Разработка методики противодействия социальному инжинирингу на предприятиях БРО ООО «ВДПО» и ООО «Служба Мониторинга – Уфа»

3. Вишинг – данная техника основана на использовании системы предварительно записанных голосовых сообщений, целью которых является воссоздание «официальных звонков» от банковских и других IVR (англ.Interactive Voice Response) систем [40, с. 175]. Обычно, жертва получает запрос (чаще всего через фишинг электронной почты) о необходимости связи с банком для подтверждения или обновления какой-либо информации. Система требует аутентификации пользователя с помощью ввода PIN-кода или пароля. Основное отличие вишинга в том, что, так или иначе, задействуется телефон. Принцип действия IVR систем показан на рисунке 4.

Рисунок 4 Принцип действия IVR систем

Согласно информации от «Secure Computing» [49], мошенники конфигурируют автонабиратель, который набирает номера в определенном регионе и при ответе на звонок происходит следующее:

·   автоответчик предупреждает потребителя, что с банковской картой производятся мошеннические действия, и дает инструкции – перезвонить по определенному номеру немедленно;

·   при последующем перезванивании, на другом конце провода отвечает компьютерный голос, который сообщает, что человек должен пройти сверку данных и ввести 16-значный номер карты с клавиатуры телефона;

·   после введения номера, вишер становится обладателем всей необходимой информации (номер телефона, полное имя, адрес);

·   затем, используя этот звонок, можно собрать и дополнительную информацию, такую, как PIN-код, срок действия карты, дата рождения, номер банковского счета и тому подобное.

4. Фарминг (англ. Pharming) – перенаправление жертвы по ложному интеренет-адресу. Для этого используется некая навигационная структура (файл «hosts», система доменных имен – «domain name system») [16, c. 69]. Суть работы фарминга имеет много общего со стандартным вирусным заражением. Жертва открывает письмо или посещает какой-либо веб-сервер, на котором выполняется скрипт-вирус, при этом происходит искажение файла «hosts», в результате жертва попадает на один из ложных сайтов. Механизмов защиты от фарминга на сегодня просто не существует.

5. Услуга за услугу – этот вид атаки подразумевает под собой звонок социального инженера в организацию по корпоративному (внутреннему) телефону. В большинстве случаев социальный инженер представляется сотрудником технической поддержки, который производит опрос на возникновение технических проблем. Во время процесса «решения» технических проблем, социальный инженер «заставляет» цель вводить команды, которые позволяют ему запустить или установить вредоносное ПО на компьютер пользователя [13, с. 433].

6. Троянский конь (или троянская программа) – это вредоносная программа, которая используется социальным инженером для сбора и использования информационных ресурсов в своих целях [39, с. 473]. Данная техника использует любопытство, либо другие эмоции человека.

Разработчики троянских  программ используют те же приемы, что  и маркетологи. Для достижения своей  цели вирусописатели используют человеческие слабости:

·   недостаточная подготовка;

·   желание выделиться;

·   жалость и милосердие;

·   желание просмотра «интересного» контента;

·   интерес к продукту, который нужен населению или который очень сложно достать;

·   интерес к методикам быстрого обогащения с помощью финансовых пирамид, супер-идеям для успешного ведения бизнеса или беспроигрышной игры в казино.

Открывая прикрепленный  к письму файл, сотрудник устанавливает  на компьютер вредоносное ПО, которое  позволяет социальному инженеру получить доступ к конфиденциальной информации.

Распространение троянских  программ происходит путем размещения их на открытых ресурсах (файл-серверы, открытые для записи накопители самого компьютера), носителях информации или присылаются с помощью  служб обмена сообщениями (например: электронная почта, ICQ) из расчета на их запуск на каком-то конкретном или случайном компьютере [17, с. 174].

Редко использование «троянов»  является лишь частью спланированной многоступенчатой атаки на определенные компьютеры, сети или ресурсы.

Троянские программы чаще всего разрабатываются для вредоносных  целей. Существует классификация, где  они разбиваются на категории, основанные на том, как «трояны» внедряются в  систему и наносят ей вред. Существует 5 основных типов:

·   удалённый доступ;

·   уничтожение данных;

·   загрузчик;

·   сервер;

·   дезактиватор программ безопасности.

Целью троянской программы  может являться:

·   закачивание или скачивание файлов;

·   копирование ложных ссылок, ведущих на поддельные веб-сайты, чаты или другие сайты с регистрацией;

·   создание помех работе пользователя;

·   похищение данных, представляющих ценность или тайну, в том числе информации для аутентификации, для НСД к ресурсам;

·   распространение других вредоносных программ, таких как вирусы;

·   уничтожение данных (стирание или переписывание данных на диске, трудно замечаемые повреждения файлов) и оборудования, выведения из строя или отказа обслуживания компьютерных систем, сетей;

·   сбор адресов электронной почты и использование их для рассылки спама;

·   шпионство за пользователем и тайное сообщение третьим лицам каких-либо сведений;

·   регистрация нажатий клавиш с целью кражи информации такого рода как пароли и номера кредитных карточек;

·   дезактивация или создание помех работе антивирусных программ и файервола [45, с. 37].

7.   Сбор информации из открытых источников. Применение техник социального инжиниринга требует не только знания психологии, но и умения собирать о человеке необходимую информацию. Относительно новым способом получения такой информации стал ее сбор из открытых источников, главным образом из социальных сетей [34, с. 210]. К примеру, такие сайты, как «livejournal», «Одноклассники», «Вконтакте» содержат огромное количество данных, которые люди не скрывают (пример: «в ходе следствия о похищении сына Евгения Касперского, было установлено, что преступники узнали расписание дня и маршруты следования подростка из его записей на странице в социальной сети»).

8. «Дорожное яблоко» – представляет собой адаптацию троянского коня, и состоит в использовании физических носителей. Социальный инженер подбрасывает «инфицированный» диск, или флэш-карту в место, где носитель может быть легко найден (туалет, лифт, парковка). Носитель подделывается под официальный, и сопровождается подписью, призванной вызвать любопытство [22, с. 80] (например, социальный инженер может подбросить диск, снабженный корпоративным логотипом и ссылкой на официальный сайт организации, снабдив его надписью «Заработная плата руководящего состава». Диск оставляется на полу лифта, или в вестибюле. Сотрудник по незнанию подбирает диск и вставляет его в компьютер, чтобы удовлетворить любопытство).

9. Обратный социальный инжиниринг. О нем упоминают в том случае, когда жертва сама предлагает злоумышленнику нужную ему информацию (например: сотрудники службы поддержки, для решения проблемы, никогда не спрашивают у сотрудников идентификатор или пароль. Однако многие пользователи ради скорейшего устранения проблем добровольно сообщают эти конфиденциальные сведения).

Обратный социальный инжиниринг строится на трех факторах:

·   создание ситуации, которая вынуждает человека обратиться за помощью;

·   реклама своих услуг или опережение оказания помощи другими людьми;

·   оказание помощи и воздействие.

10. Человеческий отказ в обслуживании – суть атаки заключается в том, чтобы заставить человека (незаметно для него) не реагировать на какие-либо ситуации. Т.е., делается так, чтобы каждое слово социального инженера воспринимается как правда безоговорочно и без осмысливания. К такого рода атакам относится и отвлечение внимания. Социальный инженер осуществляет ложное представление о выполнении одной операции, а на самом деле выполняет совсем другую. Таким образом, пока жертва занята одним, другого она не замечает. Атаки такого рода выполняются довольно сложно, т.к. необходимо хорошо просчитать психологию жертвы, ее знания и реакции на такие действия [27, с. 50].

11. Технический социальный инжиниринг. К этому виду атак относятся все те атаки, в которых нет ни «жертвы» ни «воздействия на нее». В атаках этого типа используются принципы и стереотипы социума, что и относит их к социальному инжинирингу. В качестве примера можно привести следующие рассуждения: «Раз стоят камеры, то, скорее всего, никто не полезет» или «Чем больше организация, тем тверже у людей мнение о ее защищенности». Такой способ более широко известен как анализ ситуации. Человек видит, что пройти обычным путем (стандартным) не получится, и начинает просматривать иные варианты, то есть занимается анализированием ситуации [27, с. 51].

12. Личный визуальный контакт – является наисложнейшей техникой. Осуществить эту технику могут только профессиональные психологи или специально подготовленные люди. Техника осуществляется следующим образом: к жертве находится подход, находится слабое место, вычисляется это с помощью анализа ответов на вопросы. Главное для социального инженера в таком случае – разговаривать с жертвой «в рамках слабого места», что впоследствии приведет к тому, что он очень понравится жертве как человек, и та выложит все, что необходимо, считая, что ничего особо важного не рассказывает.

13. Системы обмена мгновенными сообщениями (IM). В настоящее время в интернет существует множество программ, которые могут тем или иным способом влиять на работу ICQ [29, с 18]. В список их возможностей входит отсылка сообщения от имени другого пользователя. Также злоумышленник может проводить атаку в виде специально сформированного текста, но основным путем распространения вирусов через ICQ является передача файлов, поэтому необходимо быть очень осторожным с предложениями загрузить файл от постороннего человека, т.к. операционная система не всегда способна правильно выдать информацию о запускаемом файле. Microsoft Windows по умолчанию не показывает расширения имен (например: имя файла «foto.jpg.ехе» будет показано как «foto.jpg»). Для маскировки реального расширения применяется двойное расширение вроде «xxx.jpg.exe» (в данном случае может помочь то, что некоторые почтовые серверы отказываются пропускать исполняемые файлы) или добавляется большое количество пробелов, из-за чего имя файла отображается не полностью.

Пользователи расценивают  данную службу как телефон и не связывают ее с потенциальными угрозами ПО. Болтливая природа IM, вместе с  опцией предоставления прозвища весьма расширяет возможности для атаки [47]. На  рисунке 5 показано, как работает имитация при использовании электронной почты и IM.

Рисунок 5 Имитация при использовании IM и e-mail

Социальный инженер (на рисунке  выделен красным цветом) исполняет  роль известного пользователя и посылает электронную почту или IM-сообщение, рассчитывая на то, что получатели примут их за сообщения от того, кого они знают.

14. Анализ мусора – это ценная деятельность для социальных инженеров. Деловые бумажные отходы неоценимы [19, с. 85], т.к. во время атаки, это может помочь казаться сотрудником организации.

15. Личностные подходы. Самый простой путь получения информации – это попросить об этом непосредственно. Существует четыре разновидности такого подхода [48]:

·   запугивание (этот подход может использовать олицетворение полномочий, чтобы принудить жертву исполнить запрос);

·   убеждение (самые обычные формы убеждения включают лесть);

·   использование доверительных отношений (этот подход требует более долгого срока, в течение которого подчиненный или коллега формируют отношения, чтобы получить доверие и информацию от жертвы);

·   помощь (в этом подходе предлагается помощь жертве. Помощь будет требовать, чтобы жертва обнародовала личную информацию).  

 

1.3 Известные социальные  инженеры

Одним из самых знаменитых социальных инженеров в истории  является Кевин Митник. Будучи всемирно известным компьютерным хакером  и консультантом по безопасности, Митник является автором книг по компьютерной безопасности, посвященным, в основном, социальному инжинирингу и методам  психологического воздействия на человека.

Братья Бадир. Несмотря на то, что братья Мушид и Шади Бадир  были слепыми от рождения, они сумели реализовать несколько крупных  схем мошенничества в Израиле  в 1990-х годах, использовав социальный инжиниринг и подделку голоса. В  телеинтервью они сказали: «Полностью от сетевых атак застрахован лишь тот, кто не пользуется телефоном, электричеством и ноутбуком» [55].

Менее известными социальными  инженерами являются Фрэнк Абигнейл, Дэвид Бэннон, Питер Фостер и Стивен Джей Рассел.

2 АНАЛИЗ СОСТОЯНИЯ  ИЗУЧАЕМОЙ ПРОБЛЕМЫ В ОРГАНИЗАЦИЯХ  

 

2.1 Краткие характеристики  организаций

Исследование данной проблемы рассматривалось на примерах двух конкретных организаций:

1. Общество с ограниченной  ответственностью «Служба Мониторинга – Уфа».

2.   Башкортостанское региональное отделение Общероссийской общественной организации «Всероссийское добровольное пожарное общество».

Общество с ограниченной  ответственностью «Служба Мониторинга – Уфа» (ООО «СМ – Уфа») учреждено решением общего собрания учредителей 25 мая 2011 года, зарегистрировано Федеральной налоговой службой 7 июля 2011 года, действует на основании Устава ООО «Служба Мониторинга – Уфа», действует в соответствии с Гражданским кодексом Российской Федерации, Федеральным законом Российской Федерации от 8 февраля 1998 г. №14-ФЗ «Об обществах с ограниченной ответственностью» и иным действующим законодательством Российской Федерации.

Основные задачи организации  – это построение и обслуживание системы передачи информации о пожарах  для единой дежурно-диспетчерской  службы (ЕДДС) МЧС РФ по РБ, реализация государственных и общественных программ защиты населения и имущества  от пожаров [54]. Основой работы организации  являются передовые технологии в  области радиоэлектронных технологий.

Организация осуществляет следующие  виды деятельности:

·   производство электромонтажных работ;

·   производство радио- и телевизионной передающей аппаратуры;

·   производство частей теле- и радиопередающей аппаратуры, телефонной или телеграфной электроаппаратуры;

·   производство санитарно-технических работ;

·   монтаж прочего инженерного оборудования;

·   оптовая торговля прочими машинами, приборами, оборудованием общепромышленного и специального назначения;

·   разработка программного обеспечения и консультирование в этой области;

·   деятельность в области права;

·   консультирование по вопросам коммерческой деятельности и управления;

·   предоставление услуг по установке, ремонту и техническому обслуживанию теле- и радиопередатчиков;

·   предоставление услуг по монтажу, ремонту и техническому обслуживанию прочего электрооборудования, не включенного в другие группировки;