Социальная инженерия — киберпреступление или нет?

Социальная инженерия — это коварное и манипулятивное искусство, способное проникнуть в самые защищенные сферы нашей жизни. Однако, насколько оправдано называть ее киберпреступлением? С одной стороны, социальные инженеры используют психологические техники и обман, чтобы обрести доступ к конфиденциальной информации и совершить преступные действия. С другой стороны, они раскрывают слабости в системах безопасности и помогают улучшить их защиту. Сегодня рассмотрим аспекты социальной инженерии и выясним, злодейство ли она или просто искусство выживания в цифровой эпохе.

Что такое социальная инженерия и как она работает

Социальная инженерия — это разные методы манипулирования людьми для получения конфиденциальной информации или побуждения на выполнение целевого действия. Все методы социальной инженерии строятся на свойствах человеческой психики и использовании слабостей. Например:

• внушение страха, отключающего критическое мышление;
• создание ситуации, когда решение нужно принимать очень срочно;
• запугивание потерей денег .

Использовать такие методы для получения важной информации гораздо проще, чем пытаться найти уязвимость сервиса или программного обеспечения.

Атаки с использованием средств социальной инженерии обычно состоят из двух этапов. В первую очередь мошенники проводят исследование своей предполагаемой жертвы, чтобы собрать всю необходимую информацию. На этом этапе злоумышленник старается завоевать доверие жертвы. После успешных попыток наладить «добрые» отношения преступник использует различные уловки, чтобы получить конфиденциальную информацию от жертвы — пароли, CVC/CVV, доступ к учетным записям.

Социальная инженерия не преступление

Существует мнение, что социальную инженерию нельзя считать полноценным видом киберпреступления, так как она не связана с использованием компьютерных систем или сетей для совершения преступлений. Вместо этого она фокусируется на манипуляции людьми с целью получения доступа к их конфиденциальной информации или выполнения определенных действий. Хотя некоторые формы социальной инженерии могут использоваться в сочетании с кибератаками, они все равно остаются отдельными видами преступной деятельности.

Владимир Арышев

Эксперт по комплексным ИБ-проектам STEP LOGIC

Утверждать, что социальная инженерия — киберпреступление, все равно что молоток — орудие для убийства. Социальная инженерия часто используется злоумышленниками на начальном этапе атаки, как одна из ее составляющих, и сама по себе не является преступлением. Преступлением станет неправомерное действие, которое будет совершено благодаря использованию социальной инженерии.

Социальная инженерия даже может приносить пользу. Например, она способствует развитию технических решений и инновационных подходов для защиты личной информации и обеспечения безопасности в сети. Показывает возможные сценарии мошенничества и обмана, что способствует повышению уровня информационной грамотности людей и укреплению их защиты от киберугроз.

Николай Сеничев

Исполнительный директор ГК «КРЕДО-С»

Сами по себе методы социальной инженерии нельзя однозначно относить к разряду киберпреступлений. Социальная инженерия — это инструменты, которые могут применять как киберзащитники, так и киберпреступники. В недобросовестных руках они превращаются в оружие и вредят тем, против кого направлены.

Классический пример — телефонное мошенничество, которое основывается на знаниях преступником личных данных жертвы. В нашей практике случались кейсы, когда с помощью методов социальной инженерии злоумышленники вынуждали предоставить пароль от личного кабинета оператора сотовой связи. Затем настраивали переадресацию на свой номер телефона, и уже с его помощью получали доступ к личному кабинету банковского приложения. А дальше — оформляли кредиты и выводили денежные средства со счета потерпевшего. К счастью, последствия не всегда необратимы для жертв. В некоторых случаях с помощью экспертов по кибербезопасности им удается отстоять свои интересы в суде.

Изучение социальной инженерии и связанных с ней атак помогает изменять существующие законы и нормативные акты в области кибербезопасности, чтобы лучше регулировать сферу ИБ и наказывать за кибермошенничество. Такой подход помогает обеспечивать большую безопасность в интернете.

Кай Михайлов

Руководитель направления информационной безопасности iTPROTECT

Применение методов социальной инженерии сродни скорее мошенничеству, чем киберпреступлению. Однако часто они используются в комплексе с инструментальными средствами, например, установкой вредоносного ПО или выманиванием данных для доступа. Последнее как раз является киберпреступлением, но его можно совершить и без методов социальной инженерии. Например, на сайте компании могут быть файлы, которые через поиск не найти, но при этом они доступны по прямым ссылкам, без необходимости какой-либо аутентификации. Рядовой пользователь может не знать этого, но специалист при должной сноровке получит доступ к этой информации. Это сродни входу постороннего в дом, у которого была открыта входная дверь. То, что она открыта, еще не дает право войти. Тот же принцип работает в информационной безопасности.

К тому же, чтобы преступление стало преступлением, его нужно выявить, идентифицировать и наказать виновного. Что в случае с методами социальной инженерии не всегда возможно. Поэтому зачастую специалисты сферы ИБ считают социальную инженерию не киберпреступлением, но инструментом, который злоумышленники могут использовать в противоправных целях.  

Почему социальную инженерию можно считать киберпреступлением

Социальную инженерию можно считать одним из самых опасных видов киберпреступлений, несмотря на то, что она не всегда определяется как таковая. В отличие от других форм киберпреступности, где акцент делается на различных методах взлома и угрозах безопасности информации, социальная инженерия вовлекает использование психологии и манипуляции для получения чувствительной информации или доступа к конфиденциальным данным.

Дмитрий Овчинников

Главный специалист отдела комплексных систем защиты информации компании «Газинформсервис»

Согласно Уголовному кодексу РФ, применение методов социальной инженерии для получения нелегитимного доступа к информации считается таким же киберпреступлением, как и применение технических средств. С точки зрения закона, нет никакой разницы, как именно злоумышленники украли или получили неправомерный доступ к данным. При этом многие просто забывают, что все хакерское искусство как раз и начиналось с методов применения социальной инженерии. И только по мере развития операционных систем, языков программирования и повышения доступности персональных компьютеров и интернета, в обиход хакеров прочно вошли программно-технические элементы для совершения взломов.

В цифровую эпоху, когда большинство наших личных, профессиональных и финансовых данных хранится и передается через компьютерные системы, социальная инженерия стала весьма распространенным и актуальным видом киберпреступности. В 2022 году в России количество преступлений, совершенных с помощью методов социальной инженерии, выросло на 40%. 

Дмитрий Пудов

Генеральный директор NGR Softlab

Еще одним доводом в пользу того, что такой вид обмана все-таки представляет собой киберпреступление, можно назвать международную практику страховых компаний. Если раньше страховщик мог отказать в покрытии в случае потерь из-за атаки с использованием социальной инженерии, то сейчас полисы от преступлений все чаще по умолчанию включают пункты компенсации подобного ущерба.

Практика российских судов, когда реальные сроки по уголовным статьям получают телефонные мошенники, тоже демонстрирует, что применение методов социальной инженерии – это преступное деяние. Если такие методы использовались для злонамеренных действий в цифровом пространстве, то их смело можно назвать киберпреступлением.

Одна из наиболее распространенных тактик, используемых социальными инженерами, — фишинг. Этот метод состоит из отправки ложных электронных писем или создания фальшивых веб-сайтов, которые выглядят как официальные или доверенные источники. В таких случаях жертва, думая, что общается с надежным источником, предоставляет свои логины, пароли или финансовые данные, которые впоследствии могут быть использованы злоумышленниками для своих корыстных целей.

Иван Король

Разработчик бизнес-коммуникатора Anwork

Инструменты социальной инженерии используются повсеместно не только бизнесом для решения рабочих задач, но и обычными пользователями в бытовых вопросах: звонки коллегам, родным, знакомым, совершение оптовых закупок и повседневных покупок, отправка данных разной направленности и т.д. Но использование методов социальной инженерии, которые применяются злоумышленниками для манипулирования людьми с целью получения конфиденциальной информации, доступа к банковским картам и счетам, шантажа, безусловно, является нарушением законодательства РФ и других стран. Фишинг, мошенничество, поддельные звонки с целью обмануть людей или внедрить в их устройства вредоносное программное обеспечение для сбора и кражи информации осуществляется через технологии социальной инженерии.

Также социальная инженерия широко применяется в сфере взлома компьютерных систем. Злоумышленники могут подделывать входящую информацию для получения доступа к защищенным системам или к секретным данным. Они используют разные техники обмана, например, отправку фальшивых электронных писем, в которых  представляют себя важными членами организации, чтобы убедить сотрудников предоставить им информацию или установить вредоносное ПО на компьютеры. Например, недавно прогремела история, когда чиновнику-медику пришло письмо от якобы замминистра здравоохранения. А затем ложный министр позвонила сама и по традиции обманом заставила чиновницу перевести 2,3 млн рублей мошенникам. Но именно письмо, оформленное по всем правилам официального документооборота, с печатями и подписями, сыграло здесь главную роль.

Таким образом, социальная инженерия — это одна из форм киберпреступлений, поскольку представляет угрозу безопасности. Она требует совершенных навыков и понимания психологии, чтобы успешно манипулировать людьми и получить желаемую информацию. 

Дмитрий Пудов

Генеральный директор NGR Softlab

Специалисты по информационной безопасности часто говорят о социальной инженерии как о манипуляционной атаке с использованием нетехнических методов. То есть злоумышленник манипулирует жертвой с конечной целью обойти параметры безопасности или протоколы бизнес-процессов организации с дальнейшим выполнением вредоносных действий. К тому же некоторые виды мошенничества, например, фишинг и особенно целенаправленный фишинг – уже подразумевают использование социальной инженерии.

Еще одним доводом в пользу того, что такой вид обмана всё-таки представляет собой киберпреступление, можно назвать международную практику страховых компаний. Если раньше страховщик мог отказать в покрытии в случае потерь из-за атаки с использованием социальной инженерии, то сейчас полисы от преступлений все чаще по умолчанию включают пункты компенсации подобного ущерба.

Практика российских судов, когда реальные сроки по уголовным статьям получают телефонные мошенники, тоже демонстрирует, что применение методов социальной инженерии — это преступное деяние. Если такие методы использовались для злонамеренных действий в цифровом пространстве, то их смело можно назвать киберпреступлением.

Поэтому несмотря на то, что социальная инженерия может не содержать прямых атак на систему или использование технических ресурсов, она все равно является формой киберпреступности, требующей наказания и более эффективных мер защиты.

Подводя итоги

К социальной инженерии можно относиться по-разному, считать  или не считать киберпреступлением, но главным остается одно — использование злоумышленниками психологических механизмов для достижения собственных задач и целей. Это противоправная манипуляция и неважно, что станет ее результатом — перевод денег на карту мошенника, переданные данные о безопасности компании или слитые в сеть личные фотографии. И бороться с социальной инженерией нужно не только на законодательном уровне, но и лично — через повышение уровня цифровой гигиены и осведомленности.