20
Цифровые технологии в системе уголовно-правовых отношений
Д. Д. Берсей,
кандидат юридических наук, доцент,
Северо-Кавказский федеральный университет
СОЦИАЛЬНАЯ ИНЖЕНЕРИЯ: ОБЗОР СОВРЕМЕННЫХ ЗАРУБЕЖНЫХ
НАУЧНЫХ ИССЛЕДОВАНИЙ
Аннотация.
В статье проведен обзор зарубежных исследований в области
социальной инженерии. В обзоре представлены современные данные зарубежных
научных исследований о сущности социальной инженерии и вопросов противодей-
ствия ей. Проанализированы публикации авторов, в работах которых рассмотрены
различные проблемы в рамках темы исследования, а также проанализированы пу-
бликации, в которых разбираются различные проблемы в рамках исследуемой темы.
В статье проанализирована эволюция развития подходов к изучению социальной
инженерии.
Ключевые слова
: социальная инженерия, кибербезопасность, кибератака,
конфиденциальная информация, информация, контрмеры, персональные данные,
прайминг
SOCIAL ENGINEERING: A REVIEW OF MODERN FOREIGN
SCIENTIFIC RESEARCH
Abstract.
The article provides a review of foreign research in the framework
of social engineering. The review presents up-to-date data from foreign scientific research
on social engineering and issues of countering it. The publications of authors whose works
considered various problems within the framework of the research topic were analyzed,
as well as the publications of authors whose works considered various problems within
the framework of the research topic were analyzed. The article analyzes the evolution of
the development of approaches to the study of social engineering.
Keywords
: Social engineering, Cybersecurity, Cyberattack, Confidential information,
Information, Countermeasures, Personal data, Priming
Введение.
При написании данной статьи был выявлен и проанализирован
достаточно широкий спектр проблем: это и эволюция подходов к социальной
инженерии в рамках кибербезопасности, шаблоны и сценарии атак социальной
инженерии, проблемы развития контрмер против атак социальной инженерии,
расширенные атаки социальной инженерии, особенности вредоносного про-
граммного обеспечения для социальной инженерии. Также в исследуемых ра-
ботах сравниваются алгоритмы атак и защиты для онлайн социальных сетей,
изучаются особенности работы хакеров в рамках социальной инженерии, рас-
сматривают направления снижения рисков и ущерба от действий социальной
инженерии с учетом человеческого фактора, а также выявляют необходимость
этики в исследованиях социальной инженерии. Соответственно, широта взглядов
зарубежных исследователей позволяет заключить, что рассматриваемая в статье
проблема противодействия социальной инженерии имеет высокую актуальность,
теоретическую и практическую значимость.
21
Цифровые технологии в системе уголовно-правовых отношений
Этот метод применяется с целью выполнения финансовых операций, изло-
ма, кражи данных, например, клиентских баз, персональных данных и другой
несанкционированного доступа к информации. Социальная инженерия помогает
конкурентам осуществлять разведку, выявлять слабые стороны организации, пе-
реманивать сотрудников.
Вопросы социального инжиниринга в отечественных научных кругах появился
во времена резкого увеличения доступности информационных ресурсов, телеком-
муникационных сетей и терминалов пользователей.
Принципы воздействия на человека с помощью методов социальной инжене-
рии приведены в работах [1]. Общие вопросы утечки данных рассмотрены в [2, 3],
непосредственно социального инжиниринга – в работах [4, 5]. Проблема предо-
ставления доступа к служебной информации рассмотрена в [6].
Социальная инженерия представляет собой область знаний, к которой, в связи
с развитием цифровых технологий, обращаются в последнее время как отечествен-
ные, так и зарубежные специалисты. При этом объектом изучения исследователей
становятся различные аспекты указанной категории – от технических и технологи-
ческих до социологических, психологических и правовых. В этой связи интересным
представляется анализ публикаций зарубежных авторов в рамках заявленной темы
исследования.
Joseph M. Hatfield рассматривает особенности эволюции подходов к социаль-
ной инженерии в рамках кибербезопасности. В работе автора предлагается история
концепции социальной инженерии в кибербезопасности и утверждается, что, хотя
первоначально данный термин был предметом изучения политологии и только поз-
же получил распространение в области кибербезопасности, он представляет собой
приложение одних и тех же фундаментальных идей: эпистемической асимметрии,
технократического доминирования и телеологической замены. Далее в статье
утверждается, что использование этого термина в обеих областях остается концеп-
туально и семантически взаимосвязанным. Более того, незнание этой взаимосвязи
продолжает ограничивать нашу способность выявлять и отражать атаки социальной
инженерии в киберпространстве.
Автор рассматривает историю развития термина с предпосылок, возникших
в XIX в. в трудах экономистов Джона Грея и Торстейна Веблена. Анализ научных
статей показывает, что эта концепция получала распространение на протяжении всего
периода с начала до середины XX в. в рамках социальных наук и за их пределами.
Затем в статье прослеживается трансформация концепции в кибербезопасность на
протяжении 1960–1980-х гг., для чего исследуются как научные публикации, так
и мемуарные отчеты, включая интервью с активными участниками хакерского сооб-
щества того времени. Наконец, исследователь раскрывает концептуальный массив
современных коннотаций через анализ 134 определений этого термина, найденных
в академических статьях, написанных о кибербезопасности с 1990 по 2017 г. [1].
Исследователи Francois Mouton, Louise Leenen, H. S. Venter исследуют примеры,
шаблоны и сценарии атак социальной инженерии. Авторы приходят к выводу, что
информационная безопасность – это быстро развивающаяся дисциплина. Несмотря
на то, что эффективность мер безопасности по защите конфиденциальной информа-
22
Цифровые технологии в системе уголовно-правовых отношений
ции растет, люди по-прежнему подвержены манипуляциям, и поэтому человеческий
элемент остается слабым звеном.
Атака социальной инженерии нацелена на эту слабость, и специалисты в этой
области используют различные методы манипулирования для получения конфи-
денциальной информации. Область социальной инженерии все еще находится на
ранних стадиях своего развития в том, что касается формальных определений,
рамок атак и шаблонов атак.
В рассматриваемой статье предлагаются детальные шаблоны атак социальной
инженерии, полученные на основе реальных примеров социальной инженерии.
Современные документированные примеры атак социальной инженерии не вклю-
чают все этапы и фазы атаки. Предлагаемые шаблоны атак социальной инженерии
призваны облегчить проблему ограниченной информации по атакам социальной
инженерии путем сопоставления реальных примеров с рамками атак социальной
инженерии.
Сопоставление нескольких подобных примеров из реального мира с моде-
лью атаки социальной инженерии позволяет установить детальный поток атаки,
абстрагируясь от субъектов и объектов. Это сопоставление затем используется для
предложения обобщенных шаблонов атак социальной инженерии, которые явля-
ются репрезентативными для реальных примеров, но все же достаточно общими,
чтобы охватить несколько различных реальных примеров. Предлагаемые шаблоны
атак социальной инженерии охватывают все три типа коммуникации, а именно
двунаправленную коммуникацию, однонаправленную коммуникацию и косвенную
коммуникацию.
Авторы считают, что для проведения сравнительных исследований различных
моделей социальной инженерии, процессов и структур необходимо иметь форма-
лизованный набор сценариев атаки социальной инженерии, которые полностью
детализированы на каждом этапе и этапе процесса. Шаблоны атак социальной
инженерии преобразуются в сценарии атак путем заполнения шаблона как субъек-
тами, так и объектами из реальных примеров, сохраняя при этом детальный поток
атаки, как это предусмотрено в шаблоне.
Кроме того, эта статья иллюстрирует, как сценарии атаки социальной инжене-
рии применяются для проверки модели обнаружения атаки социальной инженерии.
Указанные шаблоны и сценарии могут быть использованы другими исследователями
для расширения, использования для сравнительных показателей, создания допол-
нительных примеров или оценки моделей для полноты. Кроме того, предлагаемые
шаблоны атак в области социальной инженерии также могут быть использованы
для разработки информационных материалов в области социальной инженерии.
Richard Power, Dario Forte рассматривают проблему низких темпов развития
контрмер против атак социальной инженерии. Они указывают, что социальная ин-
женерия звучит как материал шпионских фильмов, но это очень реальная жизнь,
как показывают некоторые недавние громкие дела. Социальная инженерия работает
очень эффективно, представляя собой мощную психологическую технику.
Скандал с HP, в котором участвовали следователи, выдающие себя за членов
совета директоров, сотрудников и журналистов, чтобы получить телефонные за-
23
Цифровые технологии в системе уголовно-правовых отношений
писи, показывает, насколько далеко пойдут решительные социальные инженеры.
Однако некоторые сотрудники HP зашли совсем далеко, и директорам пришлось
подать заявление в Комиссию по ценным бумагам и биржам США (SEC), признав
нарушения компании.
Социальная инженерия – это угроза, которая изощренно эволюционировала
в последнее десятилетие, однако развитие контрмер в данной области значительно
отстает. Единственная реальная контрмера заключается в необходимости повыше-
ния осведомленности персонала в вопросах безопасности.
Существует два типа социальной инженерии: технологический и человеческий
обман. Социальные инженеры часто заявляют, что они настоящие сотрудники,
и просят прислать им по электронной почте конфиденциальную информацию по
действительному адресу, а также внешнему. Все сотрудники, особенно те, кто об-
ладает конфиденциальной информацией, включая руководителей, персонал отдела
кадров и личных администраторов, должны знать, как распознать мошенника за
милю. А сотрудников нужно научить сохранять спокойствие и не раскрывать свои
подозрения мошеннику. Эксперты по безопасности Ричард Пауэр и Дарио Форте
анализируют тактику специалистов по социальной инженерии, которую персонал
должен остерегаться.
Социальная инженерия, практика обмана людей в обмен на конфиденциальную
информацию, представляет собой угрозу кибербезопасности, которая развивалась
в совершенстве и расширялась в масштабах на протяжении десятилетия. К сожа-
лению, в большинстве организаций контрмеры против социальной инженерии не
получают должного развития [2].
В статье «Возможности автоматического анализа поверхностных атак сетевой
социальной инженерии» авторы указывают, что процесс социальной инженерии
нацелен на людей, а не на ИТ-инфраструктуру. Злоумышленники используют об-
манные уловки для создания убедительных поведенческих «крючков», которые,
в свою очередь, преследуют цель получить от оппонента конфиденциальную ин-
формацию или заставить его взаимодействовать с вредоносным ПО. Создание таких
«крючков» базируется на личной информации, которую люди публикуют о себе
в интернете, особенно в социальных сетях. Несмотря на то, что существующие
исследования отмечают сложности подобной методики социальной инженерии,
связанные с получением данных из открытых источников, последняя активно
применяет с этой целью ресурсоемкий ручной анализ или интерактивные методы
сбора информации. Однако ручной анализ большого объема информации не всегда
продуктивен, а интерактивные методы могут вызвать ряд вопросов у исследуемого
субъекта. По этой причине специалисты социальной инженерии постоянно нахо-
дятся в поиске альтернатив [3].
Авторы в своем исследовании демонстрируют, что ключевая информация, от-
носящаяся к атакам социальной инженерии на организации, может быть пассивно
собрана в крупном масштабе в автоматическом режиме. В центре работы нахо-
дятся две ключевые проблемы. С одной стороны, исследователи демонстрируют,
как можно автоматически идентифицировать сотрудников организации, используя
только ту информацию, которая находится в свободном доступе. С другой стороны,
24
Цифровые технологии в системе уголовно-правовых отношений
в статье рассмотрено, каким образом после идентификации профили сотрудников
могут быть связаны между несколькими онлайновыми социальными сетями для
сбора дополнительной информации, относящейся к успешным атакам социаль-
ной инженерии. После исследователи демонстрируют авторский подход в рамках
организации атаки методами социальной инженерии реальных ключевых инфра-
структурных организаций. В результате проведенного анализа в статье предложен
набор контрмер, включая автоматизированный сканер уязвимостей социальной
инженерии, который организации могут использовать для анализа своей подвер-
женности потенциальным атакам социальной инженерии [4].
M. Junger, L. Montoya, F.-J. Overink считают, что предупреждения не эффек-
тивны для предотвращения атак социальной инженерии [5]. Они отмечают, что
люди склонны доверять друг другу и легко раскрывать личную информацию. Это
делает их уязвимыми для атак социальной инженерии. В работе была изучена эф-
фективность двух мероприятий, направленных на защиту пользователей от атак
социальной инженерии, а именно прайминг с помощью сигналов для повышения
осведомленности об опасностях кибератак социальной инженерии и предупреждение
о раскрытии личной информации. Была изучена выборка посетителей торгового
района среднего города в Нидерландах. Раскрытие информации измерялось путем
запроса у испытуемых их адреса электронной почты, 9 цифр из их 18-значного
номера банковского счета, а также те, кто ранее делал покупки в интернете, опра-
шивались на предмет того, что они приобрели и в каком интернет-магазине. Были
обнаружены относительно высокие показатели раскрытия информации: 79,1 % ис-
пытуемых заполнили свой электронный адрес, а 43,5 % предоставили информацию
о банковских счетах. Среди интернет-покупателей 89,8 % испытуемых указали тип
продукта(ов), который они приобрели, и 91,4 % указали название интернет-магазина,
в котором они сделали эти покупки. Многомерный анализ показал, что ни прайминг
вопросов, ни предупреждение не влияют на степень раскрытия информации. Были
обнаружены признаки неблагоприятного воздействия предупреждения. Последствия
сделанных выводов, как считают авторы, могут быть самыми неблагоприятными
для опрошенных [5].
Ryan Heartfield, George Loukas исследуют проблему обнаружения атак се-
мантической социальной инженерии с помощью самого слабого звена. В качестве
которого выступает человек. Представление о том, что человек-пользователь явля-
ется самым слабым звеном в информационной безопасности, подвергалось критике
в последние годы. Авторы показывают, что человек-пользователь действительно
может быть самым сильным звеном для обнаружения атак, связанных с обманом,
таких как маскировка приложений, Wi-Fi evil twin и другие виды семантической
социальной инженерии. В этом направлении мы разработали фреймворк human-
as-a-security-sensor, получивший практическую реализацию в виде Cogni-Sense,
прототипа приложения Microsoft Windows, предназначенного для того, чтобы позво-
лить и поощрять пользователей активно обнаруживать и сообщать о семантических
атаках социальной инженерии против них.
Экспериментальная оценка с участием 26 пользователей различных профилей,
использующих Cogni-Sense на своих персональных компьютерах в течение 45 дней,
25
Цифровые технологии в системе уголовно-правовых отношений
показала, что человеческие сенсоры могут стабильно превосходить технические
системы безопасности. Используя подход, основанный на машинном обучении, мы
также показываем, что надежность каждого отчета и, следовательно, производи-
тельность каждого человеческого датчика могут быть предсказаны осмысленным
и практическим образом. В организации, использующей реализацию датчика без-
опасности человека, например Cogni-Sense, считается, что атака была обнаружена,
если хотя бы один пользователь сообщил об этом.
По оценкам авторов, небольшая организация, состоящая только из 26 участников
эксперимента, продемонстрировала бы коэффициент пропущенного обнаружения
ниже 10 %, по сравнению с 81 %, если бы использовались только технические
системы безопасности. Полученные результаты убедительно указывают на необ-
ходимость активного вовлечения пользователя не только в профилактику с помо-
щью кибергигиены и ориентированного на пользователя дизайна безопасности, но
и в активное обнаружение киберугроз и отчетность о них [6].
Katharina Krombholz, Heidelinde Hobel, Markus Huber, Edgar Weippl исследуют
в своей работе расширенные атаки социальной инженерии. Они считают, что соци-
альная инженерия превратилась в серьезную угрозу для виртуальных сообществ
и является эффективным средством атаки на информационные системы. Услуги,
используемые сегодняшними работниками умственного труда, подготавливают почву
для сложных атак социальной инженерии. Растущая тенденция к политике BYOD
(bring your own device) и использовании инструментов онлайн-коммуникации и со-
вместной работе в частной и деловой среде усугубляют эту проблему. В глобально
действующих компаниях команды расположены отдаленно друг от друга, и сни-
жение личного взаимодействия сочетается с большим количеством инструментов,
используемых для общения (электронная почта, IM, Skype, Dropbox, LinkedIn, Lync
и др.), что формирует благоприятную почву для создания новых векторов атаки для
атак социальной инженерии. Недавние атаки на такие компании, как The New York
Times и RSA, показали, что целенаправленные атаки на копье-фишинг являются
эффективным эволюционным шагом в данной области. Они становятся опасным
оружием, которое часто используется продвинутыми специалистами в области со-
циальной инженерии. Авторы приводят в своем исследовании таксономию хорошо
известных атак социальной инженерии, а также всесторонний обзор передовых
атак социальной инженерии на работника умственного труда [7].
Sherly Abraham, InduShobha Chengalur-Smith проводят обзор вредоносного ПО
для социальной инженерии, анализируя его тенденции, тактику и последствия [8].
Они считают, что социальная инженерия продолжает оставаться растущим вектором
атаки для распространения вредоносных программ. Для этой статьи авторы собрали
данные об инцидентах с вредоносными программами и выделили распространен-
ность и долговечность вредоносных программ социальной инженерии.
Также исследователи разработали структуру, которая показывает шаги, которые
выполняет вредоносная программа социальной инженерии, чтобы быть успешным.
Чтобы объяснить его распространенность и постоянство, в статье представлены
некоторые общие пути, по которым происходят такие атаки. Вектор атаки представ-
ляет собой комбинацию психологических и технических уловок, которая включает
26
Цифровые технологии в системе уголовно-правовых отношений
в себя заманивание пользователя компьютера для выполнения вредоносного ПО
и борьбу с любыми существующими техническими контрмерами.
В работе также рассмотрены некоторые распространенные психологические
уловки и технические контрмеры, используемые вредоносными программами
социальной инженерии. Исследовано направление развития методов, используе-
мых поставщиками таких вредоносных программ, чтобы обойти существующие
контрмеры.
Результаты анализа позволяют нам подчеркнуть как важность планирова-
ния организациями комплексной программы информационной безопасности, так
и общую социальную ответственность, необходимую для борьбы с вредоносными
программами социальной инженерии [8].
Поведение человека включает культуру, потребности и стремления как от-
дельных людей, так и групп. В отношении ИТ существует множество сообществ
или групп людей, каждое из которых имеет собственные потребности, стремления
и поведение. Например, для людей, использующих информационные системы, ха-
рактерны потребности, связанные с удобством пользования и эргономикой, а также
с доступностью и производительностью. Люди, чьи должностные обязанности
изменяются из-за использования ИТ, могут обладать потребностями, связанными
с коммуникацией, обучением и ободрением. У людей, участвующих в создании
и эксплуатации ИТ-ресурсов, могут быть потребности, связанные с условиями
работы и развитием компетенций.
Majd Latah проводит исследование в области обнаружения вредоносных со-
циальных ботов [8]. Он считает, что социальные боты представляют собой новое
поколение ботов, которые используют онлайновые социальные сети (OSNs) в ка-
честве каналов командования и управления (C&C).
Вредоносные социальные боты использовались в качестве инструментов для
запуска крупномасштабных спам-кампаний, продвижения акций с низкой капи-
тализацией, манипулирования цифровым влиянием пользователей и проведения
политического астротурфинга. Последние исследования в этой области либо со-
средоточены только на общих проблемах безопасности, связанных с социальными
сетями, либо на грубой классификации для поддержки подходов к обнаружению.
Опрос, проведенный в статье, призван обеспечить всесторонний анализ с точки
зрения социальных сетей. С этой целью автор сначала классифицирует атаки со-
циальных ботов на разных стадиях, а затем предоставляет обзор различных типов
социальных ботов.
Далее автор предлагает уточненную таксономию, которая показывает, как
различные методы в рамках категории связаны или отличаются друг от друга,
а затем подробно обсуждаются сильные и слабые стороны каждого метода. После
этого рассматриваются существующие наборы данных и обобщаются результаты
эмпирических исследований, на основе чего выделяются ограничения существую-
щих подходов к обнаружению и предлагаются будущие направления дальнейшего
совершенствования. Автор считает, что его исследование должно помочь админи-
страторам OSN и исследователям понять разрушительный потенциал вредоносных
социальных ботов и улучшить текущие защитные стратегии [9].
27
Цифровые технологии в системе уголовно-правовых отношений
Mingzhen Mo, Irwin King, Kwong-Sak Leung проводят эмпирические сравнения
алгоритмов атак и защиты для он-лайн социальных сетей. Онлайн-социальные сети,
такие как Facebook, являются популярными сайтами социальных сетей, на кото-
рых сотни миллионов пользователей заводят друзей и взаимодействуют с людьми.
Существует большое количество личной информации на этих сетевых сайтах, и их
безопасность скорее беспокоит как пользователей, так и исследователей, потому
что ценная частная информация принесет большую прибыль некоторым людям
или группам.
В реальном мире прибыль мотивирует людей и группы получать личные дан-
ные незаконно, и многие атаки запускаются в социальных сетях. При столкновении
с различными атаками исследователи предлагают различные защитные стратегии,
направленные на снижение негативного эффекта атак. Однако практическая эффек-
тивность защит неизвестна, когда они борются с реальными атаками. Кроме того,
мы также мало понимаем, насколько сильными будут атаки, когда они сталкиваются
с защитой. Поэтому в данной статье предлагается схема сравнения Attack-Protect-
Attack (APA) для изучения производительности и смещения различных алгоритмов
атаки и защитных стратегий для онлайновых социальных сетей. Таким образом,
результаты сравнения являются ценными и значимыми для дальнейшей защиты
частной информации.
Авторы предлагают применить несколько атакующих и защитных подходов
к реальному набору данных из Facebook, а затем оцениваем их по точности алгорит-
мов атаки. Следуя схеме сравнения, экспериментальным путем можно убедиться,
что эффективность защитных стратегий не является удовлетворительной в сложном
и практическом случае [10].
Brian Anderson, Barbara Anderson в своем исследовании «Социальная инженерия
и USB объединяются для жестокой атаки» исследуют совокупность знаний, широко
известных как социальная инженерия, представленную с точки зрения тестирования
на проникновение. Они изучают эволюционирующие области, приводят практиче-
ские примеры, строят портативную платформу проникновения и обсуждают, как
бороться с этими умными конфронтациями.
Авторы приходят к мысли, что хотя социальная инженерия и философия
проникновения существуют уже несколько тысячелетий, каждая из них постоянно
развивается и адаптируется к информационным технологиям.
Социальная инженерия вообще может рассматриваться как предмет более
широкого спектра социальных наук. В то время как определение социальных наук
обычно относится к крупномасштабным приложениям, концепция влияния на отно-
шения, популярные убеждения, поведение и ресурсы довольно хорошо переносится
в технологический сектор.
Благодаря своей портативности и простоте использования, неудивительно,
что флеш-накопители стали самым популярным носителем информации на сегод-
няшний день. Распространение этих накопителей можно в значительной степени
объяснить халявой продавцов, раздаваемой на занятиях, семинарах или любом
мероприятии, предоставляющем пробные версии продукта, маркетинг или доку-
ментацию. Эти устройства теперь можно найти в широком диапазоне декоративных
28
Цифровые технологии в системе уголовно-правовых отношений
или скрывающих обложек, которые включают в себя чернильные ручки, наручные
часы и всевозможные новинки. Несмотря на простой способ хранения информации,
флеш-накопитель повышает возможность развертывания тайных операций.
Абсолютная безопасность на самом деле никогда не может быть достигнута;
обеспечение безопасности – это непрерывный процесс, требующий постоянного
внимания и регулирования. Для поддержания эффективного положения в области
безопасности все элементы, связанные с окружающей средой, должны постепенно
укрепляться по мере поступления новых угроз и развития предприятий. Продолжать
использовать программное обеспечение в качестве единственного механизма за-
щиты нецелесообразно [11].
Особенности работы хакеров в рамках социальной инженерии рассмотрены
в работе Johnny Long, Scott Pinzon, Jack Wiles, Kevin D. Mitnick. Они отмечают, что
социальная инженерия – самое важное оружие в арсенале нетехнического хакера.
Нетехнический хакер – это в равной степени оппортунист, актер и мошенник.
Эксперты по безопасности сводят все это и многое другое в термине «социальный
инженер». Хакер экспериментирует с частью технологии, чтобы увидеть, может
ли он получить от нее полезные результаты, которые ее создатель никогда не пред-
полагал. Социальный инженер делает то же самое с человеческими отношениями.
Социальная инженерия не полагается на неисправное высокотехнологичное
оборудование, чтобы организовать атаку. Скорее всего, он использует искусную
атаку на психику противника. В большинстве случаев это можно сделать с помощью
буфера обмена и дешевой визитной карточки. Таким образом, помимо того, что это
легко, социальная инженерия может быть грязно-дешевой. Одна из лучших защит
против социальной инженерии – это осознанность. Каждый сотрудник должен
быть обучен тому, как легко можно использовать социальную инженерию, какую
большую угрозу она представляет, если ее не обнаружить, и некоторым простым
контрмерам [12].
Jack Wiles, Terry Gudaitis, Jennifer Jabbusch, Russ Rogers, Sean Lowther исследу-
ют различные темы социальной инженерии, от понимания умов хакеров и жертв до
методов защиты личной, бытовой и деловой информации от кражи и уничтожения.
Социальная инженерия стала самым ценным и эффективным инструментом
низкотехнологичных хакеров, которые продолжают использовать искусство аферы,
чтобы получить доступ к интеллектуальной собственности и, если это необходимо,
к зданиям, в которых находится эта собственность. Авторы приводят несколько при-
меров, иллюстрирующих, как социальные инженерные атаки происходят в домах
и на предприятиях, а также возможные меры по их предотвращению.
Сегодня каждая область, связанная с безопасностью, включает в себя управление
рисками, связанными с сохранением безопасности и защищенности. Большинство
инструментов социальной инженерии приходят из дворовых распродаж, благотвори-
тельных магазинов, блошиных рынков, ломбардов и интернета. Это касается шляп,
пиджаков с фирменными логотипами, ремней для инструментов, инструментов,
подслушивающих устройств, портфелей, шпионских программ и замков, которые
могут быть достаточно эффективно использованы для социальной инженерии.
Общая скрытность угроз, связанных с социальной инженерией, позволяет
социальным инженерам очень легко застать кого-либо врасплох. В этой главе
29
Цифровые технологии в системе уголовно-правовых отношений
также описывается ряд полезных контрмер по управлению рисками в отношении
социальной инженерии [13].
Tayouri D. рассматривает направления снижения рисков и ущерба от действий
социальной инженерии с учетом человеческого фактора.
Люди – это социальные существа, и цифровая эра не изменила этого, но она
изменила способ нашего общения. Используя социальные сети, пользователи имеют
мгновенный доступ к миллионам людей, расширяя свое взаимодействие с ними.
Но у социальных сетей есть риски для безопасности. Они также используются
преступниками для мошенничества, сбора бизнес-аналитики, кражи конфиденци-
альной информации и т. д.
В своей работе автор демонстрирует риски кибербезопасности и меры их
смягчения, уделяя особое внимание человеческому фактору и социальным сетям.
Формальной политики для руководства тем, как сотрудники могут использовать
сайты социальных сетей, недостаточно, и необходимы дополнительные условия:
образование, начиная с начальной школы, интерактивное и адаптируемое обучение
и инновационные технологические средства. Чтобы усилить человеческий фактор
необходимо приложить усилия в образовании, начиная уже с первого класса, в том
возрасте, когда дети подвергаются воздействию интернета.
Необходимо использовать необычные подходы к обучению кибербезопасности,
такие как интерактивные видеоигры. Но необходимо также приложить больше уси-
лий к технологическим средствам, помогающим людям совершать меньше ошибок
и избегать попадания в кибер-ловушки.
Настройки конфиденциальности могут ограничить доступ к информации
пользователя. Инструменты мониторинга сайтов социальных сетей могут помочь
организациям отслеживать вредоносные действия и угрозы в отношении них.
Технология может помочь проверить надежность человека, предлагающего дружбу.
Социальные сети также можно использовать для выявления инсайдерской
угрозы организации, анализируя контент социальных сетей. Сочетание образования
и обучения с лучшими в своем роде технологиями может снизить риски и ущерб
социальной инженерии [14].
Francois Mouton, Mercia M. Malan, Kai K. Kimppa, H. S. Venter исследуют
необходимость этики в исследованиях социальной инженерии. Они отмечают, что
социальная инженерия глубоко укоренилась как в области компьютерных наук, так
и в области социальной психологии. Знания требуются в обеих этих дисциплинах
для выполнения исследований, основанных на социальной инженерии.
При проведении исследований в области социальной инженерии необходимо
учитывать ряд этических соображений и требований, с тем чтобы не допустить
причинения вреда тем, кто участвует в таких исследованиях. Эти проблемы и тре-
бования еще не были формализованы, и большинство исследователей не знают об
этических проблемах, связанных с исследованиями в области социальной инженерии.
Исследователь выявляет ряд проблем, связанных с социальной инженерией
в области общественных коммуникаций, тестированием на проникновение и иссле-
дованиями в области социальной инженерии. В работе также обсуждаются выяв-
ленные проблемы в отношении трех различных нормативных этических подходов
30
Цифровые технологии в системе уголовно-правовых отношений
(этика добродетели, утилитаризм и деонтология) и приводятся соответствующие
им этические перспективы, а также практические примеры того, где эти форма-
лизованные этические проблемы для исследований социальной инженерии могут
быть полезны [15].
Waldo Rocha Flores, Mathias Ekstedt в своей статье рассматривают возможно-
сти противостояния социальной инженерии через трансформационное лидерство,
культуру информационной безопасности и осведомленность. В работе проведено
эмпирическое исследование того, как организационные и индивидуальные факто-
ры дополняют друг друга в формировании намерения сотрудников противостоять
социальной инженерии.
Исследование проводилось с использованием смешанных методов иссле-
дования, в ходе которых были собраны качественные данные как для создания
исследовательской модели исследования, так и для разработки инструмента об-
следования, который был распространен среди 4296 сотрудников организаций
из различных организаций, расположенных в Швеции. Результаты показали, что
отношение к сопротивлению социальной инженерии имеет самую сильную пря-
мую связь с намерением сопротивляться социальной инженерии, в то время как
самоэффективность, так и нормативные убеждения демонстрируют слабую связь
с намерением сопротивляться социальной инженерии.
Кроме того, авторами было отмечено, что трансформационное лидерство тес-
но связано как с воспринимаемой культурой информационной безопасности, так
и с осознанием информационной безопасности. Два медиативных теста продемон-
стрировали, что отношение и нормативные убеждения частично опосредуют влияние
культуры информационной безопасности на намерение сотрудников противостоять
социальной инженерии. Это говорит о том, что как отношение, так и нормативные
убеждения играют важную роль в регулировании отношений между культурой ин-
формационной безопасности и намерением противостоять социальной инженерии.
Третий опосредующий тест показал, что культура информационной безопас-
ности полностью объясняет влияние трансформационного лидерства на отношение
сотрудников к сопротивлению социальной инженерии. Также в работе приводится
обсуждение результатов и практических последствий проведенных исследований [16].
Таким образом, проведенное исследование позволяет сделать вывод о том, что
направления исследований зарубежных специалистов в рамках изучения различных
аспектов социальной инженерии представлены в достаточно широком спектре.
Авторы рассматривают такие проблемы, как особенности эволюции подходов
к социальной инженерии в рамках кибербезопасности, примеры, шаблоны и сце-
нарии атак социальной инженерии, низкие темпы развития контрмер против атак
социальной инженерии, расширенные атаки социальной инженерии, особенности
вредоносного ПО для социальной инженерии. Также авторы сравнивают алгорит-
мы атак и защиты для онлайн социальных сетей, исследуют совокупность знаний,
широко известных как социальная инженерия, представленную с точки зрения
тестирования на проникновение, изучают особенности работы хакеров в рамках
социальной инженерии, рассматривают направления снижения рисков и ущерба от
действий социальной инженерии с учетом человеческого фактора, а также выявляют
необходимость этики в исследованиях социальной инженерии.
31
Цифровые технологии в системе уголовно-правовых отношений
Если анализировать даты написания рассмотренных работ, можно увидеть,
что с основном они относятся к последнему десятилетию. Однако исследование,
посвященное контрмерам в социальной инженерии датировано 2006 годом, что
позволяет говорить об обращении к данной проблеме на заре развития социальной
инженерии и понимании специалистами всей остроты существующей проблемы
уже почти 15 лет назад.
Соответственно, можно заключить, что с каждым годом проблема социально-ин-
женерных атак и необходимости защиты от них обостряется, что предопределяет
обращению к ней специалистов различных областей: информационной безопасно-
сти и защиты информации, психологии и социологии, политологии и экономики,
информационного и административного права, уголовного права и криминологии.
Заключение.
Цель данной статьи состояла в объяснении определения социаль-
ной инженерии, основанное на связанных теориях многих смежных дисциплин,
таких как психология, социология, информационные технологии, маркетинг и бихе-
виоризм. Благодаря этой работе мы надеемся помочь исследователям, практикам,
юристам и другим лицам, принимающим решения, получить более полное пред-
ставление о социальной инженерии и, следовательно, открыть новые направления
сотрудничества для ее выявления и контроля.
Увеличение использования электронных средств связи (электронная почта, IM,
Skype и т. д.) В корпоративных средах созданы новые векторы атак для социальных
инженеров. Миллиарды людей в настоящее время используют электронное оборудо-
вание в своей повседневной работе, что означает миллиарды потенциальных жертв
атак социальной инженерии (SE). Человек считается самым слабым звеном в цепи
кибербезопасности, и нарушение этой защиты в настоящее время является наиболее
доступным путем для злонамеренных внутренних и внешних пользователей. Хотя
несколько методов защиты уже были предложены и применены, ни один из них не
фокусируется на атаках SE на основе чата, в то же время автоматизация на местах
все еще отсутствует. Социальная инженерия представляет собой сложное явление,
требующее междисциплинарных исследований, сочетающих технологии, психоло-
гию и лингвистику. Злоумышленники рассматривают черты человеческой личности
как уязвимые места и используют язык как свое оружие для обмана, убеждения
и, наконец, манипулирования жертвами, как они хотят, поведение человека (human
behavior): взаимодействие людей и других элементов системы.
Область информационной безопасности является динамично развивающейся
сферой. Даже несмотря на это эффективность мер безопасности для защиты конфи-
денциальной информации растет, люди остаются восприимчивыми к манипуляциям
и, таким образом, человеческий фактор остается слабым звеном. Социоинженерные
атаки используют в достижении своих цели эту слабость, используя различные
методы манипуляции, чтобы получить конфиденциальную информацию. Сфера
социальной инженерии все еще находится на ранних стадиях в отношении формаль-
ных определений, рамок атак и шаблонов атак. Предлагаются подробные шаблоны
социоинженерных атак, которые вытекают из реальных примеров социальной ин-
женерии. Современные документированные примеры социоинженерных атак не
включают в себя все этапы и фазы атаки.
32
Цифровые технологии в системе уголовно-правовых отношений
Предлагаемые шаблоны социальной инженерии атаки пытаются облегчить
проблему ограниченного документированной литературы по социотехники по-
средством отображения реальных примеров в рамках социальной инженерии
атаки. Картирование несколько подобных реальных примеров в рамках социаль-
ной инженерии атаки позволяет установить точный поток атаки в то время, как
абстрагируются субъекты и объекты. Это отображение затем используется, чтобы
предложить обобщенные шаблоны атак социальной инженерии, которые являются
репрезентативными реальных примеров, в то время еще достаточно общим, чтобы
охватить несколько различных реальных примеров. Предлагаемые шаблоны социаль-
ной инженерии атаки охватывают все три типа связи, а именно двунаправленной
связи, однонаправленной связи и косвенной связи. Для проведения сравнительных
исследований различных методов социальной инженерии моделей, процессов
и структур, необходимо иметь формализованный набор сценариев социальной
инженерии атаки, которые полностью описаны в каждой фазе и стадии процесса.
Шаблоны социальной инженерии атаки преобразуются в сценарии социальной
инженерии атаки путем заполнения шаблона с обоими субъектами и объектами из
реальных примеров в то время, как все еще сохраняя точный поток атаки, как это
предусмотрено в шаблоне. Кроме того, этот документ показывает, как сценарии
социальной инженерии атаки применяются для проверки модели обнаружения
атак социальной инженерии. Эти шаблоны и сценарии могут быть использованы
другими исследователями либо расширить, использовать для сравнительных мер,
создать дополнительные примеры или оценки моделей для полноты картины. Кроме
того, предлагаемые шаблоны социальной инженерии атаки, также могут быть ис-
пользованы для разработки социальной инженерии материалов осведомленности.
Список литературы
1. Joseph M. Hatfield Social engineering in cybersecurity: The evolution of a concept
// Computers & Security. 2018. Vol. 73. March. Pр. 102–113.
2. Richard W. Power, Dario V. Forte Social engineering: attacks have evolved, but
countermeasures have not // Computer Fraud & Security. 2006. Vol. 10. October. Pр. 17–20.
3. Francois Mouton, Louise Leenen, H. S. Venter Social engineering attack examples,
templates and scenarios // Computers & Security. 2016. Vol. 59. June. Pр. 186–209.
4. Matthew Edwards, Robert Larson, Benjamin Green, Awais Rashid, Alistair Baron.
Panning for gold: Automatically analysing online social engineering attack surfaces
// Computers & Security. 2018. Vol. 69. August. Pр. 18–34.
5. Junger M., Montoya L., Overink F. -J. Warnings are not effective for preventing social
engineering attacks // Computers in Human Behavior. 2018. Vol. 66. January. Pр. 75–87.
6. Ryan Heartfield, George Loukas Human-as-a-security-sensor for harvesting threat
intelligence // Computers & Security. 2018. Vol. 76. July. Pр. 101–127.
7. Katharina Krombholz, Heidelinde Hobel, Markus Huber, Edgar Weippl Advanced
social engineering attacks // Journal of Information Security and Applications. 2015. Vol.
22. June. Pр. 113–122.
8. Sherly Abraham, InduShobha Chengalur-Smith An overview of social engineering
malware: Trends, tactics, and implications // Technology in Society. 2010 Vol. 32. Iss. 3.
August. Pр. 183–196.
33
Цифровые технологии в системе уголовно-правовых отношений
9. Majd Latah Detection of malicious social bots: A survey and a refined taxonomy
// Expert Systems with Applications. 2020. Vol. 1511. August. Article 113383.
10. Mingzhen Mo, Irwin King, Kwong-Sak Leung Empirical Comparisons of Attack
and Protection Algorithms for Online Social Networks // Procedia Computer Science.
2011. Vol. 5. Pp. 705–712.
11. Brian Anderson, Barbara Anderson CHAPTER 7 – Social Engineering and USB
Come Together for a Brutal Attack / Seven Deadliest USB Attacks. 2010. Pp. 177–217.
12. Johnny Long, Scott Pinzon, Jack Wiles, Kevin D. Mitnick No Tech Hacking:
A Guide to Social Engineering, Dumpster Diving, and Shoulder Surfing // No Tech
Hacking. 2008. Pp. 101–119.
13. Jack Wiles, Terry Gudaitis, Jennifer Jabbusch, Russ Rogers, Sean Lowther Social
engineering: The ultimate low tech hacking threat / Low Tech Hacking. 2012. Pр. 1–29.
14 Joseph M. Hatfield The Human Factor in the Social Media Security – Combining
Education and Technology to Reduce Social Engineering Risks and Damages // Computers
& Security. 2019. Vol. 83. June. Pр. 354–366.
15. Francois Mouton, Mercia M. Malan, Kai K. Kimppa, H. S. Venter Necessity for
ethics in social engineering research // Computers & Security. 2019. Vol. 55. November.
Pр. 114–127.
16. Waldo Rocha Flores, Mathias Ekstedt Shaping intention to resist social
engineering through transformational leadership, information security culture and awareness
// Computers & Security. 2016. Vol. 59. June. Pр. 26–44.
17. Francois Mouton, Mercia M. Malan, Kai K. Kimppa, H. S. Venter Necessity for
ethics in social engineering research // Computers & Security. 2015. Vol. 55. November.
Pр. 114–127.
16. Mouton, F.a b, Leenen, L.a, Venter, H.S.b Social engineering attack examples,
templates and scenarios // Computers and Security. 2016. Vol. 59. Pp. 186–209.
И. И. Бикеев,
доктор юридических наук, профессор,
Казанский инновационный университет имени В. Г. Тимирясова
НЕКОТОРЫЕ ВОПРОСЫ ПРИМЕНЕНИЯ ЦИФРОВЫХ ТЕХНОЛОГИЙ
В ПРОТИВОДЕЙСТВИИ КОРРУПЦИИ
Аннотация.
Целью исследования является изучение современного опыта
использования цифровых технологий в противодействии коррупции в Российской
Федерации и внесение на этой основе предложений по совершенствованию
данного вида деятельности. Анализируется значение цифровых технологий для
разных направлений противодействия коррупции. Рассмотрен опыт как субъектов
Российской Федерации (на примере Республики Татарстан), так и федеральных
органов власти.
Ключевые слова
: цифровые технологии, противодействие коррупции, госу-
дарственная информационная система, «Народный контроль», «Посейдон», закупки
для государственных и муниципальных нужд, конфликт интересов
