Визначення поняття
Сьогодні, коли володіння інформацією стало активно використовуватися в комерційних цілях, важливу роль в інформаційній безпеці відіграє людський фактор. Технології безпеки, такі як міжмережеві екрани, пристрої ідентифікації, засоби шифрування, системи виявлення мережевих атак і т.д. малоефективні в протистоянні хакерам, які використовують методи соціальної інженерії. У зв’язку з цим актуальною стає проблема роботи з персоналом, навчання співробітників застосуванню політики безпеки і технікам протистояння соціоінженерам, що є запорукою безпеки для баз корпоративної інформації.
Соціальна інженерія (від англ. Social Engineering) – це використання некомпетентності, непрофесіоналізму або недбалості персоналу для отримання доступу до інформації. Цей метод зазвичай застосовується без комп’ютера, з використанням звичайного телефону, поштового листування і т.д. В ході атаки хакер встановлює контакт з носієм інформації (вводить в оману, входить в довіру) і таким чином намагається отримати відомості, які або складно отримати іншим шляхом або ці шляхи є більш ризикованими.
Вигоди соціальної інженерії
Методи соціальної інженерії здатні обійти найпотужніші системи інформаційної безпеки. До того ж використання соціальної інженерії при несанкціонованому отриманні інформації дуже вигідно, тому що
- – це простіше, ніж зламати технічну систему безпеки;
- – атаки можна обчислити за допомогою технічних засобів захисту інформації;
- – це не вимагає великих вкладень;
- – являє собою мінімальний ризик;
- – працює для будь-якої операційної системи;
- – має стовідсотковий ефект.
Методи атак
Найпоширенішими методами атак є:
- – з’ясування, передача або несанкціонована зміна паролів;
- – створення облікових записів (з правами користувача або адміністратора);
- – запуск шкідливого програмного забезпечення (наприклад, «троянця»;
- – з’ясування телефонних номерів чи інших способів віддаленого доступу до корпоративної інформаційної системи;
- – фішинг (електронне шахрайство);
- – несанкціоноване додавання додаткових прав і можливостей зареєстрованим користувачам системи;
- – передача або поширення конфіденційної інформації.
Інформаційна база соціальної інженерії
Перед тим як почати атаку, соціоінженер проводить дослідження. Він може використовувати офіційну звітність компанії-жертви, її заявки на патенти, повідомлення про неї в пресі, рекламні буклети і корпоративний сайт. Хакер намагається отримати максимум інформації про співробітників, з’ясовує, хто в компанії має доступ до цікавлять його матеріалами, яке програмне забезпечення встановлено на корпоративних комп’ютерах і т.д. При цьому він намагається видати себе за людину, яка має право на доступ до цікавлять його даними і кому ці дані дійсно потрібні, тому він повинен вільно орієнтуватися в термінології, володіти професійним жаргоном, знати внутрішні порядки компанії-жертви. Потім слід розробка плану атаки: придумується привід або схема обману, які допоможуть побудувати довірчі відносини з потрібним співробітником. Якщо атака пройшла успішно і хакери не викрили, то він ще не раз скористається виникли довірою.
Співробітники – це найбільш слабка ланка в системі захисту інформації. Навіть на рівні керівництва нерідко побутує думка, що корпоративна система безпеки непогрішна. Помилкою було б вважати і те, що дотримання корпоративної політики безпеки – це марна трата часу і сил. Рядові ж співробітники часто недооцінюють важливість інформації, якою володіють, і легко діляться нею з кожним, хто про це попросить, не усвідомлюючи згубні наслідки своїх дій. Але навіть самі пильні співробітники не завжди можуть розпізнати, що діє соціальний інженер, і що вони піддаються атаці. Тому ключовим фактором успіху в захисті інформації є навчання.