Деструктивные методы социальной инженерии, как фактор угрозы информационной безопасности

проектировании.
2. Деструктивные методы и приемы социальной инженерии и защита от них.

2

Литература:
1. Волков Е.Н. Социальная инженерия: явление и его концептуализация. http://evolkov.net/soc.engineering/articles/Soc.engineer. phenomen.&.concept.Volkov.E.2014.html
2. Кузнецов М., Симдянов И. Социальная инженерия и социальные хакеры. – СПб.: БХВ-Петербург, 2007 г., - 358 с.
3. Резник Ю.М. Социальная инженерия: предметная область и границы применения//Социологические исследования, 1994, № 2.
4. Социальная инженерия //Современная западная социология: Словарь.
– М., 1990.
5. Социальная инженерия. Курс лекций // Под ред. Резника Ю.М., Щербины В.В. – М., 1994.

и социология, прикладная антропология

Нейро-лингвистическое программирование

Ситуационный анализ
и сценарное программирование

СОЦИАЛЬНОЕ ПРОЕКТИРОВАНИЕ

– реализация способности человека
к конструированию новых и изменению существующих элементов и структур
социального мира, выражающаяся
в применении всех видов реально подкреплённых знаний, опыта
и творческого воображения для того, чтобы изобретать, проектировать, создавать, изменять, поддерживать
и улучшать социальные структуры, системы и процессы

– система методов 
применяемых
для несанкционированного доступа к информации 
или системам ее хранения
путем целенаправленного информационно-психологического воздействия на социальные объекты, обеспечивающие
ее безопасность

Игровое моделирование

– совокупность подходов
и методов прикладных социальных наук,
которые ориентированы
на целенаправленное изменение организационных структур, определяющих человеческое поведение
и обеспечивающих контроль за ним

СОЦИАЛЬНАЯ ИНЖЕНЕРИЯ
(С. и Б. Веббы, Р. Паунд, 20-е гг ХХ в.).

СОЦИАЛЬНАЯ УТОПИЯ

СОЦИАЛЬНОЕ ПРОГРАММИРОВАНИЕ

ИСТОЧНИКИ

Социальные изменения желанны, но мера желания существенно различается и по типам общества, и по ситуации, сложившейся в данном месте и в данное время, и по особенностям мировосприятия отдельных людей и их сообществ. Общество парадоксальным образом сочетает проницаемость и упругость: исходя из ценностей и установок своего времени оно нередко принимает даже слабые проекты, успешно сопротивляется даже сильным.
2. Проект интересен не для всех — но для многих. Человек как Целое уникален, в отдельных же свойствах и отношениях он типичен Неопределенность и мозаичность жизненного пространства преодолевается в области социального проектирования введением параметра типичности:
а) потребности людей типичны (что подходит для одного, то подходит для многих);
б) жизненные траектории типичны (формы жизнедеятельности одного – формы жизнедеятельности многих);
в) поведенческие реакции людей типичны (сходные стимулы рождают сходные реакции);
г) всегда найдется определенный тип людей, которые поддержат проект или нуждаются в его осуществлении.
3. «Мы» всегда лучше, чем «они». Деление на «мы» и «они», «свои» и «чужие» — естественный для человека способ субъектного переструктурирования общества, преодоления социальных различий, с одной стороны, и установления социальных дистанций, с другой, который, сближая участников проекта, преобразует хаотическую массу в нечто определенное, устойчивое и связанное ценностно-нормативной системой.
4. Надо создавать возможное. Границы проектирования социальных изменений определяются «интересом эпохи». В творческом плане этим не отменяется разработка запредельных идей, и на предварительных этапах работы, включая концептуальный этап, можно «требовать невозможного», что лишь оттеняет устремление к созданию возможного.
5. Надо искать союзников. Инициатор социального проекта достигает успеха там, где его проект не навязывается людям, а выбирается ими. Инициатор проекта должен убедить других в том, что это и для них лучшее будущее

ФИЛОСОФИЯ СОЦИАЛЬНОГО ПРОЕКТИРОВАНИЯ:
КАРДИНАЛЬНЫЕ ИДЕИ И ПОЛОЖЕНИЯ

5

друг другу

Принцип опережающего развития культуры 
(культурной подсистемы)
по отношению
к социальной организации

Принцип пропорционального
и сбалансированного развития личностной
и социальной сфер гражданского общества и его институтов

ПРИНЦИПЫ
СОЦИАЛЬНОЙ ИНЖЕНЕРИИ

Принцип субсидиарности 
(решение проблем управления, в т.ч. числе проблем,
связанных с построением новых институтов и организаций, принимается на максимально низком уровне)

Принцип постепенности
 (поэтапности) и локального характера изменений
(К. Поппер)

НИХ

7

с целью снижения ее влияния и последующего полного разрушения

Финансовые махинации

Проникновение
в структуру организации
для дестабилизации основных узлов сети

ОБЛАСТИ ПРИЛОЖЕНИЯ ДЕСТРУКТИВНЫХ ВОЗДЕЙСТВИЙ СОЦИАЛЬНОЙ ИНЖЕНЕРИИ

Хищение
конфиденциальных сведений

Получение конфиденциальной информации

Ведение конкурентной разведки

Получение информации о маркетинговых и др. планах организации

Получение информации о перспективных сотрудниках для их вывода из организации

Доступ
к персональным данным

(системного администратора, секретаря в приемной, оператора call-центра, менеджера по работе с клиентами, охранника на посту, адресата почты или телефонного вызова)

ПЛЕЧЕВОЙ СЕРФИНГ

ПРЯМАЯ СОЦИАЛЬНАЯ ИНЖЕНЕРИЯ

ОБРАТНАЯ СОЦИАЛЬНАЯ ИНЖЕНЕРИЯ

ПОДБРОС ИНФИЦИРОВАННЫХ НОСИТЕЛЕЙ ИНФОРМАЦИИ
(«ДОРОЖНОЕ ЯБЛОКО»)

ИСПОЛЬЗОВАНИЕ ВОЗМОЖНОСТЕЙ
ОТКРЫТЫХ КАНАЛОВ ТЕЛЕКОММУНИКАЦИЙ
(телефон, электронная почта, фальшивые интернет-сайты, служба мгновенного обмена СМС, социальные сети)

ОРГАНИЗАЦИЯ НЕСАНКЦИОНИРОВАННОГО
ДОСТУПА К ЗАКРЫТЫМ КАНАЛАМ
ПЕРЕДАЧИ И БАЗАМ ДАННЫХ

ТЕХНОЛОГИЧЕСКОЕ ВСКРЫТИЕ
И ПРИМЕНЕНИЕ СПОСОБОВ УДАЛЕННОГО ДОСТУПА

СОЗДАНИЕ УЧЕТНЫХ
ЗАПИСЕЙ (С ПРАВАМИ ПОЛЬЗОВАТЕЛЯ
ИЛИ АДМИНИСТРАТОРА)

НЕСАНКЦИОНИРОВАННАЯ СМЕНА ПАРОЛЕЙ

НЕСАНКЦИОНИРОВАННОЕ ДОБАВЛЕНИЕ ДОПОЛНИТЕЛЬНЫХ ПРАВ
И ВОЗМОЖНОСТЕЙ ЗАРЕГИСТРИРОВАННЫМ ПОЛЬЗОВАТЕЛЯМ СИСТЕМЫ

ИЗУЧЕНИЕ И АНАЛИЗ
ИНФОРМАЦИОННОЙ СФЕРЫ ОБЪЕКТА

ВЫЯСНЕНИЕ
И ПОЛУЧЕНИЕ ТЕЛЕФОННЫХ НОМЕРОВ,
ПАРОЛЕЙ, СВЕДЕНИЙ

IVR (телефонный фишинг)

ПРОНИКНОВЕНИЕ НА ТЕРРИТОРИЮ

МГНОВЕННОГО ОБМЕНА СООБЩЕНИЯМИ

10

ФАКТОРЫ

Объем корреспонденции, когда невозможно уделить должное внимание каждому письму

Жертва часто выполняет запрос,
не задумываясь о своих действиях

Гиперссылки, позволяющие доступ неавторизованных пользователей
к корпоративным ресурсам
или запрашивающие данные

СПОСОБЫ ЗАЩИТЫ

Привитие скептического отношения к неожиданным входящим письмам

Включение в политику безопасности принципов использования электронной почты, применительно к:
вложениям в документы;
гиперссылкам в документах;
запросам личной или корпоративной информации, исходящим изнутри предприятия;
запросам личной или корпоративной информации, исходящим извне предприятия

Выбрать одну платформу для мгновенного обмена сообщениями.
Определить параметры защиты, задаваемые при развертывании службы SMS.
Определить принципы установле-ния новых контактов.
Задать стандарты выбора паролей.
Составить рекомендации по использованию службы SMS

Вероятность указания ссылки
на вредоносную программу
в теле сообщения

Вероятность доставки
вредоносной программы

Неформальный характер общения
в сочетании с возможностью присваивать себе любые имена позволяет злоумышленнику выдавать себя за другого человека

осуществляется доступ к локальной сети, направляется сообщение от имени бухгалтера со своего компьютера, что работа – дома, и набирается номер приемной. Секретарь зная, что бухгалтер в отпуске, переводит звонок на системного администратора. Тот, услышав от секретаря, что на проводе бухгалтер, дает ему доступ к нужному документу.

ВТОРЖЕНИЯ И МЕРЫ ПРОТИВОДЕЙСТВИЯ

11

Средства и силы вторжения

Телефон, электронная почта, сеть Интернет, СМС

Рекламные буклеты, справочники, визитки, сайты с информацией

СПОСОБЫ И ПРИЕМЫ ВТОРЖЕНИЙ

Представление себя известным лицом, коллегой, знакомым или от их имени, или новым сотрудником

Создание ситуации, когда предписанный сотрудником порядок реагирования оказывается неприменимым (об оказании срочной помощи, отсутствии лица, отпуске)

МЕРЫ ПРОТИВОДЕЙСТВИЯ

Воспрещение произнесения лишней информации ни при каких обстоятельствах и никому – в пункте инструкции

Проверка обращающегося лица требованием назвать кодовое слово, ежедневно сменяемое руководством

Запрет на разглашение телефонов сотрудников и других данных о них

Организация тестовых попыток проникновения с участием людей, которых персонал не знает

Исключение избыточной информации на сайте, в рекламных буклетах, СМИ, визитках

Использование детальной информации (названий стру-ктур, отделов, должностей, фамилий руководителей и со-трудников, их перемещений), из открытых источников (справочников), придающей речи правдивый характер

Проведение разъяснительных бесед о том, что персональные данные ни в коем случае нельзя разглашать по телефону, даже если на том конце якобы находится сотрудник уполномоченной организации

Посетители

Обращение (например, в кадровую службу) под име-нем сотрудника государственной организации, (военкома-та) с просьбой предоставить персональные данные

Обращения посетителей к охранникам под любым невинным предлогом и вызывающим сочувствие (бабушки, женщины с детьми, инвалиды – «к медсестре, в туалет, помыть руки»)

Попытки через администратора установить удаленный доступ к документам хитростью, когда социальный инженер выдает себя за кадрового работника, шантажом и даже с использованием романтических чувств

Собеседования с сотрудниками об опасности вторжений и реальности ущерба

Воспитание и сплачивание коллектива

Своевременные обновления справочников с уточнением данных об убывших и новых сотрудниках

Обучение сотрудников (особенно операторов, кассиров, охранников, секретарей) задавать уточняющие вопросы, проверять ответы любым способом (перезванивая, обеспечивая контроль над электронной почтой и пр.), не переводить внешние звонки на внутреннюю линию, записывать данные всех посторонних обращающихся

Организация проверок пропускного режима и работы охранников с посетителями

с целью убедить его выполнить какое-либо действие (в т.ч. проверку данных) и записать последовательность, а также установить вредоносное ПО для последующего проникновения и получения корпоративной интеллектуальной собственности или конфиденциальной информации (логинов, паролей и пр.)

Персонализация - модификация электронного сообщения
под конкретного пользователя, якобы полученного из надежного (или располагающего доверием) источника

Получение
и чтение послания

Следование пользователем рекомендациям, обозначенным
в тексте сообщения

Направление сообщения

Обеспечение высокого качества орфографии
и грамматики сообщения

Подготовка сообщения злоумышленником

Подбор конкретной, информации
о человеке
или компании

ПРИЗНАКИ ФИШИНГ- АТАК

получение сведений – по телефону (IRV), электронной почте, онлайн объявлениях, в социальных сетях,
в результатах поисковых систем, всплывающих системных сообщениях операторов, – СОДЕРЖАЩИХ:

предупреждения, вызывающие беспокойство

угрозы

обещания

запросы
о пожертвованиях

грамматические или пунктуационные ошибки

поздравления с успехом, победой, выигрышем

напоминание о необходимости изменения учетных данных

уведомления о потенциальных заражениях
и предложения установки антивирусных программ («scareware»)

ПРИМЕНЕНИЕ ТЕЛЕФОННОГО ФИШИНГА (вишинг – англ. vishing – voice fishing)

Предварительная запись голосовых сообщений,
с целью воссоздать «официальные звонки» банковских и др. IVR систем

Получение требования системы о аутентификации пользователя вводом PIN-кода или пароля, выполнения типичной команды: «Нажмите единицу, чтобы сменить пароль. Нажмите двойку, чтобы получить ответ оператора» создав впечатление работающей в данный момент системы предварительно записанных сообщений

Получение жертвой запроса связаться
с банком
и подтвердить
или обновить какую-либо информацию

Подбор конкретной, информации
о человеке
или компании

от имени третьего лица или с уверением, что кто-то нуждается в помощи – чаще всего по отношению к нетехническим пользователям, которые могут владеть полезной информацией

Объяснение, что некто нуждается
в помощи, на основании того, что большинство готово исполнить небольшие просьбы, которые
не воспринимаются как подозрительные запросы

После установления доверительной связи – просьба более существенного, обычно
и с большим успехом.

Использование небольших запросов и упоминание имен реальных людей в организациях, обычно вышестоящих

ПРИЗНАКИ:

проявление собеседником к вам повышенного интереса, преувеличенного внимания и заботы

отказ сообщить вам свои координаты

обращение к вам со странной
или необычной просьбой

попытка втереться к вам в доверие
или лесть

подчеркнуто начальственный тон

ПРЕДСТАВЛЕНИЯ СОТРУДНИКОВ КАК КРИТИЧЕСКИ ВАЖНЫЕ УЯЗВИМОСТИ:

сотрудники считают, что корпоративная система безопасности непогрешима

сотрудники теряют бдительность

сотрудники легко верят полученной информации, независимо
от ее источника

сотрудники
не дооценивают значимость информации, которой владеют

сотрудники искренне хотят помочь каждому, кто об этом просит

сотрудники
не осознают пагубных последствий своих действий

сотрудники
считают соблюдение корпоративной политики безопасности пустой тратой времени и сил

13

плечо в общест-венных местах (кафе, торговые центры, аэропорты, вокзалы, в общественном транспорте)

QUID PRO QUO («то, за что» - «услуга за услугу»)

ПРИЗНАКИ:

злоумышленник представляется сотрудником технической поддержки, который сообщает о возникновении технических проблем на рабочем месте сотрудника и предлагает помощь в их устранении

в процессе «решения» технических проблем, злоумышленник вынуждает цель совершать действия, позволяющие запускать команды
или устанавливать различное программное обеспечение на компьютере «жертвы»[

обращение злоумышленника в компанию по корпоративному телефону или электронной почте

большинство офисных работников готовы разгласить конфиденциальную информацию (свои пароли),
за услугу или вознаграждение

СБОР ИНФОРМАЦИИ ИЗ ОТКРЫТЫХ ИСТОЧНИКОВ

из социальных сетей (Livejournal, «Одноклассники», «ВКонтакте»)

«ДОРОЖНОЕ ЯБЛОКО»

Осуществляется подбрасывание «инфицированных» носителей информации (CD, флеш-накопитель), на которых записана программа, инициирующая атаку клиентской рабочей станции или сети при ее открытии, - в места общего доступа (туалеты, парковки, столовые, рабочее место атакуемого сотрудника, на полу лифта или в вестибюле). Вредоносное ПО находится внутри Excel, Word или PDF файлов, а сами устройства помечаются, привлекающими внимание надписями («Финансовый отчет», «Прайс-лист», «Строго конфиденциально» и т.д.), снабжаются корпоративным логотипом и ссылкой на официальный сайт компании.
Сотрудник по незнанию может подобрать диск и поместить его в компьютер, чтобы удовлетворить своё любопытство.

информации, дезактивации программ безопасности, использования ресурсов, направляемая жертве в форме электронного сообщения (ссылки), содержащего привлекательный контент (обновление антивируса и др.)

ЦЕЛИ

закачивание
и скачивание файлов

копирование ложных ссылок, ведущих на поддельные вебсайты, чаты или другие сайты с регистрацией

создание помех работе пользователя

похищение данных, представляющих ценность или тайну, в том числе информации
для аутентификации, несанкционированного доступа к ресурсам, которые могут быть использованы в преступных целях

уничтожение данных (стирание или переписывание данных на диске, труднозамечаемые повреждения файлов), выведения из строя или отказа обслуживания компьютерных систем, сетей

сбор адресов электронной почты и использование
их для рассылки спама

наблюдение
за пользователем и тайное сообщение третьим лицам сведений (например, привычка посещения сайтов)

регистрация нажатий клавиш
с целью кражи информации о паролях и номерах кредитных карточек

дезактивация или создание помех работе антивирусных программ и файервола

ПРИЗНАКИ

нарушение работы других программ (вплоть до повисания компьютера, решаемого лишь перезагрузкой, и невозможности их запуска)

имитация
имени и интерфейса существующей, несуществующей,
или просто привлекательной программы, компонента, или файла данных,
как для запуска пользователем,
так и для маскировки
в системе своего присутствия

настойчивое, независимое
от владельца предложение
в качестве стартовой страницы
спам-ссылок, рекламы
или порносайтов

распространение по компьютеру пользователя порнографии

превращение языка текстовых документов
в бинарный код

предложение
сделать определённое действие
для предотвращения труднопоправимого следствия
(бессрочной блокировки пользователя со стороны сайта, потери банковского счета, получения доступа
к управлению компьютером, установки вредоносного ПО)

в технической или социальной сфере, которое часто получает важную личную информацию, в том числе, когда никто не сомневается в их порядочности: сотрудники службы поддержки никогда не спрашивают у пользователей идентификатор или пароль – им не нужна эта информация – однако, многие пользователи ради скорейшего устранения проблем добровольно сообщают эти сведения).

ПРИЗНАКИ

Злоумышленник, работающий вместе с жертвой, изменяет на её компьютере имя файла или перемещает его в другой каталог

Жертва замечает пропажу файла.
Злоумышленник заявляет, что может все исправить, но только войдя в систему с учетными данными жертвы.
Жертва, желая быстрее завершить работу или избежать наказания за утрату информации, соглашается.

Жертва просит злоумышленника войти в систему под её именем, чтобы попытаться восстановить файл

Злоумышленник:
неохотно соглашается и восстанавливает файл;
крадет идентификатор и пароль жертвы;
успешно осуществив атаку, улучшает свою репутацию, и вполне возможно, что после этого к нему будут обращаться за помощью и другие коллеги.
Этот подход не пересекается с обычными процедурами оказания услуг поддержки и осложняет поимку злоумышленника

НЕСАНКЦИОНИРОВАННОЕ ПРОНИКНОВЕНИЕ

.

получение злоумышленником физического доступа
на объект путем принуждения
или обмана сотрудников,
или в обход периметра безопасности

получение злоумышленником конфиденциальных данных
и (или) установка
крытых устройств съема информации в очень короткий промежуток времени

фотографирование документов, оставленных на принтерах или столах, или установка устройств, обеспечивающих последующий
Wi-Fi или 3G доступ к сети