Юридические статьи

Евразийский юридический журнал

Пример HTML-страницы

Фишинг и иные методы социальной инженерии как инструмент мошенничества в сети

Вопросы обеспечения кибербезопасности для сокраще­ния числа мошенничества в сети становятся все более актуаль­ны, и на данный момент затрагивают те сферы общественной жизни, которые подлежат цифровизации.

Традиционные финансовые инструменты, активы и возникающие в связи с ними отношения переносятся в цифровую среду [1, с. 10], [11]. Компьютерные технологии стремительно развиваются, предоставляя возможность киберпреступникам изыскивать все новые методы для кражи конфиденциальных данных и получения доступа к финансовым средствам физических лиц.

Социальная инженерия с разнообразием ее методов из­вестна еще с Древнего Рима, когда с помощью ораторского искусства велись дипломатические переговоры, решались политические и внутригосударственные задачи. В то время социальная инженерия была направлена, как правило, на благо граждан. Однако, в настоящее время, социальная ин­женерия ассоциируется с теми психологическими приема­ми, которые позволяют мошенникам получить конфиденци­альную или иную закрытую информацию.

Под конфиденциальной информацией автором предла­гается понимать информацию, права на которую есть лишь у ограниченного круга лиц. Можно говорить о том, что это определенное свойство информации. Законодатель в насто­ящий момент не дает определение понятия «конфиденци­альная информация». Оно содержалось в утратившем силу Федеральном законе от 20 февраля 1995 года № 24-ФЗ «Об ин­формации, информатизации и защите информации», кото­рый определял под рассматриваемым понятием «докумен­тированную информацию, доступ к которой ограничивается в соответствии с законодательством Российской Федерации» [2].

Действующий Федеральный закон определяет, что «кон­фиденциальность информации - обязательное для выполне­ния лицом, получившим доступ к определённой информа­ции, требование не передавать такую информацию третьим лицам без согласия её обладателя». Согласно этому же зако­ну «информация — сведения (сообщения, данные) независи­мо от формы их представления» [3].

С каждым годом отмечается рост числа мошеннических атак, связанных с социальной инженерией, когда преступ­ники пытаются обмануть клиентов путем злоупотребления доверием и обмана, чтобы манипулировать ими и заставить их раскрыть свою личную информацию. Представляется, что постоянное появление новых угроз, которые возникают из-за роста киберпреступности, способствует постоянному разви­тию отрасли информационной безопасности.

Представляется, что информационную безопасность нужно обеспечить с помощью программ, разработанных тех­ническими специалистами. Существуют организации, зани­мающиеся именно вопросами обеспечения информацион­ной безопасности, — и их специалисты обеспечивают ее на программно-техническом уровне. Результатом работы ука­занных специалистов будут программы, программно-аппа­ратные полученные средства для обеспечения информаци­онной безопасности, или, думается, средства защиты. Автор отмечает, что наличие таких программ будет результатом многоэтапной работы: от исследовательской, конструктор­ской, до инженерной.

Автором подчеркивается обеспечение информацион­ной безопасности на уровне персонала. Представляется, что данная проблема склонна стать одной из важнейших: субъ­ективный, или человеческий, фактор постоянно имеет место быть, и аннулировать его или не принимать во внимание будет безосновательным. Вне зависимости от характери­стик информации, ее наполнения, но человек (персонал или пользователь информационной системы, как автором ука­зано выше) будет обслуживать, поддерживать работу такой системы в обозримом, полагаем, будущем. Таким образом отмечаем, что в любой системе, которая даже максимально автоматизирована, оператор или пользователь играют не последнюю роль, и от пресловутого человеческого фактора очень многое зависит. На наш взгляд, человек и его деятель­ность «не подчинены логике выполнения интеграций вычис­лительного процесса» [4], и конечно, субъективные «сбои» программы человек всегда необходимо, на наш взгляд, при­нимать во внимание. Различные факторы и окружающая среда всегда будут влиять на сознание человека, вплоть до его эмоционального состояния или самочувствия. Полагаем, что соблюдение четких правил и технологий, которые выполня­ет машина, невозможно применить к функционалу человека.

Если рассматривать мошенничество в сети, киберпре­ступления, появление все большего количество схем по обману граждан и отъема у них денежных средств, то необ­ходимо сказать, что именно факторами, приведенными ав­тором выше, такие как эмоциональное состояние человека, его слабости и легковерие, а в частых случаях - элементар­ным отсутствием финансовой грамотности, станут факторы для обмана граждан в сфере киберпреступлений и инфор­мационной безопасности. Таким образом, для злоумышлен­ника нет оснований пытаться осуществить взлом или иные действия в программном обеспечении, которое направлено на защиту информации. Представляется, что достаточно сы­грать на слабостях или эмоциональном состоянии человека, чтобы получить всю информацию [5].

Автор полагает, что злоумышленнику интереснее и эф­фективнее достать информацию от пользователя, восполь­зовавшись его слабостями или иными эмоциями, нежели выбирать объектом для взлома машину. Однако необходимо подчеркнуть, что уровень финансовой грамотности, прису­щий каждому отдельному субъекту, разный, как и эмоцио­нальное состояние человека, его слабости и характер в целом, поэтому единых установок для злоумышленников, или так называемых унифицированных методов социальной инже­нерии, не может существовать.

Методы социальной инженерии

Автор предлагает рассмотреть лишь несколько возмож­ных способов:

  1. «Метод прямого воздействия». Для получения инфор­мации методом прямого воздействия необходимо застать человека врасплох, напугать, или дать понять, что злоумыш­ленник тоже обладает необходимой информацией. Таким образом, в экстренной ситуации, потерпевший может не учесть требования по защите конфиденциальности инфор­мации, и сам сообщить все необходимые злоумышленнику данные.
  2. «Метод введения в заблуждение» [5]. Общеизвестное название - «фишинг». Ввести в заблуждение, по мнению ав­тора, проще именно тех лиц, у кого есть привычка к пользо­ванию определенными вещами, как например, сайты или ка­кие-либо ресурсы. Обращаем внимание на то, что чем меньше человек пользуется сетью Интернет, тем сложнее ввести его в заблуждение, на наш взгляд: неуверенный пользователь, воз­можно, не захочет лишний раз пользоваться услугами каких- то сайтов. Говоря о том, что неуверенного пользователя про­ще обмануть, — на наш взгляд, тут речь идет уже об уровне финансовой грамотности отдельного пользователя. Мошен­нический сайт, разработанный злоумышленником и очень похожий на легальный сайт известной пользователю компа­нии, может собирать данные: от имени пользователя и даты его рождения до персональных данных, номеров и паролей его банковских счетов или карт. Методика едина: для полу­чения информации, которой хочет завладеть злоумышлен­ник, социальным инженером создается сайт, очень похожий на привычный или знакомый пользователю. Злоумышлен­нику необходимо получить доступ к информации, которую пользователь вводит на сайте. Пользовательский интерфейс поддельного сайта, обратим внимание, полностью повторяет интерфейс легального сайта. Таким образом, пользователь вводится в заблуждение сайтом-близнецом и вводит данные, которые оказываются у мошенника.
  3. «Метод обратной инженерии» представляет инте­рес, поскольку при нем пользователь (потерпевший) сам предоставляет информацию злоумышленнику, такую как персональные данные, данные банковских карт и т.п. Пред­ставляется, что для реализации данного метода необходимо владеть полной информации о пользователе и об окружаю­щем его мире: семья, карьера, увлечения и прочее. Безуслов­но, это займет определенное время. Пример HTML-страницы
  4. «Техника использования несуществующих ссылок» за­ключается в том, что пользователь получает письмо, которое содержит ссылки, перейдя по которым компьютер заража­ется вредоносным программным обеспечением. Преступник завладевает контактными данными путем обмана, и восполь­зовавшись доверием человека.
  5. «Сбор и анализ информации из открытых источни­ков» [5]. Последним из методов социальной инженерии, который, по представлению автора, стоит рассмотреть в данной работе, является метод сбора информации из от­крытых источников - метод является наиболее простым и, в ряде случаев, очень эффективным. Под открытыми ис­точниками автор подразумевает социальные сети, которые с каждым годом набирают популярность, особенно среди молодежи. Необходимо отметить, что сегодняшнее моло­дое поколение крайне зависимо, по мнению автора, от со­циальных сетей, и само предоставляет большое количество данных о себе (среди них можно заметить и персональные данные).
  6. «Троянский конь» - техника, при которой преступник отправляет пользователю электронное сообщение, содержа­ние которого для «жертвы» является потенциально интерес­ным. Открыв такое письмо из любопытства, пользователь запускает установку вредоносного программного обеспече­ния, и преступники получают доступ к конфиденциальной информации, содержащейся в компьютере.
  7. «Quiproquo» - техника, при которой злоумышленник, представляясь специалистом технической поддержки, обра­щается в компанию, вынуждает сотрудника провести ком­плекс действий, якобы оказывая ему помощь в устранении мнимой проблемы. Данные действия проводятся с целью установки вредоносного программного обеспечения.

Полагаем разумным обозначить, что действия злоу­мышленников по получению паролей и иных данных поль­зователей еще с 2012 года регулируются статьей 159.6 Уго­ловного кодекса Российской Федерации: «Мошенничество в сфере компьютерной информации, то есть хищение чужого имущества или приобретение права на чужое имущество путем ввода, удаления, блокирования, модификации ком­пьютерной информации либо иного вмешательства в функ­ционирование средств хранения, обработки или передачи компьютерной информации или информационно-телеком­муникационных сетей» [6]. В зависимости от конкретных об­стоятельств, злоумышленник дополнительно может понести ответственность за совершение таких деяний, как: неправо­мерный доступ к компьютерной информации (ст. 272 УК РФ); мошенничество с использованием платёжных карт (ст. 159.3 УК РФ); вымогательство (ст. 163 УК РФ); незаконное предпри­нимательство (ст. 171 УК РФ); незаконные организация и про­ведение азартных игр (ст. 171.2 УК РФ); организация деятель­ности по привлечению денежных средств (ст. 172.2 УК РФ); отмывание денежных средств, приобретенных преступным путем (ст. 174.1 УК РФ).

На первом этапе мошенники получают доступ к данным человека или к информационной системе с использованием методов психологических манипуляций.

На втором этапе с помощью полученного от человека доступа в качестве своеобразного ключа достигают противо­правных целей уже с применением компьютерных техноло­гий.

Используя различные средства манипуляции, через со­циальные сети, телефонные звонки, злоумышленники обма­нывают людей и получают доступ к конфиденциальной ин­формации.

Согласно данным международного источника Webroot, атаки социальной инженерии являются причиной 93 % уте­чек конфиденциальных данных [7].

Центральный банк Российской Федерации, утверждая Основные направления развития информационной безопас­ности финансовой сферы на 2019-2021 гг., констатировал, что единственным способом борьбы с социальной инженерией являются информационные кампании при содействии фе­деральных и региональных СМИ, что фактически является признанием в бессилии любых технологических систем и способов защиты против данной угрозы [8].

Обосновано полагать, что фишинг является самым по­пулярным видом социальной инженерии, о которой идет речь в первом параграфе. Целью фишинга является полу­чение конфиденциальной информации о физическом лице.

По мнению Д. Г. Калатози, фишингом признается за­владение персонифицированными сведениями с помощью скомпрометированных веб-ресурсов, массовых рассылок электронных писем и телефонных переговоров [9]. Согласно мнению Далгалы Т. А., фишинг это «использование поддель­ных сообщений электронной почты для получения личной информации от пользователей [10] Интернета».

Таким образом, можно говорить в том числе и о том, что фишингом является неправомерное получение информа­ции от дискредитированного действиями мошенника поль­зователя персональных и иных личных данных (а в том числе данных банковских счетов и связанной с ними информации) с целью наживы.

Как упоминалось выше, фишинг выражен разными подвидами. Возможные виды фишинговых атак представле­ны автором ниже. Автор перечисляет несколько видов воз­можных атак, учитывая, что таких видов может становиться с каждым днем все больше.

  1. Smishing - фишинг с помощью СМС;
  2. Vishing - фишинг с помощью голосовой почты.

С помощью этих моделей злоумышленник может ими­тировать ответ оператора от какой-либо организации, и со­общать об этом пользователю (жертве). Далее пользователю сообщают, что нужна какая-либо информация о нем (как правило, персональные данные или данные банковских сче- тов/карт).

  1. Почтовый фишинг. Такой вид атаки использует тех­нику «spray and pray». Метод заключается в том, что злоу­мышленник отправляет электронные письма якобы от име­ни известных организаций. По содержанию письма могут быть любыми, однако, как представляется, в основном это «срочная» информация о взломе аккаунтов пользователей. В этой, как и в других ситуациях, снова выступает социальная инженерия: срочность ситуации (взлом аккаунта) должен лишить пользователя времени на обдумывание и осознание ситуации, то есть вызвать эффект неожиданности, и злоу­мышленник надеется на некую невнимательность жертвы.
  2. Целевой фишинг (Spear Phishing)

Тот же указанный выше почтовый фишинг, однако, на­целенный на пользователей внутри одной организации. Как правило, работает эффективнее, поскольку пользователь по­лагает, что, раз рассылка не имеет отношения к «случайным» лицам, то у него якобы есть отношения с организацией, на­правившей письмо, и бдительность притупляется. У этого вида фишинга может быть еще одна разновидность - whal­ing - которая как целевую аудиторию использует именно ру­ководство какой-либо организации. Смысл такого вида целе­вого фишинга заключается в том, чтобы получить доступ к более конфиденциальной информации.

  1. Pharming (фарминг). В этом подвиде фишинга злоу­мышленник атакует серверы доменных имен, перенаправляя пользователя через открытие легальных сайтов на вредонос­ные веб-сайты. DNS-серверы существуют для того, чтобы на­правлять запрос на открытие конкретного веб-сайта на соот­ветствующий IP-адрес сервера, где этот сайт размещен. При фарминге атака нацелена на DNS-серверы для подмены све­дений об IP-адресах и доменах с тем, чтобы они перешли на сайты с поддельными IP-адресами. Результатом становится ситуация, что данные пользователей становятся открытыми для атаки.
  2. Фишинг в социальных сетях. Через использование социальных сетей (VK. Instagram и иные) также возможно получить конфиденциальные данные пользователей. Как правило, используется реклама якобы известных и надеж­ных сайтов или страниц в соцсетях, которая «заманивает» пользователя зайти на указанную мошенническую страницу. Наряду с фишингом в социальных сетях, существует фишинг в поисковых системах, которые также, создают ссылки для ввода данных.

Таким образом, отмечается, что крайне необходимо по­вышать рост компьютерной, а также финансовой грамотно­сти населения, поскольку навыки мошенников по завладе­нию персональными данными или иной необходимой им информацией находятся на высоком уровне. Эти навыки и стремление «заработать» приводят к крайне существенным финансовым потерям населения, что, безусловно, сказывает­ся на их благополучии и чувстве безопасности, а в итоге, и на стабильности экономической системы государства.

ВОЙКОВА Наталья Андреевна
кандидат юридических наук, доцент РАНХиГС при Президенте Российской Федерации

Пример HTML-страницы


ФГБОУВО ВСЕРОССИЙСКИЙ ГОСУДАРСТВЕННЫЙ
УНИВЕРСИТЕТ ЮСТИЦИИ
 Санкт-Петербургский институт  (филиал)
Образовательная программа
высшего образования - программа магистратуры
МЕЖДУНАРОДНОЕ ПУБЛИЧНОЕ ПРАВО И МЕЖДУНАРОДНОЕ ЧАСТНОЕ ПРАВО В СИСТЕМЕ МЕЖДУНАРОДНОЙ ИНТЕГРАЦИИ Направление подготовки 40.04.01 «ЮРИСПРУДЕНЦИЯ»
Квалификация (степень) - МАГИСТР.

Инсур Фархутдинов: Цикл статей об обеспечении мира и безопасности

Во второй заключительной части статьи, представляющей восьмой авторский материал в цикле «Право международной безопасности»

Иранская доктрина о превентивной самообороне и международное право (окончание)

№ 2 (105) 2017г.Фархутдинов И.З.Во второй заключительной части статьи, ...

Совместный всеобъемлющий план действий (СВПД)

Иранская доктрина о превентивной самообороне и международное право

№ 1 (104) 2017г.Фархутдинов И.З.В статье, представляющей восьмой автор...

предстоящие вызовы России

Стратегия Могерини и военная доктрина Трампа: предстоящие вызовы России

№ 11 (102) 2016г.Фархутдинов И. ЗВ статье, которая продолжает цикл стат...

Израиль намерен расширить сферу применения превентивной обороны - не только обычной, но и ядерной.

Израильская доктрина o превентивной самообороне и международное право

№ 8 (99) 2016г.ФАРХУТДИНОВ Инсур Забировичдоктор юридических наук, ве...

Международное право и доктрина США о превентивной самообороне

Международное право о применении государством военной силы против негосударственных участников

№ 7 (98) 2016г.Фархутдинов И.З. В статье, которая является пятым авторс...

доктрина США о превентивной самообороне

Международное право и доктрина США о превентивной самообороне

№ 2 (93) 2016г.Фархутдинов И.З. В статье, которая является четвертым ав...

принцип неприменения силы или угрозы силой

Международное право о самообороне государств

№ 1 (92) 2016г. Фархутдинов И.З. Сегодня эскалация военного противосто...

Неприменение силы или угрозы силой как один из основных принципов в международной нормативной системе

Международное право о принципе неприменения силы или угрозы силой:теория и практика

№ 11 (90) 2015г.Фархутдинов И.З.Неприменение силы или угрозы силой как ...

Обеспечение мира и безопасности в Евразии

№ 10 (89) 2015г.Интервью с доктором юридических наук, главным редактор...

Контакты

16+

Средство массовой информации - сетевое издание "Евразийский юридический журнал".
Доменное имя сайта в информационно-телекоммуникационной сети Интернет (для сетевого издания): EURASIALAW.RU
Свидетельство о регистрации ЭЛ № ФС 77 - 67559 от 31.10.2016 г., выдано Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций

Учредитель и главный редактор: Фархутдинов Д.И.

Адрес: г. Уфа, ул. Карла-Маркса, 105-4

Тел: +7 927 2365585

E-mail: info@eurasialaw.ru

Мы в соцсетях

 

Яндекс.Метрика