Стремительное развитие компьютерных технологий повлекло за собой появление множества специфических проблем. Одной из таких проблем, является обеспечение защиты информации, что обусловливается ростом правонарушений, связанных с несанкционированным проникновением к конфиденциальным данным. По данным специальных служб США размер ущерба, причиняемого в результате хакерских атак и несанкционированного проникновения к информационным источникам, доходит до 10% корпоративных финансовых потерь. Но не менее опасной угрозой является несанкционированный доступ к корпоративной информации по вине сотрудников.

Несмотря на то, что на безопасность тратится до 15% корпоративного бюджета, с применением передовых технологий в этой области прослеживаются тенденции “индекса опасности” к росту. В этой связи, очевидно, наиболее уязвимым компонентом в системе корпоративной безопасности является персонал.

Многие почему-то забывают, что в роли объекта атаки может выступать не только машина, но и ее оператор. Причем, оператор зачастую оказывается слабейшим звеном в системе защиты. Злоумышленники получают данные от самих пользователей, которые работают в хорошо защищенных компьютерных системах. Для этого мошенники используют приемы и инструменты, взятые из технологий социальной инженерии, что можно трактовать как неправомерное их использование в деструктивных целях. В основе деструктивной социальной инженерии лежит метод манипулирования личностными качествами с использованием пристрастий человека или введение в заблуждение с целью получения доступа к конфиденциальной информации. Чтобы защититься от атак данного вида, нужно знать виды мошенничества, необходимо понимать, что на самом деле хотят мошенники, использующие методы социальной инженерии и своевременно организовывать подходящую политику безопасности. К счастью, подавляющее большинство мошенников действует по идентичным или близким шаблонам. Поэтому, изучение приемов их "работы" позволяет распознать обман и не попасться на удочку. Защититься от мошенников можно только зная их методы работы.

Изложенное положение обозначает общие тенденции к значительному повышению вероятности несанкционированных проникновений в корпоративные информационно-технические системы. Известные меры противодействия корпоративным угрозам вполне успешно применяются специальными службами крупных предприятий и учреждений, способных самостоятельно решать сложные задачи безопасности. Но неизменно появляются новые мошеннические технологии, угрозы проникновения, которые все больше затрагивают не только крупные частные предприятия, но и государственные структуры, средний и даже мелкий бизнес.

Идея манипуляций и мошенничеств не нова. Одна английская компания провела эксперимент. Сотрудникам своей фирмы они разослали письма якобы от системного администратора их компании с просьбой предоставить свои пароли, поскольку намечается плановая проверка оборудования. На это письмо ответило 75% сотрудников компании, вложив в письмо свой пароль.

Обобщенное представление показывает социальную инженерию как способ организации воздействия на человеческую деятельность, направленный на её преобразование с помощью социальных технологий. Содержательно социальная инженерия рассматривается как совокупность подходов прикладных социальных наук, которые ориентированы на целенаправленное изменение организационных структур, определяющих человеческое поведение и контроль.

На становление и развитие социальной инженерии существенное влияние оказали психология, прикладная антропология, управленческие науки, а в настоящее время синергетика и социальная синергетика – наука о самоорганизации общества, которая определяет условия и факторы устойчивого развития общества. Специалисты в области социальной инженерии занимаются социальными проблемами на производстве и в сфере взаимодействия с общественностью. Главным отличием социального инженера от узкого специалиста является методологическая и технологическая широта подготовки.

В западной социологии социоинженерная деятельность была подробно рассмотрена К. Поппером в работах «Нищета историцизма» (1945) и «Открытое общество» (1945). Социальную инженерию он рассматривал как совокупность подходов прикладной социологии, направленных на рациональное изменение социальных систем на основе фундаментальных знаний об обществе и предсказании возможных результатов преобразований. Социальная инженерия зародилась и получила наиболее широкое развитие в США. В послевоенный период мотивы социальной инженерии стали широко применяться в авиационной и оборонной промышленности Америки, а также в прикладных научных областях: индустриальной социологии, военной социологии, исследованиях пропаганды и коммуникаций, групповой динамики. При университетах и колледжах США действуют курсы подготовки по социальной инженерии. Известный хакер Кевин Митник, использовавший когда-то для взломов методы социальной инженерии, сейчас выступает с лекциями по профилактике этих преступлений для топ-менеджеров крупных IT-компаний и специалистов служб безопасности корпораций. На темы по социальной инженерии проводят конференции, а в ряде университетов читаются курсы.

Социальное прогнозное проектирование, стратегическое планирование, социальная инноватика, игровое моделирование — названия, за которыми в России скрывалось содержание социоинженерной деятельности. В 1980-е годы социальная инженерия пережила период полноценного раскрытия – на предприятиях формировались исследовательские группы, организовывались масштабные исследовательские проекты.

Социоинженерный подход используется в сфере Public Relations (PR-технологии), когда необходимо корректировать социальные установки, выявить механизмы формирования общественного мнения с применением разнообразных инструментов и приемов вплоть до суггестивных. Современный социоинженерный подход позволяет изменить социальную действительность на основе методов планирования, моделирования и программирования.

Таким образом, можно отметить фундаментальные основы социальной инженерии, на которых формируются и созидательная и деструктивная деятельность. Деструктивная деятельность, осуществляемая методами социальной инженерии, обусловливает значительную общественную опасность противоправных деяний такого рода. Основной целью мошенников, использующих методы социальной инженерии, является получение доступа к защищенным системам с целью кражи каких-либо данных. В отличие от простого взлома в роли объекта атаки выбирается не компьютер, а его оператор. Именно поэтому все методы и техники мошенников основываются на использовании слабостей и особенностях психологии человека. Для защиты от подобных воздействий следует уметь распознавать и адекватно реагировать на происходящее внештатное событие, понимая, что цель такого мошенничества – получение доступа к корпоративной информации с последующим ее использованием в корыстных целях. Любые сведения – персональные данные, пароли, корреспонденция, приказы и другие, на первый взгляд, незначительные артефакты – могут представлять интерес для злоумышленников. Информацию они получают порой с помощью обычного телефонного разговора, путем проникновения в организацию под видом её служащего, курьера, в очередях на распродажах или кафе.

Для того, чтобы обеспечить комплексную информационную безопасность, необходимо кроме технических методов защиты информации работать с персоналом, производить обучение сотрудников, разработать и применить политику безопасности.

1 Виды мошенничества, основанные на социальной инженерии

Рассмотрим техники и виды атак, которыми пользуются мошенники. Все они основаны на особенностях принятия решений людьми. Отличительная черта, объединяющая все эти методы, является введение в заблуждение. Целью будет являться заставить человека совершить какое-либо действие, которое необходимо мошеннику. Конечные цели могут быть разнообразны. Для достижения поставленного результата мошенники используют следующие тактики:

• отвлечение внимания;
• выдача себя за другое лицо;
• нагнетание психологического напряжения и т.д.

Существуют следующие техники социального инжиниринга:

- Фишинг — вид компьютерного мошенничества, основная цель которого — обманным путем вынудить жертву предоставить мошеннику нужную ему информацию. На сегодняшний день, фишинг является самым распространенным видом мошенничества. Достигается этот вид мошенничества путем рассылок сообщений на почтовые ящики пользователей от чужого имени (сотрудника технической службы предприятия, банков, других компаний). В письме, в большинстве случаев, содержится ссылка на поддельный сайт, где различными приемами пользователя просят предоставить мошенникам необходимую им информацию. Большой интерес для мошенников, использующих технику фишинга, представяют социальные сети, где можно собрать всю необходимую информацию. Фишинг стремительно набирает свои обороты, а оценки ущерба сильно разнятся: по данным компании Gartner, в 2004 году жертвы фишеров потеряли 2,4 млрд долларов США, в 2006 году — ущерб составил 2,8 млрд долларов, в 2007 — 3,2 миллиарда.

- Троянская программа – это вредоносная программа, которая используется социальным инженером для сбора и использования информационных ресурсов в своих целях [39, с. 473]. В последнее время троянские кони стали использоваться для отслеживания места пребывания компьютерной техники.

- Сбор информации из открытых источников. Применение техник социального инжиниринга требует не только знания психологии, но и умения собирать о человеке необходимую информацию. Относительно новым способом получения такой информации стал ее сбор из открытых источников, главным образом из социальных сетей. Интернет содержат огромное количество данных, которые люди не скрывают.

- Кви про кво - это аббревиатура, обычно используемая в английском языке в значении "услуга за услугу". Данный вид атаки подразумевает, что злоумышленник совершит звонок в компанию. В большинстве случаев, злоумышленник представляется сотрудником технической поддержки, опрашивающим, есть ли какие-нибудь технические проблемы. В процессе "решения" технических проблем, мошенник "заставляет" цель вводить команды, которые позволяют хакеру запустить или установить вредоносное программное обеспечение на машину пользователя.

2 Известные социальные инженеры

Самый известный мошенник, использующий методы социальной инженерии, является Кевин Митник. В настоящее время, он выступает с лекциями по профилактике этих преступлений, является автором книг по предотвращению компьютерных мошенничеств, которые повествуют о реальных способах мошенничества. Он утверждает, что намного проще получить пароль путем обмана, нежели пытаться взломать систему безопасности.

В историю вошли и Братья Бадир, несмотря на то, что они были слепыми с самого рождения, все же смогли реализовать в 1990 году несколько схем мошенничества в Израиле. Они звонили заграницу за чужой счет, расшифровали секретные интерференционные тоны провайдеров телефонной связи и уже побывали в тюрьме.

В англоязычном сегменте интернета имеет известность Архангел – он демонстрирует возможности техник социальной инженерии, обманул несколько сотен человек, за короткое время получает пароли от различных систем.

Евгений Вольнов – известен в российском сегменте интернета своими пранк-звонками, задает «неудобные» вопросы, в одном ролике получает информацию от сотрудницы администрации с применением методов социальной инженерии.

скачать dle 11.1смотреть фильмы бесплатно