ВиданняЕсе з права ІТ

Соціальна інженерія: виклики та перспективи боротьби в українському контексті

01.11.2017 / 09:03
483
+A
-a

Соціальна інженерія: виклики та перспективи боротьби в українському контексті

Соціальна інженерія – це мистецтво маніпулювання людьми через виконання дій, або розголошення конфіденційної інформації іншим способом, ніж як через засоби технічного руйнування баз даних.

Вказане явище є значно розвиненим як в Україні, так і в інший країнах. Я переконаний, що кожному із нас хоча б одного разу приходив «лист щастя», в якому повідомлялося, що саме ти став щасливчиком та виграв автомобіль. Саме за допомогою таких простих дій, які впливають на психологічні характеристики людської особистості шахраї намагаються заволодіти нашими персональними даними (іншою конфіденційною інформацію) із явно більш негативною метою, ніж заповнити анкету для отримання бонусної карти в популярному магазині.

Соціальна інженерія базується на досить простих психологічних особливостях людини, таки як: принцип зворотності («ти мені – я тобі»), принцип соціальної перевірки (ви оцінюєте свою поведінку в контексті поведінки більшості), повага до авторитетів (ви будете більше довіряти лікарю та поліцейському, аніж пересічній людині). Всі ці принципи застосовуються і при здійсненні «офлайнового» шахрайства, однак мають свою специфіку під час вчинення у мережі Інтернет.

Найбільш популярною схемою впливу на особу, яка використовується в соціальній інженерії є схема Шейнова, яка полягає у таких кроках: формування цілі впливу на об’єкт (1), пошук інформації про об’єкт (2), виявлення найбільш зручних цілей впливу (3), створення найбільш сприятливих умов для впливу на об’єкт (4), примус до потрібної дії (5), результат (6).

Для аналізу ефективності боротьби із соціальною інженерією як одним із проявів кіберзлочинності необхідно ознайомитися із основними способами її застосування на практиці. Так, до них можна віднести наступні:

Фішинг. Цей вид шахрайства побудований на надсиланні листа, ніби від банку чи іншою установи, в якому міститься посилання у якому необхідно ввести пароль чи іншу конфіденційну інформацію, яка необхідна шахраю. При цьому приводи для надсилання такої інформації можуть бути різними, наприклад, відновлення бази даних після її випадкової втрати.

Вішинг. Назва цього виду інтернет-шахрайства пішла від попереднього та полягає у імітування дзвінків на мобільний телефон, ніби як від банківської установи (із попередньо записаним голосом) та отриманні запиту про комунікацію із банком для підтвердження тієї чи іншої інформації. При цьому жертва отримує вимогу сказати свій пароль або іншу конфіденційну інформацію, яка необхідна для доступу до банківських рахунків.

Фармінг. Процедура полягає у перенаправленні жертви на неправдиву IP-адресу. Шахрай встановлює на комп’ютерах шкідливу програму, яка після запуску на комп’ютері забезпечує перенаправлення жертви замість шуканих нею сайтів на підроблені сайти.

Попередження про вірус на комп’ютері. В даному випадку розробник шкідливого програмного забезпечення попереджає жертву про зараження її комп’ютера вірусом і повідомляє, що для очищення операційної системи необхідно перейти за посиланням та встановити необхідну програму. Саме ця програма є шкідливою та забезпечує доступ до необхідної інформації.

Quid pro quo. Вказаний вид інтернет-шахрайства базується на вмінні особи у телефонній розмові або електронною поштою увійти в довіру до жертви (зазвичай офісного працівника) та, представившись співпробітником служби технічної підтримки, запропонувати йому вирішення проблеми, в ході чого він і отримає всю необхідну конфіденційну інформацію.

«Дорожне яблуко». Цей спосіб здійснення шахрайства базується на використанні фізичних носіїв інформації. Так, шахрай може залишити у будь-яких публічних місцях флеш-носій, CD-диск із таким зображенням, яке може зацікавити жертву та примусити її переглянути на своєму комп’ютері.

Зворотна соціальна інженерія. Реалізація цього способу може бути здійснена лише у випадку, коли шахрай попередньо знайомий із жертвою та заслуговує на її довіру. У такому випадку жертва сама звертається до шахрая (наприклад, системного адміністратора), із проханням допомогти відновити втрачений файл (який заховав сам шахрай). При цьому їй повідомляється, що таку дію можна зробити якнайшвидше лише зайшовши у її обліковий запис. Таким чином, жертва за власним бажанням повідомляє всю інформацію шахраю.

Претекстинг. Атака, для здійснення якої шахрай представляється іншою особою та вивідує у жертви всю необхідну інформацію. Однак такий вид інтернет-шахрайства вимагає дуже якісної підготовки та збору всієї необхідної попередньої інформації про особу.

Вказані види інтернет-шахрайства є найбільш популярними проявами застосування інтернет інженерії. Наразі варто розглянути заходи запобігання інтернет злочинності, які застосовуються в Україні.

Класифікувати поради щодо запобігання проявам соціальної інженерії можна відповідно до джерела, звідки надходять інформаційні запити.

Так, у випадку посягання шляхом застосування телефону, доцільними будуть такі поради: перевірка особи, що телефонує; використання послуги визначення номеру; ігнорування невідомих телефонних повідомлень.

У випадку вчинення посягання шляхом використання електронної пошти: не відкривати незрозумілі вкладення у документи; не натискати на неперевірені гіперпосилання у тілі повідомлення; перевіряти запити на отримання персональної інформації, які надсилаються у таких повідомленнях.

Для запобігання посяганням при використанні служб миттєвого обміну повідомленнями потрібно вибирати одну платформу для такого обміну, визначити принципи встановлення нових контактів, використовувати якісні паролі для доступу до облікового запису.

Однак у сфері юридичної науки більш цікавими для дослідження є не поради як вберегтися від негативних проявів соціальної інженерії, а правові проблеми захисту від цього явища.

Перш за все варто звернути увагу, що у 2016 році відбувся значний прогрес у сфері боротьби із кіберзлочинністю в цілому, оскільки Президент України підписав Указ, яким увів в дію рішення Ради національної безпеки і оборони України від 27 січня "Про Стратегію кібербезпеки України".

В документі наголошується, що разом з перевагами сучасного цифрового світу та розвитком інформаційних технологій, нині активно розповсюджуються випадки незаконного збирання, зберігання, використання, знищення, поширення, персональних даних, незаконних фінансових операцій, крадіжок та шахрайства у мережі Інтернет. Сучасні інформаційно-комунікаційні технології можуть використовуватися для здійснення терористичних актів, зокрема шляхом порушення штатних режимів роботи автоматизованих систем керування технологічними процесами на об'єктах інфраструктури. Більшого поширення набуває політично вмотивована діяльність у кіберпросторі у вигляді атак на урядові та приватні веб-сайти в мережі Інтернет.

Аналіз цього документу дозволяє виявити такі його основні положення:

1. Виявлено основні загрози кібербезпеці України та згадано Російську Федерацію як потенційне джерело таких загроз, а також описано їх чинники;

2. Закріплено основні завдання Національної системи кібербезпеки та зазначено відповідні органи і сферу їх відповідальності;

3. Визначено основні пріоритети та напрями забезпечення кібербезпеки України (одним із яких є проведення навчань щодо надзвичайних ситуацій та інцидентів у кіберпросторі);

Власне кажучи, вказаний документ сповнений дійсно актуальних положень та програм, які вимагають розробки відповідних нормативних актів, які передбачатимуть системи заходів для їх реалізації. На цьому етапі буде цікаво відстежити, що ж саме

Указом Президента України № 242/2016 від 7 червня 2016 року було створено Національний координаційний центр кібербезпеки, який є робочим органом Ради національної безпеки і оборони України. Однак інформації на сайті РНБО про діяльність цього органу та серед інших доступних ресурсів не виявлено.

Крім цього, Указом Президента України № 32/2017 Про рішення Ради національної безпеки і оборони України від 29 грудня 2016 року "Про загрози кібербезпеці держави та невідкладні заходи з їх нейтралізації" введено в дію вказане рішення РНБО. У цьому рішенні звертається увагу на найбільш важливі кроки по захисту об’єктів критичної інфраструктури від кіберпосягань, а також вимоги до Кабінету Міністрів України щодо розробки законодавчих пропозицій по імплементації положень Конвенції про кіберзлочинність.

Вказані акти головним чином спрямовані на встановлення підвалин для побудови потужної системи кібербезпеки України, однак лише незначна кількість їх положень можуть дуже дотично стосуватися кібербезпеки приватних осіб. З одного боку, це обумовлено політичною ситуацією у країні, однак, на мою думку, забувати про інтереси громадян України та інших осіб не можна, навіть в силу нестабільної ситуації в Україні.

Одним із небагатьох кроків, які дозволяють стверджувати, що в Україні щось реально здійснюється в напрямку підвищення рівня кібербезпеки, окрім прийняття стратегій та декларацій, є прийняття 20.09.16 р. за основу в першому читанні проекту закону України «Про основні засади забезпечення кібербезпеки України». Від вказаного часу у розділі про стан проходження законопроекту вказано, що він готується до другого читання. Вважаю за доцільне проаналізувати його окремі положення в контексті забезпечення захисту від проявів соціальної інженерії для приватних осіб.

Перше, на що одразу звертається увага, що під поняттям «кібератака» можна розуміти також несанкціонований доступ до конфіденційної інформації приватної особи, що є безумовно позитивним аспектом. Одним із основних напрямів забезпечення кібербезпеки України є підвищення рівня обізнаності суспільства щодо ризиків, викликів і загроз у кіберпросторі.

Таким чином, вказаний законопроект звертає увагу на захист інтересів приватних осіб у сфері кібезбезпеки.

У якості висновку слід зазначити, що основним недоліком у сфері запобігання негативним проявам соціальної інженерії є відсутність системної роботи щодо її виявлення та подолання, наявність лише декларативних положень у стратегіях (іншими вони і не можуть бути, що зрозуміло) та відсутність прийнятих законодавчих та підзаконних актів на їх конкретизацію та розвиток, низький рівень проінформованості населення щодо можливих загроз соціальної інженерії (варто відзначити позитивну роботу деяких банків у цій сфері), а також високу латентність злочинів у цій сфері, що унеможливлює виявлення та притягнення до відповідальності усіх винних осіб.

Демчук П. В.
студент IV курсу юридичного факультету
Львівського національного університету імені Івана Франка

*матеріал розміщено в авторській редакції та в рамках співпраці ІА "Українське право"  та ГО "Європейська Асоціація Студентів Права Львів"


КОМЕНТАРІ  0 + Додати коментар
Ілюзія права donum auctoris Ілюзія права
Суспільство, не навчене праву, не має соціальних перспектив, а цивілізаціний поступ такого суспільства дорівнює с...
Як судді захистити своє право: у відповідь на мовчання Ради суддів суддя оголосив голодування Феміда Як судді захистити своє право: у відповідь на мовчання Ради суддів суддя оголосив голодування
Намагаючись привернути увагу до проблеми суддівської винагороди, з 3 січня 2018 року суддя Снегірьов розпочав без...
Трагедія однієї сім'ї Справа Трагедія однієї сім'ї
Кожна судова справа – це історія, історія окремих людей або й цілих сімей, історія про кохання та зраду, історія ...
Січень 2018
Пн Вт Ср Чт Пт Сб Нд
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30 31 1 2 3 4
Опитування
  • Що найбільш негативно впливає на рівень довіри до суду в Україні?

Використання будь-яких матеріалів, розміщених на порталі "Українське право", дозволяється за умови посилання на ukrainеpravo.com. При копіюванні матеріалів порталу "Українське право" для інтернет-видань обов'язковим є пряме та відкрите для пошукових систем гіперпосилання в першому абзаці на цитованну статтю або новину.
Яндекс.Метрика