Разработка рекомендаций по противодействию методам социального инжиниринга в компании ООО «СиТек»

МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ 
РОССИЙСКОЙ ФЕДЕРАЦИИ
ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ОБРАЗОВАНИЯ
«РОССИЙСКИЙ ЭКОНОМИЧЕСКИЙ УНИВЕРСИТЕТ
ИМЕНИ Г.В. ПЛЕХАНОВА»

Факультет математической экономики, статистики и информатики
Кафедра прикладной информатики и информационной безопасности

                                       «Допустить к защите»
                                       
                                       Заведующий кафедрой
                                       Прикладной информатики и информационной безопасности
                                       Тельнов Юрий Филиппович
                                       
                                       __________________________
                                                                 (подпись)
                                       «____» _____________ 2018 г.


Выпускная квалификационная работа бакалавра

направление 10.03.01 «Информационная безопасность»
профиль «Информационно-аналитические системы финансового мониторинга»

Разработка рекомендаций по противодействию методам социального инжиниринга в компании ООО «СиТек»
Выполнил студент Лахтюхов Антон Владимирович

Группа ДКБ-143б

                                Научный руководитель
                                выпускной квалификационной работы
                                Креопалов Владимир Владиславович
                                                     
                                _______________________________
                                                      (подпись)
                                
                                Автор ____________________
                                                     (подпись)
Москва – 2018
ОГЛАВЛЕНИЕ

ВВЕДЕНИЕ	4
ГЛАВА 1. ОБЩЕЕ ПРЕДСТАВЛЕНИЕ О СОЦИАЛЬНОЙ ИНЖЕНЕРИИ	8
1.1 ПОНЯТИЕ СОЦИАЛЬНОЙ ИНЖЕНЕРИИ	8
1.2 ПРОИСХОЖДЕНИЕ СОЦИАЛЬНОЙ ИНЖЕНЕРИИ	9
1.3 ЦЕЛЬ СОЦИАЛЬНОЙ ИНЖЕНЕРИИ	10
1.4 ОБЛАСТИ ПРИМЕНЕНИЯ СОЦИАЛЬНОЙ ИНЖЕНЕРИИ	12
1.5 МЕТОДЫ СОЦИАЛЬНОЙ ИНЖЕНЕРИИ	13
1.5.1 МЕТОД ПРЯМОГО ВОЗДЕЙСТВИЯ	13
1.5.2 МЕТОД ВВЕДЕНИЯ В ЗАБЛУЖДЕНИЕ	14
1.5.3 МЕТОД ОБРАТНОЙ ИНЖЕНЕРИИ	15
1.5.4 МЕТОД СБОРА И АНАЛИЗА ИНФОРМАЦИИ ИЗ ОТКРЫТЫХ ИСТОЧНИКОВ	16
1.6 ТЕХНИКИ И ВИДЫ СОЦИАЛЬНОЙ ИНЖЕНЕРИИ	17
1.6.1 ФИШИНГ	17
1.6.2 ПРЕТЕСКИНГ	18
1.6.3 ТРОЯНСКИЙ КОНЬ	19
1.6.4 «ДОРОЖНОЕ ЯБЛОКО».	21
1.6.5 УСЛУГА ЗА УСЛУГА (КВИ ПРО КВО)	21
1.6.6 ОБРАТНАЯ СОЦИАЛЬНАЯ ИНЖЕНЕРИЯ	22
ГЛАВА 2. АНАЛИЗ КОМПАНИИ ООО «СИТЕК»	23
2.1 ОБЩЕЕ ОПИСАНИЕ КОМПАНИИ ООО «СИТЕК»	23
2.2 СЛУЖБА БЕЗОПАСНОСТИ	24
2.3 МОДЕЛЬ ЗЛОУМЫШЛЕННИКА	26
2.4 ОПРЕДЕЛЕНИЕ ОБЪЕКТОВ, ПОДВЕРЖЕННЫХ АТАКАМ СОЦИАЛЬНЫХ ИНЖЕНЕРОВ	27
2.5 ВЫЯВЛЕНИЕ ИСТОЧНИКОВ УЯЗВИМОСТЕЙ И ОЦЕНКА РИСКОВ	28
2.6 ПРИМЕРЫ АТАК	32
2.7 ПРИНЯТЫЕ МЕРЫ	40
ГЛАВА 3. РАЗРАБОТКА РЕКОМЕНДАЦИЙ ПО ПРОТИВОДЕЙСТВИЮ МЕТОДАМ СОЦИАЛЬНОГО ИНЖИНИРИНГА В КОМПАНИИ ООО «СИТЕК»	44
3.1 ВЫДАЧА СПЕЦИАЛЬНЫХ ИНФОРМИРУЮЩИХ МАТЕРИАЛОВ	46
3.1.1	КЛАССИФИКАЦИЯ ИНФОРМАЦИИ	46
3.1.2	ПОДТВЕРЖДЕНИЕ ЛИЧНОСТИ	47
3.1.3	ПРОЦЕДУРА, ПОЗВОЛЯЮЩАЯ ПОНЯТЬ, МОЖЕТ ЛИ СОТРУДНИК КОМПАНИИ СООБЩИТЬ ЗВОНЯЩЕМУ ИНФОРМАЦИЮ			48
3.1.4 ПРЕДУПРЕЖДАЮЩИЕ ЗНАКИ АТАК СОЦИАЛЬНЫХ ИНЖЕНЕРОВ	48
3.2 СОЗДАНИЕ КОМПЛЕКСА ОРГАНИЗАЦИОННЫХ И ТЕХНИЧЕСКИХ МЕРОПРИЯТИЙ ПО ПРОТИВОДЕЙСТВИЮ СОЦИАЛЬНОЙ ИНЖЕНЕРИИ	49
3.3 СОЗДАНИЕ ТРЕНИРОВОЧНЫХ ПРОГРАММ	50
3.3.1 СТРУКТУРА ТРЕНИРОВОЧНОЙ ПРОГРАММЫ	51
3.4 ТЕСТИРОВАНИЕ	53
3.5 ПОДДЕРЖАНИЕ БДИТЕЛЬНОСТИ	53
ЗАКЛЮЧЕНИЕ	55
СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ	57


	


ВВЕДЕНИЕ
Информация всегда играла ключевую роль во всех сферах деятельности человека. Она является неотъемлемой частью компании, потеря которой влечет проблемы разного характера (в зависимости от важности потерянных данных). В связи с этим в последнее время набирает обороты такое направление, как – «Информационная безопасность». Уже сегодня огромное количество компаний имеет в штате отдел по информационной безопасности, постоянно улучшая ту или иную информационную систему защиты данных организации. 
Но, к сожалению, на этом проблемы с защитой информации не кончаются. Даже самая крупная компанияможет приобрести лучшие технологии по безопасности, какие только можно получить на рынке программных продуктов, натренировать своих сотрудников пользоваться нововведенными технологиями обеспечения защиты конфиденциальности, целостности, доступности данных, нанять самых опытных охранников в лучшей охранной фирме на рынке, однако все это не поможет системе информационной безопасностибытьполностью защищенной. Она по-прежнему останется уязвимой. Сами люди могут полностью следовать лучшей практике по безопасности, рекомендованной экспертами, но они также полностью уязвимы. Их халатное обращение с важными сведениями компании, доверчивость и беспечное поведение способны свести все усилия на нет.[5]
Речь идет о таком направлении как – социальный инжиниринг. Данный метод является наиболее эффективным способом получения конфиденциальной информации предприятия, используемым многими злоумышленниками для проникновения в компьютерные сети и системы. [14] По статистике на социальный инжиниринг меньше всего обращают внимания при обеспечении защиты информации в компании. [7]Пока различные службы безопасности разрабатывают сложную систему обеспечения защищенности информации на предприятии, злоумышленники проникают в сеть с помощью обычных ничего не подозревающих пользователей. 
В основе социального инжиниринга лежит совокупность прикладных психологических и аналитических приемов, применяемых злоумышленниками для скрытой мотивации пользователей публичной или же корпоративной сети к нарушениям устоявшихся правил и политик в отношении информационной безопасности. [1]
В современном мире происходит постоянное развитие информационных технологий. В связи с этим все сложнее становится получение конкретной информации предприятия. Необходимо обладать профессиональными навыками в технической части, быть настоящим экспертом, чтобы рассекретить данные компании. [7]
И самым доступным для общества способом хищения засекреченной информации предприятия является социальный инжиниринг. [3]Злоумышленнику не нужно тратить средства на закупку дорогостоящего программного обеспечения с целью взлома той или иной информационной системы, рисковать. Ему необходимо лишь объединить такие качества как обман людей с талантами влияния и убеждения, и тогда он достигнет профиля социального инженера. Именно эти качества помогут вырасти обычному человеку от новичка до профессионала по социальному инжинирингу, совершенствуя хорошо заточенные навыки манипулирования. Чтобы развить эти навыки, новичку достаточно взять какой-либо кусок информации (неважно какой), и наблюдать, сможет ли человек на другом конце телефонного провода сообщить ему эту самую выбранную информацию.
На сегодняшний день примерно 55% убытков, связанных с нарушениями информационной безопасности, возникают по ошибке внутренних сотрудников компаний, которые были подвержены нападению социальных инженеров. [7]Ведь самым слабым звеном в любой системе информационной безопасности является человек, и именно этому факту специалисты в области защиты данных предприятия должны уделять не меньше времени, чем на изучение компьютерных систем. Именно человек в частности более уязвим, чем система информационной безопасности.
В настоящее время интерес к социальной инженерии во всем мире очень высок. Известный в прошлом хакер Кевин Митник, использовавший для взлома методы социального инжиниринга, сейчас выступает с лекциями для различных спецслужб безопасности компаний.Устраиваются все больше мероприятий по противодействию атак социальных инженеров. [7]
Исходя из вышесказанного, можно сделать вывод, что в любой большой или даже маленькой компании существуют определенного рода бреши в системе информационной безопасности, так называемые уязвимости. Даже если на всех компьютерах той или иной организации стоит самое новейшее и наилучшее программное обеспечение для защиты информации, и процесс аутентификации является наисложнейшим – все равно система информационной безопасности остается уязвимой. А все потому, что в любой информационной системе слабым звеном всегда является человек. Именно человеческий фактор влияет на большую часть утечек конфиденциальной информации компании. Поэтому социальный инжиниринг является актуальной темой наблюдения и требует глубокого исследования с целью выявления мер по противодействию данного метода выявления конфиденциальных данных компании.
Объект исследования – компания ООО «СиТек», занимающаяся разработкой и поставкой современного высокопроизводительного оборудования для построения корпоративных систем связи, центров обработки данных и облачных вычислений, а также средств защиты информации для предприятий и организаций.
Предмет исследования – социальная инженерия, методы и техники социальной инженерии.
Цель выпускной квалификационной работы –разработка рекомендаций по противодействию методам социального инжиниринга в компании ООО «СиТек». Для достижения этой цели выпускной квалификационной работы были поставлены следующие задачи:
1. Анализ методов, техник и видов социальной инженерии.
2. Анализ компании ООО "СиТек".
3. Анализ модели злоумышленника.
4. Выявление объектов в компании ООО «СиТек», подверженных атакам социальных инженеров.
5. Выявление распространённых атак социальной инженерии.
6. Определение мер по противодействию атак социальной инженерии.
7. Разработка рекомендаций по противодействию методам социального инжиниринга в компании ООО "СиТек". 
В первой главе работы приводитсяобщее описание социальной инженерии, а также анализ методов, техник и видов социальной инженерии.
Во второй главе анализируется компания ООО «СиТек», на основе которой будут разработаны рекомендации по противодействию методам социального инжиниринга.
В третьей главе на основе проведённых исследований составляются рекомендации по противодействию методам социального инжиниринга в компании ООО «СиТек».
Теоретико-методологической основой исследования данной темы выпускной квалификационной работы являются труды отечественных и зарубежных авторов в области социальной инженерии, психологии и информационных технологий (Кевин Дэвид Митник, Пол Экман, Кузнецов М.В., Симдянов И.В. и другие).
ГЛАВА 1. ОБЩЕЕ ПРЕДСТАВЛЕНИЕ О СОЦИАЛЬНОЙ ИНЖЕНЕРИИ
1.1 ПОНЯТИЕ СОЦИАЛЬНОЙ ИНЖЕНЕРИИ
Социальный инжиниринг – это способ несанкционированного доступа к информации, который максимально эффективно приводит к определенному ожидаемому результату, без использования каких-либо технических средств, основанный на применении приемов социологии и психологии. [7] Основным отличием от обычного взлома – это то, что в роли объекта атаки выбирается не электронная вычислительная машина, а, собственно, сам носитель информации – человек. В связи с этим все техники и виды социальной инженерии прежде всего акцентированы на слабости человеческого фактора. [15]Бывает, что какая-нибудь часть общедоступной информации может сыграть ключевую роль для социального инженера при нападении на объект, который в свою очередь владеет секретной информацией.
Для того, чтобы осуществить нападение, социальный инженер использует техники межличностного взаимодействия, с помощью которых добывает необходимые ему сведения из одного определенного источника информации. Если же злоумышленнику недостаточно полученных данных, то он обращается к другому источнику, используя при этом знания, полученные от первого источника, и повышает свою убедительность и осведомленность. Одной из используемых техник социальных инженеров является создание чувства доверия со стороны жертвы. Чем качественнее и правдоподобнее атака злоумышленника, тем больше он ослабляет подозрение к самому себе и становится ближе к необходимой засекреченной информации. [8]
Настоящий профессионал в области социального инжиниринга знает, на какие «кнопки» ему следует нажимать, чтобы заполучить желаемую информацию у жертвы, создавая при этом ощущение правомерного запроса к засекреченной информации. Для социальных инженеров не составит большого труда обойти рациональное сознание человека, чтобы добиться преимущества над ситуацией и получить от жертвы необходимые данные.
Прежде всего социальная инженерия использует приемы психологии и социологии, и никогда не будет использовать сложные технологические схемы хищения засекреченной информации. Уже сегодня огромное количество интернет-ресурсов позволяют большинству начинающих киберпреступников получить необходимые знания, навыки, а также сведения о техниках рассекречивания конфиденциальной информации, которые предлагают фундаментальную теорию в области социального инжиниринга, дополняя ее всевозможными реальными примерами. [3]
1.2 ПРОИСХОЖДЕНИЕ СОЦИАЛЬНОЙ ИНЖЕНЕРИИ
Сам термин «социальная инженерия» появился не так уж давно, однако люди в той или иной степени пользовались этими техниками еще до появления первых компьютеров, так как фундаментом социальной инженерии является психология общения между людьми. Первый упоминание об использовании методов социальной инженерии относится к VI веку до нашей эры, и произошел в Китае. Тогда китайцы славились своим умением изготавливать шелка по определенной секретной технологии, которую в дальнейшем лишились обманным путем римских шпионов.
Социальная инженерия зародилась, как только в мире появилось первое общество, так как само слово «социальность» - это общественность. Главной сутью этой технологии является заставить человека подсознательно выдать злоумышленнику засекреченную информацию. [7]
Социальная инженерия образовалась как отдельное направление из прикладной психологии.Ей обучают шпионов, разведчиков, основываясь на особенностях принятия решений людьми, называемых когнитивным базисом. [2] Это является главным оружием специалистов данной области, так как, выдавая себя за другое лицо, агенты под прикрытием могли выведать секретные государственные тайны. Этот метод кражи информации является менее техническим, но и наиболее эффективным средством в арсенале злоумышленников. 
Особенности атак социальной инженерии:
* Не требуют значительных затрат.
* Не требуют технических знаний в области информационной безопасности.
* Могут длиться как кратковременно, так и на протяжении длительного срока.
* Тяжело отследить.
1.3 ЦЕЛЬ СОЦИАЛЬНОЙ ИНЖЕНЕРИИ
Основное намерение социальных инженеров схоже с намерением обычных хакеров-злоумышленников – получение доступа к секретнойинформации, паролям, банковским счетам и другим защищаемым данным. Социальный инжиниринг так же эффективно используется для реализации следующих целей:
* Извлечение прибыли.
* Борьба с конкурентами.
* Способ ведения статистики.
* Формирование цен.
* Интерес в степени защищенности внутриорганизационной системы информационной безопасности (выявление слабых мест, копирование и улучшение схем построения систем информационной безопасности).
В совокупности с техническими знаниями систем защиты информации социальные инженеры используют следующую методику воздействия на жертву для получения необходимой информации:
* Формулирование цели воздействия на объект.
* Сбор информации об объекте воздействия.
* Профилирование.
* Выполнение атаки.
* Получение секретной информации.
Эта методика была разработана белорусским психологом и социалогом В.П. Шейновым, который долгое время занимался психологией мошенничества. [7]
Прежде всего на начальном этапе воздействия на объект, социальный инженер должен сформулировать цель проведения атак («объект» - жертва, на которую нацелена атака социального инженера). Далее происходит сбор данных об объекте, вследствие чего определяются наиболее уязвимые места предполагаемой жертвы. Источником информации об объекте могут быть различные социальны сети, публично доступные данные и т.п. Помимо этого сведения о жертве можно получить в ходе общения с членами семьи, друзьями и коллегами.[10]На этапе профилирования выполняется анализ собранной информации, на основе которого происходит построение предполагаемой атаки. Выделяются определенные каналы взаимодействия с жертвой на основе ее слабостей (почта, личная встреча, телефонный разговор и т.д.), методы реализации и возможные направления атак социальной инженерии. После чего наступает следующий этап – выполнение атаки, в котором происходит установление доверительных отношений с объектом, владеющим необходимой информацией, и принуждение к определенному действию, когда злоумышленник получает сведения от жертвы, которая в свою очередь сама делает нужные социальному инженеру действия. На этой ступени выполняется модель атаки, разработанная на стадии профилирования. Этап выполнения атаки включает в себя психологию, НЛП и определенные технические средства. В конечном итоге, если социальный инженер правильно составил портрет жертвы и соблюдал последовательность своих действий, разработанных на этапе профилирования и выполнения атаки, правонарушитель заполучает от атакуемого объекта необходимую ему информацию без каких-либо трудностей. [7]
Общий принцип всех атак социального инженера направлен на то, чтобы ввести жертву в заблуждение. Для реализации данного принципа злоумышленнику необходимо использовать различные техники, направленные прежде всего на эмоции, слабости или другие особенности объекта:
* Лень
* Сочувствие и жалость
* Неопытность
* Любопытство
* Страх
* Жадность и желание быстрых результатов и др.
1.4 ОБЛАСТИ ПРИМЕНЕНИЯ СОЦИАЛЬНОЙ ИНЖЕНЕРИИ
Социальный инжиниринг, как способ незаконного съема защищаемой информации, обычно использует такие факторы, как: обман, влияние и убеждение. Все это играет большую роль в рассекречивании закрытой информации, которая представляет собой серьезную ценность для компании. [15]
Сам же социальный инжиниринг применяется в основном в следующих сферах деятельности:
1. Проникновение в сеть организации для дестабилизации работы основных узлов сети.
2. Фишинг и другие способы кражи паролей с целью доступа к персональным банковским данным.
3. Конкурентная разведка	.
* Информация о маркетинговых планах организации.
* Информация о наиболее перспективных сотрудниках с целью их дальнейшего «переманивания» в свою организацию.
* Общая информация об организации, о ее сильных и слабых сторонах с целью последующего уничтожения данной организации тем или иным способом. Часто применяется для рейдерских атак.
* Воровство клиентских баз.
4. Финансовые махинации в организациях.
5. Общая дестабилизация работы организации с целью снижения ее влияния и возможностью последующего полного разрушения организации.
1.5 МЕТОДЫ СОЦИАЛЬНОЙ ИНЖЕНЕРИИ
В современном мире такое направление как – социальная инженерия, насчитывает большое количество видов и методов подхода киберпреступников к защищаемой информации. Ввиду уникальности персональных качеств, морально-психологических установок, жизненной позиции личности, трудно выделить какие-либо универсальные средства социальных инженеров. 
На сегодняшний день можно выделить четыре основных метода социальной инженерии, на основе которых строятся различные техники доступа к конфиденциальной информации злоумышленниками: [16]
* Метод прямого воздействия.
* Введение в заблуждение.
* Метод обратной инженерии.
* Сбор и анализ информации из открытых источников.
1.5.1 МЕТОД ПРЯМОГО ВОЗДЕЙСТВИЯ
Метод прямого воздействия является самым простым и самым действенным способом получения засекреченной информации компании. Фундаментом этого метода служит доверительная связь между людьми, а также их взаимопомощь в решении возникших проблем. Для эффективного метода прямого воздействия злоумышленнику достаточно лишь изучить внутреннюю терминологию компании и выявить проблемы, связанные с производственной или организационной деятельностью предприятия. Главной особенностью данного метода от других является быстрота принятия решений объектом воздействия, то есть атака социального инженера прежде всего должна быть выстроена так, чтобы у жертвы не было времени обдумать просьбу преступника, и она могла сообщить необходимую ему информацию в кратчайшие сроки. Принцип действия, следующий: злоумышленник, звоня должностному лицу компании и представляясь авторизированным пользователем системы, просит сообщить ему некоторые данные, для решения конкретной проблемы как можно скорее. Жертва, ссылаясь на срочность и желание помочь товарищу, сообщает необходимые злоумышленнику сведения, забывая о всех правилах работы с конфиденциальной информацией. [16]
1.5.2 МЕТОД ВВЕДЕНИЯ В ЗАБЛУЖДЕНИЕ
В основе данного метода лежит способность человека доверять различным ресурсам, предметам, вещам, используемым на протяжении долгого времени. В современном информационном мире значительную часть информации человек получает, обрабатывает, анализирует и отсылает с помощью ресурсов, размещенных в сети Интернет. Некоторые интернет-источники носят исключительно информационный характер и не влияют на безопасность информационной системы пользователя, другие же источники носят интерактивный характер, требующие от человека ввода каких-либо данных. В качестве вводимой информации может служить:
* Платежные реквизиты банковских карт.
* Логин и пароль.
* Паспортные данные.
* Другие персональные данные и т.п.
Для получения злоумышленником конфиденциальной информации, вводимой пользователем, социальный инженер создает в сети Интернет ресурс, идентичный с точностью до мелочей с официальным проверенным пользовательским интерфейсом (ресурс-близнец). После того как ничего не подозревающий человек внесет в поля ввода все необходимые данные, информация отправляется на компьютер злоумышленника и может быть им использована, как угодно.
Например, злоумышленник отправляет электронное письмо сотруднику компании, в котором социальный инженер убеждает пользователя перейти на ресурс и ввести необходимые учетные данные. При этом адрес интернет-источника меняется на адрес «ресурса-близнеца». Причиной перехода пользователем на сторонний адрес злоумышленника может быть все что угодно. Самым распространенным случаем может быть, когда в письме содержится следующая информация: администрация информационного ресурса просит пользователя ввести свои логин и пароль с целью разблокировки его аккаунта. В противном случае через определенный период он будет удален.
Атакуемая жертва, чувствуя важность процесса и стремясь исправить произошедший инцидент, переходит на ресурс, созданный злоумышленником, и вводит всю необходимую информацию без какого-либо принуждения и подозрения, предоставляя конфиденциальную информацию в свободное пользование социальному инженеру. [16]
1.5.3 МЕТОД ОБРАТНОЙ ИНЖЕНЕРИИ
Метод обратной инженерии – способ получения социальным инженером конфиденциальной информации, сообщаемой пользователем самостоятельно без какого-либо принуждения.
Для того, чтобы эффективно использовать данный метод получения защищаемой информации, злоумышленнику необходимо изначально собрать полную информацию о жертве:
* Личные данные (имя, возраст и т.д.)
* Хобби
* Личная жизнь
* Жизненные позиции
* Моральные устои
* Интересы
Для достижения намеченной цели социальный инженер становится близким человеком предполагаемой жертве (друг, приятель по работе, напарник в спортивных состязаниях, личность, разделяющая интересы жертвы и т.п.). Совместные встречи, проводимые в неформальной обстановке, снижают бдительность человека, на которого планируется атака социального инженера. Эти мероприятия позволяют атакуемому забыть о должностных обязанностях, необходимости сохранения в тайне сведений, ставших известными по работе.
Отличительной чертой метода обратной инженерии от других методов является большая протяженность по времени использования. Злоумышленнику могут потребоваться месяцы, а то и годы, чтобы войти в доверие объекту воздействия. [16]
1.5.4 МЕТОД СБОРА И АНАЛИЗА ИНФОРМАЦИИ ИЗ ОТКРЫТЫХ ИСТОЧНИКОВ
Метод сбора и анализа информации из открытых источников на сегодняшний день является самым эффективным методом получения конфиденциальной информации. Его эффективность связана с тем, что большинство информации о пользователе можно получить через социальные сети.
Социальная сеть представляет собой интернет-источник, предназначенный для обмена текстовыми сообщениями, фото-, видео-, медиафайлами и другими видами информации.
Представленная пользователем информация в социальных сетях помогает злоумышленнику узнать больше данных о жертве, составить психологический портрет, узнать о хобби, определить какие-нибудь предпочтения и т.п. На основе выявленной информации о пользователе социальным инженером возможно применение различных техник извлечения данных у атакуемого. [16]
1.6 ТЕХНИКИ И ВИДЫ СОЦИАЛЬНОЙ ИНЖЕНЕРИИ
На сегодняшний день подавляющее большинство злоумышленников в области социальной инженерии для проникновения к защищаемым системам действуют по типовым шаблонам. В связи с этим, чтобы обезопасить себя от воздействия социальной инженерии, можно понять, с помощью каких основных техник и видов она работает. На данный момент можно выделить шесть основных приемов атак социальных инженеров:
* Фишинг
* Претескинг
* Троянский конь
* «Дорожное яблоко»
* Услуга за услугу (кви про кво)
* Обратная социальная инженерия
1.6.1 ФИШИНГ
Это один из самых распространенных техник интернет-мошенничества. Фишинг прежде всего направлен на получение конфиденциальной информации пользователей (логины и пароли, данные о банковских счетах и т.д.). Основным видом фишинговой атаки является поддельное письмо, отправленное злоумышленником по электронной почте пользователю системы, которое выглядит как официальное письмо от какой-либо платежной системы либо банка, требующее свершения конкретных действий (ввод данных банковской карты, логинов, паролей, пин-кодов и т.п). Причиной доверия пользователя системы злоумышленникуслужит определенная информация, написанная в письме. Это может быть:
* Информация о блокировке банковского счета.
* Информация о поломке в какой-либо системе.
* Сведения об утечке данных и др.
* «Официальные звонки» банковских и других IVR систем.

Рисунок 1. Пример фишинг-письма
Часто бывает, что любая утечка персональных данных не обходится без волны фишинговых атак. В большинстве случаев объектом нападения для злоумышленников данной техники являются клиенты банков и электронных платежных систем. [15]
1.6.2 ПРЕТЕСКИНГ
Претескинг – это атака с определенным набором действий, отработанных по заранее составленному сценарию, направленная на получение конфиденциальной информации. Данный вид мошенничества подразумевает специальную подготовку (например, имя, дата рождения, ИНН, должность и т.д.) перед атакой, для того чтобы не вызвать подозрений у жертвы. И, как только злоумышленник входит в доверие, он получает необходимую ему информацию. Чаще всего претескинг осуществляется через телефон либо электронную почту. Как правило, злоумышленник, представляясь третьим лицом, просит носителю информации сообщить ему пароль и авторизоваться на фишинговой веб-странице с целью предоставить нарушителю необходимые ему данные. В большинстве случаев данная техника не может обойтись без каких-либо первоначальных данных о жертве. После того, как доверительная связь между социальным инженером и объектом наладиться, злоумышленник получает необходимые ему сведения.[15]
1.6.3 ТРОЯНСКИЙ КОНЬ
Данная техника, используемая социальными инженерами, чаще всего рассчитана на любопытство, алчность и другие эмоции человека. Для реализации техники «Троянский конь» злоумышленник отправляет на e-mail жертвы какое-либо заманчивое предложение, новое обновление антивируса, либо же компромат на друга/коллегу/начальника. После этого ничего неподозревающий объект воздействия открывает письмо и переходит по ссылке внутри письма на сторонний веб-ресурс, с которого происходит скачивание вредоносного программного обеспечения, что в свою очередь позволяет злоумышленнику получить доступ к конфиденциальной информации.
Прежде всего техника «Троянский конь» эффективна, если злоумышленник правильно и качественно составил письмо, которое нацелено на человеческие слабости. Это сообщение можетсодержать следующее:
* Информация, направленная на то, чтобы вызвать жалость и милосердие у жертвы
* Информация, вызывающая желание просмотра «интересного» контента
* Продукт, который очень тяжело достать
* План, программа быстрого обогащения, похудения и т.д.
* Супер-идеи для успешного ведения бизнеса
Рассылка троянских программ осуществляется путем распространения их на открытых интернет ресурсах, носителях информации или с помощью сервисов мгновенного обмена сообщениями. 

Рисунок 2. Пример работы троянского коня
С техники «Троянский конь» чаще всего программы проектируются с целью нанесения вреда тому или иному компьютеру. На сегодняшний день можно привести классификацию, основанную на том, как троянские программы внедряются в систему, и она состоит из пяти элементов:
1. Удаленный доступ
2. Уничтожение данных
3. Загрузчик
4. Сервер
5. Дезактивация программ безопасности
Целью троянской программы является:
* Скачивание вредоносных файлов.
* Копирование ложных ссылок, ведущих на поддельные сайты.
* Создание помех в работе пользователя системы.
* Несанкционированный доступ к файлам с целью их дальнейшего копирования, модификации или же вообще удаления.
* Шпионство за пользователем системы и тайное сообщение третьим лицам каких-либо сведений.
* Регистрация нажатий клавиш с целью кражи информации такого рода как пароли и номера кредитных карточек и т.д.[15]
1.6.4 «ДОРОЖНОЕ ЯБЛОКО».
Метод «Дорожное яблоко» сильно схож с принципом работы техники «Троянский конь». Отличие одного от другого состоит лишь в том, что «Дорожное яблоко» подразумевает обязательное использование физических носителей информации. Схема работы данного метода достаточно проста: социальный инженер подбрасывает загрузочные диск или флеш-карту, на которых предварительно записан файл с вредоносным кодом, в общедоступные места (лифт, туалет, парковка и т.д.), либо можно оставить этот «фрукт» там, где объект воздействия сам увидит и возьмет его. Сам носитель подделывается под официальный и сопровождается подписью, рассчитанной вызвать любопытство у жертвы (например, «заработная плата сотрудников компании», «планы компании на 2 квартал» и т.п.). Сотрудник по незнанию берет этот электронный носитель и вставляет его в компьютер, дабы удовлетворить собственное любопытство, после чего происходит активное заражение компьютера.[15]
1.6.5 УСЛУГА ЗА УСЛУГА (КВИ ПРО КВО)
Данный метод подразумевает несанкционированный доступ к информации, распространение вредоносного программного обеспечения на компьютеры авторизированных сотрудников через корпоративную телефонную связь или по электронной почте. Чаще всего, злоумышленник представляется специалистом из технической поддержки, который опрашивает сотрудников компании на наличие каких-либо сбоев с компьютером или других технических проблем, и предлагает помощь в решении возникших затруднений. Как только пользователь системы дает согласие на помощь, социальный инженер получает доступ к системе и ко всем данным, хранящимся в ней, а также внедрять вредоносное программное обеспечение.[15]
1.6.6 ОБРАТНАЯ СОЦИАЛЬНАЯ ИНЖЕНЕРИЯ
Данный способ несанкционированного съема информации подразумевает создание злоумышленником такой ситуации, при которой жертва сама без каких-либо препятствий готова сообщить необходимую социальному инженеру информацию. Например, правонарушитель высылает письмо с контактными данными «службы поддержки» и через определенное количество времени создает некие неполадки в работе компьютера жертвы. В данной ситуации пользователь позвонит злоумышленнику, о котором даже не будет подозревать, и попросит решить возникшую проблему. Путем манипуляций социального инженера, пользователь системы сообщает ему всю необходимую информацию.[15]
Очевидно, все описываемые выше техники, используемые социальными инженерами, могут нанести огромный ущерб компании. Именно поэтому прежде чем разрабатывать сложную систему информационной безопасности, сначала нужно провести необходимые работы с самими людьми, владеющими секретной информацией для предотвращения возможных атак социальных инженеров.
Подробное описание мер по противодействию атак социальных инженеров будет рассмотрено в качестве примера компании ООО «СиТек» в следующих главах данной выпускной квалификационной работы.

ГЛАВА2. АНАЛИЗ КОМПАНИИ ООО «СИТЕК»
2.1 ОБЩЕЕ ОПИСАНИЕ КОМПАНИИ ООО «СИТЕК»
Исследование данной темы проводилось на примере компании – ООО «СиТек».
КомпанияСиТек— российский разработчик и поставщик cовременного высокопроизводительного оборудования для построения корпоративных систем связи, центров обработки данных и облачных вычислений, а также средств защиты информации для предприятий и организаций. Компания основана в 2011 году в Москве.
Производственная база СиТексформирована по контрактной модели на территории Российской Федерации с учетом критериев и требований законодательства РФ.
Ассортимент оборудования СиТеквключает в себя устройства для построения беспроводной и проводной сетевой инфраструктуры, а также высокопроизводительные серверы и системы хранения данных. Оборудование СиТекразработано с учетом требований ФСТЭК России по уровням контроля отсутствия недекларированных возможностей и может применяться, в том числе, при реализации программ импортозамещения.
В число ключевых разработок СиТеквходит также линейка продуктов «Тринити», сертифицированных в системе ФСТЭК России и ФСБ России. Решения на платформе «Тринити» позволяют создавать безопасную доверенную среду в масштабах предприятия.
Продукция СиТекиспользуется ведущими российскими компаниями в области системной интеграции при реализации комплексных проектов в государственном, финансовом, промышленном и телекоммуникационном секторах, а также в других отраслях российской экономики с высокими требованиями по безопасности ИТ-систем.
Основным видом деятельности компании ООО «СиТек» является деятельность по обработке данных, предоставление услуг по размещению информации и связанная с этим деятельность.
В анализируемой компании работает – 523 человека.
ООО «СиТек» сотрудничает с многими крупными компаниями, такими как:
* INLINE Technologies
* AT Consulting
* Крок
* ЛАНИТ
* Стратегия информационной безопасности
* Техносерв
* Т-Платформы
* Huawei
* НПП «Гамма»
* КРИПТО-ПРО
* ИнфоКрипт
* Актив
2.2 СЛУЖБА БЕЗОПАСНОСТИ
В компании ООО «СиТек» имеется штатная служба безопасности, которая является самостоятельной организационной единицей и состоит из следующих отделов:
* Охранный сектор.
* Сектор специалистов, занимающиеся обработкой, передачей и хранением секретной информации и документов с грифом «Коммерческая тайна».
* Инженерно-технический сектор.
* Сектор контрразведывательной и информационно-аналитической деятельности.
Каждый отдел службы безопасности насчитывает от двух до 5 штатных сотрудников и имеет свои определенные задачи в соответствии с политиками безопасности компании.
Задачи, решаемые охранным сектором:
* Охрана помещений.
* Охрана оборудования и имущества.
* Допуск в компанию только с помощью предварительной идентификации человека.
* Охрана проводимых компанией мероприятий.
.......................