У рамках соціоінженерного підходу вразливості персоналу тлумачяться як його слабкості, потреби, манії (пристрасті), захоплення. Маніпулювання ними дозволяє отримати несанкціонований доступ до інформації без руйнування та перекручування головних для нього системоутворюючих якостей (цілісність, розвиток). Як наслідок, це призводить до нової моделі поведінки персоналу, створення сприятливих умов реалізації загроз безпеці інформації і, як наслідок, зменшенню здатності системи захисту інформації протидіяти їх впливові (див. рис. 2). Це відображається в таких формах як, наприклад [ 9-13 ], шахрайство, обман, афера, інтрига, містифікація, провокація. Використанню кожної з означених форм маніпулювання передує визначення її змісту шляхом ретельного планування, організування та контролювання.

Рис. 1. Елементи комп’ютерної системи [3].

Рис. 2. Використання соціоінженерного підходу З огляду на рис. 2, використання соціоінженерного підходу до оцінювання захищеності інформації в комп’ютерних системах передбачає цілеспрямований вплив на свідомість (підсвідомість) персоналу проти волі, але за його згодою. Такий вплив дозволяє управляти поведінкою керівництва, адміністратора, користувачів через слабкості, інтереси, потреби, схильності, переконання, звички, психічний та емоційний стан. Тому маніпулювання цими уразливостями і виражається в таких формах як шахрайство, обман, афера, інтрига, містифікація, провокація. Разом з тим, використанню кожної з означених форм маніпулювання передує визначення їх сутності шляхом ретельних планування, організації та контролювання.

У рамках соціоінженерного підходу використання атак соціальної інженерії орієнтоване на отримання “несанкціонового” доступу до інформації при оцінюванні її захищеності шляхом “негативного” інформаційнопсихологічного впливу на свідомість або підсвідомість персоналу (див., наприклад [ 14 ], рис. 3). Форми маніпулювання персоналом при оцінюванні захищеності інформації в комп’ютерних системах змінюються залежно від різновиду атак соціальної інженерії, а саме [ 15-20 ]:

1. Фішінг (Phishing) – масове розсилання електронної пошти великій групі адресатів. Ознайомлення з електронними листами спонукає їх до, наприклад, відкриття вкладення до листа, переходу за посиланням на веб-сторінку. Його метою є виманювання у довірливого або неуважного персоналу комп’ютерної системи персональних даних.

2. Фармінг (Pharming) – перенаправлення користувачів на шахрайські сайти для отримання їх логіну та паролю. Це досягається завдяки розповсюдженню електронної пошти серед користувачів, наприклад, соціальних мереж, онлайн-банкінгу, поштових веб-сервісів.

3. Прітекстінг (Pretextй) – отримання інформації або спонукання до вчинення певних дій обманом на основі заздалегідь складеного сценарію або створення фіктивної ситуації. Застосовується через телефон та потребує проведення попередніх досліджень для входження в довіру.

4. Смішінг (Smishing) – отримання інформації шляхом масового розсилання SMS повідомлень з посиланням на веб-ресурси або з реквізитами організацій (наприклад, фінансових). Внаслідок цього здійснюються відповідні дії, наприклад, дзвінок до банку для перевірки стану рахунку з зазначенням конфіденційних даних: номеру картки, терміну дії.

5. Вішінг (Vishing) – отримання інформації шляхом входження в довіру під час розмови через ipтелефон. При цьому в порушення конфіденційності здійснюється завдяки викладенню прохання у повідомленні зателефонувати на певний міський номер. Наприклад, вести номер карти, паролі, PIN-коди, коди доступу або іншу інформацію.

6. Спір фішінг (Spear Phishing) – надсилання листа електронної пошти конкретному адресату (наприклад, керівнику, адміністраторові, користувачеві), що спонукає його до обов’язкового перегляду та відповіді на отриманий лист.

7. Вейлінг (Whaling) – надсилання листа електронної пошти представнику керівництва організації, що спонукає його до обов’язкового перегляду та відповіді на отриманий лист.

Рис. 3. Класифікування ознак реалізування атак соціальної інженерії [ 14 ].

Так (див. табл. 1), отримання несанкціонованого доступу до інформації за допомогою фішингу, фармінгу, смішінгу, вішінгу, спір фішінгу, вейлінгу здійснюється шляхом використання таких форм маніпулятивного впливу як шахрайство та обман. Тоді як основою для створення фіктивних ситуацій при прітекстінгу є афера, інтрига, містифікація та провокація. № п/п 1. 2. 3. 4. 5. 6. 7.

Різновид соціоінженерної атаки Фішінг Фармінг Прітекстінг Смішінг Вішінг Спір фішінг Вейлінг Форми маніпулятивного

впливу + + + + + + + о в т с й а р х а Ш + + + + + + + н а м б О а р е ф А   +       +     а г и р т н І   +     я і ц а к і ф и т с і М   +     я і ц а к о в о р П Тому при оцінюванні захищеності інформації в комп’ютерних системах за соціоінженерним підходом доцільно враховувати форми маніпулятивного впливу.

4 Методи соціальної інженерії Оцінювання захищеності інформації орієнтоване на отримання відомостей про комп’ютерні системи – етап соціальної інженерії. Цей етап включено в аудит отримання і аналізування інформації зі зовнішнього середовища. Враховуючи високу ймовірність впливу людського фактору на захищеність інформації, на даному етапі вдало використовуються методи соціальної інженерії. Для успішного виконання запланованих дій соціальний інженер проводить роботу узгоджено з мережевим адміністратором. У його конструктивні дії входять: вивчення і аналізування змістовного боку комп’ютерної системи, пошук уразливостей, систематизування отриманих відомостей, розроблення схеми дій.

Використання методів соціальної інженерії для імітування дій порушника, що направлені на користувачів комп’ютерних систем організації, дозволяє оцінити рівень кваліфікації користувачів в області забезпечення безпеки інформації і ймовірність реалізування атак соціальної інженерії.

Вхідною інформацією для соціального інженера при спробі отримання інформації про комп’ютерні системи може бути контактна інформація, що отримується з публічних джерел. Наприклад: прізвища, імена, посади користувачів. За отриманою вхідною інформацію вибираються, виокремлюються вірогідні уразливості в комп’ютерних системах, через які можливе реалізування загроз соціальної інженерії.

Основою використання методів соціальної інженерії є [ 9-11 ]: − особливості, що керують людською свідомістю; − аудиторія або поле діяльності; − некомпетентність аудиторії у визначених термінах і предметних областях у сфері інформаційної безпеки;

− нестійкість психологічних властивостей особистості, що характеризуються поведінковими стереотипами. Їх можна використовувати для маніпулювання через основні потреби, слабкості, бажання, ідеали.

Більшість соціальних інженерів діє за ідентичними або близькими шаблонами. Тому вивчення прийомів їх «роботи» дозволяє виокремити такі рівні взаємодії з об’єктом впливу як домінування, маніпулювання, суперництво, партнерство.

Всі методи соціальної інженерії можна поділити на дві групи [ 9-11, 14-20 ]: 1. Віддалена соціальна інженерія реалізується засобами сучасних телекомунікацій шляхом використання: 1.1. «Телефону» Завдяки телефонії, соціальний інженер може залишатися анонімним і в той же час мати прямий зв’язок з об’єктом впливу. Останнє важливо тому, що безпосередній контакт не дає співрозмовнику часу обміркувати поведінку у вірогідних ситуаціях, зважати на всі за та проти. Вирішувати необхідно швидко, до того ж під тиском соціального інженера. Оскільки під час телефонної розмови відбувається обмін тільки звуковою інформацією, то велику роль у прийнятті рішень відіграє анотація і голос співрозмовника. Дані характеристики підбираються у відповідності з моделлю поведінки соціального інженера для отримання інформації про об’єкт впливу, наприклад:

a) начальник – людина, яка звикла віддавати команди, цінує свій час, досягає поставленої мети. Манера розмови жорстка, нетерпляча. Повна впевненість у собі і легка (або повна) зверхність до рядового 95 Таким чином, оцінювання захищеності інформації в комп’ютерних системах за соціоінженерних підходом дозволяє запобігти, виявити, врахувати або усунути уразливості, що пов’язані або обумовлені діяльністю персоналу. У рамках соціоінженерного підходу його вразливості тлумачяться як слабкості, потреби, манії, захоплення. Маніпулювання ними призводить до нової моделі поведінки персоналу. Це відображається в таких формах як, наприклад, шахрайство, обман, афера, інтрига, містифікація, провокація. Використанню кожної з означених форм маніпулювання передує визначення її змісту шляхом ретельного планування, організування та контролювання. При цьому форми маніпулювання персоналом при оцінюванні захищеності інформації в комп’ютерних системах змінюються залежно від різновиду атак соціальної інженерії. Так, отримання несанкціонованого доступу до інформації за допомогою фішингу, фармінгу, смішінгу, вішінгу, спір фішінгу,

Література © Volodymyr V. Mokhor © Oksana V. Tsurkan Pukhov Institute for Modelling in Energy Engineering of National academy of sciences of Ukraine,

Kiev, Ukraine v.mokhor@gmail.com otsurkan24@gmail.com

© Vasyl V. Tsurkan Institute of Special Communication and Information Protection of National Technical University of Ukraine "Igor Sikorsky Kyiv Polytechnic Institute",

Kiev, Ukraine v.v.tsurkan@gmail.com © Rostyslav P. Herasymov Pukhov Institute for Modelling in Energy Engineering of National academy of sciences of Ukraine,

Kiev, Ukraine gerasimov.rostislav@gmail.com

Information security of the computer systems is focused on securing its characteristics like confidentiality, integrity and accessibility from different by themselves unfavourable effects. A potentially possible unfavourable effect is construed as threat. To prevent or complicate realization of threats and reduce possible damage, they create and maintain in active capacity an actions system of securing information in computer systems. The system includes computer system, physical environment, personnel and information. To secure its characteristics in the computer systems it is very important to consider a non-technical aspect, in particular a personnel aspect (for example, boss, administrator and user). Due to that, social engineering techniques are proposed to assess the information security. Within the techniques, personnel sensitiveness is taken as its weakness, demands, mania (addiction) and interests. Their manipulation allows get unauthorized access to information without destroying and distortion of the main for him system creating features (integrity, development). It results in the new model of personnel behavior, creation of favourable conditions to realize information threat and, consequently, reduction of the information security capability of the system to prevent the effects. It is reflected in the forms of fraud, cheating, deception, intrigue, hoax and provocation. The use of each form is preceded by defining its content via a thorough planning, organization and control. These actions make the basis of the social engineering techniques. On one side, they can be realized via modern telecommunication techniques. On the other side, it involves establishing direct contact with personnel. Thus, it is possible to disclose, neutralize and prevent information vulnerability in computer systems using social engineering techniques. It raises its security in view of a non-technical aspect.

Keywords: computer system, information security, information security assessment, personnel, socioengineering approach, social engineering, methods of social engineering.