Список используемых источников

Реферат

По дисциплине « Организационное и правовое обеспечение информационной безопасности »

Тема : «Методы социальной инженерии, пртменяемые лично мной в жизни»

 

 

Выполнила:

Ивченко Анастасия Андреевна, студентка ИБ18-3

Проверил:

Егоров Евгений Владимирович

 

 

Москва

2019 г.

 

Оглавление

Введение ………………………………………………………………..……...….3

1. Методы социальной инженерии………………….……………..…………….4

2.Примеры из жизни.……………………………………………………………..6

Заключение …………………………………………….…..…………………......9

Список используемых источников ……………………………………………..10

 

Введение

Социальная инженерия – метод получения необходимого доступа к информации, основанный на особенностях психологии людей. Основной целью социальной инженерии является получение доступа к конфиденциальной информации, паролям, банковским данным и другим защищенным системам. Хотя термин социальной инженерии появился не так давно, сам метод получения информации таким способом используется довольно долго. Сотрудники ЦРУ и КГБ, которые хотят заполучить некоторую государственную тайну, политики и кандидаты в депутаты, да и мы сами, при желании получить что-либо, часто даже не понимая этого, используем методы социальной инженерии.

 

Методы социальной инженерии

Существует множество видов социальной инженерии. Рассмотрим каждый из них в отдельности.

Претекстинг - это набор действий, отработанных по определенному, заранее составленному сценарию, в результате которого жертва может выдать какую-либо информацию или совершить определенное действие. Чаще всего данный вид атаки предполагает использование голосовых средств, таких как Skype, телефон и т.п.

Для использования этой техники злоумышленнику необходимо изначально иметь некоторые данные о жертве (имя сотрудника; должность; название проектов, с которыми он работает; дату рождения). Злоумышленник изначально использует реальные запросы с именем сотрудников компании и, после того как войдет в доверие, получает необходимую ему информацию.

Фишинг – техника интернет-мошенничества, направленная на получение конфиденциальной информации пользователей - авторизационных данных различных систем. Основным видом фишинговых атак является поддельное письмо, отправленное жертве по электронной почте, которое выглядит как официальное письмо от платежной системы или банка. В письме содержится форма для ввода персональных данных (пин-кодов, логина и пароля и т.п) или ссылка на web-страницу, где располагается такая форма. Причины доверия жертвы подобным страницам могут быть разные: блокировка аккаунта, поломка в системе, утеря данных и прочее.

Троянский конь – это техника основывается на любопытстве, страхе или других эмоциях пользователей. Злоумышленник отправляет письмо жертве посредством электронной почты, во вложении которого находится «обновление» антивируса, ключ к денежному выигрышу или компромат на сотрудника. На самом же деле во вложении находится вредоносная программа, которая после того, как пользователь запустит ее на своем компьютере, будет использоваться для сбора или изменение информации злоумышленником.

Кви про кво (услуга за услугу) – данная техника предполагает обращение злоумышленника к пользователю по электронной почте или корпоративному телефону. Злоумышленник может представиться, например, сотрудником технической поддержки и информировать о возникновении технических проблем на рабочем месте. Далее он сообщает о необходимости их устранения. В процессе «решения» такой проблемы, злоумышленник подталкивает жертву на совершение действий, позволяющих атакующему выполнить определенные команды или установить необходимое программное обеспечение на компьютере жертвы.

Дорожное яблоко – этот метод представляет собой адаптацию троянского коня и состоит в использовании физических носителей (CD, флэш-накопителей). Злоумышленник обычно подбрасывает такой носитель в общедоступных местах на территории компании (парковки, столовые, рабочие места сотрудников, туалеты). Для того, чтобы у сотрудника возник интерес к данному носителю, злоумышленник может нанести на носитель логотип компании и какую-нибудь подпись. Например, «данные о продажах», «зарплата сотрудников», «отчет в налоговую» и другое.

Обратная социальная инженерия - данный вид атаки направлен на создание такой ситуации, при которой жертва вынуждена будет сама обратится к злоумышленнику за «помощью». Например, злоумышленник может выслать письмо с телефонами и контактами «службы поддержки» и через некоторое время создать обратимые неполадки в компьютере жертвы. Пользователь в таком случае позвонит или свяжется по электронной почте с злоумышленником сам, и в процессе «исправления» проблемы злоумышленник сможет получить необходимые ему данные.

Плечевой сёрфинг (англ. shoulder surfing) включает в себя наблюдение личной информации жертвы через её плечо. Этот тип атаки распространён в общественных местах, таких как кафе, торговые центры, аэропорты, вокзалы, а также в общественном транспорте.

 

Примеры из жизни

Лично я испльзовала лишь один из данных методов социальной инженерии – плечевой сёрфинг. Но почти всегда я делала это случайно, в основном – в общественном транспорте. Так недавно, пока я ехала в университет в электричке, я узнала, что женщина, сидящая рядом со мной, 9 июня улетает в Тбилист со своими тремя подругами, на какие экскурсии они пойдут и что ей просто необходимо именно сегодня купить купальник. Не могу сказать, что это полезная информация, но от этого она не перестаёт быть информацией. Поэтому людям, которые решают личные вопросы по переписке в Интернете или отсылают кому-то свои личные данные, лучше делать это не в общественном месте, потому что любой человек, находящийся рядом, может узнать ту информацию, которую знать не должен, и использовать её против владельца.

Но больше всего я оказывалась жертвой соц альной инженерии, нежели злоумышленником, использующим её.

Например, фишинг. Мне кажется, с ним встречался каждый хотя бы раз, у кого есть адрес электронной почты. Я уже множество раз получала письма с разными формулировками. Таким образом, меня извещали о моём долге "сотрудники банка", так же приходили письма от якобы "платёжных систем", что с моей карты в течение 15 минут снимется крупная сумма денег и чтобы отменить операцию мне нужно отправить им свои персональные данные и данные карты, подтверждая свою личность, как владельца карты. Я думаю, что этот метод не эффективен по причине того, что каждый из нас может позвонить настоящим сотрудникам банка или посетить ближайшее его отделение и узнать, на самом ли деле у него есть какой-либо долг. И на сегодняшний день многие просто-напросто уже осведомлены о том, что банк не действует таким образом, так поступать могут только мошенники. Купиться на такое смогут лишь либо люди в возрасте, которые совершенно ничего не понимают в этом, либо дети.

Также я сталкивалась с таким видом социаььной инженерии, как кви про кво, но не лично. Однажды моей маме позвонили «сотрудники банка», высветился даже настоящийй номер банка. По телефону ей сказали, что с её карты хотят сделать перевод на огромную сумму денег, а сотрудники звонят, чтобы убедиться, что она действительно хочет сделатьтот перевод. Моя мама перепугалась и, конечно же, о переводе никаком знать не знала и всё отртцала. Далее «сотрудник" попросил назвать все данные карты, чтобы убедиться, что он жецствительно её владелец. В этот момент я была рядом с ней и посоветовала положить трубку и позвонить на горячую линию банка, чтобы перепроверить информацию о переводе, потому что сейчас существуют технологии, которые могут замаскировать настоящий номер под чей угодно. Мама так и поступила и выяснила, что никакого перевода по её карте производить не собирались. Она объяснила всю ситуацию, которая с ней произошла несколько минут назад, на что сотрудник посоветовал после таких звонков обязательно звонить в банк или являться в одно из отделений, потому что это могут быть мошенники, как в данной ситуации. Этот метод, как по мне, эффективнее, чем тот же самый фишинг, потому что большинство дейстивтельно верят, что это настоящий банк. Но не многие знают, что банк не станет требовать настолько детальную информацию по вашей карте, особенно, если они сами вам позвонили.

Ещё один случай произошёл со мной три года. Это было мало похоже на социальную инженерию, но я стала той жертвой, которой не должна была быть. Ситуация похожа на метод дорожного яблока. Дело было во время нашего выпускного в 9 классе. Я тогда отвечала за сценарий, но мы писали его всем классом в школе. К сожалению, у меня не было флешки, чтобы скинуть его туда и отредактировать его дома. Мой одноклассник предложил мне свою. Но когда мы вставили её в компьютер, то запустили на него вирус. Как оказалось, тогда одноклассник хотел разыграть своего друга, и у него было две одинаковые флэшки – одна чистая, без единого файла а вот другая с этим самым вирусом, и он был уверен, что он взял с собой именно первую флэшку, но ошибся. Благо вирус был почти не вредоносным, и моему однокласснику удалось исправить то, что он натворил, потому что компьютер был нашего классного руководителя.

 

Заключение

Можно смело сделать вывод, что методы социал ной инженерии сейчас в ходу у многих мошенников, и с ними сталкивался чуть ли не каждый. И сущетсвует один неоспоримый факт – данные метожы постоянно эволюционнируют, меняются, устаревают, создаются новые. Как только злоумышленники понимают, что какой-либо метод перестаёт работать, то они начинют придумывать новый, о котором никто ничего не будет знать, а значит и не будет знать как защититься. Если вы не хотите стать очередной жертвой социальных инженеров, рекомендуем соблюдать следующие правила защиты:

ü не используйте один и тот же пароль для доступа к внешним и корпоративным ресурсам;

ü не открывайте письма, полученные из ненадежных источников;

ü блокируйте компьютер, когда не находитесь на рабочем месте;

ü установите антивирус;

ü ознакомьтесь с политикой конфиденциальности вашей компании. Все сотрудники должны быть проинструктированы о том, как вести себя с посетителями и что делать при обнаружении незаконного проникновения;

ü обсуждайте по телефону и в личном разговоре только необходимую информацию;

ü необходимо удалять все конфиденциальные документы с портативных устройств.

 

 

Список используемых источников

Статьи:

1) В.О. Моторина - Методы социальной инженерии в обеспечени информационной безопасности в организации.

Электронные источники:

2) https://ru.m.wikipedia.org/wiki/%D0%A1%D0%BE%D1%86%D0%B8%D0%B0%D0%BB%D1%8C%D0%BD%D0%B0%D1%8F_%D0%B8%D0%BD%D0%B6%D0%B5%D0%BD%D0%B5%D1%80%D0%B8%D1%8F

3) https://www.cossa.ru/trends/180893/