Социальная инженерия

АНОТАЦИЯ

Информация является одним из наиболее ценных ресурсов любой компании, поэтому обеспечение защиты информации является одной из важнейших и приоритетных бизнес-задач.

С каждым годом и месяцем технические системы защиты все больше и больше совершенствуются за счет постоянного развития современных технологий, учета множества потребностей и различных рисков. К грамотно отстроенным техническим системам защиты можно длительное время не подходить и последние будут исправно выполнять свои основные функции и задачи. Что нельзя сказать о человеке. Люди, так и будут оставаться людьми, со своими слабостями, предрассудками, стереотипами, являясь самым слабым звеном в цепочке безопасности.

В данной работе пойдет речь об эксплуатации «человеческого фактора» при намеренном воздействии (атаке) на который, самые совершенные и дорогостоящие системы защиты, становятся ненужными, неэффективными, попросту игрушками. В современном мире такое воздействие принято называть социальной инженерией.

В работе рассматривается, что такое социальная инженерия в контексте защиты информации. Её происхождение как науки и основных составляющих компонентов. Попытаемся выяснить, кто такие социальные инженеры, какой рейтинг новой угрозы (социальной инженерии) приводит международная статистика, какими знаниями социальные инженеры могут обладать, рассмотрим психологическую составляющую, которую социоинженеры повсеместно используют в своей деятельности и в завершении будет приведен набор методов и средств защиты информации от социальной инженерии.

Данная работа не является исчерпывающей и не может заменить собой ни одну из имеющихся на сегодняшний день научных работ, книг, статей, иных документов по данной тематике. Она не является инструкцией или методическим руководством. Работа является информационно-аналитической введением в предметную область и заставляет читателя прийти к основной мысли сформулированной международным экспертом по безопасности Брюсом Шнайером, что «безопасность - это непрерывный процесс, а не результат» и избавляет читателя от иллюзии абсолютной защищенности, как отдельно взятого человека, так и компании в целом.

Работа будет интересна специалистам профилирующих кафедр по защите информации, информационным технологиям, менеджменту организаций. Также представляет интерес для руководства высшего звена компаний, IT-подразделений и подразделениям по информационной безопасности, сотрудникам службы безопасности, менеджерам по обслуживанию и техническим менеджерам, сотрудникам службы поддержки, менеджерам по коммерческой деятельности, а также всем читателей, проявляющих интерес к данной теме.

СОДЕРЖАНИЕ

ВВЕДЕНИЕ

.        ИССЛЕДОВАТЕЛЬСКАЯ ЧАСТЬ

.1       КОНЦЕПЦИЯ ГАСТЕВА А.К. О СОЗДАНИИ СОЦИАЛЬНОЙ ИНЖЕНЕРИИ КАК НАУКИ

.2 ОПРЕДЕЛЕНИЕ ПОНЯТИЯ СОЦИАЛЬНОЙ ИНЖЕНЕРИИ И ЕЁ НАПОЛНЕНИЯ

.2.1 Несколько важных отличительных деталей

.2.2 От Франкфуртская школы к кибернетике и социальной инженерии

.2.3    Обобщение состава вхождения наук и методов в социальную инженерию

.3 СОВРЕМЕННОЕ ПРИМЕНЕНИЕ СОЦИАЛЬНОЙ ИНЖЕНЕРИИ

.        КОНСТРУКТОРСКАЯ ЧАСТЬ

.1       СОЦИАЛЬНАЯ ИНЖЕНЕРИЯ В ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЯХ

.2       ДВА ПРОТИВОПОЛОЖНЫХ ПОДХОДА В СОЦИАЛЬНОЙ ИНЖЕНЕРИИ

.2.1    Прямая социальная инженерия

.2.1.1 Несколько слов об аттракции.

.2.2    Обратная социальная инженерия

.3       ВЗГЛЯД НА ПРОБЛЕМУ УГРОЗ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ СО СТОРОНЫ МЕЖДУНАРОДНОЙ СТАТИСТИКИ

.3.1    Исследование проблемы утечки информации в России

.3.1.1 Портрет респондентов

.3.1.2 Угрозы информационной безопасности в России

.4       НАИБОЛЕЕ РАСПРОСТРАНЕННЫЕ ОБЛАСТИ ПРИМЕНЕНИЯ СОЦИАЛЬНОЙ ИНЖЕНЕРИИ

.4.1    Финансовые махинации в организации

.4.2    Бесплатное приобретение программных продуктов

.4.3    Бесплатный наем рабочей силы

.4.4    Информация о маркетинговых планах организации

.4.4.1 Выставки

.4.4.2 Интервирование ключевых лиц компании

.4.5    Кража клиентских баз

.4.6    Рейдерские атаки

.5       ОБЩАЯ КЛАССИФИКАЦИЯ АТАК И СВЯЗАННЫЕ С НИМИ УГРОЗЫ, ОСНОВАННЫХ НА МЕТОДАХ СОЦИОТЕХНИКИ

.5.1    Сетевые угрозы

.5.1.1 Угрозы связанные с электронной почтой

.5.1.2 Вредоносные программы

.5.1.3 Потенциально опасные программы

.5.1.4 Программы-шпионы

.5.1.5 Рекламные коды или adware

.5.1.6 Всплывающие приложения и диалоговые окна

.5.1.7 Спам

.5.1.8 Интернет-пейджеры или служба мгновенного обмена сообщениями

.5.1.9 Приложения класса peer-to-peer

.5.1.10 Угроза судебного преследования

.5.1.11 On-line игры

.5.2    Телефонные атаки

.5.2.1 Корпоративная АТС/УАТ

.5.2.2          Техническая служба поддержки

.5.2.3 На конечного пользователя

.5.2.4 С использованием технологии VoIP

.5.2.5 На мобильного пользователя

.5.3    Поиск информации в мусоре

.5.4    Персональные (личностные) подходы

.5.5    Обратная социальная инженерия

.5.6    Инсайд

.5.6.1 Угроза утечки конфиденциальной информации

.5.6.2 Обход средств защиты от утечки конфиденциальной информации

.5.6.3 Кража конфиденциальных данных по неосторожности

.5.6.4 Нарушение авторских прав на информацию

.5.6.5 Мошенничество

.5.6.6 Нецелевое использование информационных ресурсов компании

.5.6.7 Саботаж ИТ-инфраструктуры

.6.      НЕКОТОРЫЕ ПРИМЕРЫ СОЦИАЛЬНОЙ ИНЖЕНЕРИИ

.6.1    Интернет мошенничество

.6.2    Примеры из практики специалистов по аудиту безопасности

.7       ОСНОВЫ СОЦИАЛЬНОГО ПРОГРАММИСТА ИЛИ ВВЕДЕНИ В ПСИХОЛОГИЮ ЛИЧНОСТИ И ГРУППЫ

Базовые концепции социального программирования

.7.1    Трансактный анализ

.7.2.1 Основные критерии определения параметров характера

.7.3 Базовые понятия нейролингвистического программирования

.7.3.1 Игра на человеческих слабостях

.7.4 Немного о социальной психологии

.7.4.1 Простая классификация групп

.7.4.2 Групповые процесс

.7.4.2.1 Несколько замечаний об антилидерстве

.7.4.2.2 Краткая классификация видов конфликтного поведения в группе

.7.4.3 Некоторые особенности толпы

.7.5    Примеры социального программирования

.7.5.1 Пожар в кинотеатре

.7.5.2 Венки на трассе или черный пиар

.7.5.3 Реклама и антиреклама посредством Интернет

.7.5.4 Цыганка с картами, дорога дальняя

.7.6 Управление слухами

.7.7 Психологические основы поведенческой модели людей

.7.7.1 Программа «Взаимопомощь»

.7.7.2 Программа социального подражательства

.7.7.3 Программа действия авторитета

.7.8 Потенциальные инсайдеры на предприятии, или не удобные сотрудники

.        ТЕХНОЛОГИЧЕСКАЯ ЧАСТЬ

.1       ВВЕДЕНИЕ

.2 ОРГАНИЗАЦИОННЫЕ МЕРЫ

.2.1    Права локальных пользователей

.2.2    Стандартизация ПО и унификация платформы

.2.3    Специализированные(нестандартные) решения

.2.4    Работа с кадрами

.2.4.1 Набор правил, который поможет подойти к решении кадрового вопроса грамотно

.2.4.2 Подход к персонифицированной оценке рисков на основе определения лояльности

.2.5    Внутрикорпоративная нормативная база

.2.6    Хранение физических носителей и архивация данных

.2.7    Система мониторинга работы с конфиденциальной информацией

.2.8    Меры по защите корпоративного сайта

.2.8.1 Защита сайта компании от снятия backup у хостинг-компании

.2.8.2 Рекомендации по правилу ведения форума на сайте компании

.2.9    Вопросы, которые должны быть рассмотрены в политике ИБ

.2.9.1 Защита от ряда угроз

.2.9.1.1 Фишинг

.2.9.1.2 Вредоносные программ

.2.9.1.3 Всплывающие диалоговые окна и приложения

.2.9.1.4 СПАМ

.2.9.1.5 Угроза судебного преследования

.2.9.1.6 On-line игры

.2.9.2 Защита с учетом используемых каналов передачи данных

.2.9.2.1        Интернет-пейджеры

.2.9.2.2 Приложения класса peer-to-peer

.2.9.2.3 Телефония

.2.9.2.4        Хранение и утилизация мусора

.2.9.2.5 Социальный или личностный канал

.3       ТЕХНИЧЕСКИЕ МЕРЫ

.3.1 Два подхода к защите информации

.3.1.1          Подход канальной защиты

.3.1.2 Подход периметральной защиты

.3.2    Какой из подходов выбрать

.3.3    Защита от угроз

.3.3.1 Фишинг

.3.3.2 Фарминг

.3.3.3 Вредоносные программы

.3.3.4 Потенциально опасные программы

.3.3.4.1 Рекламные коды или adware

.3.3.5 Спам

.3.3.6 On-line игры

.3.3.7 Приложения класса peer-to-peer

.3.3.8 Фильтрация мгновенных сообщений

.3.3.9 Фильтрация VoIP

.3.4 Unified Threat Management

.3.5 Перехват данных

.3.6    Ограничения хищения баз данных

.3.7    Сводная таблица угроз и защиты от них

.        ОРГАНИЗАЦИОННО-ЭКОНОМИЧЕСКАЯ ЧАСТЬ

.1 ОСНОВНЫЕ ЭТАПЫ ПРОЕКТА

.2 РАСЧЕТ ТРУДОЕМКОСТИ ПРОЕКТА

.3 ОПРЕДЕЛЕНИЕ ЧИСЛЕННОСТИ ИСПОЛНИТЕЛЕЙ

.4 СЕТЕВАЯ МОДЕЛЬ ПРОЕКТА

.5 КАЛЕНДАРНЫЙ ГРАФИК ВЫПОЛНЕНИЯ ПРОЕКТА

.6 АНАЛИЗ СТРУКТУРЫ ЗАТРАТ ПРОЕКТА

Таблица 4.6 Таблица 4.7. Расчёт затрат на оборудование и расходные материалы.

Таблица 4.8. Суммарные затраты на проекта.

.7 ОЦЕНКА ЭКОНОМИЧЕСКОЙ ЭФФЕКТИВНОСТИ ПРОЕКТА

.7.1 Аналитический обзор центра Info Watch за 2007 г.

.7.2 Расчет потерь компании при взломе одного автоматизированного рабочего места.

.8 ВЫВОДЫ.

.        ОРГАНИЗАЦИОННО-ПРАВОВОЕ ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

.1       ВВЕДЕНИЕ

.2       ПОДХОДЫ К ПРАВОВОЙ ЗАЩИТЕ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ ОТ ВНУТРЕННИХ УТЕЧЕК

.3       РЯД НЮАНСОВ СВЯЗАННЫХ С КОММЕРЧЕСКОЙ ТАЙНОЙ

.4       ВЫВОДЫ

ЗАКЛЮЧЕНИЕ

РЕКОМЕНДУЕМАЯ ЛИТЕРАТУРА ДЛЯ САМОСТОЯТЕЛЬНОГО ИЗУЧЕНИЯ

СПИСОК ИСПОЛЬЗУЕМОЙ ЛИТЕРАТУРЫ

ВВЕДЕНИЕ

В современном мире, в котором ключевую роль играет информация, как признак человеческого развития, его жизнедеятельности, интеллектуального развития, как средство достижения тех или иных целей, как инструмент влияния, значимости, управления и власти, значительную роль играют методы, средства, механизмы получения информации и как следствие - механизмы зашиты этой информации.

Современный уровень технологий, интенсивное развитие научно-технической базы, регулярное выделение ряда направлений в новые науки, появление совершенно новых теорий и подходов, современное социальное, экономическое и политическое развитие общества, все более увеличивающаяся и усиливающаяся коммерционализация, ведут к появлению перепроизводства, жесткой рыночной конкуренции (в государственном и частном секторе), постоянному поиску новых рынков сбыта с целью получения максимальной прибыли и выгоды для себя. Это может быть, как желание многократно вернуть затраты на новые технологии, разработки и сами исследования, предшествующие этим разработкам, так и создание монополий на те или иные виды товаров и услуг. В любом случае, сегодня немногие компании занимаются собственным производством, ведут «честные правила» рыночной игры и используют в своей деятельности «белые» схемы ведения финансового учета, т.е. недобросовестная конкуренция, получила новый виток своего развития. Появилось немало компаний, а также независимых специалистов, которые в своей работе используют методы и средства коммерческой разведки, занимаются сами или заказывают «на стороне» информацию, получаемую посредством коммерческого или промышленного шпионажа. Все эти и многие другие факторы, способствуют совершенствованию методов получения, накопления, обработки, передачи и хранения информации, как и её утилизацию. Сегодня, даже самая разрозненная информация о предприятии и её сотрудниках, отдельной взятой личности, или проектах, умело собранная в одном месте «по требованию», может оказаться очень значимой по своему содержанию. Как следствие, увеличивается стоимость и значимость информации. Информационные технологии перестали жить обособленно своей жизнью, вместе с IT-подразделениями и отдельно взятыми специалистами, и стали в большей степени участвовать в бизнес-процессах каждой компании, повышая эффективность работы компании и используемых средств производства, увеличивая её активы. В свою очередь, это не могло не отразиться на регулярно изменяющихся требованиях, критериях и подходах к защите информации. Нынешние требования перестали быть бессвязными и хаотичными, как это было в начале и середине 90-х. Теперь они диктуемы международными организациями, сообществами, государством, стандартами и сертификатами, отдельно взятыми специалистами по защите информации, IT-специалистами, руководством предприятий и самой насущной необходимостью.

В наши дни, понятие risk management не вводит в шок, не является ругательством, перестало быть пугающим, и специалисты, владеющие такими навыками, приобретают высокую рыночную стоимость, а также востребованность на государственном уровне и в частном секторе. Большее число компаний начинает учитывать информационные риски, и осуществляют попытки просчитывать их своими силами или приглашая специализированные компании. Но в отличие от наших западных соседей, наша страна находится в стадии зарождения восприятия и понимания данной проблематики, а также влияние её на увеличение капитализации каждой из компаний. Впрочем, это ожидаемый результат, как следствие отсутствия необходимой и должной подготовки руководства компаний по вопросам информационной безопасности, а также обширному набору информационных рисков, которому подвергается фактически каждая компания в нашей стране. В силу слабой законодательной и нормативной базы, только-только зарождающихся государственных механизмов в России сегодня, любой компании, независимо от формы собственности и организации, приходится учитывать большее число информационных рисков, нежели на западе. Схемы не столь прозрачны и просты, как могут показаться на первый взгляд. В нормативной базе этот вопрос описан достаточно образно и регулирует в большей степени только ту информацию, которую следует отнести к государственной тайне. Большинство западных стандартов и рекомендаций не могут использоваться в чистом виде по отношению к нашим условиям и требуют серьезной доработки и переработки для любой отечественной компании. Исключением могут быть транснациональные компании, в которых могут распространяться ряд стандартов, рекомендаций и учитываться best practice.

Тема информационных рисков очень сложная и интересная. Как правило, её могут наиболее хорошо и полно раскрыть специалисты, получившие многоцелевую подготовку и неплохо ориентирующиеся в различных областях. Обязательно, имеющие стаж трудовой деятельности в качестве аналитиков, специалистов соответствующих подразделений и руководителей, начиная от среднего звена, ответственных за разработку стратегий и бизнес-процессов компании. Указанные требования позволят максимально полно учесть риски компании. Но, бывают исключения, т.к. следует учитывать размер и деятельность компании, её партнерские отношения и клиентуру, законодательную базу страны и экономический уровень развития страны, желание самих студентов и специалистов развиваться и совершенствовать свои навыки. А это в свою очередь зависит еще и от принадлежности конкретного человека к психологическому портрету и типологии человека и факторам, обуславливающие его социальный быт и жизнедеятельность.

Описание большинства информационных рисков и разновидностей аудита информационной безопасности, не является темой данной работы. Я решил остановиться на одном из самых ключевых и важных информационных рисков на сегодняшний день. Речь идет о социальной инженерии в контексте защиты информации. По мнению специалистов Gartner Group и их руководителя исследовательской группы Рича Могулла, в результате проведенных ими исследований на начало 2007 года «именно все более совершенствующиеся методы социальной инженерии, применяемые для взлома средств защиты, будут нести в себе самую большую угрозу информационной безопасности в ближайшие десятилетия». Он считает социальную инженерию угрозой №1 при решении проблемы защиты внутренней корпоративной информации. Из собственного опыта, и изучаемых материалов на протяжении длительного времени могу с досадой и сожалением добавить, как на государственных предприятиях, так и в частном секторе, этому риску придавали и продолжают придавать посредственное значение.

Социальная инженерия сложна в восприятии и понимании, в силу сложности корректности установления связей, «что может следовать из чего». Это восприятие и понимание ко всему прочему в нас притупляется, как искусственно, так и в силу социальной среды в которой каждый из нас живет. Сами того не желая, с методами социальной инженерии мы сталкивается каждый день, начиная с дома (это реклама по ТВ и масса передач социополитического характера, наши дети), продолжая в магазине и транспорте, и завершая на работе. Требуется целостность подходов к самой организации управления компанией от рядового сотрудника до совета директоров. Обязательно, воспитание мышление каждого из сотрудников компании, прививание им корпоративной культуры. Таким образом, без сбалансированности организации и механизмов управления в компании, замотивированости каждого из сотрудников компании, как на собственный интерес работать в компании, так и на получения общего результата и достижения целей компании, начиная от отдельно взятого подразделения и фактическим результатом компании в целом, вероятность уменьшения риска социальной инженерии мала. Это обусловлено тем, что недостаточно учитывать только технологические угрозы информационной безопасности и прикладные навыки, которые могут использовать в своей повседневной работе стратегические подразделения - IT-служба, подразделение или группа защиты информации, служба безопасности. При этом, мы стараемся привить мнение, что сотрудники данных подразделений имеют хорошую подготовку.

Совершенный уровень телекоммуникаций, высокий уровень развития Интернет технологий и сама его доступность в связи с комерционализацией данного сервиса, как для отдельно взятого человека из дома, так и любой компании, существование которой сегодня не представляется без этого сервиса, позволяет злоумышленнику с меньшими для себя затратами получить интересующую его информацию. Обилие интернет порталов наводненные различной технической информацией по методам проникновения и взлому систем, масса технического материала и готовых инструментов/ средств (в виде сетевых сканеров, троянских программ, руткитов, программных закладок, и другого зловредного исполняемого кода и приложений) позволяют желающему человеку получить необходимые и достаточные теоретические и практические знания по информационным технологиям. В частности, позволяет: освоить технологию программирования; освоить несколько языков программирования; изучить сетевые технологии; научиться администрированию различных операционных системы и серверные приложения (как платформеннозависимых, так и платформеннонезависимых от неё); разобраться в ряде современных информационных технологий; научиться выявлять уязвимость систем и программного кода; получить четкое представление о способе организации как проектных групп, так и управления предприятием в целом.

Современные «самоучки», и непосредственно состоявшиеся специалисты объединяются в сообщества программистов, хакеров, крекеров, кардеров и другие группы, управляемые, как правило, высококвалифицированным специалистом в данной области. По различным аналитическим данным возраст участников в таких сообществах и группах составляет от 13-14 лет до 35-38 лет включительно. Создаются специализированные открытые и закрытые интернет порталы, которые позволяют этим сообществам обмениваться материалами, опытом, наработками, брать на вооружения разные идеи и реализовывать их в жизнь, а также осуществлять координацию совместных проектов и набирать в свою команду новых рекрутов. Дополнительно, через эти порталы, осуществляется взаимодействие с подобными им сообществами, территориально разбросанными по всему миру. Также, предусматривается возможность индивидуальных встреч в специализированных клубах. Такое взаимодействие позволяет быстро получать требуемую информацию, добиваться желаемых целей и быстро обучаться и переучиваться. При этом, в подобных группах существует четкая иерархия управления. Людьми движет энтузиазм, общий род занятий в интересной им сфере, возможность учиться и пробовать неизведанное, становясь «гуру» в своем деле и быть персонами underground-культуры. Это позволяет эффективно управлять и манипулировать потенциалом участников группы. Обращает на себя внимание и тот факт, что 2-3 года назад, такие сообщества и их члены, начали специально изучать психологию, методы гипноза и различного манипулирования. В дальнейшем свои наработки и достижения обсуждаются между членами сообщества и предлагаются различные работающие схемы. Достаточно взглянуть на ежемесячные отчеты, публикуемые антивирусными лабораториями, ежегодные отчеты об убытках компаний и связанных с ними рисков, официально публикуемых IDC, Gartner Group, Computer Security Institute чтобы понять насколько эффективно происходит это обучение. Последний год, стали регулярными атаки с использованием методов социальной инженерии в сочетании со спам рассылками. Пользователь сам позволяет похитить свои конфиденциальные и личные данные, осуществить нарушителю «боковой вход» в корпоративную сеть. Попытки нарушения периметра безопасности корпоративных и пользовательских систем перестают быть хаотичными и больше принимают характер целенаправленных, осмысленных действий извне. Обращает на себя внимание злонамеренные действия инсайдеров. Число таких атак за последние три года увеличилось в разы, если не на порядок, по отношению к 2001 - 2004 годам.

Все это, и ряд других факторов, позволяют иначе взглянуть на проблему защиты информации. Следует изменить и саму подготовку обучения/переобучения специалистов по информационной безопасности, IT-специалистов и руководство компаний. Граница, при которой лояльный сотрудник компании становится инсайдером очень тонкая.

За полтора-два года, количество ссылок в Интернете по социальной инженерии увеличилось на порядок, но пройдя чуть больше 1500 ссылок используя такие поисковые системы как Yandex, Google, затратив немало времени на ознакомление с содержанием статей, я не обнаружил желаемой информативности и содержательности статей, обзоров и других материалов. Преимущественно, это дублирование порядка 20-30-ти статей, дополненных авторами разместивших их на своих сайтах или разделах форума. Впрочем, это понятно. Социальная инженерия - наиболее эффективный механизм для использующих его людей, компаний, кадровых агенств и самого государства. Он приносит колоссальные доходы и результаты, не требую при этом больших затрат. И раскрывать наиболее эффективные методы и средства производства в сегодняшние дни многим не выгодно. На лицо ощутим серьезный недостаток материалов и информации. Нельзя сказать, что её вообще нет, как и нет научных изданий, руководств и пособий. Их достаточно, но это недопустимые временные затраты для людей, желающих познакомиться в образовательных целях с методами социальной инженерии и работающих совершенно в других сферах науки и производства. Методы социальной инженерии, это пересечение большого числа наук, теорий и практик, что свойственно междисциплинарной науке. И изложение этого понятия в отечественной литературе ведется преимущественно в научном разрезе. Чтобы для себя подойти к сути вопроса, иметь структурированное представление и видеть прикладную часть, специалисту по информационным технологиям нужно приготовиться к рутинной работе по изучении новых для себя специальностей. Следует учесть, что восприятие и подготовка у каждого читателя всегда разная. В результате, наборы методов на выходе, о которых сложится представление у каждого конкретного человека, будут отличаться друг от друга, следуя от одного читателя к другому. В настоящий момент нет литературы, которая систематизировала бы такие знания. Западные учебники и издания по этой тематике представляют общеобразовательный интерес, хотя и не является бесполезным занятием. Их существенное отличие от наших изданий в том, что они прикладного характера и зачастую, более понятны. Но, они не могут служить руководством к действию, т.к. социальные общества иностранных государств и нашего, сильно отличны друг от друга, по восприятию, культуре, пониманию, традициям и формам «шаблонного поведения», а также технологическому уровню развития стран.

Чтобы закрепить написанное выше, имеет смысл немного углубиться в историю возникновения термина социальной инженерии, когда он получил свое официальное название и стал осмысленным. После чего мы сможем понять, насколько это понятие является практическим или образным, и какие науки являются для него образующими. Сможем подойти к пониманию, кто такой социальный инженер, какими знаниями он может и должен обладать. Опишем некоторый набор механизмов, средств, методов и инструментов, которые наиболее часто используются социальными инженерами. После чего, мы сможем перейти к непосредственному рассмотрению методов и средствам, способных обеспечить защиту информации от социальной инженерии. И в завершении, у нас сложится четкое понимание, для каких корпоративных структур и специалистов будут полезны в практико- теоретических целях знания социотехник.

1. Исследовательская часть

.1       Концепция Гастева А.К. о создании социальной инженерии как науки

В международной практике, существует распространенное мнение, что социальная инженерия, как осмысленный устоявшийся термин появился в 60-е годы в американской социологии, и соответственно США явились родоначальниками его. Так ли это на самом деле?

В 20-30е годы XX века в нашей стране разворачивается мощное движение за научную организацию труда и управления производством, в котором важную роль сыграли прикладные разработки социальной инженерии.

Впервые в научный оборот понятие социальной инженерии ввел Алексей Капитонович Гастев - руководитель Центрального института труда (ЦИТ) в Москве [1]. Ученый поставил вопрос о комплексной совершенно новой науке о труде и управлении - прикладной "социальной инженерии". Эта наука была призвана дополнить прежнюю теоретическую социологию и решить проблему синтеза важнейших аспектов организации трудовой и управленческой деятельности: технического, психофизиологического, экономического. Гастев А.К. рассматривал социальную инженерию, как относительно самостоятельную отрасль исследований. Ее отличительная особенность заключалась в преимущественной направленности не столько на социальное познание (открытие научных фактов или эмпирических закономерностей), сколько на изменение социальной действительности (т.е. методический статус социотехники определялся ориентированностью на внедрение инновационных мероприятий и эффективных практических рекомендаций). Эта наука, по замыслу автора, находится на стыке социальных и естественных наук. Последняя, позволяет позаимствовать точные экспериментальные методы и приверженность к достоверным фактам. Сам Гастев А.К. так характеризует новую науку: «В социальной области должна наступить эпоха. . . точных измерений, формул, чертежей, контрольных калибров, социальных нормалей. Как бы ни смущали нас сентиментальные философы о неуловимости эмоций и человеческой души, мы должны поставить проблему полной математизации психофизиологии и экономики, чтобы можно было оперировать определенными коэффициентами возбуждения, настроения, усталости, с одной стороны, прямыми и кривыми экономических стимулов - с другой» [1, стр. 30].

Предметом изучения А.К. Гастева являлись не вообще существующие управленческие процессы, а процессы, протекающие в различных сферах общественного производства. Структурно исследование производства включало в себя два раздела: научная организация производственного процесса, теоретической основой которого служили физиология и психология, и научная организация управления, теоретико-методологической базой которой выступала социальная психология. Предметом первой является рациональное соединение человека с орудием, а второго - взаимодействие людей друг с другом в трудовом процессе, что и составляет содержание социальной инженерии как науки о совместной трудовой деятельности людей.

Гастев А.К. четко различает два самостоятельных объекта исследования: управление вещами и управление людьми. Полагая наличие у них общих черт, ученый, не ставит перед собой задачи выявления различий. Проблематика руководства людьми у Гастева А.К. растворяется в сфере технической организации. При всем внимании к процессам, протекающим в системе "человек - машина", он тем не менее подчеркивает значимость человеческих взаимоотношений в организации и указывает, что «в общей системе ...движения вещей передвижение человека и его воздействие на других...оказалось небольшим, но часто определяющим оазисом» [1, стр 26-27].

Гастев А.К. указывает, что в движении к органической реконструкции всей производственной структуры страны следует начать с главного его элемента - трудящегося. Он подходит к вопросам управления с точки зрения рабочего места (отдельно взятого работника), распространяя полученные выводы на управление цехом, предприятием, государством: рабочий у станка есть директор производства, известного под названием машины - орудия [2, стр. 103]. Умелое обслуживание этой элементарной системы воспитывает в каждом работнике его настоящие управленческие качества, точные, деловые. Именно с упорядочения деятельности отдельного человека, кем бы он ни был - руководителем или исполнителем, должна начинаться работа по научной организации труда и управления. То есть, в центре внимания оказывается первичная клеточка предприятия - работник на своем рабочем месте, а схема научного поиска разворачивается в направлении от микроанализа движений (приемов, операций) к макроанализу предприятия в целом.

В деле организационного строительства встает вопрос о подготовке способных руководителей, наделенных «организационной сноровкой», стратегическим талантом, особыми «социальными» качествами. В понимании Гастева А.К., «организационная сноровка», это внутренняя сила руководителя, которую должны ощущать подчиненные, помогающая влиять, регулировать и координировать усилия участников совместного труда. Гастев говорит: «…организатор обязан владеть навыками управления коллективной работы, иметь непреклонную волю и энтузиазмом, способный вдохновить и сплотить коллектив на основе общей цели». Под управлением он понимает рассчитанное, предусмотрительное руководство, а в понятие "распорядитель", по его мнению, вносится элемент внезапности, требующего гибкости, маневренности. Искусство управлять невозможно без особого коммуникативного мастерства, без задатков лидера с тем, чтобы вести за собой. Быть психологом - другое неотъемлемое качество руководителя: знать психологию толпы и отдельного человека. Организатору следует учиться регулировать коллективы (как это делает регулировщик уличного движения), направлять, координировать действия, слагающиеся в общий гармоничный поток. Это человек наблюдательности, сигнала и быстрого волевого действия (каковыми являются пожарные), владеющий методом инструктажа (как саперы и военные монтеры), способный рассчитать время по минутам [1, стр. 96-105].

Гастев А.К. полагает, что управленческие функции регулирующего характера как бы автоматизируются (отрабатываются отдельные приемы, методы работы), что их резко отличает от сферы генерального управления, основанного на предвидении и на учете факторов длительного действия. Тем самым, он подчеркивает присутствие своеобразной интуиции, творческого элемента, искусства в работе руководителей высшего и среднего звена. В их задачу входит осуществление планирования - постановка целей, разработка стратегии - и собственно организация - установление особенностей действий и учет ресурсов, необходимых для выполнения плана и принятия решений по распределению полномочий, обязанностей и ответственности. Другая категория руководителей, по замыслу Гастева А.К., контролирует, регулирует деятельность работников, осуществляет инструктаж и текущее консультирование [1, стр. 103]. Таким образом, автор устанавливает иерархию управляющих, определяет их компетенцию.

Отдельным вопросом в организационном строительстве Гастев А.К. выделяет подбор персонала и разработка системы стимулирования труда. Он указывает, что социальная динамика неизбежна и перспективе карьерного роста следует уделять большое внимание, что является соответствием требованию социальной динамики, или «квалификационного движения». Это решает также проблему дисциплины: самоорганизации посредством личной заинтересованности в успехе в условиях господствующей на предприятии атмосферы сотрудничества.

Таким образом, социальная инженерия как наука с принципами ее практической реализации возникла в нашей стране, в рамках так называемой «человеческой инженерии» (human engineering), направленной в основном на повышение безопасности труда и повышение эффективности работы машин, снижение утомляемости работника и обеспечение комфортности в системах «человек - машина».

Об эффективности таких методов и подходов, мы можем судить по значительному и существенному росту экономических и производственных показателей нашего государства в 20-30-е годы. Одним из хороших примером, может служить появление в предвоенные годы такой науки как криптография и достижений в этой области непревзойденных на тот момент и последующие, нескольких десятилетий показателей за какие-то 4-5 года с момента своего зарождения. Так первые, отечественные криптомашины на середину-окончание 41-го года имели такие алгоритмы и стойкость шифров, что признанные лидеры в этой области - немцы, англичане, американцы, поляки, смогли только в 80-е годы расшифровать шифрограммы Штаба Армии, которые передавались в период Великой Отечественной Войны. На 41-год, эта наука у наших политических противников, уже имела несколько десятилетий своего активного развития с самого начала XX века.

Мы подошли к основному пониманию того, что социальная инженерия, это наука, состоящая из ряда других, достаточно сложных наук, объектом которой является изучение человеческого фактора и его природы, и как следствие, последующим конструированием социальной среды в рамках взятой области. В 20-е и позже в 50-е - 60-е годы такой областью являлось отдельно взятое предприятие. Впоследствии, эта область значительно расширилась и стала влиять на всю сферу производства, и распространилась до уровня общества в целом.

Наш соотечественник со своими коллегами заложил базис этой науки и задал ей уверенное и серьезное направление, т.е. увидел и обосновал необходимость в этой науке, определил в общих чертах её структуру и предмет исследования, и сферу приложения. Все раннее определенные им критерии, понятия, характеристики, требования и методы вошли полностью в современную науку социальную инженерию. С учетом развития социокультуры и потребностей общества, этот базис был значительно дополнен и на базе его появились новые науки, направления и научные школы. Так, например, в 20-30-е года появилась наука организации труда (НОТ), в это же время благодаря работе Гастева А.К. и его коллег сотрудников ЦИТа, были заложены основы и механизмы нового направления и в последствии наук - промышленной социологии и психологии труда. Появились целые институты психотехник для подготовки кадров и различных направлений в педагогике.

Американцы не оказались первыми, но их существенная заслуга состоит в другом. В начале 60-х и последующие годы, они хорошо доработали прикладную часть этой науки и составляющих её наук. В это время социальная инженерия стала широко применяться в авиационной и оборонной промышленности США, а также в индустриальной социологии, военной социологии, пропаганде и коммуникациях. Появились целые институты и лаборатории с государственным бюджетированием и неограниченными возможностями. Координация работ всех этих институтов и лабораторий, кооперация и сотрудничество, обработка полученных результатов и выработка совместного направления движения была поставлена на высокий государственный уровень. Вырабатывались общие подходы, и разрозненность в них пресекалась. Достижения лабораторий становились достоянием различных сфер науки, техники и производства.

К сожалению, в нашей стране, такой координации работы и прикладного применения достигнутых результатов, причем повсеместно в сфере производства, не было. Упор был сделан на получение практических рекомендаций и выработку научных методик. Причем, это требовалось делать немедленно. На всестороннюю оценку и анализ, лабораторные опробывания не хватало времени. Это стало недопустимой и непоправимой ошибкой для нашей страны. Множество методов было заимствовано у нас, а ряд направлений, стали на порядки опережать отечественные разработки. Например, западные маркетологи, специалисты по консалтингу, рекламе и PR имеют более высокую котировку, нежели подготовка данных специалистов в отечественных институтах.

1.2 Определение понятия социальной инженерии и её наполнения

Возвращаясь к концепции Гастева А.К., становится ясным предназначение социальной инженерии. Возникает представление о её наполнение, кто такой социальный инженер и какими навыками он должен обладать. Теперь обратимся к современным справочникам, чтобы увидеть, насколько раскрыт данный термин нашими современниками и что они вкладывают в это понятие.

Имеет смысл изначально обратиться к социологическим словарям, учитывая корни происхождения термина.

. Социальная инженерия - (англ. engineering, social; нем. Ingenieurwesen, soziales.) совокупность подходов в прикладных социальных науках, ориентированных:

на изменение поведения и установок людей;

на разрешение социальных проблем;

на адаптацию социальных институтов к изменяющимся условиям;

на сохранение социальной активности [3].

. Социальная инженерия - специально организованная деятельность, направленная на трансформацию социальной реальности (реконструкцию старой или конструирование новой) с помощью социальных технологий [4].

. Социальная инженерия - теоретическая и практическая деятельность, направленные на создание и использование набора средств воздействия на поведение людей с целью разрешения социальных проблем, адаптации организационных структур общества к изменяющимся условиям и профилактики социальных конфликтов [5].

. Социальная инженерия - специфическая отрасль прикладной социологии, представляющая совокупность прикладных социальных методов и практической деятельности, связанной с использованием знаний, полученных в общей социологической теории, прикладных исследованиях, а также в практике производственной и иной деятельности, для решения повседневных и перспективных задач совершенствования управления социальными объектами [6].

Ориентируясь на область защиты информации, приведу несколько определений, которые используют специалисты по вопросам защиты информации в своих работах.

. Социальная инженерия (англ. social engineering) - совокупность подходов прикладных социальных наук, или прикладной социологии, ориентированной на целенаправленное изменение организационных структур, определяющих человеческое поведение и обеспечивающих контроль за ним [7, стр.16].

. Социальная инженерия - это один из разделов социальной психологии, направленный на то, чтобы внедрять в их сознание некоторую модель поведения и тем самым манипулировать их поступками [10, стр. 32].

7. Социальная инженерия - это метод (атак <#"699406.files/image001.gif">

Рис. 1.1. Обобщенная схема прикладных наук используемые в социальной инженерии

Детальное рассмотрение всего состава наук и методов входящих в них, не входит в рассмотрение данной работы. Остановлюсь только на некоторых определениях и кратком изложении понятия.

Социальная философия - раздел философии, посвященный осмыслению качественного своеобразия общества в его отличии от природы. Социальная философия анализирует проблемы смысла и цели существования общества, его судьбу и перспективы, направленность движущих сил и его развития.

Прикладная социология (англ. applied sociology) - совокупность теоретических моделей, методологических принципов, методов и процедур исследования, а также социальных технологий, конкретных программ и рекомендаций, ориентированных на практическое применение, достижение реального социального эффекта [13]. Дополнительно, чем занимается прикладная социология и прикладные социологи, кратко было изложено в предыдущем парагрфе.

Социальная психология - наука о внутренних, психологических причинах, механизмах и закономерностях социального поведения людей в группах и общностях, а также о психологических характеристиках отдельной личности, групп и общностей. В течение длительного периода социально-психологические взгляды разрабатывались в рамках различных философских учений. Элементы социальной психологии складывались и внутри конкретных наук - в психологии и социологии, а также в антропологии, этнографии, криминологии, языкознании. Социальная психология как наука включает в себя следующие основные разделы: закономерности общения и взаимодействия людей (в частности, роль общения в системе общественных и межличностных отношений); психологические характеристики социальных групп, как больших (классы, нации), так и малых (где изучаются такие явления, как сплоченность, лидерство, процесс принятия групповых решений и др.); психология личности (сюда, в частности, относятся проблемы социальной установки, социализации и др.); практические приложения социальной психологии [14].

Прикладная антропология (англ. applied anthropology) - применение результатов антропологических исследований для решения социальных проблем.

Антропология (англ. anthropology) - межотраслевая дисциплина, исследующая:

·   происхождение и эволюцию человека как особого социобиологического вида;

·        образование человеческих рас;

·        нормальные вариации физического строения человека внутри этих рас, в том числе в связи с особенностями окружающей людей среды [15].

Эргономика (греч. ergon - работа и nomos - закон) - общее название группы наук, занимающихся комплексным изучением человека в производственной деятельности и оптимизацией средств и условий труда. В состав эргономики включают прикладные разделы инженерной психологии, психологии, физиологии и гигиены труда, антропологии, некоторые аспекты научной организации труда, технической эстетики, кибернетики, общей теории систем, теории автоматического управления и др. Предметом эргономики является изучение и оптимизация систем “человек - машина - среда”. Методологическую основу эргономики образует системный подход, позволяющий получить всестороннее представление о трудовом процессе и о путях его совершенствования с целью повышения эффективности и качества труда, всестороннего развития личности и удовлетворения творческих потребностей трудящихся. Эргономика совместно с инженерной психологией решает такие проблемы, как: оценка надежности, точности и стабильности работы человека-оператора; распределение функций между человеком и машиной; исследование влияния психической напряженности, утомления, стресса, эмоциональных состояний на эффективность труда человека; разрабатывает методы и средства отбора и обучения специалистов [16].

1.3 Современное применение социальной инженерии

Сегодня социальная инженерия имеет все тенденции перейти из разряда ремесленичества в разряд индустрии. С точки зрения типологии деятельности социальную инженерию можно разделить на четыре типа производства: проектирование, консультирование, обучение и управление. Большинство направлений, в которых используют социальную инженерию, имеют интегральное включение и пересечение, т.е. содержат несколько или все типов производства. Уже сегодня, можно выделить ряд отраслей, в которых используется социальная инженерия (рис. 1.2).

Личностное проектирование (создание жизненной стратегии, профориентация, сопровождение личностных кризисов и перепрограммирование, социализация и разрешение конфликтов в коллективе). Личностное проектирование имеет много общего с психоанализом, но пока, это новая и мало практикуемая область деятельности. Личностное проектирование ставит задачей не устранение психологического дискомфорта, ликвидацию комплексов или решение различного рода психических проблем, а построение и сопровождение личной жизненной стратегии, наиболее отвечающей притязаниям и ходу мышления личности, ее обычно скрытым амбициям, архетипам и смыслообразам [20].

Психотерапия межличностных и корпоративных отношений - достаточно развитая и у нас отрасль. Остается добавить лишь необходимость ее социализации и теоретического обсуждения.

Рис. 1.2. Отрасли, в которых сегодня используется социальная инженерия

Рекрутмент - подбор персонала, организация рейтингового анализа профессионального уровня специалистов в каждой сфере бизнеса, организация крупных кампаний целевого отбора для службы занятости, проектирование и продвижение специалистов редких профессий.

Организационное проектирование (создание и трансформация организаций - институциональных и корпоративных структур). Это деятельность, которой сегодня формируется как отдельная отрасль. Речь идет о создании жизнеспособных социально-культурных и экономически эффективных схем, в которые вписывается определенная оргструктура. Заказчик покупает проект как готовый продукт и реализует его сам.

Консалтинг (как отрасль - включает экспертную аналитику, стратегическое планирование, оптимизацию институциональных и корпоративных оргструктур в условиях реальной деятельности, инжиниринг корпоративного и институционального управления, коррекцию стандартной оргструктуры для обеспечения продвижения через нее специфических проектов и т.п.).

Открытое лоббирование законов и исполнительных решений. Эта типичная сфера деятельности политических партий тем не менее нуждается в услугах гуманитарных технологов. Партии уже осознали, что в любом направлении деятельности существует масса групп влияния, и их все контролировать невозможно, поэтому необходима организация коммуникации и открытого продвижения того или иного проекта в общественное мнение и в системы мотиваций существующих групп влияния для последующей поддержки легализации лоббируемых законов или решений.

Проектный менеджмент - создание проектов под определенные социальные цели и задачи, открытое обсуждение и продвижение этих проектов в институтах массовой коммуникации (ИМК), запуск проекта в исполнение и текущее управление в рамках существующего проекта. Различают корпоративный и институциональный менеджмент, стратегический и текущий менеджмент.

Имиджмейкинг - инженерия СМИ, шоу-бизнеса, публичной политики; производство смыслообразов и смысло-лингвистическое конструирование целых имиджевых кампаний, работа с институтами массовой коммуникации: проектирование кампаний для ИМК и продвижение через них заданных образов, разработка рекламных кампаний в контексте создания и продвижения определенного образа или стиля жизни, создание и продвижение новых стилей.

Производство и организация коммуникации - инженерия институтов массовой коммуникации, включая компьютеризацию и интернетизацию, PR и социологические исследования, сбор и обработку информации, производство новостной и аналитической публичной информации (журналистика). Сюда относится и организация единой коммуникации в сфере институциональной науки, которая имеет задачу упразднить разрыв между вузовской, академической и прикладной наукой.

Образование - уже существующая отрасль индустрии, в которой происходит коммерциализация (создание частных структур образования и предоставление коммерческих услуг в структурах некоммерческого образования). Одним из главных направлений является производство условий и технологий самообразования. Проведение междисциплинарных лекций, круглых столов и семинаров.

На этом я завершаю рассмотрение большого раздела, который дал общее представление об образовании социальной инженерии как науки, на стыке множества других наук. В настоящее время громаднейший арсенал методов этой науки используется в различных отраслях и сферах. Для более детального рассмотрения, рекомендуется обратиться к разделу «Рекомендуемая литература для самостоятельного изучения». Теперь от более общего, перейду к частному рассмотрению использования социальной инженерии в информационных технологиях.

2. Конструкторская часть

«На свете есть только один способ побудить кого-либо что-то сделать.

Задумывались ли вы когда-нибудь над этим?

Да, только один способ! И он заключается в том,

чтобы заставить другого человека захотеть это сделать.

Помните - другого способа нет»

Дейл Карнеги

2.1     Социальная инженерия в информационных технологиях

Сопоставляя приведенные раннее определения 1-8 (раздел 1.2.) и возвращаясь к самой концепции социальной инженерии, в основе подходов лежит системность, подкрепленная методологией и анализом, которая и позволяет сочетать технологическую инновационность, инженерную точность расчетов с социально-психологическим моделированием. Мастерское владение этими инструментами является залогом успешного выстраивания поведенческой модели людей, «добровольно» и «самостоятельно» действующих в нужном социальному инженеру направлении. Интеллектуальным тренажером для мастеров данного жанра может стать практически любая предметная область, предполагающая использование человеческого фактора и формирование морального климата, побуждающего людей к запланированным действиям. Здесь и политическое лоббирование, и консалтинг, и рекрутмент, и управление проектами, и личностное/организационное проектирование, и выстраивание «внешнеполитических» отношений (рис.1.2).

В дальнейшем я буду ориентироваться на определения 7 и 8 социальной инженерии (см. раздел 1.2.). В этих определения мы говорим об эксплуатации человеческого фактора, воздействием на который и занимается социоинженер для получения необходимой ему информацию. Что понимается под человеческим фактором?

Человеческий фактор (англ. human factor) - исторически сложившаяся в обществе совокупность основных социальных качеств людей:

·        ценностные ориентиры;

·        нравственные принципы;

·        нормы поведения в сфере труда, досуга, потребления;

·        жизненные планы;

·        уровень знаний и информированности;

·        характер трудовых и социальных навыков;

·        установки и представления о личностно значимых элементах социальной жизни: о социальной справедливости, о правах и свободе человека, о гражданском долге и т.д [3].

Другое, часто используемое определение человеческий фактор - устойчивое выражение, которым обозначают психические способности человека как потенциальный и актуальный источник (причину) информационных проблем (коллизий) при использовании этим человеком современных технологий [8].

Далее, говоря о социальной инженерии, мы подразумеваем манипулирование человеком или группой людей с целью взлома систем безопасности и похищения важной информации. В таком случае социоинженер - это злоумышленник (мошенник), производящий атаку на человека, являющегося частью системы «человек-компьютер».

Существует исключение, когда социальная инженерия используется специалистами по защите информации с целью проверки работоспособности принятой корпоративной политики информационной безопасности. Об этом будит сказано отдельно в «Технологической части».

Выделяют несколько основные правила, которыми пользуются социальные инженеры, которые не очень сильно изменяются со временем и всегда эффективны:

1.       Очень многие люди смотрят на внешнюю атрибутику не обращая внимания на суть, т.е. манера поведения, внешний вид, как себя позиционирует человек и т.д. Необходимо в себе развивать навыки хорошего актера, что гарантирует 50% успеха любой задумки, а если сюда прибавить навыки психологии, тогда это 100% социальный взломщик.

2.       Большинство людей отрицательно зависимы от своего чувства собственной значимости. Такие люди уязвимы для атак. Достаточно немного польстить, чтобы они выполнили все пожелания. Зависть вообще - это корень всех интриг. Александр Розенбаум говорит, что зависть такое чувство, которое «из очень хороших людей делает очень больших скотов и под час за очень короткое время». В организации несложно распознать сотрудника склонного к отрицательной зависти от чувства собственной значимости. Очень часто, сделав такому сотруднику справедливое замечание по работе, можно увидеть реакцию свойственную таким субъектам, который не думает, как быстро разрешить ситуацию, а начинает приводить доводы и сравнения. Не стоит надеяться на лояльность к организации со стороны такого типа сотрудников.

.        Многие люди хотят, чтобы все хорошее, что только может с ними в жизни произойти, произошло как можно быстрее и желательно с минимальными усилиями с их стороны. (Пример - массы обманутых вкладчиков МММ, желающие за небольшие деньги получить значительное благосостояние.)

.        Многие люди существа исключительно жадные до денег.

Пример - «письма счастья», в которых говорится, что перечислив 3-5 долларов на этот счет, вернется через неделю в 10 раз больше.

Иными словами, социальная инженерия - это почти всегда игра на людских пороках и слабостях. О психологической составляющей более подробно разговор пойдет далее.

2.2     Два противоположных подхода в социальной инженерии

В социальной инженерии различают два противоположных подхода.

Первый подход, это прямая социальная инженерия, или просто социальная инженерия. Второй подход, это обратная социальная инженерия. Второй подход стал продолжением первого, и методы, которые используются в прямой социальной инженерии, часто используются в обратной социальной инженерии. Рассмотрим подробнее каждый из подходов.

2.2.1  Прямая социальная инженерия

Основную схему воздействия социального инженера при прямой социальной инженерии можно описать упрощенной схемой Шейнова (рис. 2.1).

Под «объектом» здесь и далее будит подразумеваться жертва, на которую нацелена социоинженерная атака.

Изначально, всегда формируется цель воздействия на тот или иной объект. Затем собирается информация об объекте, с целью обнаружения наиболее удобных мишеней воздействия. После этого наступает этап, названный психологами аттракцией. Аттракция (от лат. attrahere - привлекать, притягивать) - создание нужных условий для воздействия социоинженера на объект. Принуждение к нужному для соционженера действию, т.е. навязывание действий, когда объект воспринимает такие действия как свои «собственные» и в последующем, «самостоятельно» принимает решение выполнить необходимые социоинженеру действия, происходящие по факту наступления аттракции. Бывают исключения. В ряде случаев, этот этап аттракции приобретает самостоятельное значение, к примеру, когда принуждение к действию выполняется путем введения в транс, психологическое давление и т.д.

2.2.1.1         Несколько слов об аттракции

Речь идет о психологическом понятии аттракции. В связи со значимостью данного понятия используемого в схеме, не будит лишним сделать несколько пояснений из области психоанализа. Языком психоаналитиков, аттракция означает «притяжение» одного человека к другому. Она включает в себя:

·   привлечение и удержание внимания;

·        привлечение определенного интереса;

·        расположение к собеседнику;

·        уважение партнера.

Психологической базой аттракции является потребность в положительных эмоциях, что является важнейшей потребностью каждого человека. Психологами установлено, что оптимальный для здоровья эмоциональный фон создается, когда большая часть (60%) получаемой человеком информации является эмоционально нейтральной, 35% - вызывающей положительные эмоции и 5% - отрицательные. То есть положительных эмоций должно быть в семь раз больше, нежели отрицательных. Такое счастливое соотношение является уделом в основном неисправимых оптимистов, весельчаков и жизнелюбов. Остальные испытывают огромную неутоленную потребность в положительных эмоциях. Поэтому ощущают притяжение ко всякому, кто улучшит их настроение. Умение делать комплименты, своего рода искусство. Такой человек может расположить к себе собеседника. Важным качеством является эмпатия, т.е. способность понять мысли и чувства другого человека. Французский моралист Ларошфуко давал такой совет: «Чтобы понравиться другим, нужно говорить с ними о том, что приятно им и что занимает их, уклоняться от споров о предметах маловажных, редко задавать вопросы и ни в коем случае не дать им заподозрить, что можно быть разумней, чем они»[22]. Другим важным качеством при достижении состояния аттракции, является умение слушать. В результате, подарив положительные эмоции собеседнику, мы улучшим его настроение, сделав ему благо, в ответ мы получаем аттракцию.

Примером работы схемы (рис. 2.1) может служить пример подкупа сотрудника. Мишенью является - потребность сотрудника предприятия в деньгах. О том, что он в них нуждается и что, с большей вероятности «примет предложение», узнается на этапе сбора информации. Примером аттракции может быть, создание таких условий, при которых сотрудник будит нуждаться в деньгах. Эти условия часто создаются умышленно. Банальная «подстава» на дороге, после которой машину сотрудника компании нужно отвозить в ремонт, а водителю джипа дать наличные, чтобы «замять» дело, за причинение джипу ущерба. Исполнителей такой «подставы» найти сегодня просто. Многое решает «цена вопроса» информации, которую нужно заполучить.

2.2.2  Обратная социальная инженерия

Социоинженеры сегодня отдают больше предпочтений обратной социальной инженерии (ОСИ - reverse social engineering). Она позволяет максимально скрыть злонамеренный характер своих действий и фактически дает 98% результат, но требует более тщательной подготовки. Суть ОСИ состоит в том, что социоинженер человека напрямую ни к чему не принуждаете, а создаете такие условия, что он сам обратится за помощью к социоинженеру без какого-либо подозрения. Объект воздействия считает социоинженера человеком, которому можно доверять, поэтому не видит причин не давать ему требуемую информацию. Даже если объект воздействия окажется опытным человеком, информированном о методах социальной инженерии, и не только о них, далеко не всегда он сможет эти методы распознать. Учитывая и тот факт, что в этот отрезок времени его голова будет занята проблемой, требующей срочного решения. При успешном решении (созданной) социоинженером «проблемы», объект может неоднократно обращаться к социоинженеру, как за помощью, так и для поддержания дружеских отношения. Это желанный результат любого социоинженера!

Условно атака ОСИ состоит из трех частей (рис. 2.2)

Диверсия - это первый этап ОСИ, на котором инженер создает неполадку в атакуемой системе, такую, чтобы объект не мог с ней работать. Это может быть изменение какого-либо параметра (установки монитора, принтера, параметров файла и даже переключение регистров клавиатуры), создание аппаратных неполадок, запуск вредоносных программ и программ-имитаторов. При этом неполадки должны быть легко устранимыми, поскольку инженеру предстоит решить «досадную проблему» «в одно мгновение».

Реклама - это второй этап ОСИ, на котором социоинженер должен донести до объекта информацию о собственной способности решить возникшую проблему «в любое время суток. Объект сам должен найти информацию о социоинженере в доступном месте. Тогда у него возникнет иллюзия свободного выбора.

Помощь - общение инженера с объектом, при котором последний получает решение проблемы, а первый - необходимую ему информацию.

Следует отметить, что данный метод получил широкое распространение среди нарушителей, называемыми «инсайдерами». Причем, им может выступать, как специалист с профессиональными навыками владения информационными технологиями, так и сотрудник компании, вошедший в сговор с заказчиком информации за вознаграждение со стороны. Причем заказ на информацию может быть разный, от клиентских баз до регулярных отчетов о деятельности компании и её отдельных должностных лиц. Что активно используется в коммерческом шпионаже.

Более подробно о методах ОСИ будит написано далее.

2.3     Взгляд на проблему угроз информационной безопасности со стороны международной статистики

Прежде, чем переходить к вопросу рассмотрения основных областей использования социальной инженерии, методов, которые сегодня получили наибольшее распространение, а также основную базу психологической составляющей этого вида угроз, не будит лишним познакомиться со статистикой, приводимой в отчетах отражающих угрозы информационной безопасности. Это добавит остроту восприятия и позволит более внимательно отнестись к проблеме.

По мере наращивания коммерческой ценности информации и экспансии информационных технологий в сфере обеспечения жизнедеятельности цивилизованного общества ситуации значительно изменялась. Следствием масштабного роста ИТ- грамотности и все увеличивающегося числа бизнес-аспектов, охваченных информационными технологиями, стал и постоянно продолжается всплеск новых видов охоты за содержанием хранилищ данных

В ходе такой эволюции появились вполне прагматичные цели и виртуальные мошенники и бизнесмены, получающие доход от потоковой продажи краденной информации, успешно стали использовать помимо хакерских приемов достижения современной психологии. Такая связка позволила с минимальными затратами получать желаемый результат, а порой, часто превосходящий ожидания. Современная статистика по угрозам информационной безопасности с каждым годом менее утешительная и заставляющая в корне пересмотреть свое отношение ко многим вопросам и самой проблеме информационной безопасности.

Так в отчет Dalott Global Security Survey 2006 по мнению респондентов, в числе основных внешних угроз ИБ уверено лидируют вирусы и черви (63% опрошенных), технологии фишинга и фарминга (51 %), шпионское ПО (48%), приемы социальной инженерии (25%).

Среди внутренних угроз, по мнению респондентов, возглавляют рейтинг все те же вирусы, хотя их значимость ими оценивается вдвое ниже.

Значительно претерпела изменение сама «хакерская иерархия», её верхний уровень возглавляют социальные инженеры, делающие свой бизнес на умелом управлении психологией легальных пользователей сети, которые не подозревая того сами, самостоятельно осуществляют несанкционированную инсталляцию вредоносных программ и вирусов. Не безызвестное стремление человека получить желаемое «на халяву». Пиратский рынок наводнен различными средствами, инструментами, конструкторами и «игрушками», которые при желании способен освоить каждый. Это порождает немало хакеров-одиночек и в той или иной мере, они способны причинить любой организации значительный вред. Что и происходит, на самом деле. Но о подобных инцидентах компании предпочитают умалчивать, и статистика по ним в официальных источниках невелика.

Результаты успешных атак на корпоративные ресурсы, выливаются в серьезные финансовые затраты. Причем картина таких инцидентов что зарубежом, что в России примерно похожа. Отчет британской исследовательской компании ISBS красноречив. Денежный эквивалент финансовых потерь, как результата таких атак пропорциональны итогам опроса ФБР и Института компьютерной безопасности, проведенного среди американских топ - менеджеров и ИТ- специалистов

Статистика проводимых исследований Российского аналитического центра Info Watch специализирующегося в области защиты информации от внутренних угроз «инсайдерства» подтверждает данную статистику. Внутренние инциденты, как правило, приводят к утечке персональных и конфиденциальных данных. При этом, из года в год, убытки от каждого из таких видов утечек растет на 20-25%. На рис. 2.6 не случайно по опросу западных респондентов брешь в конфиденциальности и мошенничество или кража с использованием компьютера, являются крайне серьезными инцидентами. По оценкам аналитического центра Info Watch, в 2006 г. одна лишь экономика США потеряла более $60-65 млрд вследствие утечек приватных сведений. Аппроксимируя этот результат в глобальных масштабах, общемировой ущерб составляет около $500 млрд. При этом не учитывалась угроза конфиденциальной утечки информации. По оценке аналитиков Info Watch по итогам 2006 г. совокупность международных потерь в экономике из-за утечки коммерческих секретов составляет $177 млрд. Государственные структуры не вошли в анализ. В итоге, оба вида утечек обходятся ежегодно в $700 млрд. Прогнозируя сегодняшнюю ситуацию, учитывая инфляцию, ежегодный рост таких утечек на 20-25% цифра превышает $1 трлн. Учитывая русскую ментальность, топ-менеджеры заметят, что это на западе, а не в России и будут «ожидать», когда подобная проблема коснется их самих и их компании. Чтобы лишить их такого удовольствия, имеет смысл обратиться не к мировой экономике, а к статистике по утечкам в нашей стране.

2.3.1  Исследование проблемы утечки информации в России

Нас будут интересовать исследование «Внутренние ИТ-угрозы в России - 2006», в ходе которого компания Info Watch опросила 1450 российских коммерческих и государственных организаций и в 2007 г. подготовила отчеты. Ключевыми выводами этого исследования являются:

1.     Обеспокоенность внутренними угрозами ИБ среди российских организаций достигло вышей отметки. Так, индекс опасности утечки информации на 50% опережает аналогичный показатель для любой из внешних угроз.

2.       Государственные организации и частный сектор поставили на первое место утечку информации, т.к. хорошо начали осознавать последствия этого инцидента: прямые финансовые убытки (46%), удар по репутации (42,3%), потеря клиентов (36,9%), что пересекается со статистикой за этот же год отраженной в исследованиях Dalott Global Security Survey 2006 (рис.2.5).

.        Организации более пристально начинают присматриваться к своему персоналу. Более 40% респондентов уже зафиксировали за 2006 г. более одной утечки и более 20% - более пяти утечек.

.        Доля организаций, внедряющих защиту от утечек, возросла за 2006 г. на 500% или в пять раз. К сожалению массового внедрения не происходит и по статистике примерно каждая 10-я опрошенная компания (т.е. около 10% респондентов) внедрила эффективное решение на основе ИТ, остальные планируют это сделать в ближайшие несколько лет.

.        Есть все основания полагать, что проникновение систем защиты от утечек на отечественный рынок будит продолжаться и затронет все области экономики.

2.3.1.1         Портрет респондентов

Проведя опрос респондентов, выяснилось, что наибольший процент опрошенных представителей топ-менеджмента компаний, являются представителями компаний относящихся к малому бизнесу (28,7%), с количеством сотрудников до 500 человек. Почти поровну пришлось на компании с 500-100 (11,4%) служащими и 1001- 10 000 сотрудников (10,3%). Вторая по численности группа респондентов попала в категорию 2501- 5000 сотрудников (25,8%)

Третья группа 1001-2500 служащих (16,7%) и меньше всего, это представители очень крупного бизнеса и федеральных структур.

Следующая гистограмма (рис. 2.9) отражает степень информатизации опрошенных респондентов. Наибольшая доля опрошенных имеет от 251 до 1000 рабочих станций (35,1%). Следующая группа 1001-500о терминалов (24,6%). Большинство респондентов (59,7%) приходится на представителей бизнеса выше среднего и доля очень крупных (от 5001 рабочих станций). Одна треть респондентов пришлась на представителей малого бизнеса (до 250 рабочих станций).

Не менее интересно узнать сферу деятельности респондентов (рис. 2.10), т.к. статистика не позволит тешить себя надеждой, что многие вопросы связанные с защитой информации можно отложить на более поздний срок. Занимательно, что возглавили рейтинг такие сектора экономики, как финансовые услуги (21,5%) и телекоммуникации и ИТ (18,9%). Следующая группа фактически распределилась поровну - министерества и ведомства, производство, ТЭК и торговля. И меньшая доля пришлась на страхование (5,2%) и образование (4,4%).

.3.1.2 Угрозы информационной безопасности в России

За 2006 года, несколько видоизменился ландшафт угроз, по отношению с прошлыми годами. Кража информации несколько лет подряд занимает лидирующую позицию (65,8%). Причем наблюдается стабильный процент роста из года в год. Как ни печально, но второе место занимает халатность сотрудников компании (55,1%), уступив место вирусным атакам, доля которых заметно снизилась за последние два года. Возникла новая угроза, которой не было в прошлых исследованиях, причем сместив хакерские атаки. Что говорит о качественном изменении самих хакеров и некоторой потерей бдительности перед внешними угрозами.

При пересчете ответов респондентов и разделении их на два типа угроз - внутренние и внешние, получаем, что инсайдеры превалируют над вирусами, хакерами и спамом (отнесенным к внешним угрозам). Т.е. к внутренним угрозам были отнесены - халатность сотрудников, саботаж и финансовые мошенничества. Угрозы - кража информации, кража оборудования, аппаратные и программные сбои могут быть реализованы как снаружи, так и изнутри, в присутствии человека или без его присутствия, в связи с чем, они не вошли в рассмотрение этих двух типов угроз.

По словам опрошенных, вырисовывается следующая структура инсайдерских рисков Риск утечки ценной информации, респондентов волнует больше всего.

Одни из самых крупных утечек 2006 г. в России и СНГ опубликованные официально приведены в таблице.

Таблица 2.1. Наиболее крупные утечки 2006 г. по СНГ

Итак, мы выяснили, что наиболее опасной угрозой ИБ является утечка конфиденциальной информации, произошедшей по вине инсайдеров. Потенциальный ущерб отражен в таблице, и все же интересно узнать мнение респондентов, к каким последствиям для организации приводит данная угроза

Только каждый 10-й упомянул об юридических издержках и судебное преследование, что свидетельствует о неразвитости правоприменительной практике в России. 30 января 2007 вступил в действие закон ФЗ-152 «О персональных данных» и тем самым создал все основания для того, чтобы компания, допустившая утечку, могла быть привлечена к ответственности. К сожалению, новый закон пока на сегодняшний день не оправдывает ожидания, не достает вынесения жестких судебных решений для тех организаций, которые допускают утечки. Небольшой обзор, посвященный этому закону будит приведен в разделе «Организационно-правовое обеспечение информационной безопасности».

При этом обращает на себя значительно возросший рейтинг печатающих устройств и фотопринадлежности, которые как и прежде остаются менее покрыты вниманием ИТ-служб, а рост числа сетевых принтеров в организациях, доступность фотопринадлежностей и их встраиваемость во все на свете позволяют злоумышленнику эффективно такими средствами пользоваться. Собственно, уровень ИТ-безопасности в компаниях понемногу растет и достаточно немало компаний уже приобрели и установили у себя средства контентной фильтрации, что немного повлияло на Интернет-канал и электронную почту. И злоумышленникам ничего не остается, как искать иные каналы для выноса конфиденциальных данных.

Очень интересным является следующая гистограмма. Респондентам задавался вопрос о допущенном количестве утечек конфиденциальной, информации в 2006 г.

Количество «затрудняющихся ответить» уменьшается что свидетельствует о положительно динамике, т.к. возросло число респондентов способных однозначно отвечать на вопрос. Каждый 4-й опрошенный ответил, что его компания допустила от одной до пяти утечек, каждый 8-й уверенно сообщает о шести до 25 утечек. Значит у респондентов появилась возможность фиксировать утечки или отслеживать результат по факту происшедшего. Значительно сократилось число респондентов утверждающих, что у них не происходит утечек.

Таким образом, дальнейшая профанация руководством компании вопросов, учитывающих информационные риски, по меньшей мере, приведут к значительным финансовым потерям. В отдельных случаях, они приведут к краху компании. По четкому убеждению российского представительства управляющих различных компаний, утечка конфиденциальной информации в объеме 20% приводит в 60% компанию к банкротству.

2.4     Наиболее распространенные области применения социальной инженерии

Не удивительно, что многие механизмы, методы и схемы заимствованы из арсенала спецслужб. Техника отработана, созданы методологии. Создан серьезный штат специалистов. Частичный переход ряда специалистов из госслужбы в частный сектор, способствовало тому, что часть своих знаний эти специалисты стали использовать для собственных нужд в интересах коммерческого сектора. К сожалению, немало таких знаний стало использоваться в мошеннических целях социальными инженерами. О наиболее «популярных» областях, в которых социтехника используется на все сто процентов, стоит упомянуть.

В основе любой операции, задуманной социоинженером или группой, всегда тщательно изучается объект воздействия и используется та «человеческая уязвимость» которая выражается в желаниях, чертах, характере, привычках и других качествах человека и которая попала в зону пристального внимания атакующего. Следующая, далеко не полная схема (рис. 2.17) показывает современное использование социальной инженерии в мошеннических целях.

2.4.1  Финансовые махинации в организации

Крис Касперский, известный отечественный автор приводил в своей статье [21] факты при которых, за получением гонорара в издательство может прийти кто угодно и назваться в бухгалтерии тем автором, который находится в листе-реестре, получения гонорара. Причем, некоторые наглые товарищи, могут прийти дважды. Сославшись на то, что за него кто-то другой приходил и получил деньги, а он первый раз пришел и такая нелепая ситуация. Картина похожа в разных издательствах, т.к. знать всех авторов в лицо невозможно. Немалое их число проживает в других городах. Тем не менее, немало денежных вопросов решается через электронную почту, по телефону или онлайн-пейджеры, что недопустимо. Введение политики заключения авторских договоров, способно было бы разрешить этот вопрос в пользу издательства, а также пресечь авторов- или мне-авторов мошенников.

Немало известно случаев, когда таким же образом приходят получать зарплату ряд операторов продающих какие-то услуги и товары, работающие по соглашению с компанией у себя на дому.

Несколько слов о случайных встречах

Существует немало агентств, которые организуют «случайные встречи» как на заказ, так и для своей работы. К операции «случайная встреча» подготовка идет основательная. Просчитываются все возможные и невозможные варианты. Когда на «жертву» собирается полное досье, учитывающее все, что имеет отношение к нему. В данном случае злоумышленники действуют по принципу «много информации не бывает». Учитываются предпочтения и личные интересы. Если это мужчина, учитывают его отношение к женщине, какой тип женщин у него вызывает восторг, с определенными её чертами и качествами. Какую музыку он случает, какие места посещает, что предпочитает в еде, какие черты характера для него самого характерны. Собирается абсолютно вся информация. Далее с помощью психологов прогнозируется достаточно точно психо- и социотип жертвы с предсказанием её поведения в той или иной ситуации. Используется дерево решений. Например, если подобрали девушку, у которой «сломалась» машина на его маршруте, он не остановившись проехал дальше, тогда организовывается «подставная авария» в которой в его дорогую машину врезается девушка на своем авто. Просчитывается поведение объекта. Подойдет ли он сам, или он жесткий парень и «на разборку» выйдут его охранники. А сам он предпочитает «стерв», а не фифачек, шлепающихся в обморок, как по делу, так и без дела, и такой номер на него не подействует. И вон он сидя в своей машине, слышит гортанный женский голос: «Эй, вы бодигарды, кыш отседова. Говорите, сколько я вашему папаше должна, берите деньги, и проваливайте, не мешайте мне наслаждаться моей нелегкой женской долей. А вашему недоумку, который за рулем скажите, чтобы при виде бабы за рулем, убирался с дороги по добру, по здорову!». Слушая такую речь, Петр Иванович, владелец нескольких крупных салонов и автозаправок в центре столицы, а также небольшого нефтезавода уже подсознательно понимает, что эта речь, этот тембр, принадлежит «стерве его мечты». Решает сам выйти и поглядеть кто она такая. Далее, все идет по раннее разработанному сценарию. Продумывается все, сама речь, постановка и обороты, фактор выразительности и умение реагировать на собеседника, не теряя сноровки. Если такой девушки нет в арсенале агентства, которая бы соответствовала стереотипному представлению жертвы, её обучают и готовят.

В Москве, Санкт-Петербурге и других городах имеются «агентства знакомств» которые собирают обширное досье на первых лиц различных компаний. Особенно попадающие на страницы журнала “Forbs” и в списки состоятельных граждан. Организуется двусторонняя работа, когда женщина заказывает агентству желанного «жениха», либо этому агентству поступает крупный заказ со стороны на «развод» какой-то жертвы. Так организуется «случайная встреча», после которой 40% от всех доходов, полученных за счет вымогательства, в результате деления состояния, переведенных на счет девушки сумм, от стоимости дорогих подарков (драгоценности, дорогая машина, квартира и других) и т.д. передаются в агентство. А также самой девушкой передается информация по этому человеку, представляющая большой интерес для конкурентов, чтобы подавить выбранную жертву. После «полного уничтожения» жертвы, всегда у девушки найдутся веские основания покинуть его. Да и она сама уже способно долго и безбедно самостоятельно существовать, за счет улучшения состояния за счет жертвы.

В таких случаях, очень часто используется желание жертвы, обладать «женщиной своей мечты», эксплуатируется чувство и понятие любви.

Достаточно распространенный пример. Есть некоторая средняя по размеру компания. В ней работает бухгалтером хорошенькая девушка Ольга. «Случайно» в клубе весной, когда все расцветает не только на улице, но и в душе, она познакомилась и без памяти влюбилась в юношу Вадима, очень милого, обаятельного, прекрасного парня. Во время первой встречи, она узнала, что Вадим приехал недавно в город и поступил на вечернее отделение финансового факультета. Бывший слесарь, а это не страшно, рассуждала Ольга, скоро выучится, и будут её коллегой по сфере деятельности. В общем, затевалась свадьба, и впереди было масса приятностей и наконец, долгожданная любовь, о которой мечтала так Ольга. И вот в один «прекрасный» день она узнает, что с её компьютера осуществляет значительный денежный перевод на не известную фирму. В компании Ольга имеет самую замечательную репутацию очень уравновешенного, хорошего и ответственного человека и сотрудника. В это время и Вадим исчез. Никому и в голову не пришло, что это мог сделать Валим, такой потрясающий, отзывчивый, обаятельный и интересный юноша. А дело в том, что Вадим влюбил в себя Ольгу, чтобы воспользоваться её служебным положением. У Вадима целью было воровство денег. Улучив момент и оставшись в кабинете Ольги один, он и осуществил перевод. Как выполнить эту процедуру, он узнал у Ольги, задавая вопросы и интересуясь, как все работает, ссылаясь на профессиональный интерес, в силу получаемого финансового образования. Во время бесед Вадим выяснил, где лежат дискеты с электронными ключами главбуха и директора. Причем, Вадим своими манерами и поведением влюбил в себя многих сотрудников компании, в которой работала Ольга. Даже директор готов был взять Вадима в штат фирмы, благословляя их с Ольгой за раннее свадьбу. Из-за упрощенной процедуры электронной подписи, для осуществления перевода денег, такая махинация может достаточно свободно проводиться во многих отечественных компаниях.

Если на месте Ольги оказался бы сам директор, желающий любви со своей «мечтой», которую бы подобрали по схеме описанной выше, сложно представить себе последствия такой «случайной встречи».

2.4.2  Бесплатное приобретение программных продуктов

Предположим, злоумышленнику требуется некоторый программный пакет и/или техническая консультация. Взломать демо версию или атаковать локальную сеть фирмы разработчика, сегодня не оправданная мера. Лучше, представившись журналистом, попросить один экземпляр программы в обмен на обещание разрекламировать ее в некотором популярном журнале. Какая фирма не клюнет на такую заманчивую перспективу? К тому же вместе с продуктом злоумышленник получит и квалифицированную техническую поддержку непосредственно от самих разработчиков, а не девушек операторов, обслуживающих рядовых клиентов.

Злоумышленнику придется сложнее, если требуемый ему продукт настолько специфичен, что вообще отсутствует на рынке. Разработка "под ключ" обычно стоит дорого, но если проявить чуточку смекали, возможно все. Вот на сайте аля www.jobs.ru появляется объявление о высокооплачиваемой работе по Интернету. Прием сотрудников, естественно, происходит на конкурсной основе и каждому кандидату дается тестовое задание, по результатам выполнения которого и судят о его, кандидата, профессионализме. Вы не прошли тест? Не расстраивайтесь! Подучитесь, а потом попробуйте свои силы снова, если, конечно, к тому времени не поймете, кто остался с носом, а кто - с готовым продуктом. Самое печальное, что предъявлять злоумышленнику гражданский иск бессмысленно, поскольку состав преступления отсутствует.

Защитить себя от подобных обманов очень трудно, поскольку, аналогичная схема набора сотрудников широко используется и легальными фирмами. Напротив, очень немногие работодатели готовы оплачивать работу "котов в мешке". Поиск хорошей работы - это вообще рулетка и без разочарований здесь не обойтись.

2.4.3  Бесплатный наем рабочей силы

Распространенная практика найма «бесплатной» рабочей силы для выполнения либо какого-то заказа на разработку, либо написания собственной системы для компании. Как отмечалось в предыдущем пункте, это может быть непосредственно поиск работы по какому-либо сайту и в качестве тестинга, компания высылает по интернету на обозначенный ею срок заказ на разработку какого-то модуля или другого программного средства. Или уже начатую разработку, и соискателю нужно будит в указанный срок разработать/доработать какой-то программный продукт. При этом, не заключаются никакие соглашения, в виде договора на разовую работу.

Или другой механизм, когда компания приглашает на разработку квалифицированные кадры. Часто говорит, что у нас мол, выплата зарплаты производится по истечению двух месяцев работы и за один месяц, а не два разработанных. Мы мол, к вам присматриваться будем, подходите вы нам или нет. По истечению двух месяцев мы с Вами будим заключать трудовой контракт, если подойдете.

Разумеется, по истечению двух месяцев выплачивается зарплата за месяц, и то далеко не та обещанная сумма, нежели была обозначена на собеседовании и ответ сотрудника отдела кадров «Извините, вы нам не подходите». Или через месяц человека просто просят уйти. По Москве сам таких случаев от своих коллег знаю немало.

2.4.4  Информация о маркетинговых планах организации

Сыграть на опережение, компании конкурента, выведав её маркетинговые планы - один из желанных лакомых кусочком большинства компаний. Впрочем, эти сведения, при их получении можно выгодно продать. Методы социальной инженерии, самый простой способ получения такой информации, этим всегда пользуется конкурентная разведка.

2.4.4.1         Выставки

Очень хороший способ получения информации от представителей компаний на выставочных стендах. Если человек проявляет к продукции заинтересованность, тогда, как правило, представитель фирмы готов поведать все, что он знает о продукции, последующих перспективах, сильных сторонах продукта и технологиях. Достаточно, просто слушать. Но, если немного владеть данной областью, тактично, умело и последовательно, задавать вопросы, сопоставлять с продукцией конкурентов, указывая на некоторые сильные стороны конкурирующих решений, перемешивать ключевые вопросы с общими, изменять скорость отпускания новых вопросов и реплик, вызывать в собеседнике эмоциональные нотки, чтобы он пытался отстаивать свою точку зрения, можно узнать массу всего. При этом еще и записывать на диктофон. Главное, не говорить инее представляться конкурентом этой компанию. Ключевую роль играет сама надпись на бейджике представителей топ-менеджмента. Сам вид и поведение должно соответствовать надписи на бейджике, не обязательно быть в очень дорогом костюме. Опрятность в манерах, одежде, поведении, это прежде всего.

Если представитель компании не разговорчив, боится представить компанию в невыгодном свете, тогда меняется сам подход. Допустим, можно войти в роль руководителя компании, знать инициалы директора интересующей нас компаний или группы руководителей топ-менеджеров этой компании, можно спросить: «А что нового появилось у вас в этом году? Что-нибудь про это знаешь?» - если представитель не сразу ответил, тогда используется беспроигрышный ход: «Хорошо! Не суть важно, сам позвоню Иванову, спрошу у него!», уходя при этом добавить: «… непонятно кого поставили у стендов, двух слов связать не могут, уж на такие мероприятия нужно знающего человека присылать». Если представитель интересующей нас компании не отреагировал, тогда походив по другим стендам, следует подойти вновь к стенду, задав на этот раз значимый вопрос, с точки зрения представителя компании, по существу: «А вот про это тебе хоть что-то известно? У тех ребят на стенде и в раздаточном материале все четко расписано и отвечают грамотно. Вы будите подобное делать, или мне сразу стоит с ними заключить договор?». Поскольку уже фигурировала фамилия генерального директора, существует большая вероятность того, что представитель компании начнет рассказывать. Представить компании в не лучшем свете, опасается каждый представитель компании на выставке, что для получателя информации является мишень, при этом аттракцией будит являться значимость «мнеперсоны» статус которой указывается на бейджике и его поведение об этом свидетельствует само за себя.

Для того, чтобы разговорить оппонента, следует «поддеть», спровоцировав его на эмоции. Для этого часто, в процессе беседы, достаточно сказать фразу: «Но вот у организации ААА (конкурент), в журнале «Мир высоких технологий» писалось, что их продукция по многим техническим параметрам опережает производимую у Вас на предприятии аналогичную продукцию. Чем Вы можете это объяснить?». Более того, при большой заинтересованности, можно создать вариант такого журнала с распечаткой статьи и выдержками из нее, или создать сайт с таким журналом и разместить там указанную статью. И во время интервью показать этот материал. Если требуется получить серьезную информацию, тогда это не окажется затратной частью и продумывается масса мелочей. Важно - убедить собеседника и поддев его получить желанную информацию. Причем, периодически стоит «ошибаться», чтобы собеседник начал поправлять и тем самым чувствовал свою значимость и компетентность в вопросе. Результат интервью окажется всегда потрясающим, если тщательно подготавливать вопросы, их порядок и иметь запасные варианты как вопросов и поведения, так и «легальности» представительства, на которое ссылаемся при встрече (несложно арендовать на время телефонный номер и усадить по нему человека, который бы выступили от лица секретаря или главного редактора, например).

Другой подход, превратиться в абсолютно «технически безграмотного дурака». Прося объяснить ту или иную деталь. В таком случае чувство превосходства дополняет чувство собственной значимости.

В терминах психологии, использования трансактного анализа, первый подход является манипулированием по схеме Родитель - Дитя, когда мы производим нападение на оппонента, выступая в роли подкованного и информированного Родителя. Задача нашего оппонента отстоять точку зрения и как Дитя попытаться оправдаться. Второй подход обратный первому, когда разыгрывается Дитя - Родитель и в трансактном анализе он более значим и является хорошим началом многих манипуляций. Достаточно представить ребенка, чтобы понять как он умеет «раскрутить» родителей на покупку мороженного или игрушки.

2.4.5  Кража клиентских баз

Статистика таких краж невелика. Но это не значит, что таких случаев мало. Наоборот, в целях скрытия таких прецедентов компании стараются умалчивать факт хищения клиентских баз, т.к. это значительно отразится на репутации организации в целом. Спрос на базы данных всегда был и остается наиболее значительным.

Уповать на государство и законодательную базу не приходится. Так «Комсомольская правда» от 03.03.2006 г. опубликовала статью «Кто и как ворует базы данных?» в рубрике «Расследование КП», в которой сообщает, что «на торговле краденными в госучреждениях персональными сведениями о россиянах делаются миллионы данных. На неделе появилась очередная база данных за 1200 у.е. содержащая паспортные данные 16 млн. россиян как нынешних, так и бывших жителей столицы. Базой приторговывает Московский центр экономической безопасности, который судя из названия, обязан эту информацию защищать. Руководство центра чуть ли не с гордостью, заявляло, что базу они продают вполне официально. Потому, как закона, запрещающего торговлю такими данными, нет». Странно, о какой национальной безопасности вообще можно говорить, если сегодня не редкость встретить на Горбушке и других рынках, где продают программное обеспечение базы данных с данными из ГИБДД, МВД, Пенсионным фондом и т.д.

В своей основе лежит беспечное отношение сотрудников компании. Очень часто счета фактуры, иные финансово-платежные документы лежат стопками на столах сотрудников, которые имеют привычку выходить на 10-30 минут с кабинета, не блокируя свою рабочую станцию. Мусорные корзины в организациях часто заполнены теми документами, которые должны уничтожаться только с помощью шредера или сжигаться за счет специально-организованных выездов для утилизации финансовых документов, расходных лент с факсимальных аппаратов, магнитных носителей и т.д. В ряде магазинов (мебельные, где продажей техники и других) не редки случаи, когда продавец, очень долго оформляет покупку из-за слабых навыков работы с системой. На просьбу, может ли помочь ввести в 1С данные или другое программное средство, ведущее собственную базу данных, откликаются, и позволяют сесть за рабочее место оператора. При этом могут отлучиться от рабочего места на несколько минут, а проходящий мимо персонал магазина не особо беспокоится, что на рабочем месте сидит посторонний человек.

Не редко, под видом обслуживающей фирмы (представителя 1С например) или технической службы на предприятие проникают посторонние, уточняя какими базами сейчас пользуются сотрудники и как бы желая обновить базы, дополнить новыми. Можно подружиться с системным администратором и подменить его, когда тому нужно по делам в рабочее время решать иные вопросы (организовать вызов ему в военкомат, в домоуправление и т.д. подбросив в почту повестку). И при проверке, позвонив системному администратору он подтвердит легальность своего товарища.

Другая распространенная схема, это трудоустройство менеджером по продажам на 1-2 месяца (на испытательный срок), после получения копии базы, не дожидаясь срока истечения уйти из организации, обосновав тем, что такая работа не подходит, буду пробовать на другой должности.

Самый распространенный случай, это уход ведущего менеджера или группы менеджеров вместе с базой клиентов. Причем, после ожжет достаточно легко появиться новая фирма в составе ушедших менеджеров и работающая с теми же клиентами, что и на предыдущем месте. Учитывая привязанность многих компаний к конкретному менеджеру, ведущего их фирму, и желающего работать только с ним (возможно, были какие-то устные договоренности, устраивающие обоюдно друг друга) ведут к прямым финансовым потерям и выработке негативного отношения на рынке самой организации, которую покинул этот менеджер или группа менеджеров по продажам.

Отмечу еще один нюанс, свидетелем таких ситуаций приходилось быть самому. Когда с руководящих постав компании (коммерческий директор, директор по связям с общественностью, начальник отдела маркетинга, начальник отдела продаж и т.д.) уходит сотрудник, тогда он обычно обращается в информационно-технический отдел к кому-то из технической службы или администратору, чтобы последний сохранил его рабочий профиль и записал профиль на диск или флеш-карту (которую последний сам предоставляет). В 99% случаев, среди этих данных обязательно присутствует база клиентов, с которой работает в настоящее время компания. Увольняющийся сотрудник, обычно аргументирует это как свои наработки за время работы в компании. Однако, некоторые сотрудники работали в компании 3-4 недели. При этом профиль пользователя по объему занимал почти столько же, сколько профиль сотрудника отработавшего в компании на аналогичной должности от года и больше. Причем, сохраняя с помощью IT-службы свои данные, он легализует эту операцию, делая её не своими руками, тем самым отводит ненужное подозрение от себя. Манипуляция происходит за счет личностных отношений («притирки») к сотрудникам IT-службы. Как правило, все руководители, начиная от технического звена и топ-менеджмент, стараются не сориться с данным подразделением, периодически их сдабривая.

В качестве примера, когда вынос клиентской базы может работать не основой для становления своего бизнеса, а всего лишь, как средство получения разовой прибыли. Украинские спецслужбы в 2006 г. раскрыли цепочку противоправных нарушений, начавшуюся с продажи диска с базой данных абонентов одного из харьковских интернет-провайдеров. Покупатель, некий народный умелец, ставший обладателем этой конфиденциальной информации, нашел себе «спонсоров» среди клиентов этого провайдера и произвел ряд перекрестных транзакций, тем самым лишив возможности провайдера восстановить состояние счетов. Компания вынуждена была начислить пострадавшим клиентам компенсацию, в результате её собственный ущерб составил несколько десятков тысяч гривен (точная сумма не указывается, но в долларовом эквиваленте это приличная сумма с учетом зарплат на Украине).

2.4.6  Рейдерские атаки

Рейдеры - это захватчики предприятий, которые поглощают или помогают поглотить насильственно выбранный объект, против воли поглощаемого объекта. Соответственно рейдерская атака - это атака по захвату предприятия.

В толковом словаре, понятие рейдер дословно означает, военный корабль, ведущий на морских путях самостоятельные операции по уничтожению транспортных судов противника.

В нашем случае, это сложная процедура, планирующаяся с инженерной точностью, имеющая в своем составе несколько ключевых этапов (рис.2.18).

этап. Сбор информации о предприятии.

На этом этапе наиболее широко используются методы социальной инженерии. Собирается и анализируется вся информация о предприятии: финансовая ситуация на предприятии, список контрагентов, список клиентов, список акционеров (реестр акционеров), информация о слабых и сильных сторонах предприятия, о вредных привычках руководства и сотрудников, кто поддерживает друг с другом дружеские отношения и против кого, информация о маркетинговых планах и прочее. Этап занимает 1-3 месяца в зависимости от масштаба предприятия, организационной структуры в нем. Ключевым моментом является получение копии реестра акционеров.

этап. Начало атаки.

Атакой является начало скупки акций у миноритарных акционеров (акционеры с небольшим количеством акций), которые рейдеры скупают по очень выгодной цене для держателя акций.

Одновременно со скупкой акций проходит работа по «закошмариванию» предприятия, т.е. организация по дезорганизации его работы. Что приводит к большему числу акционеров желающих расстаться со своими акциями.

В рамках ведения дезорганизационной (диверсионной, можно так назвать) деятельности, руководству «впариваются» иски от имени акционеров по поводу нарушения различных операций с акциями, нарушения порядка проведения сделок, возбуждаются уголовные дела в отношении сотрудников и руководству (чаще всего фиктивные и подделки), инициируются проверки деятельности предприятия различными службами (налоговая, противопожарная, санэпидстанция и т.д.) для парализации работы предприятия широко используется техника гринмейл (корпоративный шантаж, достигаемый реализацией прав мелких акционеров агрессивным образом или вышеприведенной деятельностью).

На этом этапе используется повсеместно набор техник социального программиста (глава 2.7). Осуществляется класс атак HDoS (Human denial-of-service) т.е. отказ в обслуживании самого человека, или метод «блокировки» используемый психологами. Такие атаки достаточно популярны в технике социоинженера и социопрограммиста.

Руководство предприятия в это время начинает идти на увольнение работников для локализации проблемы. Акции предприятия переводятся в доверительное управление или передаются в залог другой компании как правило, подконтрольной основному предприятию. Далее проводится дополнительная эмиссия акций и организуется самим предприятием контрскупка акций.

На этом этапе сегодня, часто привлекают социопрограммистов. В частности задача таких специалистов дискредетировать предприятие в сети Интернет, чтобы СМИ «раздули» скандал и обсуждение. Заводятся форумы, вычисляются партнеры и клиенты предприятия-объекта и создается негативное паблисити, как предприятия-объекта, так и его партнерам и клиентам. Если же у предприятия есть свой сайт и форум, все необходимое готово и социоинженер начинает работу с него.

этап. Внесение раскола в состав руководства предприятия.

Задача рейдеров, стать обладателями 30% + 1 акциями, чтобы свободно войти на предприятие. Консолидированный пакет у руководства сегодня, это не меньше 70% акций, чтобы обезопасить себя после кошмарных 90-х годов. Тогда рейдеры пошли по другому пути - внесение раскола между членами управления, играя на внутренних противоречиях между управляющим составом предприятия. О чем становится известно на 1-м этапе. Здесь имеют место интриги и скупка акций у основных держателей акций.

Параллельно формируется оппозиция из миноритарных акционеров, для последующего входа на предприятие или «легализации» своих отношений.

Действие руководства на этом этапе:

·        Постараться смягчить конфликт между управляющим составом предприятия;

·        Попытка смягчить оппозицию, частично уступая миноритарным акционерам.

На этом этапе, очень широкое поле деятельности для социального программиста. В силу предсказуемости многих поступков людей и групп. Создавая ореол неблагополучного предприятия, сотрудники его просто покидают.

этап. Работа с активами предприятия.

На этом этапе руководство предприятия пытается сделать так, чтобы захват предприятия потерял для рейдера смысл. Для этого руководству нужно либо вывести активы предприятия, либо каким-либо образом их обременить. Рейдеры пытаются этого не допустить.

этап. Вход на предприятие.

Для легального входа на предприятие рейдер пытается созвать внеочередное собрание акционеров для переизбрания совета директоров. Для этого, собирается пакет акций 30% +1 акция и посылается в действующий орган управления предприятия требование о созыве внеочередного собрания акционеров. После игнорирования руководством собрания, рейдер имеет право провести такое собрание самостоятельно (как правило скрытно, с присутствием на нем подконтрольных рейдеру акционеров, кто пытается присутствовать из управляющего совета, таких пытаются блокировать или обмануть). В таком случае первое собрание не является достаточным кворумом для принятия решения, поэтому на первом собрании констатируется отсутствие кворума, что заносится в протокол собрания и все расходятся. Если собрать повторное собрание, то 30% + 1 акция уже будит считаться кворумом и решения принимаются большинством голосов. Как правило, это прекращение полномочий прежнего совета директоров и избрать новый совет директоров (т.е. параллельный орган управления). Рейдеры делают еще один шаг, с помощью одного из участников собрания в суд направляется претензия к проведению собрания, чтобы признать его недействительным. Повод выбирается формальный, чаще вздорный, чтобы суд не признавал его значимости. Что суд и делает. Документ получаемый на руки рейдеру ценный, т.к. он признал очередное собрание легитимным и суд это подтверждает. После чего, параллельный орган начинает работать и предприятие в руках рейдера.

2.5     Общая классификация АТАК и связанные с ними угрозы, ОСНОВАННых НА МЕТОДАХ СОЦИОТЕХНИКИ

Корпорация Microsoft все угрозы связанные с использованием методов социотехники для упрощения восприятия, выделяет в пять основных направлений проведения атак [26]. Считаю её достаточно удачной классификацией и поэтому возьмем её в качестве общей структуры.

Направления атак:

1.       Сетевые атаки.

2.       Телефонные атаки.

.        Поиск информации в мусоре.

.        Персональные (личностные) подходы.

.        Обратная социальная инженерия (или инсайд).

Как упоминалось раннее, главной целью атак злоумышленников является так называемая чувствительная информация: персональная информация пользователей (имена, пароли, аккаунты, идентификационные номера, банковские реквизиты и т.п.) и данные о корпоративных сетях. С помощью такого рода сведений возможен обход многоуровневых систем защиты от вторжений. Злоумышленниками движут людские потребности - получение денег, получение социального статуса и поднятия собственной самооценки. Что это несет для компании-цели атаки, мы видели в аналитическом разделе (раздел 2.3).

Как было выяснено, самыми дорогими и потому, самыми опасными являются неправомерные действия сотрудников, т.е. внутренние угрозы. В разделе 2.3 (рис. 2.4, рис. 2.6, рис. 2.11, рис. 2.12 и рис. 2.15) на гистограммах указаны основные виды каналов утечки конфиденциальной информации. Специалисты по защите информации, считают, что основными причинами вызывающие утечку конфиденциальных сведений являются [27]:

1.       Открытый доступ сотрудников к большому объему информации, зачастую не требующейся для выполнения их служебных обязанностей.

2.       Это несвоевременная деактивация электронных аккаунтов сотрудников, уволенных из компании.

.        Косвенная, но важная причина - наличие (или разрешение) в компании средств коммуникации, опасных для использования. К таким средствам относятся, например, интернет-пейджеры и бесплатные почтовые сервисы (mail.ru, rambler.ru и т.п.).

.        Электронная почта и Интернет, если их использование не регламентируется соответствующими политиками и не контролируется специальными средствами.

2.5.1  Сетевые угрозы

У мошенников имеется целый арсенал отработанных средств и наработанного опыта, который постоянно пополняется и даже профессионалу часто сложно оценить ситуацию, чтобы не попасться на очередную уловку. В силу того, что сегодня основная масса информации любой компании обрабатывается в электронном виде и передается, как по внутренним, так и внешним телекоммуникационным каналам связи, рассмотрим наиболее опасные угрозы, которые используют наиболее популярные сегодня в любой компании каналы - электронную почту, Интернет, службы мгновенного обмена сообщениями.

2.5.1.1 Угрозы связанные с электронной почтой

Электронная почта стал обыденным инструментом любого сотрудника в компании. Ежедневно многие из нас получают через корпоративные и частные почтовые системы десятки и даже сотни электронных писем. При таком потоке корреспонденции невозможно уделить должное внимание каждому письму, да и не редко, просто притупляется внимательность или возникает любопытство, а кто нам написал, или письмо по содержанию оказывается убедительным, чтобы нажать на ссылку внутри него или выслать определенные данные по указанному адресу. Даже темы, от незнакомых нам лиц бывают актуальными или сентиментальными. Например, письмо пришедшее от банковского агента, в котором заведен личный счет, с просьбой подтвердить свои данные.

Злоумышленник может отправить сотруднику компании письмо, в котором говорится об указании начальника прислать ему все расписания выходных дней для организации встречи, отправив копию ответа всем пользователям, включенным в прилагаемый список. Злоумышленник может легко включить в этот список внешний адрес и подделать имя отправителя, чтобы казалось, что письмо получено из внутреннего источника. Подделать данные особенно легко, если у злоумышленника есть доступ к корпоративной компьютерной системе, потому что в этом случае ему не могут помешать брандмауэры, защищающие периметр сети. Утечка информации о расписании выходных дней подразделения не кажется угрозой безопасности, но на самом деле благодаря этому злоумышленник может узнать, кто из сотрудников компании и когда будет отсутствовать на своем рабочем месте. В это время злоумышленник сможет выдать себя за отсутствующего сотрудника с меньшим риском разоблачения.

Фишинг - вид онлайнового мошенничества, целью которого является получение идентификационных данных пользователей с помощью техник социальной инженерии, когда пользователя ложным письмом или сообщением от той или иной организации пытаются заставить ввести определенные данные на сайте, контролируемом злоумышленником. Организаторы фишинг-атак рассылают электронные письма от имени популярных брендов, от имени партнеров, телекоммуникационных компаний (якобы оператора связи, услугами которого пользуется компания) и вставляют в них ссылки на фальшивые сайты. Оказавшись на таком сайте, пользователи рискуют сообщить преступникам информацию cугубо конфиденциального характера.

Например, на следующем рисунке (рис. 2.19) показана на первый взгляд корректная ссылка на страницу управления учетной записью веб-узла компании Contoso.

Используя фишинг, злоумышленник обычно действует наобум, просто запрашивая у пользователя информацию. Для придания правдоподобности таким письмам злоумышленники могут использовать в них корпоративные логотипы и шрифты и даже указывать реальные бесплатные телефоны службы поддержки, ФИО реальных сотрудников компаний, от чьего имени производится якобы рассылка. Информация у пользователей часто запрашивается под предлогом оказания помощи с обновлением систем или предоставления дополнительных услуг. Более продвинутой формой фишинга является направленный фишинг (spear-phishing) - атака, целью которой является конкретный сотрудник или группа сотрудников. Этот подход гораздо более сложен, поскольку в этом случае злоумышленник должен быть знаком с личными и важными корпоративными данными, чтобы его обман выглядел убедительно. Однако и вознаграждение злоумышленника при этом выше: добившись успеха, он получит более подробные и конкретные сведения.

Если приглядеться внимательно к самой ссылке, можно заметить два несоответствия:

1.       В тексте письма утверждается, что узел, на который указывает ссылка, защищен с помощью протокола https, тогда как по подсказке видно, что на самом деле при взаимодействии с этим узлом используется протокол http.

2.       В тексте письма указано название компании Contoso, но на самом деле ссылка указывает на веб-узел компании Comtoso.

Раньше, чаще других фишинг-атаками подвергались пользователи различных банковских и платежных систем. Сегодня, помимо этой цели преследуется новые цели - это неавторизованная загрузка вредоносного кода пользователю, для осуществления «захода с боку» и проникновение в корпоративную сеть, удаленного администрирования компьютера подключенного к сети, воровство персонифицированных данных, выявления уязвимостей в системе и загрузка ботов. Злоумышленники рассылают пользователю письма с троянскими программами, осуществляющими кражу банковских реквизитов, номера и PIN коды платежных карт и другие персональные данные. Очень часто, преступники действуют цинично и не остаются без их внимания даже происходящие в мире трагедии. Так, декабрьское цунами 2004 г. в Юго-Восточной Азии, унесшее жизни сотен тысяч людей, вызвало внедрение многочисленных вирусов и краж конфиденциальной информации. Были зафиксированы рассылки троянских программ, выдаваемых за «фотографии цунами», «секретные отчеты о численности жертв» и т.п.

Фишинг-атаки осуществляются следующим образом: предварительно злоумышленники подготавливают сайт-двойник или специальный сайт с вредоносной страницей. Затем при помощи так называемых ботнетов осуществляется массированная спам-рассылка электронных писем и сообщений для интернет-пейджеров (SPIN-рассылки), призывающих получателя зайти на подготовленный инфицированный сайт. Рассылка может быть осуществлена не только по электронной почте, но и при помощи других средств коммуникации, например, через интернет-пейджеры. Цель рассылки создать мотивированную реакцию пользователя, т.е. посещение сайта по указанной ссылке в письме. При этом злоумышленник, как правило, подменяет DNS на целевой сайт (DNS poisoning) или каким-либо другим способом перенаправляет сетевой трафик, чтобы скрыть истинный адрес взломанного сайта. Изобретательности мошенников нет предела, есть целый ряд вариантов фишинга с помощью электронной почты, в том числе применение изображений в качестве гиперссылок на вредоносные программы и включение текста в изображения ради обхода фильтров проверки гиперссылок.

Затем на сайте пользователю предлагается ввести персональную информацию (банковские реквизиты, пароли, PIN-коды и т.п.) или изменить пароль для онлайновых операций в целях безопасности. Таким образом, в руках злоумышленников окажутся персональные данные пользователей банковских систем. Дальнейшее их применение с целью кражи финансовых средств со счетов становится «делом техники». Помимо финансовых махинаций, может быть предложено зарегистрироваться на сайте для ознакомления с новостями в интересующей пользователя сфере, финансовой например. Вероятность того, что пользователь введет логин и пароль который он использует в компании для личного доступа к корпоративным ресурсам равна 80% по проведенным исследованиям аналитического центра Info Watch.

Первым случаем в России фишинговой атаки произошел в мае 2004 г. когда владельцы кредитных карт Ситибанка получили письма от «администрации банка» с просьбой уточнить личные данные - номер карты и PIN-код. Поскольку держателей таких карт в России - десятки тысяч, рассылка этих писем была поставлена на поток и проводилась в течение трех месяцев. Мошенники действовали по отработанной схеме: все ссылки из писем вели на фальшивый сайт Ситибанка. В самом Ситибанке утверждают, что ни одного пострадавшего не было. Через несколько дней после начала скандала банк разослал заявление о своей непричастности к хакерской рассылке, подписанное президентом Алланом Херстом. Атаки на Ситибанк продолжались до осени. В конце сентября клиенты банка получили последнее письмо, в котором сообщалось, что на их счет пришла некоторая сумма, и для ее зачисления нужно подтвердить свои реквизиты.

Фарминг - метод хищения идентификационных данных интернет-пользователей. Суть его сводится к автоматическому перенаправлению пользователей на фальшивые сайты. В отличие от фишинга, этот способ хищения данных почти не требует участия потенциальной жертвы. Пользователи могут стать жертвой фарминга в силу уязвимостей браузеров, операционных систем и DNS-серверов. Механизм фарминга вступает в действие, когда жертва открывает почтовое сообщение с троянской программой (как правило, рассылаемое по спамерским спискам) или посещает веб-узел с исполнимым файлом, который тайно запускается в фоновом режиме.

Когда пользователь набирает интернет-адрес, чтобы получить доступ к веб-странице, адрес должен быть конвертирован в реальный IP-адрес в следующем формате: 000.000.000.000. Обычно требуется DNS-сервер, так как браузер не может совершить конвертацию. Эти серверы администрируют имена, соответствующие каждой из таких цифровых последовательностей и доставляют пользователя на запрашиваемую страницу.

Атаки фарминга могут проводиться напрямую против DNS-сервера таким образом, что изменение адреса повлияет на всех пользователей, обращающихся к серверу, или они могут быть выполнены локально, т.е. на отдельных компьютерах. Последний способ предполагает изменение на компьютерах, работающих под управлением ОС Windows файла hosts. Здесь хранится информация о серверах и соответствующих им IP-адресах, наиболее часто используемых, чтобы не нужно было обязательно обращаться к DNS-серверу для конвертации интернет-адресов (URL) в IP-адреса. Если этот файл перезаписан, и в него вносятся фальсифицированные адреса страниц, то каждый раз, вводя имя сайта в браузере, пользователь попадет на страницу, созданную злоумышленником, которая выглядит так же, как истинная страница. Ничего не подозревающая жертва затем может ввести конфиденциальные данные. При этом злоумышленник имеет возможность редактировать hosts-файл напрямую (осуществляя удаленный доступ к системе) или используя вредоносный код, обычно - троянцев.

2.5.1.2         Вредоносные программы

Вредоносные программы включают в себя вирусы, черви, троянские программы, а также различные скрипты и исполнимые программы.

Почтовые черви - это вредоносные программы, которые распространяются по каналам электронной почты во вложениях к почтовым сообщениям. Они запускаются при открытии пользователями вложенных файлов и используют уязвимости в почтовых клиентах. Почтовые черви снабжены механизмами саморазмножения и используют для распространения списки рассылки почтовых клиентов.

В настоящее время эпидемии почтовых червей происходят значительно реже, в связи с чем сегодня наблюдается морфологические мутации и зменения червей и на замену почтовым червям приходят черви для интернет-пейджеров (IM-черви, Instant Messaging) и файлообменных сетей (P2P-черви, peer-to-peer), защищенных гораздо хуже современных почтовых программ.

Распространение IM-червей осуществляется следующим образом: на атакуемые компьютеры рассылаются (как правило, по записям контакт-листов заранее взломанных интернет-пейджеров) сообщения, содержащие ссылку на специально подготовленный веб-сайт. Используя технологию социального инжиниринга, злоумышленник заставляет пользователя пойти по указанной ссылке. На сайте находится вредоносная программа. В момент ее загрузки червь (либо через эксплойты различных уязвимостей в Internet Explorer и клиентах интернет-пейджеров, либо путем прямой загрузки и запуска) проникает в систему.

Инсталляция Р2Р-червей на компьютер-жертву осуществляется в момент закачки файлов по файлообменной сети. При этом вредоносные программы внедряются в загружаемый файл и используют различные способы маскировки, чтобы не быть замеченными в момент передачи данных.

Большинство Р2Р и IM-червей способны устанавливать в систему и другие вредоносные программы. Так, существует немало червей, устанавливающие троянские программы на зараженные компьютеры. С помощью троянцев с компьютера жертвы осуществляется кража конфиденциальной информации или персональных данных. Сам же компьютер превращается в «зомби-машину» и включается в «ботнет».

Троянские программы -достаточно сильный и широкоиспользуемый инструмент любого мошенника при осуществлении атаки на корпоративную сеть. В зависимости от задач, которые выполняют троянские программы, различают соответственно:

·        троянцы-шпионы и бекдоры (от английского trojan-backdoor - «черный ход»), предназначенные для кражи конфиденциальной информации и персональных данных, рассылки спама и осуществления атак типа «отказ в обслуживании»;

·        троянцы-прокси, используемые злоумышленниками для построения «ботсетей»;

·        уведомляющие троянцы, (от английского Trojan_Notifier), сообщающие злоумышленнику о том, что компьютер инфицирован;

·        троянцы-загрузчики (от английского downloader), целью которых является установка и постоянное обновление вредоносных программ на инфицированных машинах;

·        PSW-троянцы (от английского password), используемые для поиска, а также кражи паролей и кодов доступа.

Основным способом распространения троянских программ являются массовые спам-рассылки, а также почтовые и IM-черви.

2.5.1.3         Потенциально опасные программы

Достаточно новый вид угроз, который возник в виду изменившегося в последнее время портрета нарушителя. Это достаточно мощный и очень часто нужный класс программных средств, поставляемый с операционной системой и средствами администрирования и разработки легально непосредственным разработчиком или третьими разработчиками. Такие программы принято относить к классу «riskware» или «greyware» («потенциально опасные программы»). Хотя это легитимное ПО и созданы во благо, но в руках злоумышленников могут причинить значительный вред информационной системе. В связи с чем, специалисты по ИБ отнесли такие средства к угрозам.

Сюда входят: программы дозвона (dialers), программы-загрузчики (для скачивания файлов из Интернета), IRC-клиенты, FTP-серверы, серверы-посредники (proxy), telnet-серверы, web-серверы, программы мониторинга, PSW-утилиты, утилиты удаленного администрирования и т.п.

Полезность всех вышеназванных программ и утилит трудно переоценить. Однако в связи с коммерциализацией Интернета их начали (сначала легально) использовать, например, в поисках информации о предпочтениях пользователей в целях маркетинга, для продвижения собственных сетевых ресурсов любыми доступными средствами (в том числе с помощью фальсификации результатов поиска в Интернет). Затем злоумышленники стали применять эти программы в целях сбора и кражи конфиденциальных и персональных данных, изменения и уничтожения информации и т.д.

2.5.1.4 Программы-шпионы

Среди потенциально опасных программ, особенно выделяются программы-шпионы (spyware). Данное ПО позволяет собирать сведения об отдельном пользователе или целой организации скрытно.

Первыми такими программами были сетевые сниферы, отнесенные к классу программ-bags, следящей за действиями пользователя и протоколирующая все, что видит. Набор таких программ представлен в Сети в богатом ассортименте позволяющего отслеживать и протоколировать любой доступный канал.- это, по сути, тот же снифер, только устанавливается он объектом слежки на свой компьютер добровольно. Среди программ-шпионов выделяют следующие типы:

·        Считыватели клавиатуры (монитора) - key/screen loggers. Специальные программы, обеспечивающие сбор и отправку информации, которую пользователь набирает с клавиатуры (выводит на экран).

·        Сборщики информации. Программы-шпионы, которые осуществляют поиск на жестком диске определенных данных (пароли, персональные данные, конфиденциальную информацию и т.п.) и отправку их внешнему адресату.

·        Программы-загрузчики. Специальный код, позволяющий проделать бреши в системе защиты и загружать на инфицированный компьютер дополнительные вредоносные программы.

Такое ПО распространяется разными способами, но чаще всего - массовой спам-рассылкой. В этом случае можно выделить два варианта: одноэтапный и двухэтапный. Для первого характерно, что в качестве распространяемого спам-рассылкой файла выступает одна из разновидностей шпиона, во втором - сначала на компьютер-жертву устанавливается троянская программа-загрузчик, которая затем осуществляет загрузку одной или нескольких шпионских программ рассматриваемой группы. Другой способ распространения - с почтовыми червями. Такие черви, попадая на компьютер, либо сами загружают шпионскую программу, либо устанавливают на инфицированной машине троянца-загрузчика, который впоследствии осуществляет инсталляцию шпионского ПО. Некоторые версии программ-шпионов используют для распространения HTTP и FTP-трафики.

Все вышеперечисленные способы распространения программ-шпионов объединяет одна, пожалуй, главная причина - неправомерные и небезопасные действия пользователей. Как правило, spyware попадают во внутренние корпоративные сети:

·        путем пересылки во вложениях к электронной почте;

·        через уязвимости в интернет-браузерах, при загрузке вредоносного содержимого с инфицированного сайта;

·        через уязвимости в IM и Р2Р-клиентах;

·        с мобильными накопителями (компакт-диски, USB-накопители);

·        во время on-line игр.

2.5.1.5 Рекламные коды или adware

Рекламные коды (аdware) - это программное обеспечение, которое проникает на компьютер в рекламных целях. Данное ПО относится к разряду потенциально опасных. Формально аdware- программы являются легальными, что позволяет производителям открыто их разрабатывать, а рекламным компаниям - свободно распространять. Появившись несколько лет назад в виде простейших скриптов, автоматически открывавших множество дополнительных окон в браузере, сейчас они окончательно перешагнули грань между нежелательным, но все-таки легальным, софтом и вредоносными программами.

Более изощренными и нелегальными становятся приемы доставки рекламного контента на компьютеры пользователей. Некоторые современные adware-программы используют вирусные технологии для проникновения и скрытия себя в системе. Все больше обнаруживаемых программ данного класса содержат черты троянцев. Это отражается в способе инсталляции в систему (например, при помощи уязвимостей в браузерах) либо в поведении на компьютере пользователя. Adware-программы серьезно затрудняют свое обнаружение и деинсталляцию из системы (rootkit-технологии, запись собственного кода в системные файлы или подмена собой системных приложений), ищут и удаляют

Программы-конкуренты, занимая их место. В них могут содержаться модули для сбора и отправки третьим лицам информации о посещаемых сайтах и вводимых владельцем компьютера данных. Кроме того, представители класса adware могут конфликтовать с установленным программным обеспечением.

Еще одним свойством adware-программ является подмена результатов поиска. По результатам действий они имеют сходство с вредоносным кодом, осуществляющим фарминг-атаки. Используя уязвимости в браузерах, такие программы перенаправляют пользователя на нужный рекламодателю сайт вне зависимости от того, какой адрес интернет-ресурса он набрал.

2.5.1.6 Всплывающие приложения и диалоговые окна

Как было отмечено adware часто используют такой подход со всплывающими окнами. Отчасти, сотрудники компании также будут использовать средства доступа к Интернет как в рабочих целях (поиск новостей, анализ материалов, отслеживание за маркетинговыми исследованиями, сайты партнеров и авторизованный доступ к закрытым ресурсам через сайт-партнера и т.д.), так и в своих личных целях. Например для совершения покупки в интернет-магазинах, заказать доставку товаров или билетов на мероприятия, разыскивая иную интересующую их информацию. Для мошенников, такое проявление активности корпоративных пользователей важно и на руку, т.к. есть возможность получить через них доступ к корпоративным ресурсам, даже если сама компания не интересна. Но могут заинтересовать вычислительные ресурсы компании для проведения своих атак на другие мишени.

2.5.1.7 Спам

По данным ведущих отечественны провайдеров, объем спама на рунете на май месяц 2008 года доходит до 95-97% от общего количества входящей электронной почты. Ущерб от спама в России от спама в 2004 г. составлял 150-200 млн. евро, при объеме спама 70-80% от общего количества входящей электронной почты.

Сегодня это крайне опасный вид угроз сочетающий технологии спама, фишинга/фарминга и вредоносного кода вместе интегрированные в сочетании с социальной инженерией. По разным оценкам, на спаме предприятия теряют от $100 до $300 в год в расчете на одного офисного сотрудника. По аналитическим данным на 2004 г. убытки от спама составляют ежегодно от $10 млрд. ежегодно в мире.

Совершенствование средств фильтрации ведет к регулярной эволюции способов рассылки спама. Сегодня выделяют в рунете ряд технологических особенностей рассылки спама:

·        Распределенность спам-рассылок. Существенная доля спам-сообщений рассылается через «ботнеты». Как правило, отдельный инфицированный компьютер используется для посылки небольшой доли сообщений, при этом в рассылке участвуют сотни и тысячи пользовательских машин. Спамерам удалось наладить сквозной мониторинг доставки сообщений, в результате письмо, отвергнутое при попытке доставки с одного IP-адреса, отправляется заново только с другого IP. Это делает отражение (reject) почты по DNSBL-спискам неэффективным - попытки доставки сообщения повторятся с других IP-адресов.

·        Уникальность спам-сообщений. Спам-сообщения, рекламирующие один и тот же товар или услугу, но отправленные разным пользователям, уникальны. Другими словами, в каждое отдельное письмо вносятся случайные последовательности символов (часто невидимые для читателя), персональные обращения, анекдоты, большие куски связного текста и так далее, что делает спам-сообщения невидимыми для фильтров, основанных на технологии проверки сигнатуры или одинакового текста. Случайные последовательности символов добавляются автоматически, с применением специализированных программ. В противном случае стоимость и время изготовления индивидуальных сообщений будут слишком большими.

·        Маскировка под легальные письма. Спамеры делают техническую информацию в рассылаемых письмах максимально похожей на легальную переписку. В результате большая часть спама легко проходит через формальные фильтры.

К другим особенностям относятся:

·   Использование технологии социальной инженерии. Уже не секрет, что тексты спамерских писем составляются специалистами в области психологии.

·        Использование технологий обхода антиспам-фильтров. Появление средств обнаружения спама, основанных на анализе содержания письма (контентный анализ), привело к эволюции содержания спамерских писем - их составляют таким образом, чтобы автоматический анализ был затруднен. Кроме того, спамеры стараются фальсифицировать адреса отправителя, заголовки писем, модифицировать сообщения так, чтобы обмануть антиспамерские фильтры. Рекламное сообщение приходит пользователю в виде графического файла, а это крайне затрудняет автоматический анализ.

2.5.1.8 Интернет-пейджеры или служба мгновенного обмена сообщениями

Интернет-пейджеры (в английской терминологии Instant messaging, далее сокращенно - IM) - это средства диалогового обмена сообщениями.

К таким средствам относятся:

·      AOL (AOL IM - AIM, AIM Express (web-based), Trillian, Apple iChat, SameTime Connect, как правило, использует для соединения tcp 5190_5193);

·        ICQ8 (ICQPro, ICQ Lite, ICQ2GO (web-based);

·        Microsoft (MSN Messenger, Windows Messenger, Trillian, как правило, использует для соединения tcp 1863, tcp 6891);

·        Yahoo! (Yahoo! Messenger, Yahoo! Web Messenger, Trillian, как правило, использует для соединения tcp 5050).

Двумя основными видами атак, основанных на использовании службы мгновенного обмена сообщениями, являются указание в теле сообщения ссылки на вредоносную программу и доставка самой программы, а также один из способов запроса и передачи конфиденциальной информации.

Мгновенный обмен сообщениями имеет несколько особенностей, которые облегчают проведение социотехнических атак. Одна из таких особенностей - его неформальный характер. В сочетании с возможностью присваивать себе любые имена этот фактор позволяет злоумышленнику гораздо легче выдавать себя за другого человека и значительно повышает его шансы на успешное проведение атаки, основанной на подделке данных.

Выдавая себя за другого известного пользователя, злоумышленник (красный) отправляет письмо или мгновенное сообщение, получатель которого считает, что получил его от известного ему человека. Знакомство с предполагаемым отправителем ослабляет внимание получателя, и он часто без всяких подозрений щелкает ссылку или открывает вложение, присланное злоумышленником. Большинство поставщиков услуг мгновенного обмена сообщениями позволяют идентифицировать пользователей по их адресу, благодаря чему злоумышленник, определив используемый в компании стандарт адресации, может инициировать с помощью службы мгновенного обмена сообщениями виртуальное знакомство с другими сотрудниками компании. Само по себе это не представляет угрозы, но значительно расширяет диапазон сотрудников и систем, которые могут подвергнуться атакам.

Наличие уязвимостей в IM-клиентах (активные элементы ActiveX, эксплойты JPEG_файлов и т.п.) позволяют злоумышленникам похищать пароли и конфиденциальную информацию, получать несанкционированный доступ к внутренним корпоративным сетям, устанавливать троянские программы, которые позволят включать его в «ботсеть», рассылать через него спам и вредоносные программы.

Как спам, рассылаемый по каналам электронной почты, является серьезной проблемой для безопасности корпоративных сетей, точно также спим становится угрозой номер один для интернет-пейджеров. Подобно своему собрату спим является не только свободно распространяемой рекламой, но и способом рассылки вредоносных программ через IM-канал. Именно поэтому борьба со спимом также актуальна сегодня, как и защита от вирусов и червей.

Важнейшей особенностью IM-сетей является то, что в настоящее время не существует каких-либо общих стандартов и протоколов, описывающих их архитектуру. Это осложняет контроль использования данных приложений на корпоративном уровне. Межсетевые экраны и прокси-серверы не в состоянии обеспечить должный контроль IM-трафика. Последние версии IM-клиентов способны, например, добавлять HTTP-заголовки к каждому передаваемому пакету, обманывая фильтры протоколов межсетевых экранов. Более того, очень частый выпуск обновлений IM-протоколов и клиентов (практически каждый месяц) не позволяет компаниям, производителям антивирусных программ выпускать соответствующие продукты, способные обеспечивать защиту от вредоносных программ (IM-червей, троянцев и т.п.).

Другая проблема на пути обеспечения безопасного обмена данными по IM-сетям - это появление множества других сетей и IM-клиентов. Среди них можно назвать Trillian (для ОС Windows), Fire (для ОС Mac), кросс-платформенный gaim и другие клиенты. Популярность IM-клиентов «произвела на свет» множество вспомогательных утилит для них, которые содержат нежелательные с точки зрения обеспечения безопасности компоненты, создавая в IM-приложениях дополнительные уязвимости.

2.5.1.9         Приложения класса peer-to-peer

Peer-to-peer (сокращенно P2P) - это технология построения распределенной сети, где каждый узел может одновременно выступать в роли и клиента (получателя информации), и сервера (поставщика информации).P_приложения - это класс приложений, совместно использующих распределенные ресурсы (дисковое пространство и файлы, вычислительные ресурсы, каналы связи и т. д.). Сегодня P2P приобретает все большую популярность и многие производители программного обеспечения объявили о поддержке P2P в своих новых продуктах.

Области применения P2P.

• Файловые обменные сети (file-sharing). P2P выступают хорошей альтернативой FTP-архивам, обладая при этом целым рядом преимуществ: балансировкой нагрузки, более широкой полосой пропускания, высокой «живучестью» и широкими возможностями по публикации контента. Примеры - Napster, Gnutella, eDonkey, KaZaa, BitTorrent, FastTrack, IRC, WinMX и их производные.

• Распределенные вычислительные сети. Например, SETI@HOME. Этот проект продемонстрировал большой вычислительный потенциал для хорошо распараллеливаемых задач. В настоящий момент в нем принимают участие свыше трех миллионов пользователей.

• Службы сообщений (Instant-messaging). Некоторые IM-клиенты способны обеспечивать поддержку архитектуры «клиент-клиент».

• Сети групповой работы (P2P Groupware). Интенсивно развивающиеся приложения. Одними из самых перспективных считаются Groove Network - сеть, предоставляющая защищенное пространство для коммуникаций, и OpenCola - технология поиска информации и обмена ссылками на наиболее интересные источники, где в роли поискового сервера выступает не сервер, а каждый из пользователей сети.

Р2Р являются потенциально опасными приложениями. Через Р2Р-каналы возможна утечка конфиденциальной информации, распространение вредоносных программ и кодов (P2P и IM-черви, различные троянские программы), рассылка спама и т.п. Применение этих приложений сегодня практически не контролируется, поэтому их использование создает реальную угрозу корпоративным информационным сетям.P-приложения, такие как KaZaa или Gnutella (клиент Limewire) могут соединяться с другими клиентами мгновенной отправки сообщений, используя любой открытый TCP или UDP-порт. К тому же данные приложения способны передавать файлы по HTTP-протоколу, который является типичным для веб-трафика и разрешается для прохождения любым межсетевым экраном или прокси-сервером. Это делает фильтрацию P2P-трафика крайне затруднительной.

2.5.1.10 Угроза судебного преследования

Данный вид угроз крайне акутален для компаний, если их сотрудники могут пользоваться файлообменными сетями, скачивая и/или расспространняя мультимедийный контент и другое содержимое, защищенное авторскими правами. В частности P2P продукты и сети в основе своей создавались именно для обмена данными пользователей.

Судебное преследование возможно и за распространение клеветнической и/или порочащей информации, касательно третьих лиц.

2.5.1.11 On-line игры

Современный рынок этого вида электронных продуктов сейчас переживает период максимального расцвета. С увеличением объемов и качества рынка онлайновых игр не заставили себя долго ждать и вредоносные программы, предназначенные для кражи пользовательской информации. В начале 2003 г. появились первые троянские программы, ворующие учетные данные пользовательских аккаунтов к играм. Российские «умельцы» также участвуют в процессе кражи данных пользователей-игроков и продажа их на eBay и других электронных рынках с получением реальных материальных средств, переведенные с электронных на физические. В частности, в зону их внимания попала популярная российская игра «Бойцовский клуб».

Периодически в компании выявляются сотрудники «подсевшие» на виртуальную реальность и происходит не целевое используется ресурсов компании. Такие вопросы должны регулироваться жестко, т.к. социальный фактор толкает «игроков» к различным видам мошенничества, только бы получить больше «виртуальных благ», в ущерб компании и непосредственно выполняемой работе конкретным сотрудником.

2.5.2  Телефонные атаки

Данные тип атак является классическим типом, которые в силу ограниченности распространения в 70-х - 80-х годах персональных компьютеров являлся самый популярный.

Данная угроза обеспечивает мошенникам уникальные возможности для проведения социотехнических атак. Это привычное и в то же время обезличенное средство общения, поскольку жертва не может видеть злоумышленника. Коммуникационные функции, поддерживаемые большинством компьютерных систем, могут также сделать привлекательной мишенью корпоративные телефонные станции.

Сегодня данные атаки стали сложнее и более безопасными для мошенника, т.к. появились средства подделывающие голос как свой, так и например сотрудника компании, с которым уже состоялась встреча и его голос был записан на диктофон (как вариант). Эти же разработки позволяют создавать необходимый фон (например, шумного офиса call-центра), что создает доверие у говорящего на другом конце. Более того, технические средства позволяют подделывать номера и если на другом конце включен АОН, а мошенник выставит себе на линии номер, заведомо всегда занятый (это несложно вычислить), тогда шансы проверить звонящего затруднены или приближаются к нулю.

Выделяют несколько подтипов основных атак:

1.       На корпоративную АТС/УАТС.

2.       На техническую службу поддержки в компании.

.        На конечного пользователя.

.        На корпоративные телефонные ресурсы использующие технологию доступа VoIP.

.        На мобильного пользователя.

2.5.2.1      Корпоративная АТС/УАТ

Злоумышленник, атакующий корпоративную телефонную станцию, может преследовать три основные цели.

·        Запросить информацию (как правило, выдавая себя за легального пользователя), обеспечивающую доступ к самой телефонной системе или позволяющую получить удаленный доступ к компьютерным системам.

·        Получить возможность совершать бесплатные телефонные звонки.

·        Получить доступ к коммуникационной сети.

Все эти цели объединяет общий сценарий: злоумышленник звонит в компанию и пытается узнать телефонные номера, позволяющие получить доступ к самой корпоративной телефонной станции или опосредованный доступ через нее к телефонной сети общего пользования. Сами злоумышленники называют взлом телефонных систем словом «фрикинг» (phreaking). Как правило, телефонные злоумышленники представляются инженерами по обслуживанию телефонных систем и запрашивают у сотрудника компании внешнюю линию или пароль якобы для анализа и устранения проблем с внутренней телефонной системой

Фантазии мошенника при использовании данного метода безграничны. Как правило, пред тем как осуществить такой вид атаки, изучается объект:

·        кто оператор связи и провайдер;

·        освещение жизни компании в СМИ;

·        есть ли сайт компании и есть ли там конкретное указание:

o   конкретных лиц и контакт с ними(чаще руководителей- генеральный директор, главный бухгалтер, системный администратор, руководитель службы поддержки и т.д. );

o   какое офисное оборудование и какого бренда используется в компании;

o   партнеры и клиенты компании.

Как правило, после узнаются внутренние номера ряда сотрудников. Узнается кто находится в настоящий момент в командировке или в отпуске. Вычисляются новые сотрудники компании и т.д.

Запрос информации или доступа по телефону - сравнительно неопасный для злоумышленника вид атаки. Если жертва начинает что-то подозревать или отказывается выполнять запрос, злоумышленник может просто повесить трубку. Злоумышленник описывает правдоподобную ситуацию, прося о помощи или наоборот, предлагая ее, а после накопления и получения необходимых данных, начинает запрашивать личную или деловую информацию, как бы между прочим.

Объектом атаки чаще всего являются секретари и лица коммутационного распределения звонков (call-центры, приемные), которые имеют прямые выделенные городские телефоны.

2.5.2.2        Техническая служба поддержки

Сегодня, эта служба является пристальным объект мошенников, так и механизмом защиты от них самих.

Многие сотрудники служб поддержки знают и помнят об угрозах, но сама суть их работы предполагает, что они должны оказывать пользователям помощь и давать рекомендации. Иногда энтузиазм специалистов служб технической поддержки превосходит их готовность следовать процедурам обеспечения безопасности, и тогда возникает проблема. Если они решат строго соблюдать стандарты безопасности, запрашивая у пользователей подтверждения их подлинности, они могут показаться бесполезными или даже произвести неприятное впечатление. Сотрудники производственных отделений или менеджеры по продажам и маркетингу, считающие, что ИТ-отдел не удовлетворило их требования, склонны жаловаться руководителям высшего звена также часто не нравится дотошность службы поддержки, если они сталкиваются с ней сами.

Цели атаки на службу поддержки:

·        Получение информации

·        Получение доступа

·        Получение квалифицированной (и бесплатной) поддержки по IT-разработкам, программным, программно-аппаратным комплексам, выдавая себя за легального пользователя.

2.5.2.3         На конечного пользователя

Еще одним видом атак является кража PIN-кодов кредитных и телефонных карт через телефонные будки или внутренним нарушителем в компании. Чаще всего при этом крадется личная информация конкретных людей, но иногда злоумышленникам удается раздобыть таким способом PIN-коды корпоративных кредитных карт, что дает неограниченные возможности для использования телефонной сети для звонков по всему миру за счет компании.

Большинство людей довольно осторожны при вводе PIN-кодов в банкоматы, но при пользовании общественными телефонами многие из них ведут себя более беспечно.

2.5.2.4 С использованием технологии VoIP

Растущая популярность средств для передачи звуковой информации между компьютерами (называемых также Voice over IP (VoIP)) заставляет принимать меры к контролю передачи такой информации. Есть разные реализации для звонков с компьютера на компьютер и/или на обычные телефоны.

Существуют стандартизированные протоколы для обмена такой информацией, сюда можно отнести Session Instatiation Protocol (SIP), принятый IETF и H.323, разработанный ITU. Эти протоколы являются открытыми, что делает возможным их обработку.

Кроме того, существуют протоколы, разработанные конкретными компаниями, которые не имеют открытой документации, что сильно затрудняет работу с ними. Одной из самых популярных реализаций является Skype, завоевавший широкую популярность во всем мире. Эта система позволяет выполнять звонки между компьютерами, делать звонки на стационарные и мобильные телефоны, а также принимать звонки со стационарных и мобильных телефонов. В последних версиях поддерживается возможность обмена видеоинформацией, передачей файлов. Что несет дополнительные угрозы. Причем, сам проток имеет защищенный канал передачи данных, по которому достаточно свободно можно передавать конфиденциальную информацию и вести разговоры, плюс показывать через подключенную веб-камеру, фотоаппарат или видеокамеру происходящее вокруг, как и самого собеседника.

2.5.2.5 На мобильного пользователя

Варианты "сотового" мошенничества, относительно новая угроза в России. На мобильные телефоны приходят СМС с уведомлением того, что мол вы подключены к новой услуге и если вы желаете отписаться, наберите 4-х значный номер указанный на экране. Разумеется, при наборе этого номера на виртуальный счет мошенника с баланса мобильного пользователя снимается сумма. Если таких абонентов будит 200-300, то сумма окажется месячной средней заработной платы в Москве.

Разновидность этой вариации является приход примерно такого сообщения. «Привет! Ты не мог бы мне положить на счет 100-300 руб. У меня закончились деньги, а возможности положить сейчас нет. Обязательно верну! Лена». Интересно то, что статистика ужасающая. Либо абонент перезванивает на этот номер, чтобы понять, что за «Лена» и с него снимается кругленькая сумма за звонок на этот номер, который тарифицируется совсем иначе и имеет сервисные настройки снятия денег при звонке на него. Либо абонент переводит некоторую сумму.

Кстати, похожий прием используется на форумах знакомств. Когда мошенник создает анкету, вставляет «видную девушку» в качестве образа, взятого в Интернете из фотографий модельного агентства. Сочиняет 100% анкету, что мужская половина дрожит от желания познакомиться. За ночь, сутки появляется несколько сотен сообщений от желающих. Готовится стандартное сообщение для всех и дается мобильный номер, на который можно перезвонить жаждущего любви молодого человека и отсылается «всем желающим». Разумеется, тарификация такого звонка очень дорогая. Прием тот же. После накопления баланса деньги обезличиваются. Часто используются арендуемые через интернет виртуальные номера с набором массой дополнительных услуг, чего лишены операторы сотовой связи.

2.5.3  Поиск информации в мусоре

Несанкционированный анализ мусора - или, как это еще называют, «ныряние в мусорные контейнеры» - часто позволяет злоумышленникам получить ценную информацию. Бумажные отходы компании могут содержать сведения, которые злоумышленник может использовать напрямую (например, номера учетных записей и идентификаторы пользователей) или которые облегчают ему проведение дальнейших атак (списки телефонов, схемы структуры организации и т. д.). Для злоумышленника, использующего социотехнику, сведения второго типа особенно ценны, потому что они помогают ему проводить атаки, не вызывая подозрения. Например, зная имена и фамилии людей, работающих в определенном подразделении компании, злоумышленник имеет гораздо больше шансов при поиске подхода к ее сотрудникам, большинству из которых будет легко поверить, что человек, так много знающий о компании, является их коллегой.

Электронные средства хранения информации бывают для злоумышленников более полезными. Если в компании не действуют правила сбора отходов, предусматривающие утилизацию списанных носителей данных, на выброшенных жестких дисках, компакт-дисках и дисках DVD, факсимальных лентах, можно найти самые разнообразные сведения. Современные электронные носители данных надежны и долговечны, поэтому службы, отвечающие за защиту ИТ-систем, должны обеспечить соблюдение политик, предусматривающих уничтожение этих носителей или стирание хранящихся на них данных.

В случае инсайдерской деятельности корзины способны содержать самые невероятные сведения, включая финансовые сведения, действующие учетные записи, маркетинговые планы компании, список сотрудников с номерами телефонов (включая мобильные), планы информационной сети и помещений и другие конфиденциальные сведения, способные причинить компании, как финансовые убытки, так и значительно сыграть на репутации компании.

2.5.4  Персональные (личностные) подходы

Пожалуй, это наиболее дешевый и простой метод с одной стороны, т.к. требуемую информацию злоумышленник на прямую запрашивает у объекта воздействия, с другой стороны в связи с невозможностью изучить человека и предсказать его до конца, он является самым сложным.

Злоумышленник использует чаще всего следующие четыре стратегии:

·        Запугивание. Злоумышленники, выбравшие эту стратегию, часто заставляют жертву выполнить запрос, выдавая себя за лиц, облеченных властью.

·        Убеждение. Самые популярные формы убеждения - лесть и ссылки на известных людей.

·        Вызов доверия. Этот подход обычно требует достаточно длительного времени и связан с формированием доверительных отношений с коллегой или начальником ради получения у него в конечном итоге нужной информации, стандартная стратегия модели ОСИ.

·        Помощь. Злоумышленник, выбравший этот подход, предлагает сотруднику компании помощь, для оказания которой якобы нужна личная информация сотрудника. Получив эту информацию, злоумышленник крадет идентификационные данные жертвы.

В контексте социотехники интересен тот факт, что большинство людей, признавая, что сами иногда лгут, исходят из того, что другие всегда говорят им правду. Безоговорочное доверие - одна из целей злоумышленника, использующего методы социотехники.

При персональном подходе используется весь арсенал угроз и средств, который рассматривался до этого. Начиная от виртуальных методов и банальной переписки по электронной почте или интернет-пейджера с объектом, и завершая физическим контактом с объектом воздействия. Физическим доступом в служебные помещение с помощью сотрудников компании. Физический доступ к информационной системе, выдавая себя за специалиста сервисной службы или специалиста производящего обновления базы данных информационной системы (например, правовой информационной системы «Консультант Плюс»). Попытка физического выявления наличия беспроводной сети в здании и последующее подключение к ней. Физическая компрометация сотрудников работающих дома и подключающихся к ресурсам корпоративной сети с их помощью, или выдавая себя за друга сотрудника находящегося в командировке. А также, попытка подсмотреть за набором пользователя логина и пароля из-за спины или с боку. Попросить его самого дать свои параметры для входа в сеть с целью что-то улучшить или срочно напечатать один документ. Непосредственная кража мобильного устройства, осуществляющего вход в корпоративную сеть.

2.5.5  Обратная социальная инженерия

Как было отмечено раньше, это излюбленная техника социоинженера, которая действует наверняка. Лица, обладающие авторитетом в технической или социальной сфере, часто получают идентификаторы и пароли пользователей и другую важную личную информацию просто потому, что никто не сомневается в их порядочности. Например, сотрудники службы поддержки никогда не спрашивают у пользователей идентификатор или пароль, им не нужна эта информация для решения проблем. Однако многие пользователи ради скорейшего устранения проблем добровольно сообщают эти конфиденциальные сведения. Злоумышленнику даже не нужно спрашивать об этом.

Использующий методы социотехники, злоумышленник создает проблемную ситуацию, предлагает решение и оказывает помощь, когда его об этом просят. Один из простых сценариев следующий.

Злоумышленник, работающий вместе с жертвой, изменяет на ее компьютере имя файла или перемещает его в другой каталог. Когда жертва замечает пропажу файла, злоумышленник заявляет, что может все исправить. Желая быстрее завершить работу и не возиться с ИТ-подразделением. Злоумышленник говорит, что проблему возможно решить только под пользовательской учетной записью жертвы, хотя корпоративная политика запрещает это. На что получает согласие жертвы. Злоумышленник не спешит соглашаться, но делает это и восстанавливает файл, узнав при этом идентификатор и пароль жертвы. Возможно, он в глазах коллег заработает репутацию специалиста на месте. Этот подход не пересекается с обычными процедурами оказания услуг поддержки и осложняет поимку злоумышленника.

Также, злоумышленник может имитировать проблему с помощью диалоговых окон. Как правило, при такой атаке на экране компьютера жертвы отображается окно с уведомлением о проблеме или необходимости обновления конфигурации системы. В этом же окне приводится ссылка на соответствующее обновление или исправление. После загрузки и установки файла сфабрикованная проблема исчезает, и пользователь продолжает работу, не подозревая о том, что он установил вредоносную программу.

Возвращаясь к схеме атаки ОСИ (рис. 2.2.), выделяем три фазы атаки - диверсия, реклама, помощь.

Итак, после диверсии у коллеги возникает необходимость как можно скорее разобраться с проблемой, желательно, чтобы решение было под рукой и чаще всего, избежать по возможности контакт с ИТ-подразделением.

Диверсия подразумевает создание у объекта в компьютере неполадку или сделать так, чтобы пользователь не смог на нем работать. Обычно, это подразумевает такую неполадку, чтобы пользователь не мог войти в систему так, как положено или не смог запустить типовую офисную программу, с которой ежедневно работает. Как правило, это хорошо замаскированная неполадка, легко исправимая и не нарушающая работу системы. Общие идеи по созданию такой неполадки могут выглядеть следующим образом:

·        Изменение какого-либо параметра, неизвестного новичкам или такого, о котором они не подумают. Например: устанавливаемые по умолчанию порты принтера, разрешение экрана, макросы, скрытые коды принтера, периферийные технические установки.

·        Установка файлов в режим “только для чтения”, переименование их, или перенести в другую папку файлы запуска программы. Пример: если рабочий файл текстового процессора называется WP.EXE, переименуйте его в WP.$A$.

·        Прямое вмешательство в аппаратное обеспечение. Например: переключить цветной монитор в монохромный режим или в самый минимальный поддерживающийся на ПК режим, отключить шлейф жесткого диска, отключить на плате питание, отключить клавиатуру.

·        Инсталлирование больших резидентные программ, занимающие много оперативной памяти, не позволяющие запускать одновременно 2-3 программы.

·        Запуск эмулятора программы, которая выдает служебные окна с системными ошибками, либо перехватывает загрузчик logoff.exe (в OS Windows) не позволяя осуществить вход в систему.

·        Небольшое изменение ключа в реестре в LOCAL_MACHINE (в OS Windows).

Нельзя производить инсталляцию вирусов, которые легко выходят из-под контроля.

Предположим, было переименование или перенос файла текстового процессора. Причем на диске был размещен .bat файл с именем setup.bat который, имел инструкции о переименовании WP.$A$ в WP.EXE и команду проверки выполнена ли эта операция или нет. После успешного переименования следующая инструкция в setup.bat сама должна уничтожить этот файл.

Допустим, все прошло как «диверсант» пожелал, и к нему позвонили. После загрузки системы, пользователь увидел что «неполадка» никуда не исчезла. Тогда достаточно просто продиктовать последовательность действий пользователю на клавиатуре, чтобы помочь ему.

В случае создания проблемы с аппаратным обеспечением, как правило социоинженер рассчитывает затратить на устранение неполадки столько времени, сколько потребуется, чтобы успеть определить необходимую информацию на ПК жертвы и либо скопировать её, либо подготовить для этого.

Создание рекламы может происходить по следующим сценариям.

) Замена пометок с телефоном техподдержки. Обычно, если видно листок рядом со столом с таким телефоном или на телефоне стикерс, его заменяют на свой с номером социоинженера или номером рядом стоящего аппарата.

)