Соціальна інженерія

Визначення поняття

Сьогодні, коли володіння інформацією стало активно використовуватися в комерційних цілях, важливу роль в інформаційній безпеці відіграє людський фактор. Технології безпеки, такі як міжмережеві екрани, пристрої ідентифікації, засоби шифрування, системи виявлення мережевих атак і т.д. малоефективні в протистоянні хакерам, які використовують методи соціальної інженерії. У зв’язку з цим актуальною стає проблема роботи з персоналом, навчання співробітників застосуванню політики безпеки і технікам протистояння соціоінженерам, що є запорукою безпеки для баз корпоративної інформації.

Соціальна інженерія (від англ. Social Engineering) – це використання некомпетентності, непрофесіоналізму або недбалості персоналу для отримання доступу до інформації. Цей метод зазвичай застосовується без комп’ютера, з використанням звичайного телефону, поштового листування і т.д. В ході атаки хакер встановлює контакт з носієм інформації (вводить в оману, входить в довіру) і таким чином намагається отримати відомості, які або складно отримати іншим шляхом або ці шляхи є більш ризикованими.

Вигоди соціальної інженерії

Методи соціальної інженерії здатні обійти найпотужніші системи інформаційної безпеки. До того ж використання соціальної інженерії при несанкціонованому отриманні інформації дуже вигідно, тому що

  • – це простіше, ніж зламати технічну систему безпеки;
  • – атаки можна обчислити за допомогою технічних засобів захисту інформації;
  • – це не вимагає великих вкладень;
  • – являє собою мінімальний ризик;
  • – працює для будь-якої операційної системи;
  • – має стовідсотковий ефект.

Методи атак

Найпоширенішими методами атак є:

  • – з’ясування, передача або несанкціонована зміна паролів;
  • – створення облікових записів (з правами користувача або адміністратора);
  • – запуск шкідливого програмного забезпечення (наприклад, «троянця»;
  • – з’ясування телефонних номерів чи інших способів віддаленого доступу до корпоративної інформаційної системи;
  • – фішинг (електронне шахрайство);
  • – несанкціоноване додавання додаткових прав і можливостей зареєстрованим користувачам системи;
  • – передача або поширення конфіденційної інформації.

Інформаційна база соціальної інженерії

Перед тим як почати атаку, соціоінженер проводить дослідження. Він може використовувати офіційну звітність компанії-жертви, її заявки на патенти, повідомлення про неї в пресі, рекламні буклети і корпоративний сайт. Хакер намагається отримати максимум інформації про співробітників, з’ясовує, хто в компанії має доступ до цікавлять його матеріалами, яке програмне забезпечення встановлено на корпоративних комп’ютерах і т.д. При цьому він намагається видати себе за людину, яка має право на доступ до цікавлять його даними і кому ці дані дійсно потрібні, тому він повинен вільно орієнтуватися в термінології, володіти професійним жаргоном, знати внутрішні порядки компанії-жертви. Потім слід розробка плану атаки: придумується привід або схема обману, які допоможуть побудувати довірчі відносини з потрібним співробітником. Якщо атака пройшла успішно і хакери не викрили, то він ще не раз скористається виникли довірою.

Співробітники – це найбільш слабка ланка в системі захисту інформації. Навіть на рівні керівництва нерідко побутує думка, що корпоративна система безпеки непогрішна. Помилкою було б вважати і те, що дотримання корпоративної політики безпеки – це марна трата часу і сил. Рядові ж співробітники часто недооцінюють важливість інформації, якою володіють, і легко діляться нею з кожним, хто про це попросить, не усвідомлюючи згубні наслідки своїх дій. Але навіть самі пильні співробітники не завжди можуть розпізнати, що діє соціальний інженер, і що вони піддаються атаці. Тому ключовим фактором успіху в захисті інформації є навчання.

Посилання на основну публікацію