Социальная инженерия
Содержание
Определение понятия
Сегодня, когда владение информацией стало активно использоваться в коммерческих целях, важную роль в информационной безопасности играет человеческий фактор. Технологии безопасности, такие как межсетевые экраны, устройства идентификации, средства шифрования, системы обнаружения сетевых атак и т.д. малоэффективны в противостоянии хакерам, использующим методы социальной инженерии. В этой связи актуальной становится проблема работы с персоналом, обучение сотрудников применению политики безопасности и техникам противостояния социоинженерам, что является залогом безопасности для баз корпоративной информации.
Социальная инженерия (от англ. Social Engineering) — это использование некомпетентности, непрофессионализма или небрежности персонала для получения доступа к информации. Этот метод обычно применяется без компьютера, с использованием обычного телефона, почтовой переписки и т.д. В ходе атаки хакер устанавливает контакт с носителем информации (вводит в заблуждение, входит в доверие) и таким образом пытается получить сведения, которые или сложно получить другим путем или эти пути являются более рискованными.
Выгоды социальной инженерии
Методы социальной инженерии способны обойти самые мощные системы информационной безопасности. К тому же использование социальной инженерии при несанкционированном получении информации очень выгодно, т.к.
- это проще, чем взломать техническую систему безопасности;
- атаки нельзя вычислить с помощью технических средств защиты информации;
- это не требует больших вложений;
- представляет собой минимальный риск;
- работает для любой операционной системы;
- имеет стопроцентный эффект.
Методы атак
Самыми распространенными методами атак являются:
- выяснение, передача или несанкционированная смена паролей;
- создание учетных записей (с правами пользователя или администратора);
- запуск вредоносного программного обеспечения (например, «троянца»;
- выяснение телефонных номеров или иных способов удаленного доступа к корпоративной информационной системе;
- фишинг (электронное мошенничество);
- несанкционированное добавление дополнительных прав и возможностей зарегистрированным пользователям системы;
- передача или распространение конфиденциальной информации.
Информационная база социальной инженерии
Перед тем как начать атаку, социоинженер проводит исследование. Он может использовать официальную отчетность компании-жертвы, ее заявки на патенты, сообщения о ней в прессе, рекламные буклеты и корпоративный сайт. Хакер пытается получить максимум информации о сотрудниках, выясняет, кто в компании имеет доступ к интересующим его материалам, какое программное обеспечение установлено на корпоративных компьютерах ит.д. При этом он старается выдать себя за человека, который имеет право на доступ к интересующим его данным и кому эти данные действительно нужны, поэтому он должен свободно ориентироваться в терминологии, владеть профессиональным жаргоном, знать внутренние порядки компании-жертвы. Затем следует разработка плана атаки: придумывается предлог или схема обмана, которые помогут построить доверительные отношения с нужным сотрудником. Если атака прошла успешно и хакера не разоблачили, то он еще не раз воспользуется возникшим доверием.
Сотрудники – это наиболее слабое звено в системе защиты информации. Даже на уровне руководства нередко бытует мнение, что корпоративная система безопасности непогрешима. Ошибкой было бы считать и то, что соблюдение корпоративной политики безопасности – это пустая трата времени и сил. Рядовые же сотрудники зачастую недооценивают значимость информации, которой владеют, и легко делятся ею с каждым, кто об этом попросит, не осознавая пагубные последствия своих действий. Но даже самые бдительные сотрудники не всегда могут распознать, что действует социальный инженер, и что они подвергаются атаке. Поэтому ключевым фактором успеха в защите информации является обучение.
Ссылки
Светлана Шишкова. «Социальная инженерия»
«Кремлевка в кармане»: зачем вам криптография» Беседовала Ирина Овчарова, специально для E-xecutive
Это заготовка эницклопедической статьи по данной теме. Вы можете внести вклад в развитие проекта, улучшив и дополнив текст публикации в соответствии с правилами проекта. Руководство пользователя вы можете найти здесь