^
Українська  English

Михневич Павел Денисович
Факультет компьютерных наук и технологий
Кафедра искусственного интеллекта и системного анализа
Специальность Программное обеспечение интеллектуальных систем
Тема выпускной работы Разработка веб-сервиса для фонетической обработки текстовой информации
Научный руководитель: к.ф.-м.н., доц. Кравец Татьяна Николаевна


Михневич Павел Денисович

ДонНТУ  Портал магистров

Актуальность социальной инженерии в современном мире

Что такое социальная инженерия

Согласно википедии: социáльная инжене́рия — совокупность приёмов, методов и технологий создания такого пространства, условий и обстоятельств, которые максимально эффективно приводят к конкретному необходимому результату, с использованием социологии и психологии

Социальная инженерия – это методы управления действиями человека, используя слабости человеческого фактора.

В широком смысле, это провокация индивида на нарушение каких-либо корпоративных или личных мер безопасности.

Самый известный приём, относящийся к социальной инженерии, пусть и в самых примитивных её проявлениях – фишинг. В его процессе злоумышленник выдаёт себя за другое, доверенное цели атаки, лицо или компанию, и под этим предлогом просит раскрыть какую-либо конфиденциальную информацию. Чаще всего, такие атаки имеют массовый характер, используя рассылку по электронной почте или социальным сетям, поэтому относятся к безличностному типу.

Забавным примером безличностного типа атаки, хоть и из несколько иной области, может послужить случай, когда обычные карманники сами развешивали в метро предупреждения, по типу: "На этой станции происходит большое количество краж. Внимательно следите за своими ценными вещами!". При виде этих предупреждений, пассажиры автоматически проверяли сохранность своих ценных вещей, за чем со стороны наблюдали сами воры, высматривая, кто из пассажиров хранит свои бумажники в уязвимых частях гардероба.

В качестве ещё одного удалённого метода атаки является доставка инфицированного носителя к атакуемой корпоративной сети, или персональному компьютеру. Вариаций множество, но все они приводят к одному и тому же сценарию – жертва всё выполняет сама. К примеру, возвращаясь с обеда, сотрудник фирмы N подобрал usb-накопитель, с интригующей надписью на корпусе, и решил посмотреть его содержимое прямо на рабочем месте. Что может случиться дальше, думаю, понятно. Способ также достаточно распространён, и получил прозвище дорожное яблоко

Более контактной методикой будет претекстинг. Грубо говоря, это усовершенствованный контактный фишинг. Обладая какой-либо конфиденциальной информацией о цели, проще вызвать у неё доверие, только благодаря факту обладания этими сведениями. Вам может поступить вызов на телефон, где собеседник уверенным голосом сообщит ваше ФИО, номер паспорта, и представится, к примеру, работником налоговой службы. Т.к. он обладает теми же сведениями, которыми потенциально могут обладать работники НС, и при этом, якобы, закрыты от посторонних, его легенда кажется достаточно правдоподобной. Дальше всё зависит от доверчивости цели, и требований злоумышленника. Но скорее всего, это будет какая-либо совсем незначительная, на первый взгляд, информация, которую цель поведает без долгих сомнений.

Почему это важно?

Цифровая безопасность развивается крайне быстро. Чему, разумеется, способствует совместная деятельность крупных корпораций, исследователей и просто отдельных энтузиастов. Темпы роста поистине колоссальны, и с каждым днём рядовой пользователь становится всё более защищённым от попыток взлома своего устройства.

Но методы взлома людей, т.е. социальных атак, сейчас работают так же эффективно, как и много лет назад. Обновляя антивирусные базы, вы не защищаете себя ни от одного метода управления вашим доверием.

Пожалуй, единственным крупным событием последних лет, в области защиты человеческой наивности, стала популяризация дополнительных методов аутентификации, при которых человек, возможно злоумышленник, должен не только знать определённую информацию, но и подтвердить факт обладания уникальным физическим объектом.

Из грядущих прорывов в этой области может стать биометрика, если приобретёт достаточную массовость.

Разумеется, популяризированные методы атак чересчур упрощены, а где-то приукрашены для большей наглядности. Специалисты социальной инженерии используют сочетание из нескольких методов атак одновременно, подкрепляя психологические методы технической подкованностью. Перемежая все имеющиеся в своём арсенале способы, реальная атака зачастую не вызовет у жертвы даже малейших подозрений.


Среди магистров ДонНТУ тему безопасности в сети также затронул Бурлаков Владимир Игоревич.

Сайт разработан в рамках выполнения индивидуальной работы по дисциплине интернет‑технологии,
в 2018–2019 учебном году, в соответствии с требованиями и ограничениями, описанными в задании.
Вся информация и её представление актуальны исключительно на конец 2018 года.