Механизмы защиты от социального инжиниринга

В любой организации есть уязвимые места [1]. Они есть всегда и заключаются не в системах, а в человеческом факторе.

В этой связи следует обратить внимание на метод (атак) несанкционированного доступа к информации или системам хранения информации без использования технических средств, т. е. социальный инжиниринг. Данный метод основан на использовании особенностей человеческой природы и считается достаточно деструктивным.

Социальный инжиниринг [2] используется довольно часто, особенно для проделывания взломщиком «тонкой работы» по краже документов и т. д. Данный феномен развивается в настоящее время как отдельная отрасль психологии.

Особенность метода заключается в том, что человек ничего не замечает. Это самый опасный тип атаки, который трудно обнаружить, а еще труднее от него защититься. Социальный инженер, использующий искусство обмана в качестве главного оружия, основывает свои действия на самых лучших человеческих качествах: стремлении помочь ближнему, вежливости, желанию работать в команде, отзывчивости и естественном желании довести дело до конца.

Цели могут быть самыми разными, но подразумевается один смысл. Этим смыслом и является кража информации. Те, кто использует социальный инжиниринг, претендуют на то, чтобы без лишнего внимания заполучить информацию, как правило, сделав копию. Далее осуществляются задуманные действия: продажа, перепродажа, шантаж первичного владельца и т. д. Тем не менее статистика говорит о том, что так тонко работают в большинстве случаев по заказу конкурирующей организации и т. п. [4].

Наиболее популярными инструментами атак являются:
Human denial of service (HDoS) (в переводе человеческий отказ в обслуживании, суть – заставить человека не реагировать на те или иные ситуации);
техническая социальная инженерия (здесь используются принципы и стереотипы социума);
звонок (подразумевается непосредственный голосовой контакт);
личный визуальный контакт (необходимо найти к жертве подход, вычисляется это с помощью анализа его вопросов);
электронная почта (e-mail);
системы обмена мгновенными сообщениями (MSN, ICQ, Skype и др.).

В случае социального инжиниринга, так же, как и в обычных атаках, целесообразно учитывать классификационные характеристики степени доступа при успешно проведенной атаке. Эта степень зависит от уровня подготовленности злоумышленника и того, кем является жертва.

Традиционно различают четыре уровня, представленных в порядке убывания полномочий: администратор, начальник, пользователь, знакомый.

Основные психологические инструменты, лежащие в основе са-мых распространенных методов социальных инженеров:
вхождение в роль (социальный инженер обычно демонстрирует несколько характерных признаков той роли, которую он разыгрывает);
доверие – это одна из наиболее распространенных атак социальной инженерии, фундамент всего следующего в дальнейшем;
жертву заставляют играть определённую роль (социальный инженер часто вынуждает свою мишень играть непривычную роль, например, принуждая ее к подчинению своим агрессивным поведением или взывая к жалости);
сбивание с мысли (социальные инженеры стремятся вступить в контакт с мишенями, когда те находятся в случайном режиме размыш-лений, и удерживать их там);
момент согласия (создают момент согласия, делая целую серию запросов, начиная с совершенно безобидных);
потребность помогать (люди испытывают позитивные эмоции, ко-гда помогают другим);
присвоение (если человек присваивает себе некую роль, другие люди ведут се¬бя по отношению к нему в соответствии с этой ролью);
симпатия (часто используют тот факт, что все люди более охотно говорят «да» в ответ на запрос людей, которые им симпатичны);
страх (социальный инженер иногда убеждает свою жертву в том, что должны случиться ужасные вещи, – но эту катастрофу можно предотвратить, если действовать так, как предлагает атакующий);
реактивность – это естественный ответ человеческой психики на ситуацию, угрожающую свободе.

Защита от атак социальных инженеров требует целого комплекса скоординированных усилий. Очень важно информировать сотрудников организации об этих угрозах и обучать их тому, как противостоять им и не давать себя использовать в качестве пособника атакующих. В течение многих лет человеческий фактор был и остается самым слабым звеном в структуре информационной безопасности.

Литература:
1. Митник Кевин Д.. Искусство вторжения. – К: АйТи-Пресс, 2005. – 158 с.
2. Мухин Ю.И.. Наука управлять людьми. – К: Фолиум, 1995. – 271 с.
3. Мелихов И.Н.. Скрытый гипноз. – К: Перемена, 2003. – 105 с.
4. Татарова Г.Г.. Социологические исследования. – К: Социс, 2001. – 83 с.
5. Райцин В.Я.. Моделирование социальных процессов. – К: КомпьютерПресс, 2005. — 154 с.
6. Митник Кевин Д. Искусство обмана / Кевин Д. Митник, Вильям Л. Саймон – К: Компания АйТи, 2004. – 286 с.
7. Гуц А.К. Социальные системы / А. К. Гуц, В. В. Коробицын. – К: Наследие, 2000. – 130 c.