Актуальність соціальної інженерії в сучасному світі

Що таке соціальна інженерія

Згідно вікіпедії: соціальна інженерія – сукупність прийомів, методів і технологій створення такого простору, умов і обставин, які максимально ефективно призводять до конкретного необхідного результату, з використанням соціології та психології

Соціальна інженерія – це методи управління діями людини, використовуючи слабкості людського фактору.

У широкому сенсі, це провокація індивіда на порушення будь-яких корпоративних чи особистих заходів безпеки.

Найвідоміший прийом, що відноситься до соціальної інженерії, нехай і в найпримітивніших її проявах – фішинг. У його процесі зловмисник видає себе за іншу, довірену цілі атаки, особу або компанію, і під цим приводом просить розкрити будь-яку конфіденційну інформацію. Найчастіше, такі атаки мають масовий характер, використовуючи розсилку по електронній пошті або соціальних мереж, тому відносяться до безособистісному типу.

Забавним прикладом безособистісного типу атаки, хоч і з дещо іншої області, може послужити випадок, коли звичайні кишенькові злодії самі розвішували в метро попередження, по типу: "На цій станції відбувається велика кількість крадіжок. Уважно стежте за своїми цінними речами!". При виді цих попереджень, пасажири автоматично перевіряли збереженість своїх цінних речей, за чим з боку спостерігали самі злодії, виглядаючи, хто з пасажирів зберігає свої гаманці в уразливих частинах гардеробу.

В якості ще одного віддаленого методу атаки є доставка інфікованого носія до атакуємої корпоративної мережі, або персонального комп'ютера. Варіацій безліч, але всі вони приводять до одного сценарію – жертва все виконує сама. Наприклад, повертаючись з обіду, співробітник фірми N підібрав usb-накопичувач, з інтригуючим написом на корпусі, і вирішив подивитися його вміст прямо на робочому місці. Що може статися далі, думаю, зрозуміло. Спосіб також досить поширений, і отримав прізвисько дорожнє яблуко

Більш контактної методикою буде претекстінг. Грубо кажучи, це вдосконалений контактний фішинг. Володіючи будь-якою конфіденційною інформацією про ціль, простіше викликати у неї довіру, тільки завдяки факту володіння цими відомостями. Вам може надійти виклик на телефон, де співрозмовник впевненим голосом повідомить ваше ПІБ, номер паспорта, і представиться, наприклад, працівником податкової служби. Оскільки він має ті самі дані, якими потенційно можуть володіти працівники ПС, і при цьому, нібито, закриті від сторонніх, його легенда здається досить правдоподібною. Далі все залежить від довірливості цілі, і вимог зловмисника. Але швидше за все, це буде якась зовсім незначна, на перший погляд, інформація, яку мету повідає без довгих сумнівів.

Чому це важливо?

Цифрова безпека розвивається вкрай швидко. Чому, зрозуміло, сприяє спільна діяльність крупних корпорацій, дослідників і просто окремих ентузіастів. Темпи зростання воістину колосальні, і з кожним днем пересічний користувач стає все більш захищеним від спроб злому свого пристрою.

Але методи злому людей, тобто соціальних атак, зараз працюють так само ефективно, як і багато років тому. Оновлюючи антивірусні бази, ви не захищаєте себе від жодного методу управління вашою довірою.

Мабуть єдиною великою подією останніх років, в області захисту людської наївності, стала популяризація додаткових методів аутентифікації, при яких людина, можливо зловмисник, повинен не тільки знати певну інформацію, але і підтвердити факт володіння унікальним фізичним об'єктом.

З майбутніх проривів в цій області може стати біометрія, якщо придбає достатню масовість.

Зрозуміло, популяризовані методи атак надто спрощені, а десь прикрашені для більшої наочності. Фахівці соціальної інженерії використовують поєднання з декількох методів атак одночасно, підкріплюючи психологічні методи технічною підкованістю. Перемежовуючи всі наявні в своєму арсеналі способи, реальна атака часто не викличе у жертви навіть найменших підозр.

Серед магістрів ДонНТУ тему безпеки в мережі також торкнувся Бурлаков Володимир Ігорович.