Криминалистический аспект техник социальной инженерии при совершении преступлений
Анализ понятия "социальная инженерия". Характеристика криминалистического аспекта техник социальной инженерии. Методы социальной инженерии: запугивание, убеждение, использование доверительных отношений. Особенности обеспечения информационной безопасности.
Рубрика | Государство и право |
Вид | статья |
Язык | русский |
Дата добавления | 29.09.2021 |
Размер файла | 19,7 K |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://www.allbest.ru/
Криминалистический аспект техник социальной инженерии при совершении преступлений
Старостенко Нина Игоревна
Аннотация
Старостенко Нина Игоревна, начальник кабинета специальных дисциплин кафедры уголовного процесса Краснодарского университета МВД России.
В статье определяется содержание понятия «социальная инженерия», рассматриваются основные ее техники, используемые при совершении преступлений в сфере информационно-телекоммуникационных технологий. Особое внимание уделяется криминалистическому аспекту техник социальной инженерии.
Ключевые слова: криминалистика, расследование преступлений, мошенничество в сфере информационно-телекоммуникационных технологий, техники социальной инженерии, виды социальной инженерии.
социальный инженерия информационный безопасность
Abstract
The forensic aspect of social engineering techniques for crime
N.I. Starostenko, Head of the Cabinet of Special Disciplines of the Chair of Criminal Procedure of the Krasnodar University of the Ministry of the Interior of Russia
The article defines the content of the concept of «social engineering», considers its main techniques used in committing crimes in the field of information and telecommunication technologies. Particular attention is paid to the forensic aspect of social engineering techniques.
Keywords: criminology, crime investigation, fraud in the field of information and telecommunications technologies, social engineering techniques, types.
Стремительное развитие информационно-телекоммуникационных технологий оказывает положительное влияние на все сферы жизнедеятельности общества. В то же время оно порождает и комплекс отрицательных последствий, связанных с ростом криминала в стране. Об этом свидетельствуют данные официальной статистики о состоянии преступности в Российской Федерации. Так, за десять месяцев (январь-октябрь) 2019 г. зарегистрировано более 240,2 тыс. (69,7%) преступлений, совершенных с использованием информационно-телекоммуникационных технологий, из них 126,2 тыс. (+44,0%) - с применением сети Интернет и 92,4 тыс. (+90,7%) - при помощи средств мобильной связи [1].
В ноябре 2019 г. в г. Москве состоялось заседание коллегии МВД России, выступая на котором Министр внутренних дел Российской Федерации генерал полиции Российской Федерации В.А. Колокольцев отметил, что «цифровая революция принесла не только блага и новейшие технологии, но и возникновение новых угроз - мошенничества с использованием сотовой связи, а также средств IP-телефонии. Преступники научились подменять подлинные телефонные номера кредитных организаций, государственных служб, выдавая себя за их работников. В прошлом году число противоправных деяний, совершенных с применением информационных технологий, увеличилось в of social engineering. два раза, в январе-сентябре текущего года - почти на 70%» [2].
А.Л. Осипенко отмечает, что «информационные технологии создают предпосылки как для существенного изменения способов совершения «традиционных» преступлений, так и для появления новых видов преступной деятельности» [3].
Сегодня одной из основных тенденций развития преступности в сфере информационно-телекоммуникационных технологий является использование методов социальной инженерии при совершении противоправных деяний. Данные методы зачастую характеризуются применением определенных техник, направленных на введение человека в заблуждение. По мнению заместителя председателя правления Сбербанка России С.В. Кузнецова, более 80% случаев мошенничеств в Российской Федерации совершается при помощи методов социальной инженерии. Кроме того, «в нашей стране социальная инженерия продолжает рост. Мы фиксируем рост от 4 до 6% "социального" мошенничества в месяц» [4].
По мнению Н.В. Лихачева, «введение в заблуждение - основной компонент социальной инженерии, включающий в себя целый ряд всевозможных техник: выдача себя за другое лицо, отвлечение внимания, нагнетание психологического напряжения и т. д.» [5]. Сегодня злоумышленники научились использовать различные методы воздействия на жертву, исходя из особенностей ее поведения.
А.В. Черемушкин под социальной инженерией понимает «обход системы безопасности системы информационной с помощью информации, получаемой от контактов с персоналом обслуживающим и пользователями на основе введения их в заблуждение за счет различных уловок, обмана и пр.» [6]. По мнению П.В. Ре- венкова и А.А. Бердюгина, «социальная инженерия - это метод хищения конфиденциальной информации пользователей» [7].
Социальная инженерия часто рассматривается как «манипулирование поведением человека с помощью использования социальных и психологических навыков» в целях достижения корыстного результата [8].
Таким образом, социальная инженерия - это система способов воздействия и контроля людей, которая побуждает их совершать определенные действия, применяемая в целях получения персональных данных личности, а также иных конфиденциальных сведений для достижения преступного результата.
К основным методам социальной инженерии относятся запугивание, убеждение и использование доверительных отношений.
Техники социальной инженерии представляют собой совокупность приемов и методов, являющихся вспомогательными средствами неправомерного получения доступа к конфиденциальной информации пользователей для достижения корыстных целей с помощью информационных технологий.
Существуют следующие техники социальной инженерии:
1. Фишинг (англ. рassword harvesting fishing - ловля паролей) - наиболее распространенная и эффективная техника социальной инженерии, которая представляет собой массовую рассылку писем по электронной почте либо SMS. Зачастую злоумышленник отправляет письма с почтовых адресов, похожих на адреса известных компаний, банков, сервисов (например, ВКонтакте, mail.ru и др.), и просит выслать те или иные конфиденциальные данные. Поэтому многие жертвы не задумываясь сообщают преступникам свои персональные сведения.
Признаками фишинга являются:
массовость рассылки писем;
искажение данных об отправителе;
отсутствие информации о получателях при отправлении писем;
использование психологических приемов, которые побуждают пользователей добровольно предоставлять злоумышленникам личную информацию (например, логин и пароль);
наличие предложения перейти по указанной в письме ссылке.
2. Вишинг (англ. vishing - голосовая запись) - вид телефонного мошенничества, позволяющий выманивать у клиентов банков конфиденциальную информацию (например, PIN-код, номер банковской карты и др.), которая будет использоваться злоумышленниками в преступных целях. Особенность данной техники заключается в использовании системы предварительно записанных голосовых сообщений от якобы технического специалиста или представителя известной компании (например, сотрудника Сбербанка России).
Вишинг имеет следующие признаки:
получение конфиденциальной информации пользователя при помощи средств сотовой связи, а также заранее подготовленной записи официального разговора;
использование техники для получения доступа к банковскому счету жертвы;
стимулирование у пользователя желания совершить необходимые мошенникам действия с банковской картой;
нагнетание психологической напряженности для достижения корыстных целей;
отсутствие конкретных ответов на вопросы, задаваемые жертвой.
3. Претекстинг - это набор действий, проведенный по определенному, заранее подготовленному сценарию (претексту), в результате которого жертва может выдать какую-либо информацию или совершить определенное действие. Как правило, целью злоумышленников является пароль от какого-либо ресурса или иные секретные данные пользователя.
Признаками претекстинга являются:
сбор информации о потенциальной жертве и ее окружении для создания доверительных отношений в ходе общения с ней;
подготовка сценария диалога с жертвой на основании полученной информации.
4. «Троянский конь». Эта техника основывается на любопытстве, доверчивости и желании получить выгоду. Злоумышленник отправляет жертве сообщение с информацией, например, о выигрыше крупной суммы денег. Однако это письмо во вложении содержит вредоносную программу, и при переходе по ссылке или скачивании файла, как правило, происходит списание денежных средств с банковской карты либо заражение персонального компьютера вирусом, избавиться от которого можно, перечислив мошенникам определенную денежную сумму.
Характерными признаками техники «троянский конь» являются:
использование в сообщении информации, которая вызывает большой интерес у любого человека;
массовость рассылки писем от неизвестных отправителей;
наличие вирусной программы в файле, прикрепленном к письму.
5. «Дорожное яблоко» - техника социальной инженерии, которая по своим признакам близка к технике «троянский конь», однако их отличает способ использования вирусной программы. Этот метод атаки подразумевает применение физических носителей - внешних накопителей памяти, которые злоумышленник преднамеренно оставляет в местах общего доступа, где они могут быть легко найдены заинтересованными лицами. Атака мошенников рассчитана на то, что лицо, обнаружившее накопитель, подсоединит его к компьютеру, после чего произойдет кража персональных данных.
Названные техники относятся к прямой социальной инженерии, т. е. подразумевают использование мошенником техник непосредственно при совершении преступлений. Кроме того, существует обратная социальная инженерия, представляющая собой процесс, при котором жертва сама обращается к злоумышленнику и сообщает ему свои персональные данные или иные конфиденциальные сведения.
Представленные техники социальной инженерии свидетельствуют о том, что человек более уязвим, чем система. Именно поэтому преступники все чаще используют их для получения доступа к интересующей секретной информации.
Криминалистический аспект противодействия техникам социальной инженерии заключается в том, что характеристика преступлений данного вида включает в себя описание механизма деяния, особенностей субъекта, а также способов, используемых им при противоправном поведении. Однако следует отметить, что криминалистика не содержит комплексной информации о социальной инженерии и ее техниках, применяемых при совершении преступлений.
Р.С. Белкин, анализируя функции криминалистики, в том числе прогностическую, отмечает, что последняя «является фундаментом для теории криминалистического прогнозирования, формой практического приложения данных криминалистической науки в практике борьбы с преступностью. Она способствует полезной интеграции знания в системе криминалистики. Ее роль заключается в предвидении развития действительности и в том числе государственно-правовых явлений» [9]. Следовательно, в целях совершенствования методов борьбы с преступлениями рассматриваемого вида необходимо создать комплексное знание о новых способах их совершения.
Обеспечение информационной безопасности - это основная задача не только специалистов в данной области, но и правоприменителей. Тот факт, что грамотность населения в сфере информационной безопасности находится на достаточно низком уровне, помогает мошенникам использовать техники социальной инженерии в преступных целях. Данная проблема широко обсуждается как в научном сообществе, так и средствах массовой информации, однако действующие нормативные правовые акты не содержат правовых дефиниций социальной инженерии и ее видов. С учетом вышеизложенного считаем необходимым закрепить рассмотренные категории в законодательстве России. Кроме того, предлагаем ввести в курс «Криминалистика» системное знание о техниках социальной инженерии, используемых при совершении преступлений. Оно должно включать в себя: понятие социальной инженерии, ее виды, признаки техник, методы и способы их выявления, фиксирования и использования в раскрытии и расследовании преступлений.
социальный инженерия информационный безопасность
Литература
1. Официальный сайт МВД России. URL: йНрз://мвд.рф/героіїз/іїет/19007735/ (дата обращения: 16.11.2019).
2. Осипенко А.Л. Борьба с преступностью в глобальных компьютерных сетях: международный опыт. М., 2004.
3. Сбербанк сообщил о росте мошенничества с применением социальной инженерии. URL: https://tass.ru/ekonomika/6568167 (дата обращения: 23.12.2019).
4. The official website of the Ministry of Internal Affairs of Russia. URL: https://mvd.rf/reports/ item/19007735/ (date of access: 16.11.2019).
5. Osipenko A.L. Fight against crime in the global computer networks: international experience. Moscow, 2004.
6. Sberbank reported an increase in fraud using social engineering. URL: https://tass. ru/ekonomika/6568167 (date of access/
7. Лихачев Н.В. (Крис Касперский). IT-журналист России, о секретном оружии социальной инженерии. URL: https://studfile. net/preview/3073459/
8. Черемушкин А. В. Информационная безопасность. Глоссарий / под ред. С. Пазизина. М., 2013.
9. Ревенков П.В., Бердюгин А.А. Социальная инженерия как источник рисков в условиях дистанционного банковского обслуживания // Национальные интересы: приоритеты и безопасность. 2017. № 9 (354).
10. Социальные инженеры: как не попасться в ловушку кибермошенников. URL: https://www. rbc.ru/money/28/09/2017/59ca447b9a79474aa 6f65673 (дата обращения: 23.12.2019).
11. Белкин Р.С. Криминалистика: учеб. для вузов /под ред. Р.С. Белкина. М.,2001.
12. Likhachev N.V. (Chris Kaspersky). Russian IT-journalist, on the secret weapon of social engineering. URL: https://studfile.net/ preview/3073459/ (date of access: 12.11.2019).
13. Cheremushkin A.V. Information security. Glossary/ еd. S. Pazizina. Moscow, 2013.
14. Revenkov P.V., Berdyugin A.A. Social engineering as a source of risk in remote banking services // National interests: priorities and security. 2017. № 9 (354).
15. Social engineers: how not to fall into the trap of cyber fraudsters. URL: https: //www.rbc.ru/mo ney/28/09/2017/59ca447b9a79474aa6f65673 (accessed: 12/23/2019)
16. Belkin R.S. Forensics: textbook for high schools/еd. by R.S. Belkin. Moscow, 2001.
17. Размещено на Allbest.ru
Подобные документы
Аспекты исследования социальной политики как фактора обеспечения экономической безопасности и устойчивости. Анализ состояния социальной политики Краснодарского края на основе компетентностного подхода. Моделирование эффективной социальной стратегии.
дипломная работа [497,8 K], добавлен 17.04.2015Теоретические аспекты изучения социальной политики бюджетных организаций. Историография социальной политики государства и предприятий. Понятия и характеристики социальной политики. Ожидания Россия как оптимальная социальная политика, социальные выплаты.
реферат [31,7 K], добавлен 21.10.2010Изучение социологической концепции права, в области которой наибольшую известность получили концепции солидаризма (О. Кант, Э. Дюркгейм), свободного судейского усмотрения (Е. Эрлиха), социальной инженерии в праве (социологическая юриспруденция Р. Паунда).
реферат [49,2 K], добавлен 10.06.2010Сущность, функции и уровни социальной политики. Принципы и направления социальной политики. Типы и модели социальной политики государства. Результативность социальной экономики и ее основные показатели. Совершенствование социальной политики в Беларуси.
курсовая работа [197,0 K], добавлен 24.12.2011Понятие государственной социальной помощи и сущность срочной социальной помощи. Правовые основы организации срочной социальной помощи в Российской Федерации. Система управления обеспечением срочной социальной помощью населения Сахалинской области.
курсовая работа [85,1 K], добавлен 17.05.2013Понятие и основные функции социального обеспечения. Система органов государственной власти субъектов Российской Федерации. Общая характеристика Министерства социальной защиты населения Республики Бурятия. Финансирование мер социальной поддержки.
дипломная работа [148,5 K], добавлен 17.06.2017Актуальность рассмотрения объектов и субъектов социальной политики, их нормативно-правовое определение. Характеристика объектов и субъектов социальной политики Российской Федерации. Структура органов исполнительной власти по управлению социальной сферой.
реферат [34,9 K], добавлен 09.11.2010Особенности организации социальной защиты населения в России. Анализ социально-экономического развития и социальной защиты населения городского округа Железнодорожный. Характеристика деятельности Управления социальной защиты населения городского округа.
дипломная работа [243,5 K], добавлен 05.10.2012Система социальной защиты населения: функции и принципы. Министерство труда и социальной защиты населения Республики Казахстан. Особенности медико-социальной экспертизы. Медицинская реабилитация инвалидов. Закон об обязательном социальном страховании.
курсовая работа [48,1 K], добавлен 18.12.2014Теоретико-методологические основы изучения социальной защиты населения РФ: направления и функции. Анализ нормативно-правовых и финансовых основ социальной защиты населения. Деятельность отдела социальной защиты населения в Заводском районе г. Кемерова.
курсовая работа [55,3 K], добавлен 05.03.2010