Методы (техники) социальной инженерии, используемые при совершении преступлений в сфере компьютерной информации

Размещено на http://www.allbest.ru/

Барнаульский юридический институт МВД России

МЕТОДЫ (ТЕХНИКИ) СОЦИАЛЬНОЙ ИНЖЕНЕРИИ, ИСПОЛЬЗУЕМЫЕ ПРИ СОВЕРШЕНИИ ПРЕСТУПЛЕНИЙ В СФЕРЕ КОМПЬЮТЕРНОЙ ИНФОРМАЦИИ

М.О. Янгаева

г. Барнаул

Аннотация

социальный инженерия киберпреступность преступление

Автор, опираясь на статистические данные Министерства внутренних дел Российской Федерации, определяет сферу киберпреступности как активно развивающуюся. Также в статье приводятся социологические исследования американской аналитической компании Purplesec. Социальная инженерия рассматривается как способ совершения преступлений в сфере компьютерной информации. Выделены и проиллюстрированы восемь наиболее популярных техник (методов) применения социальной инженерии: фишинг, вишинг, претекстинг, «троянский конь», вымогатель, кви про кво (qui pro quo), «дорожное яблоко», обратная социальная инженерия.

Ключевые слова: криминалистика, социальная инженерия, техники социальной инженерии, киберпреступник, способ совершения преступления.

Annotation

METHODS (TECHNIQUES) OF SOCIAL ENGINEERING USED IN CYBERCRIME

M. O. Yangaeva

Barnaul Law Institute of the MIA of Russia, Barnaul, Russian Federation

The author, relying on the statistics of the Ministry of Internal Affairs of the Russian Federation, determines the scope of cybercrime as actively developing. Also in the article presents sociological studies of the American analytical company "Purplesec". Social engineering is considered as a way of committing crimes in the field of computer information. Eight most popular techniques (methods) of the application of social engineering are highlighted and illustrated: phishing, vishing, pretexting, "Trojan horse", extortionist, quid pro quo, "road apple", inverse social engineering.

Keywords: criminalistics, social engineering, social engineering techniques, cybercrime, a way to commit a crime.

Основная часть

Сегодня современную жизнь невозможно представить без информационно-телекоммуникационных технологий. Весь мир практически «окутан» информационными потоками, задача которых передача, сбор, анализ и хранение информации. Приоритетной задачей любого государства является обеспечение информационной безопасности его граждан.

С каждым годом киберпреступлений становится всё больше. По данным статистики Министерства внутренних дел Российской Федерации (далее -- МВД России), в 2017 году было зарегистрировано 1 тыс. 883 преступления¹, в сфере компьютерной информации, в 2018 г. -- 2 тыс. 500 Состояние преступности в России за январь -- декабрь 2017 года // Официальный сайт МВД России [Электронный ресурс]. -- URL: https://mvd.ru (дата обращения: 26.03.2021). Состояние преступности в России за январь -- декабрь 2018 года // Официальный сайт МВД России [Электронный ресурс]. -- URL: https://mvd.ru (дата обращения: 26.03.2021)., в 2019 г. -- 294 тыс. 409 преступлений, совершённых с использованием информационно-телекоммуникационных технологий или в сфере компьютерной информации, направлено в суд -- 57 тыс. 221 Состояние преступности в России за январь -- декабрь 2019 года // Официальный сайт МВД России [Электронный ресурс]. -- URL: https://mvd.ru (дата обращения: 26.03.2021)., а в январе -- июле 2020 г. -- 272 тыс. 737, направлено в суд -- 47 тыс. 98, остальные 87 % остаются нераскрытыми Состояние преступности в России за январь -- июль 2020 года // Официальный сайт МВД России [Электронный ресурс]. -- URL: https://mvd.ru (дата обращения: 26.03.2021)..

По статистическим показателям явственно заметно, с какой высокой скоростью развивается сфера киберпреступлений, чего нельзя сказать о показателях направления уголовных дел в суд. Проанализировав статистические данные МВД России, констатируем, что преступления, связанные с киберпреступностью сложны в расследовании, а правоохранительные органы нуждаются в кадрах с достаточным интеллектуальным потенциалом в сфере компьютерных технологий.

Необходимо отметить, что в большинстве случаев киберпреступлений технические средства защиты информации исправно выполняли свои функции, что не сказать о некомпетентном пользователе.

Люди -- социальные существа. Практически в каждого человека с детства закладывают информацию, о том, что необходимо быть честными по отношению друг к другу и подвергать сомнению сказанные вещи другим человеком без уважительной причины -- это неправильно.

К сожалению, эти социальные тонкости могут превратить нас в самое слабое звено в системе информационной безопасности. Слишком часто взломы возникают не из-за технических недостатков, а из-за того, что люди, позволяют киберпреступникам себя в чем-то убедить и тем самым ослабить бдительность и собственную охрану.

Искусный метод управления психологией человека без использования технических приемов взломов для получения персональной информации, доступа к чему-либо называется социальной инженерией [1, с. 86]. Социальная инженерия направлена на человеческие слабости, интерес, невнимательность, наивность, легкомыслие.

Кевин Митник, известный киберпреступник, а ныне консультант по безопасности, еще в 90-е гг. первым стал популяризировать термин «социальная инженерия». Он считал, что ни один технический код не сможет обмануть человека так, как психологические умения и навыки преступника [2, с. 55--60].

Сегодня социальная инженерия (98 %) по-прежнему популярна среди способов, используемых киберпреступниками. Согласно статистике PhishMe за 2013-- 2016 годы, мошенничество с использованием социальной инженерии нанесло вред в сумме более 5 миллиардов долларов по всему миру¹. Правоохранительные органы наблюдают всё же рост числа смешанных атак, основанных на сочетании социальной инженерии и вредоносного программного обеспечения.

Американская аналитическая компания Purplesec провела интервьюирование и анкетирование мировых IT-специалистов. 43 % из них рассказали, что они в разное время становились объектами атак социальной инженерии. 60 % респондентов считают, что новые сотрудники наиболее подвержены подобным атакам, и что они подвергают рискам компании, в которых работают. К сожалению, только 3 % сотрудников сообщает руководству компании о вредоносных письмах Enterprise Phishing Resiliency and Defense Report [Электронный ресурс]. -- URL: https://cofense.com/wp-content/uploads/2017/n/Enterprise-Phishing-Resiliency-and-Defense-Report- 2017.pdf (дата обращения: 24.08.2020). Purplesec [Электронный ресурс]. -- URL: https://purplesec.us/resources/cyber-security- statistics/ (дата обращения: 24.08.2020)..

Так же Purplesec выяснили, что 21 % нынешних или бывших IT-специалистов компаний используют социальную инженерию, чтобы получить финансовое преимущество, ради мести, из любопытства или ради удовольствия Там же..

Отметим, что и в Российской Федерации большинство хищений с банковских счетов проводится с помощью техник социальной инженерии (69 %). В своем интервью С. Кузнецов (заместитель председателя ПАО «Сбербанк») рассказал о том, «что в 2017 году доля социальной инженерии составляла 75 % от всего кибермошенничества, в 2018 -- 79 %, в 2019 -- 89 %, а в 2020 году уже достигла 90 %». Он также отметил, что в обозримом будущем этот тренд не изменится, и мошенники продолжат пользоваться низкой киберграмотностью Официальный сайт ежедневной деловой газеты РБК [Электронный ресурс]. -- URL:https://www.rbc.m/techmlogy_and_media/17/04/2020/5e988cc29a7947ff6c7b4e6eПРОСБЕРБАН К (дата обращения: 18.08.2020)..

В связи с этим Сбербанк выступил с инициативой криминализировать в Уголовном кодексе Российской Федерации (далее -- УК РФ) нормы, содержащие ответственность за кражу sim-карт, фишинг и социальную инженерию.

Министерство внутренних дел Российской Федерации, напротив, считает нецелесообразным перегружать УК РФ новыми статьями, и с ним солидарно адвокатское сообщество, поскольку нормы, содержащиеся в действующем УК РФ, в полной мере охватывают такие социальные явления, как фишинг, кражу sim-карт и социальную инженерию («Кража» статья 158 УК РФ, «Мошенничество» статья 159 УК РФ, «Мошенничество с использованием электронных средств платежа» статья 159.3 УК РФ и «Мошенничество в сфере компьютерной информации» статья 159.6 УК РФ)¹.

Традиционно в криминалистике под способом совершения преступления понимают «систему действий по подготовке, совершению и сокрытию общественно опасного деяния, детерминированных условиями внешней среды и свойствами личности, которые могут быть связаны с использованием соответствующих орудий, средств, условий места и времени» [3, с. 16--17].

Необходимо пояснить то, что для преступлений, совершаемых в сфере компьютерной информации способом «социальная инженерия» свойственна трехзвенная структура совершения преступления.

Такие преступления тщательно готовятся (собирается информация, подготавливается программное обеспечение, подыскиваются соучастники и т. д.), в момент подготовки также продумываются способы сокрытия преступления.

Рассмотрим наиболее распространенные способы социальной инженерии, используемые киберпреступниками. К ним относятся:

1. Фишинг (Phishing) (массовые рассылки электронных писем на электронную почту, текстовых сообщений, «подводная охота»). Является наиболее популярным способом социальной инженерии.

Целенаправленные фишинговые атаки являются главной угрозой информационной безопасности, так считает 56 % лиц, работающих в сфере !Т Официальный сайт ежедневной деловой газеты РБК [Электронный ресурс]. -- URL: https://www.rbc.ru/technology_and_media/19/05/2020/5ec2e5259a7947b2c1755c59?utm_source=- amp_full-link (дата обращения: 18.08.2020). Purplesec [Электронный ресурс]..

Компания Purplesec проанализировала мнения респондентов всего мира по поводу фишинговых атак и пришла к выводу о том, что в 2017 г. 76 % опрошенных были подвержены фишинговым атакам, а 2018 г. -- 83 %.

Наиболее распространенные типы вредоносных вложений:

«офис» -- 38 %; архив -- 37 %;

PDF-файлы -- 14 %; исполняемые файлы -- 4 % Там же..

Задачей фишинга электронной почты является отправка большому количеству человек спам-сообщений на адрес электронной почты, чтобы сообщение выглядело так, будто оно было отправлено компанией или организацией, которой человек доверяет. Подобные электронные письма легко создавать в настоящее время, используя готовые «фишинговые наборы», которые содержат предварительно разработанные шаблоны электронных почт известных компаний. В спам-письме содержится ссылка на фишинговый сайт, предназначенный для сбора имен пользователей и паролей. Около 50 % фишинговых сайтов используют технологию HTTPS¹.

Согласно данным компании Symantec, занимающейся разработкой программного обеспечения в области информационной безопасности и защиты информации, 55 % всех электронных писем являются спамом Purplesec [Электронный ресурс]. ISTR [Электронный ресурс]. -- URL: https://www.symantec.com/content/dam/symantec/- docs/reports/istr-23-2018-en.pdf (дата обращения: 24.08.2020).. Многим пользователям удается обнаружить спам, но из-за большого потока писем ослабляется способность обнаруживать более тонкие уловки киберпреступников, встроенные в сообщения.

Пользователями открываются около 30 % фишинговых сообщений, а 12 % этих пользователей все же «кликают» на вредоносные вложения или ссылки. 66 % вредоносных программ устанавливается через вредоносные вложения электронной почты Purplesec [Электронный ресурс]..

Фишинг (Smishing) текстовых сообщений SMS -- это тип фишинга, который распространяют на планшет, смартфон или смарт-часы. Потерпевшие обычно получают текстовое сообщение от неизвестного отправителя, информирующее их о каком-либо специальном предложении, конкурсе, в котором они выиграли. Текст содержит ссылку на поддельный (зеркальный) сайт, предназначенный для сбора учетных данных для входа, который, на первый взгляд, кажется оригинальным. Он имеет логотип компании, контент, форму для ввода данных.

Например, в 2003 году была осуществлена фишинговая атака, большое количество пользователей получили сообщения от компании eBay, в которых говорилось о том, что их учетная запись будет заблокирована, если они не перейдут по ссылке для обновления информации о банковской карте.

«Подводная охота» -- это фишинговая атака, нацеленная на одного человека или небольшую группу людей. В отличие от типичного фишинга, который преднамеренно универсален, и электронные письма рассылаются большому количеству пользователей в случайном порядке, в случае с «подводной охотой» киберпреступники заранее ищут учетные записи конкретных пользователей в социальных сетях и используют информацию, полученную из фотографий, статуса, семейного положения, дат рождения, мест проживания, работы и любой другой общедоступной информации, в своих преступных целях.

2. Вишинг (Vishing) (голосовой фишинг) использование социальной инженерии в телефонной сети для получения доступа к личной и финансовой информации потерпевшего. Также используется киберпреступниками в разведывательных целях для сбора информации об организации, компании. Этот вид атаки может использовать систему интерактивного голосового ответа (IVR). Воссоздав копию IVR банка, потерпевшему предлагается (через ложную электронную почту) позвонить в свой банк по номеру (желательно бесплатному) для проверки информации. Копия системы IVR банка будет отклонять входы потерпевшего. Далее копия системы IVR банка передает звонок потерпевшего киберпреступнику, который выступает в роли сотрудника банка для его дальнейшего опроса.

3. Не менее популярный способ социальной инженерии -- претекстинг. Это заранее грамотно написанный сценарий действий преступника, результатом которого является в 80 % случаев полученная от потерпевшего информация, необходимая киберпреступнику. Данный способ осуществим при помощи телефонного звонка.

4. «Троянский конь» -- вид вредоносной программы. Компьютерные трояны содержат в себе разрушительную нагрузку. Вложения электронной почты, содержащие скрытые вредоносные программы, являются формой трояна. Хитрость социальной инженерии заключается в том, что электронная почта, с которой отправляется вредоносный файл, исходит от надежного отправителя (коллега, друг, член семьи или компании, с которой человек ведет бизнес).

5. Вымогатель -- это тип вредоносного программного обеспечения, которое удерживает файлы (зашифровывает их) с целью выкупа их у киберпреступников. Людям, которые хотят вернуть (расшифровать) свои ценные данные, преступники предлагают их выкупить.

6. Кви про Кво (услуга за услугу). Киберпреступник, под видом сотрудника технической поддержки, информирует потерпевшего по телефону о том, что необходимо провести профилактические мероприятия на персональном компьютере, или спрашивает у потерпевшего, есть ли какие-либо проблемы с компьютером. Затем преступник решает технические проблемы (или делает вид), а затем предлагает неопытному пользователю установить программу, которая будет передавать ему данные с этого компьютера для осуществления его преступных целей.

7. «Дорожное яблоко» (Baiting) (приманка) -- это метод, в основе которого лежат признаки «троянского коня». Различие лишь в том, что данный метод подразумевает применение физических носителей (внешние накопители информации, подделываемые киберпреступником под официальные), которые преступники намеренно оставляют в местах общего пользования, так, чтобы они могли быть быстро обнаружены заинтересованными лицами. Как только лицо, обнаружившее накопитель, подключит его к компьютеру, произойдет передача информации киберпреступнику.

8. Обратная социальная инженерия. Киберпреступниками создается такая ситуация, когда лицо само обращается к нему для решения каких-либо вопросов и сообщает ему свои персональные или иные данные.

Приведенный перечень содержит наиболее популярные техники (методы) социальной инженерии, используемые киберпреступниками в настоящее время, но с учетом быстрого развития информационных технологий он не является исчерпывающим.

Одной из главных задач сегодня является обучение пользователей персональных компьютеров выявлению атак на начальном уровне. Обнаружение подозрительных ключевых слов в сообщениях, электронных письмах и телефонных разговорах поможет в своевременной блокировке потенциальной атаки.

Для информирования граждан о методах (техниках) социальной инженерии можно воспользоваться социальной рекламой, размещенной в общественном транспорте, на улицах в виде баннеров, на экранах телевизоров и т. д.

Считаем, что необходимо законодательно закрепить категории, рассматриваемые в данной статье, особенно понятие социальной инженерии, образовательным организациям высшего и среднего профессионального образования -- ввести в курс «Криминалистика» информацию о техниках социальной инженерии, а также противодействия им.

Библиографические ссылки

1. Созаев С. С., Кунашев Д. А. Социальная инженерия, ее техники и методы её при- тиводействия / С. С. Созаев, Д. А. Кунашев // Международный журнал «Вестник науки». 2020. № 2 (23). Т. 1. С. 85--88.

2. Митник К. Д., Саймон В. Л. Искусство обмана / К. Д. Митник, В. Л. Саймон // Компания АйТи. 2004. 360 с.

3. Зуйков Г. Г. Криминалистическое учение о способе совершения преступления: автореф. дис.... д-ра юрид. наук / Г. Г. Зуйков. М., 1970. 31 с.

Размещено на Allbest.ru