1

ДЕРЖАВНИЙ УНІВЕРСИТЕТ ІНТЕЛЕКТУАЛЬНИХ ТЕХНОЛОГІЙ І

ЗВ’ЯЗКУ
Факультет інформаційних технологій та кібербезпеки
Кафедра кібербезпеки і технічного захисту інформації

Реферат
з дисципліни «Інформаційна безпека в мережі Інтернет»
з теми «Соціальна інженерія»

Виконала: студентка 5 курсу, групи КБ – 5.1

спеціальності 125 Кібербезпека
Захарової Катерини Вікторівни

Одеса – 2022 р.
 2

ЗМІСТ

Вступ……………………………………………………………………………… 3

1 ПОНЯТТЯ СОЦІАЛЬНОЇ ІНЖЕНЕРІЇ……………........................................ 4

1.1 Застосовувані методи інтернет шахрайства …………….………………… 5
2 ЗАХОДИ ПРОТИДІЇ СОЦІАЛЬНІЙ ІНЖЕНЕРІ…………………………… 9

Висновок…………………………………………………………………………. 12
 3

Вступ

Популярність соціальної інженерії серед зловмисників зростає тому, що

нерідко самі працівники підприємства – люди є самим слабкою ланкою у системі
захисту. У даного факту багато пояснень, по-перше – часто частина працівників
просто недостатньо навчена, і їм не вистачає знань, щоб уникнути такої атаки, а
також велику роль грає і те, що більша частина підприємств думає тільки про
захист фізичного периметра від зовнішніх небезпек. За допомогою співробітника,
обійшовши цей зовнішній захист, зловмисник обходить найбільшу перешкоду.
Соціальна інженерія є важливим аспектом в контексті підприємства в
цілому, оскільки системи захисту створюють для зловмисника досить складно
долається бар'єр, і в даному випадку неважливо, якого саме працівника вдалося
зловмиснику обдурити, тому що результат – доступ до всіх внутрішніх ресурсів,
минаючи бар'єр захисту, буде однаковим у всіх випадках. Атаки соціальної
інженерії нерідко орієнтовані на працівників, які мають найбільші права доступу
до роботи з конфіденційною інформацією, проте зловмисник нерідко оцінює і
потенційні знання мети.
Однією з важливих причин поширення соціальної інженерії як методу
атаки – це дуже дешевий вид нападу, той що атакує може не бути спеціалістом у
сфері інформаційних технологій. Істотним фактором є також те, що при
використанні методів соціальної інженерії результат нерідко досягається набагато
швидше, ніж, якби був використаний інший метод для нападу, для порівняння –
навіщо намагатися зламати систему захисту двері, якщо непідготовлений
користувач сам готовий нас упустити.
 4

1 ПОНЯТТЯ СОЦІАЛЬНОЇ ІНЖЕНЕРІЇ

Для того, щоб розмірковувати на тему соціальної інженерії, потрібно

визначитися з термінами. Під соціальною інженерією, найчастіше розуміють –
сукупність прийомів, методів та технологій створення такого простору, умов та
обставин, які максимально ефективно призводять до конкретного необхідного
результату, з використанням соціології та психології.
Існує велика кількість способів обману з використанням соціальної
інженерії, в силу обмеженості, я наведу лише кілька з них. При чому, для
зручнішої систематизації даних, ці види можна класифікувати на: персоніфіковані
і не персоніфіковані. Головна відмінність між двома видами говорить про те, що в
першому випадку для шахрайства необхідно: зловмисник-технічний пристрій-
жертва, то для другого випадку знадобиться вже якась інформація і ряд
здібностей зловмисника, тобто вони стають персональними.
У соціальній інженерії є кілька технік, використовуваних задля досягнення
поставлених завдань. Усі вони засновані на помилках, які допускаються людиною
у поведінці. Наприклад, фішинг застосовується для збору логінів і паролів
користувачів шляхом розсилки листів і повідомлень, що спонукають жертву
повідомити інформацію, що цікавить зловмисника. Претекстинг полягає у видачі
себе за іншу людину для отримання бажаних даних. Така атака виконується
телефоном або поштою. До неї попередньо готуються викликати довіру
користувача. Отримати інформацію про людину можна через джерела з відкритим
доступом, переважно — із соціальних мереж. Однією з технік соціальної
інженерії є «плечовий серфінг», який застосовується у транспорті, у кафе та
інших громадських місцях, що дозволяють через плече жертви спостерігати за
комп'ютерними пристроями та телефонами. Бувають ситуації, у яких користувач
сам пропонує шахраю необхідну інформацію, будучи впевненим у порядності
людини. У такому разі говорять про зворотну соціальну інженерію.
 5

1.1 Застосовувані методи інтернет шахрайства

Методи шахрайства, що передбачають не тільки ідентифікацію жертви, але

й потребують ряду певних даних про жертву:

1) Квід про кво

Зловмисник може зателефонувати за випадковим номером в компанію і

представитися співробітником техпідтримки, який опитує, чи є якісь технічні
проблеми. У випадку, якщо вони є, в процесі їх вирішення мета вводить команди,
які дозволяють зловмиснику запустити шкідливе програмне забезпечення.

2) Претекстинг - це набір деяких дій, відпрацьованих за певним,

заздалегідь складеним сценарієм, у результаті якого жертва може видати будь-яку
інформацію чи зробити певну дію. Найчастіше цей вид атаки передбачає
використання голосових засобів, таких як Skype, Viber, телефон тощо.

Для використання цієї техніки зловмисник має деякі дані про жертву (ім'я
співробітника; посада; назва проектів, з якими він працює; дату народження).
Зловмисник спочатку використовує реальні запити з ім'ям співробітників компанії
і після того, як увійде в довіру, отримує необхідну інформацію. Наприклад:

У 2015 році компанія The Ubiquiti Networksвкрали 40 мільйонів доларів.

Ніхто не зламував операційні системи. Ніхто не крав дані. Правила безпеки
порушили працівники. Шахраї надіслали електронного листа від імені топ-
менеджера компанії. Вони просто попросили, щоб фінансисти перевели велику
суму грошей на зазначений банківський рахунок.
Методи шахрайства, які не мають на увазі ідентифікацію жертви:

1) Дорожнє яблуко

Цей метод атаки є адаптацією “троянського коня” і полягає у використанні

фізичних носіїв. Зловмисник може підкинути інфікований CD або флеш-карту в
місці, де носій можна легко знайти (туалет, ліфт, парковка, коридор). Носій
 6

підробляється під офіційний та супроводжується підписом, покликаним

викликати цікавість.

Приклад: Зловмисник може підкинути CD, забезпечений корпоративним

логотипом та посиланням на офіційний сайт компанії цілі, та забезпечити його
написом «Заробітна плата керівного складу Q1 2018». Диск може бути залишений
на підлозі ліфта або у вестибюлі. Співробітник з незнання може підібрати диск і
вставити його в комп'ютер, щоб задовольнити свою цікавість.

2) Троянський кінь

Цей спосіб спирається на цікавість жертви. Поширюються

посилання/файли з описом, що інтригує, жертва «клює» на вудку і отримує
програму-шпигуна в свою систему.

Прикладом даного шахрайства є велика кількість різних рекламних

банерів, які розташовані на сайтах, що не мають відповідного захисту.

3) Нігерійські листи- Поширений вид шахрайства, який отримав

найбільший розвиток з появою масових розсилок електронною поштою (спаму).

Листи названі так оскільки особливе поширення цей вид шахрайства

отримав у Нігерії, причому ще до поширення Інтернету, коли такі листи
поширювалися звичайною поштою. Проте нігерійські листи надходять і з інших
африканських країн, а також із міст із великою нігерійською діаспорою (Лондон,
Амстердам, Мадрид, Дубай). Розсилка листів розпочалося в середині 1980-х рр.

Як правило, шахраї просять у одержувача листа допомоги у

багатомільйонних грошових операціях, обіцяючи солідні відсотки із сум. Якщо
одержувач погодиться брати участь, у нього поступово виманюються дедалі
більші суми грошей нібито на оформлення угод, сплату зборів, хабарі чиновникам
тощо.
 7

4) Фішинг– це спроба обману користувача, пропозиція йому форму

автентифікації (загалом), або форми пов'язані з цільовим користуванням сайту,
щоб перенаправити дані користувача сайт, який контролює зловмисник.
Зловмисник зареєстрував для себе домен, розмістив там сторінку з
дизайном сайту, який зловмисник хотів використати, найчастіше це соціальні
мережі чи банки. І дані, введені в логін і пароль, відправляються на комп'ютер
зловмисника, а жертва, не підозрюючи, переходить на легітимний сайт.
Це посилання часто надходить у листі, в якому найчастіше йдеться про те,
що «Ваша сторінка наражається на загрозу; недостатньо захищена тощо» Тобто є
супровідний лист до посилання, яке має спровокувати користувача переходу
URL-посилання.

На основі статистики можна зробити висновок, що метод шахрайства, як

фішинг, є найбільш небезпечним і найчастіше використовується. У 2017 році на
комп'ютерах користувачів продуктів «Лабораторії Касперського» було
зафіксовано 246 231 645 спрацьовувань системи «Антифішинг» під час спроб
переходу на фішингові сайти. Це на 91 273 748 більше, ніж у 2016 році1.

Важливо відмітити, що до недавнього часу, сторінки з фішингом, можна

було легко відрізнити від легітимної тим, що цей сайт мав захист HTTPS. Адже
якщо раніше, першою порадою по боротьбі з фішингом, була порада про те,
що:"з'єднання зі сторінкою, що запитує персональні дані, захищене", то наявність
сертифіката вже не гарантує безпеку.
Чи можна запитати, звідки шахраї беруть сертифікати? Якщо говорити про
домени, створені виключно для шахрайських цілей, то, швидше за все,
зловмисники використовують безкоштовні 90-денні сертифікати, таких центрів
як: Let's Encrypt та Comodo Positive SSL.
Встановлюючи на свій сайт сертифікат SSL, ви починаєте використовувати
для передачі даних не HTTP, а HTTPS-з'єднання, яке підтримує шифрування.
Таким чином, ви захищаєте свої дані та дані своїх користувачів від сторонніх осіб,
1
 8

що вкрай важливо для власників інтернет-магазинів, веб-ресурсів з великою

відвідуваністю та активною реєстрацією користувачів, а також компаній, що
займаються розробкою програмних продуктів.

Довгий час в Інтернеті існували лише платні версії SSL-сертифікатів,

проте зараз власники веб-сайтів можуть вибрати альтернативний, некомерційний
варіант SSL-сертифіката – сертифікат Let's Encrypt.

Неважко здогадатися, що головною перевагою цього сертифікату є

абсолютно безкоштовне поширення. Саме це є головним аргументом для
зловмисника.

З усього вище сказаного можна дійти невтішного висновку, що

універсального і однозначного відповіді те що, як боротися з цими видами
шахрайства – немає. І хоча відома компанія «Касперського» розробила програму
«Антифішинг», яка дозволяє відслідковувати та блокувати фішинг-сайти, базою
даних, якою володіє дана система, часто не встигає вчасно відреагувати та
заблокувати цей сайт. Тому, для безпечного виходу в інтернет, необхідно уважно і
обережно ставитися до різноманітних посилань, реклами та сайтів.
 9

2 ЗАХОДИ ПРОТИДІЇ СОЦІАЛЬНІЙ ІНЖЕНЕРІЇ

Основним способом захисту від методів соціальної інженерії є навчання

працівників. Усі працівники компанії повинні бути попереджені про небезпеку
розкриття персональної інформації та конфіденційної інформації компанії, а
також способи запобігання витоку даних. Крім того, у кожного співробітника
компанії, залежно від підрозділу та посади, повинні бути інструкції про те, як і на
які теми можна спілкуватися зі співрозмовником, яку інформацію можна надавати
для служби технічної підтримки, як і що повинен повідомити співробітник
компанії для отримання цієї чи іншої інформації від іншого працівника.

Крім цього, можна виділити такі правила:

1. Облікові дані користувача є власністю компанії.

Всім працівникам у день прийому на роботу має бути роз'яснено те, що ті

логіни та паролі, які їм видали, не можна використовувати в інших цілях (на web-
сайтах, для особистої пошти тощо), передавати третім особам або іншим
співробітникам компанії, які мають цього право. Наприклад, дуже часто, йдучи у
відпустку, співробітник може передати свої авторизаційні дані своєму колезі для
того, щоб той зміг виконати деяку роботу або подивитися певні дані в момент
його відсутності.

2. Необхідно проводити вступні та регулярні навчання співробітників

компанії, спрямовані на підвищення знань з інформаційної безпеки.

Проведення таких інструктажів дозволить співробітникам компанії мати

актуальні дані про існуючі методи соціальної інженерії, а також не забувати про
основні правила з інформаційної безпеки.
 10

3. Обов'язковою є наявність регламентів з безпеки, а також інструкцій, до

яких користувач повинен мати доступ. В інструкціях повинні бути описані дії
працівників у разі виникнення тієї чи іншої ситуації.

Наприклад, у регламенті можна прописати, що потрібно робити і куди

звертатися при спробі третьої особи запросити конфіденційну інформацію або
облікові дані працівників. Такі дії дозволять обчислити зловмисника та не
допустити витоку інформації.

4. На комп'ютерах співробітників завжди має бути актуальне антивірусне

програмне забезпечення.

На комп'ютерах співробітників також потрібно встановити брандмауер.

5. У корпоративній мережі компанії необхідно використовувати системи

виявлення та запобігання атакам.

Також необхідно використовувати системи запобігання витоку

конфіденційної інформації. Все це дозволить знизити ризик фітинових атак.

6. Усі співробітники мають бути проінструктовані, як поводитися з

відвідувачами.

Необхідні чіткі правила для встановлення особи відвідувача та його

супроводу. Відвідувачів завжди має супроводжувати хтось із співробітників
компанії. Якщо співробітник зустрічає невідомого йому відвідувача, він повинен
у коректній формі поцікавитися, з якою метою відвідувач перебуває у цьому
приміщенні та де його супровід. За потреби працівник повинен повідомити про
невідомого відвідувача у службу безпеки.

7. Необхідно максимально обмежити права користувача у системі.

 11

Наприклад, можна обмежити доступ до веб-сайтів та заборонити

використання знімних носіїв. Адже, якщо співробітник не зможе потрапити на
фішинговий сайт або використовувати на комп'ютері флеш-накопичувач із
«троянською програмою», то й втратити особисті дані він також не зможе.

З усього перерахованого, можна дійти невтішного висновку: основний

спосіб захисту від соціальної інженерії – це навчання сотрудников. Необхідно
знати та пам'ятати, що незнання не звільняє від відповідальності. Кожен
користувач системи повинен знати про небезпеку розкриття конфіденційної
інформації та знати способи, які допоможуть запобігти витоку. Попереджений
значить озброєний!
 12

Висновок

Співробітники – це найслабша ланка у системі захисту. Навіть на рівні

керівництва нерідко існує думка, що корпоративна система безпеки непогрішна.
Помилкою було б вважати і те, що дотримання корпоративної безпекової
політики – це марна трата часу і сил. Пересічні ж працівники часто недооцінюють
значущість інформації, якою володіють, і легко діляться нею з кожним, хто про це
попросить, не усвідомлюючи згубних наслідків своїх дій. Але навіть найпильніші
співробітники не завжди можуть розпізнати, що діє соціальний інженер, і що вони
зазнають атаки. Тому ключовим чинником успіху захисту інформації є навчання.
Ступінь загрози інформації не може бути в загальному випадку адекватно
та всебічно оцінено та ранжировано залежно від тяжкості завданих збитків.
Людське мислення який завжди піддається логічному аналізу, і внаслідок цього
неможливо сформувати чіткий алгоритм його. Можна тільки визначити перелік
цілей та вимагати від співробітника суворого його дотримання.
Забезпечення діяльності персоналу організації у рамках затверджених
інструкцій та правил роботи є одним із головних завдань керівника організації.
Якщо керівник організації з таким завданням упорається, то методи соціальної
інженерії не становитимуть загалом значущої загрози.
Для захисту компанії від шахрайства необхідно навчати персонал
розпізнавати соціальну інженерію та правильно на неї реагувати, заборонити
співробітникам обмінюватися паролями або мати один спільний, забезпечити
захист клієнтських баз та іншої конфіденційної інформації, застосовувати
особливу процедуру підтвердження для осіб, які вимагають доступ до будь-яких
даних.