АссистентНовый вопросИсторияОбласти знаний
Партнёрские проектыСпецпроектыСтать автором
Сменить язык
2219276 статей на русском языкеО РУВИКИ

Социальная инженерия

Рецензированная статья

Рецензент:
Альянс по защите детей в цифровой среде
Aprove.svg

Рецензированная статья

Arrow-Right.png
Cоциальная инженерия.jpg

Социáльная инжене́рия — в контексте информационной безопасности — психологическое манипулирование людьми с целью совершения определенных действий или разглашения конфиденциальной информации. Следует отличать от понятия социальной инженерии в социальных науках — которое не касается разглашения конфиденциальной информации. Совокупность уловок с целью сбора информации, подделки или несанкционированного доступа от традиционного «мошенничества» отличается тем, что часто является одним из многих шагов в более сложной схеме мошенничества[1].

Также может быть определено как «любое действие, побуждающее человека к действию, которое может или не может быть в его интересах»[2].

Техники

Выбор той или иной техники зависит не только от уже известного знания об объекте воздействия, но и от непосредственной ситуативной практики взаимодействия с ним, поскольку чаще всего социальный инженер имеет дело со сложившимися условиями и обстоятельствами, которые могут уже никогда не повториться в будущем (согласно А. В. Веселову)[3].

Фишинг

undefined
Основная статья: Фишинг

Фишинг (англ. phishing, от англ. fishing — рыбная ловля, выуживание) — это вид интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей — логинам и паролям. Это самая популярная схема социальной инженерии на сегодняшний день. Ни одна крупная утечка персональных данных не обходится без волны фишинговых рассылок, предшествующих ей. Наиболее ярким примером фишинговой атаки может служить сообщение, отправленное жертве по электронной почте и подделанное под официальное письмо — от банка или платёжной системы — требующее проверки определённой информации или совершения определённых действий. Причины могут называться самые различные. Это может быть утеря данных, поломка в системе и прочее. Такие письма обычно содержат ссылку на фальшивую веб-страницу, в точности похожую на официальную и содержащую форму, требующую ввести конфиденциальную информацию[4][5].

Популярные фишинговые схемы

Несуществующие ссылки

Атака, которая заключается в отправлении письма с соблазнительной причиной посетить сайт и прямой ссылкой на него, которая лишь имеет сходство с ожидаемым сайтом, например, www.PayPai.com. Выглядит это, будто это ссылка на PayPal, мало кто заметит, что буква «l» заменена на «i». Таким образом, при переходе по ссылке жертва увидит сайт, максимально идентичный ожидаемому, и при вводе данных кредитной карты эта информация сразу направляется к злоумышленнику.

Одним из наиболее известных примеров глобальной фишинговой рассылки может служить афера 2003 года, во время которой тысячи пользователей eBay получили электронные письма, в которых утверждалось, что их учётная запись была заблокирована, и для её разблокировки требуется обновить данные о кредитных картах. Во всех этих письмах присутствовала ссылка, ведущая на поддельную веб-страницу, в точности похожую на официальную. Убытки от этой аферы составили несколько сотен тысяч долларов[6].

Мошенничество с использованием брендов известных корпораций

В таких фишинговых схемах используются поддельные сообщения электронной почты или веб-сайты, содержащие названия крупных или известных компаний. В сообщениях может быть поздравление с победой в каком-либо конкурсе, проводимом компанией, о том, что срочно требуется изменить учётные данные или пароль. Подобные мошеннические схемы от лица службы технической поддержки также могут производиться по телефону[7].

Подложные лотереи

Пользователь может получить сообщения, в которых говорится о том, что он выиграл в лотерею, которая проводилась какой-либо известной компанией. Внешне эти сообщения могут выглядеть так, как будто они были отправлены от лица одного из высокопоставленных сотрудников корпорации[7].

Ложные антивирусы и программы для обеспечения безопасности

Подобное мошенническое программное обеспечение, также известное под названием «scareware», — это программы, которые выглядят как антивирусы, хотя, на самом деле, все обстоит совсем наоборот. Такие программы генерируют ложные уведомления о различных угрозах, а также пытаются завлечь пользователя в мошеннические транзакции. Пользователь может столкнуться с ними в электронной почте, онлайн объявлениях, в социальных сетях, в результатах поисковых систем и даже во всплывающих окнах на компьютере, которые имитируют системные сообщения[7].

Телефонный фишинг
Основная статья: Вишинг

Телефонный (или голосовой) фишинг называется вишингом (англ. vishing — voice fishing). Данная техника основана на использовании системы предварительно записанных голосовых сообщений с целью воссоздать «официальные звонки» банковских и других IVR-систем. Обычно жертва получает запрос (чаще всего через фишинг электронной почты) связаться с банком и подтвердить или обновить какую-либо информацию. Система требует аутентификации пользователя посредством ввода PIN-кода или пароля. Поэтому, предварительно записав ключевую фразу, можно выведать всю нужную информацию. Например, любой может записать типичную команду: «Нажмите единицу, чтобы сменить пароль. Нажмите двойку, чтобы получить ответ оператора» и воспроизвести её вручную в нужный момент времени, создав впечатление работающей в данный момент системы предварительно записанных голосовых сообщений[8][5].

По данным исследования за второе полугодие 2024 года и первый квартал 2025 года число случаев вишинга выросло многократно — на 1633 %. Этот вид мошенничества опережает традиционный фишинг, который всё чаще становится сложным и многоуровневым[9].

Претекстинг

Претекстинг (англ. pretexting) — атака, в которой злоумышленник представляется другим человеком и по заранее подготовленному сценарию узнаёт конфиденциальную информацию. Например, во время безобидного интернет-опроса у жертвы могут спросить данные банковского счёта. Или к сотруднику компании может подойти человек с папкой в руках и сказать, что проверяет внутренние системы, после чего спросить персональный логин и пароль доступа[5].

Квид про кво

Основная статья: Quid pro quo

Квид про кво (от лат. Quid pro quo — «то за это», «ты — мне, я — тебе») — в английском языке это выражение обычно используется в значении «услуга за услугу». Данный вид атаки подразумевает обращение злоумышленника в компанию по корпоративному телефону (используя актёрское мастерство[10]) или электронной почте. Зачастую злоумышленник представляется сотрудником технической поддержки, который сообщает о возникновении технических проблем на рабочем месте сотрудника и предлагает помощь в их устранении. В процессе «решения» технических проблем злоумышленник вынуждает цель атаки совершать действия, позволяющие атакующему запускать команды или устанавливать различное программное обеспечение на компьютере жертвы[6][5].

Проведённое в 2021 году исследование показало, что 40 % российских офисных работников готовы передать конфиденциальную информацию, например, логины и пароли от внутренних систем компании, своим коллегам, подрядчикам или друзьям[11].

Ловля «на живца»

Этот метод атаки представляет собой адаптацию троянского коня и состоит в использовании физических носителей. Злоумышленник подбрасывает «инфицированные» носители информации в места общего доступа, где эти носители могут быть легко найдены, такие как туалеты, парковки, столовые или на рабочее место атакуемого сотрудника[6]. Носители оформляются как официальные для компании, которую атакуют, или сопровождаются подписью, призванной вызвать любопытство. К примеру, злоумышленник может подбросить «флешку», снабжённый корпоративным логотипом. Носитель может быть оставлен на полу лифта или в вестибюле. Сотрудник по незнанию может подобрать диск и вставить его в компьютер, чтобы удовлетворить своё любопытство[5].

Сбор информации из открытых источников

Применение техник социальной инженерии требует не только знания психологии, но и умения собирать о человеке необходимую информацию. Относительно новым способом получения такой информации стал её сбор из открытых источников, главным образом из социальных сетей. К примеру, такие сайты как livejournal, «Одноклассники», «ВКонтакте», содержат огромное количество данных, которые люди и не пытаются скрыть. Как правило, пользователи не уделяют должного внимания вопросам безопасности, оставляя в свободном доступе данные и сведения, которые могут быть использованы злоумышленником. (в случае «Вконтакте» адрес, номер телефона, дата рождения, фотографии, друзья и т. д.)

Даже ограничив доступ к информации на своей странице в социальной сети, пользователь не может быть точно уверен, что она никогда не попадёт в руки мошенников. Например, бразильский исследователь по вопросам компьютерной безопасности показал, что существует возможность стать другом любого пользователя Facebook в течение 24 часов, используя методы социальной инженерии. В ходе эксперимента исследователь Нельсон Новаес Нето[12] выбрал жертву и создал фальшивый аккаунт человека из её окружения — её начальника. Сначала Нето отправлял запросы на дружбу друзьям друзей начальника жертвы, а затем и непосредственно его друзьям. Через 7,5 часа исследователь добился добавления в друзья от жертвы. Тем самым исследователь получил доступ к личной информации пользователя, которой тот делился только со своими друзьями.

Известные социальные инженеры

Кевин Митник

Основная статья: Митник, Кевин

Одним из самых знаменитых социальных инженеров в истории является Кевин Митник. Будучи всемирно известным компьютерным хакером и консультантом по безопасности, Митник также является автором многочисленных книг по компьютерной безопасности, посвященным, в основном, социальной инженерии и методам психологического воздействия на человека. В 2001 году вышла книга «Искусство обмана» (англ. «The Art of Deception») под его авторством[6], повествующая о реальных историях применения социальной инженерии[13]. Кевин Митник утверждает, что намного проще получить пароль путём обмана, нежели пытаться взломать систему безопасности[14].

Братья Бадир

Несмотря на то, что братья Бадир, Мушид и Шади Бадир, были слепыми от рождения, они сумели реализовать несколько крупных схем мошенничества в Израиле в 1990-х, использовав социальную инженерию и подделку голоса. В телеинтервью они сказали: «Полностью от сетевых атак застрахован лишь тот, кто не пользуется телефоном, электричеством и ноутбуком». Братья уже побывали в тюрьме за то, что им удалось услышать служебные сигналы в телефонной линии. Они подолгу звонили за границу за чужой счет, имитируя внутриканальную межстанционную сигнализацию.

Архангел

undefined

Знаменитый компьютерный хакер и консультант по безопасности в известном англоязычном интернет-журнале «Phrack Magazine», Архангел продемонстрировал возможности техник социальной инженерии, за короткое время получив пароли от огромного количества различных систем, обманув несколько сотен жертв.

Другие

Менее известными социальными инженерами являются Фрэнк Абигнейл, Дэвид Бэннон, Питер Фостер и Стивен Джей Рассел.

Способы защиты от социальной инженерии

Для проведения своих атак злоумышленники, применяющие техники социальной инженерии, зачастую эксплуатируют доверчивость, лень, любезность и даже энтузиазм пользователей и сотрудников организаций. Защититься от таких атак непросто, поскольку их жертвы могут не подозревать, что их обманули. Злоумышленники, использующие методы социальной инженерии, преследуют, в общем, такие же цели, что и любые другие злоумышленники: им нужны деньги, информация или ИТ-ресурсы компании-жертвы. Для защиты от таких атак нужно изучить их разновидности, понять, что нужно злоумышленнику, и оценить ущерб, который может быть причинен организации. Обладая всей этой информацией, можно интегрировать в политику безопасности необходимые меры защиты.

Как определить атаку социального инженера

Ниже перечислены методы действий социальных инженеров:

  • представление себя другом-сотрудником либо новым сотрудником с просьбой о помощи;
  • представление себя сотрудником поставщика, партнерской компании, представителем закона;
  • представление себя кем-либо из руководства;
  • представление себя поставщиком или производителем операционных систем, звонящим, чтобы предложить обновление или патч жертве для установки;
  • предложение помощи в случае возникновения проблемы и последующее провоцирование возникновения проблемы, которое принуждает жертву попросить о помощи;
  • использование внутреннего сленга и терминологии для возникновения доверия;
  • отправка вируса или троянского коня в качестве приложения к письму;
  • использование фальшивого pop-up окна, с просьбой аутентифицироваться еще раз, или ввести пароль;
  • предложение приза за регистрацию на сайте с именем пользователя и паролем;
  • записывание клавиш, которые жертва вводит на своём компьютере или в своей программе (кейлоггинг);
  • подбрасывание различных носителей данных (флэш-карт, дисков и т. д.) с вредоносным ПО на стол жертвы;
  • подброс документа или папки в почтовый отдел компании для внутренней доставки;
  • видоизменение надписи на факсе, чтобы казалось, что он пришел из компании;
  • просьба секретаря принять, а затем отослать факс;
  • просьба отослать документ в место, которое кажется локальным (то есть находится на территории организации);
  • подстройка голосовой почты, чтобы работники, решившие перезвонить, подумали, что атакующий — их сотрудник;

Классификация угроз

Угрозы, связанные с телефоном

Телефон до сих пор является одним из самых популярных способов коммуникации внутри и между организациями, следовательно, он все так же является эффективным инструментом социальных инженеров. При разговоре по телефону невозможно увидеть лицо собеседника для подтверждения его личности, что даёт злоумышленникам шанс выдать себя за сотрудника, начальника либо любое другое лицо, которому можно доверить конфиденциальную либо не кажущуюся важной информацию. Злоумышленник часто организует разговор так, что у жертвы практически не остаётся выхода, кроме как помочь, особенно когда просьба выглядит пустяковой.

Также популярны различные способы мошенничества, направленные на кражу денег у пользователей мобильных телефонов. Это могут быть как звонки, так и смс-сообщения о выигрышах в лотереях, конкурсах, просьбы вернуть по ошибке положенные средства, либо сообщения о том, что близкие родственники жертвы попали в беду и необходимо срочно перевести определённую сумму средств.

Меры по обеспечению безопасности предполагают скептическое отношение к любым подобным сообщениям и некоторые принципы обеспечения безопасности:

  • Проверка личности звонящего;
  • Использование услуги определения номера;
  • Игнорирование неизвестных ссылок в смс-сообщениях;

Угрозы, связанные с электронной почтой

Многие сотрудники ежедневно получают через корпоративные и частные почтовые системы десятки и даже сотни электронных писем. Разумеется, при таком потоке корреспонденции невозможно уделить должное внимание каждому письму. Это значительно облегчает проведение атак. Большинство пользователей систем электронной почты спокойно относятся к обработке таких сообщений, воспринимая эту работу как электронный аналог перекладывания бумаг из одной папки в другую. Когда злоумышленник присылает по почте простой запрос, его жертва часто выполняет то, о чём её просят, не задумываясь о своих действиях. Электронные письма могут содержать гиперссылки, склоняющие сотрудников к нарушению защиты корпоративной среды. Такие ссылки не всегда ведут на заявленные страницы.

Большинство мер по обеспечению безопасности направлены на предотвращение доступа неавторизованных пользователей к корпоративным ресурсам. Если, щелкнув присланную злоумышленником гиперссылку, пользователь загрузит в корпоративную сеть троянскую программу или вирус, то это позволит легко обойти многие виды защиты. Гиперссылка может также указывать на узел с всплывающими приложениями, запрашивающими данные или предлагающими помощь. Как и в случае с другими разновидностями мошенничества, самым эффективным способом защиты от атак злоумышленников является скептическое отношение к любым неожиданным входящим письмам. Для распространения этого подхода в организации в политику безопасности следует включить конкретные принципы использования электронной почты, охватывающие перечисленные ниже элементы[15].

  • Вложения в документы.
  • Гиперссылки в документах.
  • Запросы личной или корпоративной информации, исходящие изнутри компании.
  • Запросы личной или корпоративной информации, исходящие из-за пределов компании.

Угрозы, связанные с использованием мессенджеров

Мессенджеры пользуются широкой популярностью среди корпоративных пользователей. Из-за быстроты и лёгкости использования этот способ коммуникации открывает широкие возможности для проведения различных атак: пользователи относятся к нему как к телефонной связи и не связывают с потенциальными программными угрозами. Двумя основными видами атак, основанными на использовании мессенджеров, являются указание в теле сообщения ссылки на вредоносную программу и доставка самой программы. Конечно, мессенджеры — это ещё и один из способов запроса информации. Одна из особенностей мессенджеров — это неформальный характер общения. В сочетании с возможностью присваивать себе любые имена, этот фактор позволяет злоумышленнику гораздо легче выдавать себя за другого человека и значительно повышает его шансы на успешное проведение атаки. Если компания намерена использовать возможности сокращения расходов и другие преимущества, обеспечиваемые мессенджерами, необходимо предусмотреть в корпоративных политиках безопасности механизмы защиты от соответствующих угроз. Для получения надёжного контроля над обменом сообщениями в корпоративной среде следует выполнить несколько требований[16].

  • Выбрать только один мессенджер для мгновенного обмена сообщениями.
  • Определить параметры защиты, задаваемые при развёртывании программы.
  • Определить принципы установления новых контактов.
  • Задать стандарты выбора паролей.
  • Составить рекомендации по использованию мессенджера.

Основные защитные методы

Специалисты по социальной инженерии выделяют следующие основные защитные методы для организаций:

  • разработка продуманной политики классификации данных, учитывающей те кажущиеся безвредными типы данных, которые могут привести к получению важной информации;
  • обеспечение защиты информации о клиентах с помощью шифрования данных или использования управления доступом;
  • обучение сотрудников навыкам для распознавания социального инженера, проявлениям подозрения при общении с людьми, которых они не знают лично;
  • запрет персоналу на обмен паролями либо использование общего;
  • запрет на предоставление информации из отдела с секретами кому-либо, не так знакомому лично или не подтверждённому каким-либо способом;
  • использование особых процедур подтверждения для всех, кто запрашивает доступ к конфиденциальной информации;

Многоуровневая модель обеспечения безопасности

Для защиты крупных компаний и их сотрудников от мошенников, использующих техники социальной инженерии, часто применяются комплексные многоуровневые системы безопасности. Ниже перечислены некоторые особенности и обязанности таких систем.

  • Физическая безопасность. Барьеры, ограничивающие доступ в здания компании и к корпоративным ресурсам. Не стоит забывать, что ресурсы компании, например, мусорные контейнеры, расположенные вне территории компании, физически не защищены.
  • Данные. Деловая информация: учётные записи, почтовая корреспонденция и т. д. При анализе угроз и планировании мер по защите данных нужно определить принципы обращения с бумажными и электронными носителями данных.
  • Приложения. Программы, запускаемые пользователями. Для защиты среды необходимо учесть, как злоумышленники могут использовать в своих целях почтовые программы, службы мгновенной передачи сообщений и другие приложения.
  • Компьютеры. Серверы и клиентские системы, используемые в организации. Защита пользователей от прямых атак на их компьютеры, путём определения строгих принципов, указывающих, какие программы можно использовать на корпоративных компьютерах.
  • Внутренняя сеть. Сеть, посредством которой взаимодействуют корпоративные системы. Она может быть локальной, глобальной или беспроводной. В последние годы из-за роста популярности методов удалённой работы границы внутренних сетей стали во многом условными. Сотрудникам компании нужно разъяснить, что они должны делать для организации безопасной работы в любой сетевой среде.
  • Периметр сети. Граница между внутренними сетями компании и внешними, такими как Интернет или сети партнерских организаций.

Ответственность

Претекстинг и запись телефонных разговоров

В правовом кодексе США претекстинг, то есть выдача себя за другого человека с целью получения информации, которая может быть предоставлена этому человеку, приравнивается к вторжению в личную жизнь[17]. В декабре 2006 года Конгресс США одобрил законопроект, предполагающий наказание за претекстинг и запись телефонных разговоров в виде штрафа до 250 000 $ или заключения на срок до 10 лет для физических лиц (или штраф в размере 500 000 $ для юридических лиц). Соответствующий указ был подписан президентом Джорджем Бушем 12 января 2007 года[18].

По законам России претекстинг и другие техники социальной инженерии чаще всего подпадают под статью «Мошенничество» (Статья 159 УК РФ). В зависимости от ущерба наказание может варьироваться от штрафа до лишения свободы на 10 лет.

Примечания

  1. Ross J. Anderson. Security Engineering: A Guide to Building Dependable Distributed Systems. — John Wiley & Sons, 2008-04-14. — 1080 с. — ISBN 978-0-470-06852-6.
  2. Social Engineering Defined (англ.). Security Through Education. Дата обращения: 21 августа 2020. Архивировано 3 октября 2018 года.
  3. Веселов А.В. Субъект социальной инженерии: понятие, виды, формирование // Философия и культура : Журнал. — 2011. — 8 августа (№ 8). — С. 17.
  4. Phishing. Архивировано 10 ноября 2012 года. Дата обращения: 6 ноября 2012.
  5. 1 2 3 4 5 Социальная инженерия – защита и предотвращение. Лаборатория Касперского (19 июня 2020). Дата обращения: 11 апреля 2025.
  6. 1 2 3 4 Кевин Д. Митник; Вильям Л. Саймон. Искусство обмана. — АйТи, 2004. — ISBN 5-98453-011-2.
  7. 1 2 3 Как защитить внутреннюю сеть от атак, Microsoft TechNet. Архивировано 27 сентября 2018 года. Дата обращения: 1 октября 2017.
  8. Ross, Dave. How Interactive Voice Response (IVR) Works. Архивировано 14 августа 2020 года. Дата обращения: 22 августа 2020.
  9. Ontinue: число случаев заражения вирусами-вымогателями возросло на 132%, число вишинга — на 1633%, CISOCLUB (6 апреля 2025). Дата обращения: 25 апреля 2025.
  10. Кви про кво
  11. Иван Черноусов. Почти половина россиян передают коллегам корпоративные пароли, Российская газета (3 декабря 2021). Дата обращения: 24 апреля 2025.
  12. Nelson Novaes Neto. Архивировано 20 февраля 2010 года. Дата обращения: 6 ноября 2012.
  13. Social Engineering. Архивировано 21 апреля 2014 года. Дата обращения: 6 ноября 2012.
  14. Mitnick, K. Введение // CSEPS Course Workbook. — Mitnick Security Publishing, 2004. — С. 4.
  15. Использование электронной почты, CITForum. Архивировано 2 ноября 2012 года. Дата обращения: 6 ноября 2012.
  16. Руководство по безопасной работе в интернете, KasperskyLab. Архивировано 29 марта 2013 года. Дата обращения: 6 ноября 2012.
  17. Restatement 2d of Torts § 652C
  18. Eric Bangeman. Congress outlaws pretexting (англ.). Ars Technica (12 ноября 2006). Дата обращения: 1 октября 2017. Архивировано 17 января 2017 года.

Ссылки

Дополнительно по теме

Категории