Введение
1. Основные принципы воздействия
2. Методы противодействия
Заключение
Список источников
Введение
Социальная инженерия – это, несомненно, одно из слабейших звеньев в сфере управления информационной безопасностью по причине того, что она находится за пределами технического контроля и основана на человеческой природе. Предыдущие труды по социальной инженерии, в основном, рассматривают технологические источники, повлекшие за собой атаку. Поведенческие факторы атак социальной инженерии обычно не описываются и систематически не анализируются.
1. Основные принципы воздействия
Не стоит расценивать процесс анализа как противостояние рационального и эмоций. И хотя в некоторых случаях внешне кажется что именно это и происходит (например, покупка дорогой электроники человеком, которому это явно не по карману, но ему хочется поднять свой статус в глазах остальных людей). Скорее этот процесс можно рассматривать как генерацию определенного количества «за» и «против» с обеих сторон. И вот здесь следует подробно остановиться на том, из-за чего могут возникать эти «за» и «против».
Отталкиваясь от этой пирамиды, можно увидеть, что в некоторых случаях решение определяется потребностями человека. Например, попытка убедить человека заплатить огромную сумму за дешевый товар не имеет смысла, если у человека за душой ни гроша.
С другой стороны, пирамида Маслоу была бы идеальной моделью поведения человека, если бы он принимал решения только исходя из своих потребностей. Но, факт остается фактом, человек далеко не всегда (практически никогда) принимает решение осознанно. Весомую роль играют инстинкты и эмоции. Так, например, тот же человек может взять кредит в банке, лишь бы заполучить ваш товар (инстинкт доминирования над остальными индивидами). Либо он может просто дать вам денег, при наличие сильной эмоции, принуждающей его сделать это. Например, жалость.
Управление безопасностью информационных систем включает в себя не только ряд технических мер, но и ряд управленческих сложностей. Изобилие технических методов решения проблем информационной безопасности привело к тому, что человеческим фактором, который способствует значительному числу взломов, пренебрегают.
Ключевым принципом борьбы с потенциальными проблемами информационной безопасности является совмещение ряда технических, поведенческих и процессуальных мер.
2. Методы противодействия
Вопрос обеспечения информационной безопасности с каждым годом становится все актуальнее. Это обусловлено постоянным ростом ценности информации в современном, бурно развивающемся обществе.
Согласно положениям ГОСТ Р 50922-2006 выделяют следующие виды защиты информации: правовая, техническая, криптографическая, физическая. Можно выделить три направления защиты информации: аппаратно-программное, инженерно-техническое и организационное.
Однако, какими бы изощренными не были принимаемые меры, все усилия могут быть сведены к нулю «человеческим фактором». Человеку присущи слабости, недостатки, предрассудки, стереотипы, принципы, идеалы и т.д. и т.п. Именно на использовании человеческих слабостей и строят свою преступную деятельность «социальные хакеры». Мошенничество, представляющее собой манипулирование человеком или группой людей с целью взлома систем безопасности и похищения важной информации, получило название социальной инженерии (СИ) [1]. СИ базируется на таких науках как социология, психология, философия. Основными техниками социальной инженерии являются фишинг, вишинг, фарминг, плечевой серфинг, «дорожное яблоко», претекстинг, «квид про кво», «троянский конь», обратная социальная инженерия.
Наиболее часто целью «социального хакера» является получение доступа к ценной для него информации посредством выведывания логина и пароля.
Исключив возможность дискредитации логина и пароля пользователем, можно уменьшить эту угрозу СИ.
Заключение
В отличии от претекстинга, фишинг – это вид мошенничества, который осуществляется в интернете. Наиболее ярким примером фишинговой атаки может служить сообщение, отправленное жертве по электронной почте в виде официального письма – от банка или платёжной системы – требующее проверки определённой информации или совершения определённых действий под угрозой каких-либо последствий (блокировка счета и т.п.). Более того, часто используется такой вариант атаки, в котором используется поддельная интерактивная голосовая система с целью выудить у жертв пин-код кредитной карты, номер социального страхования или номер банковского счета. Фишинговые атаки также могут скрываться под маской работника технической поддержки пользователей. В таких случаях агент может ввести в заблуждение жертву, которая ищет помощи, и заполучить конфиденциальную информацию. Два дополнительных нетехнологических метода социальной инженерии – это плечевой сёрфинг и «копание в мусоре», которые являются, пожалуй, самыми старыми методами социальной инженерии. Плечевым сёрфингом называют действия, направленные на подглядывание за жертвой из-за плеча/со стороны, в момент, когда жертва вводит пин-код от банковской карты/пароль от какой- либо информационной системы.
Принцип плечевого сёрфинг предполагает, что злоумышленник в состоянии запомнить введенную жертвой информацию, а затем использовать в своих целях. Для получения потенциально полезной информации злоумышленники не брезгуют копанием в мусоре. Данный акт подразумевает под собой практику разгребания и анализа офисного бумажного мусора в поисках предметов, которые могут пригодится для атаки, но по каким-то причинам были выброшены их хозяевами. Обычно роль таких предметов выполняют телефонные книги, чеки, выписки по кредитным картам, корпоративные записи.