Информационная безопасность. Часть 1. Социальная инженерия – главная угроза человечеству

В современном мире вопрос информационной безопасности невероятно актуален. От того, насколько защищены данные – будь то одного сотрудника или целой компании, зависит многое: от личной репутации до успеха бизнеса. В цикле статей мы рассмотрим, как можно противостоять атакам хакеров и не допустить утечки конфиденциальных сведений по техническим каналам. Сегодня поговорим о том, что такое социальная инженерия и чем она опасна.

Термин «информационная безопасность» всем нам знаком. Но что за ним стоит?

Как правило, когда речь заходит об информационной безопасности, многим из нас приходят на ум технические средства защиты информации. Однако за техниками таргетированных (целевых) атак на наши компьютеры, компьютерные системы компаний стоит… психология, а точнее – социальная инженерия. Этот термин на первый взгляд звучит безобидно. Но уже сейчас эксперты по информационной безопасности рассматривают социальную инженерию как угрозу номер один всему человечеству.

Социальная инженерия и социальные инженеры

Прежде чем углубиться в нашу тему, давайте разберемся в терминах и определениях, имеющих к ней непосредственное отношение.

Сразу стоит заметить, что термин появился с развитием цифровых технологий и теперь применяется в разных сферах: от бизнеса до киберпреступности. Существует много определений социальной инженерии.

Известный спикер и тренер Кристофер Хэднеги в своей книге «Искусство обмана» (Хэднеги К. Искусство обмана. – М.: Альпина Паблишер, 2020. – 414 с.) так объяснил этот термин: социальная инженерия – любые действия, подталкивающие другого человека сделать то, что может как пойти ему на пользу, так и навредить. В Сети его описывают как совокупность правильно подобранных и применяемых на практике психологических и социологических приемов, методов и технологий, которые в итоге позволяют получить скрытый доступ к конфиденциальной информации и использовать ее. Специалистов, а также мошенников, которые внедряют эти способы на практике, называют социальными инженерами.

Применение социальной инженерии

Как уже было замечено, главная цель социальной инженерии – получить доступ к ценным данным, используя самое уязвимое звено в системе защиты информации – человека. Но есть и другие. Например:

• дестабилизация рабочих отношений внутри компании;
• физическое и виртуальное проникновение на защищаемый объект;
• проникновение на защищаемый объект для нарушения режима его работы;
• проникновение на защищаемый объект для получения информации.

Обратите внимание! Атака методами социальной инженерии всегда идет в обход аналитических инструментов человеческого разума. Ее воздействие распространяется на эмоциональную и рефлекторную сферы, привычно подавляемые у людей, занятых умственным трудом.

Примеры выдающихся жуликов в социальной инженерии

Виктор Люстинг сумел несколько раз продать Эйфелеву башню весьма неглупым людям. Джозеф Уйэл по кличке Желтый Кидала заработал 400 000 долларов на создании фиктивного банка. Фрэнк Абигнейл за пять лет преступной деятельности распространил фальшивые чеки на сумму 2,5 млн долларов в 25 странах, а его биография легла в основу фильма «Поймай меня, если сможешь». Слепые от рождения братья Бадир реализовали в 1990-е годы в Израиле несколько крупных схем мошенничества, используя свою способность слышать более широкий спектр звуков и подделывать голоса.

1. Подбрасывание флешек/дисков с вредоносными программами в офис и холодные звонки для выведывания определенной информации.
2. Фишинговые письма сотрудникам.
3. Личный контакт с сотрудниками.
4. Работа на объекте в дни открытых дверей.
5. Работа на объекте в обычные рабочие дни.
6. Свободный доступ на объект в любое время.