережність при вході в соціальні мережі. Поняття паролю і таємного(секретного) запитання здається тривіальним для більшості користувачів, хоча недооцінювати їх значення не можна[2].

Етапи соціальної інженерії

Отже, соціальна інженерія є способом переконання користувачів розголошувати важливу інформацію – дані, що стосуються приватних справ і можуть в подальшому бути під загрозою, питання ідентичності, фінансове становище та інше.

Напрямки атак[ред.ред. код]

Напрямки атак соціотехніки можна розділити на наступні:

  1. Мережеві атаки
  2. Телефонні атаки
  3. Пошук інформації в смітті
  4. Індивідуальні підходи
  5. Зворотна соціотехніка

Мережеві атаки. Користувачі опрацьовують велику кількість електронної інформації, яка отримується з різноманітних джерел – зовнішніх та внутрішніх. Завдяки цьому зловмисники налогоджують зв’язки з співробітниками організації через Internet, залишаючись при цьому абсолютно анонімними. Регулярно виникають повідомлення про мережеві атаки, базовані на електронній пошті, випливаючих вікнах і службах миттєвого обміну повідомленнями. Почати боротьбу з багатьма погрозами такого типу можна з впровадження надійних засобів захисту від вірусів.

Мережеві атаки, пов’язані з використанням електронної пошти і можливі загрози від них

Ціль Опис Загрози
Крадіжка корпоративної інформації Видаючи себе за внутрішнього користувача, зловмисник намагається отримати корпоративну інформацію
  1. Витік конфіденційної інформації
  2. Втрата репутації компанії
Крадіжка фінансової інформації Використовуючи методи фішингу, зловмисник робить запит для отримання конфіденційної корпоративної інформації, наприклад як облікові записи
  1. Витік конфіденційної інформації
  2. Втрата репутації компанії

Загрози, пов’язані з використанням телефону. Це один з найстаріших методів соціальної інженерії. Телефонний зв’язок забезпечує унікальні можливості для проведення соціотехнічних атак і є звичним і знеособленим засобом спілкування, оскільки жертва не може бачити зловмисника. Основні цілі таких атак:

  • Запит інформації, яка забезпечує доступ до самої телефонної системи або дозволяє отримати віддалений доступ до комп’ютерних систем.
  • Отримання можливості здійснювати безкоштовні дзвінки
  • Отримання доступу до комунікаційної мережі

Запит інформації чи доступу по телефону – є порівняно безпечним видом атаки для зловмисника. Якщо жертва починає підозрювати щось чи відмовляється виконувати запит, зловмисник завжди може покласти трубку.

Пошук інформації в смітті. Варто дотримуватися правил утилізації паперового сміття та електронних носіїв інформації, особливо якщо це стосується конфіденційної та корпоративної, закритої чи відкритої інформації. Міри безпечної утилізації стосуються і електронних офісних пристроїв.

Індивідуальні підходи. До індивідуальних підходів можна віднести як негативні стратегії, так і позитивні. Є наступні підходи: залякування (зловмисники, які обрали цю стратегію, примушують жертву виконати запит за допомогою шантажу або видачі себе за іншу особу), переконання, виклик довіри.

Зворотна соціотехніка. Соціотехніка - цей термін використовується для позначення шахрайських дій, спрямованих на отримання інформації, яка дає змогу проникнути до певної системи та даних, що в ній знаходяться. Соціотехніка зазвичай є грою зловмисника на довірі людини Захист від атак, який заснований на зворотній соціотехніці, є досить важким. У жертви немає підстав підозрювати зловмисника у чомусь, оскільки при таких атаках створюється враження, що ситуація знаходиться під її контролем.

Соціальна інженерія є багатогранним і складним способом отримання конфіденційної інформації від користувачів із застосуванням методів переконання і технологічних засобів. Будь-яка людина в сучасному світі є вразливою до соціальної інженерії, а, отже, повинна залишатися постійно в курсі того, з ким вона взаємодіє як в режимі онлайн, так і віч-на-віч. Завдяки підвищенню розпізнавання недостовірної інформації та спроб обдурити користувачів у розголошенні секретної інформації, компанія та її співробітники зможуть підтримувати безпечне середовище не тільки для себе, а й для клієнтів та власних активів.

Примітки[ред.ред. код]

  1. Luscombe, B. 10 Questions. Time, 178(8), pp. 1-37, 2011
  2. Matthew J Duffy, Social Engineering / UWP Computer Science and Software Engineering Technical Report, Volume 12, 2011.
Комп'ютер Це незавершена стаття про комп'ютери.
Ви можете допомогти проекту, виправивши або дописавши її.