(31.03.2021) Семинар – "Распространение многоходовой социоинженерной атаки на социальном графе сотрудников организации"

Transcript

1. 31 марта 2021 Анастасия Олеговна Хлобыстова Распространение многоходовой социоинженерной атаки

   на социальном графе сотрудников организации

2. 2/26 Что исследуется? Атака злоумышленника на пользователя Переход злоумышленника между

   пользователями Доступ злоумышленника к критичному документу Бэктрекинг инцидентов Набор прикладных психологических и аналитических приемов, которые злоумышленники применяют для скрытой мотивации пользователей публичной или корпоративной сети к нарушениям устоявшихся правил и политик в области информационной безопасности.

3. 3/26 где — вероятность успеха неопосредованной атаки злоумышленника на m-ого

   пользователя, а — соответствующая оценка вероятности распространения атаки на пользователя через другого пользователя. Социальный граф сотрудников организации 1 P Q = − Абрамов М.В., Тулупьева Т.В., Тулупьев А.Л. Социоинженерные атаки: социальные сети и оценки защищенности пользователей. СПб.: ГУАП, 2018. 266 с. ( ) 1 , t n i i Q q = −  где — оценка вероятности успеха социоинженерной атаки при одном эпизоде взаимодействия, — число эпизодов t n i q count_likes count_reposts count_photos count_groups likes reposts com_photos com_groups (1 )(1 ) (1 ) (1 ) (1 ) rel Q p p p p p = − −  −  −  − 1 , 1 , l ml m i i i m P P P − + = =  m P , 1 i i P +

4. 4/26 Социальный граф сотрудников организации Абрамов М.В., Тулупьева Т.В., Тулупьев

   А.Л. Социоинженерные атаки: социальные сети и оценки защищенности пользователей. СПб.: ГУАП, 2018. 266 с. 0 1 rel 2 , (0) если пользователи отметили друг друга в графе семейное положение; , (1) если пользователи находятся в публичных списках лучших друзей, но не (0); , (2) если пользо p p p p = 3 4 ватели находятся в друзьях, но не (1); , (3) если кто-то из пользователей подписан на другого, но не (2); , (4) ничего из выше перечисленного. p p              Методика оценки такого рода параметров разрабатывается особо, более того, такие методики, неизбежно учитывающие широкий спектр сведений от экспертов, информационных источников 0 4 likes reposts com_photos com_groups ,..., , , , , p p p p p p

5. 5/26 Что исследуется? Д.А. Губанов, А.Г. Чхартишвили, Д.А. Новиков Институт

   проблем управления им. В.А. Трапезникова РАН Социальный граф сотрудников организации Какие ещё модели распространения информации существуют? Модели информационного влияния Gubanov D. A., Chkhartishvili A. G. Influence levels of users and meta-users of a social network //Automation and Remote Control. – 2018. – Т. 79. – №. 3. – С. 545-553.

6. 6/26 Модель определения влияния действий агента Под множеством агентов будем

   понимать множество пользователей информационной сети — множество допустимых типов действий — множество, соответствующее рассматриваемому интервалу времени — множество действий Любое действие может быть охарактеризовано тройкой вида где — пользователь (агент), который его совершил — тип этого действия — момент времени, в который данное действие было совершено N   1 , , n U U U = K T  a ( ) , , , i i i a U K T = i U i K i T Например, — будет означать, что пользователь совершил действие типа (комментарий комментария) в момент времени ( ) 1 6 0 , , a U K T = 1 U 0 T 6 K

7. 7/26 Отношение причины Бинарное отношение частичного порядка (выполняются свойства транзитивности,

   антисимметричности и рефлексивности) « причина » a b Например, действие — публикация поста в социальной сети пользователем в момент времени действие — добавление комментария к этому посту пользователем в момент времени тогда можно сказать, что « причина » a i U , i T b ( ), j i j T T T  a b j U a b →

8. 8/26 Последствия действия Для можно определить множество всех его последствий

   также среди множества всех действий можно выделить множество — множество первоначальных действий, которые не являются последствием каких-либо других действий A   ( )   : b a A a b A     = →    0 : b a A a b a b    →  =  =

9. 9/26 Функция значимости : 2 [0; )   →

   + ( ) 0    ( ) ( ) ( ), , , A B A B A B A B   =  +     свойства ( ) ( ) , a A A A a     =   задание ( ) ( ) 1 , a a A a     = : , U   →   ' ( ) ' U a a U   =   ' , U U  , , , A B A B    ( ) ( ) A B   

10. 10/26 Функция значимости ( ) ( ) i i a

    A A a   =   ( ) ( ) 1 , i i i a a A a     =     1 1 2 ( ) 1 2 7 ; , a U U a a a     = = = ( ) 1 1 1 1 , , a U K T = ( ) 2 2 2 2 , , a U K T = ( ) 7 2 2 7 , , a U K T = ( ) 3 3 2 3 , , a U K T = ( ) 4 4 2 4 , , a U K T = ( ) 5 5 2 5 , , a U K T = ( ) 6 6 5 6 , , a U K T = ( ) 8 7 6 8 , , a U K T = ( ) 9 7 5 9 , , a U K T = Обозначение Описание 1 K Публикция поста 2 K Комментирование поста 3 K Репост поста 4 K Лайк поста 5 K Ответ на комментарий 6 K Лайк комментария   1 10 , , a a  =   1 5 6 7 8 9 , , , , , , A A a a a a a a   =     5 6 5 6 ; ; U U a a   = =   ' ( ) ' U a a U   =     7 8 9 , U a a  = ( ) ( ) ( ) ( ) ( ) ( ) ( ) 1 5 6 7 8 9 A a a a a a a  =  +  +  +  +  +  ( ) 1 1 1 1 1 1 4,5 2 2 2 A  = + + + + + = ( ) 10 7 6 10 , , a U K T =

11. 11/26 Расчёт влияния на основе всех действий агента Функция влияния

    пользователя на Множество действий пользователя Множество действий, которые являются последствиями действия пользователя ( ( ) ) , ( ) 0 ( ) ( , ) 0, ( ) 0 i j j j j U U U U i j U U U                =    =     ( ) | j U j U a a     =  i U j U   ( ) | : i i U U b a a b      =  →

12. 12/26 Расчёт влияния на основе всех действий агента Функция влияния

    пользователя на Множество действий пользователя Множество действий, которые являются последствиями действия пользователя ( ( ) ) , ( ) 0 ( ) ( , ) 0, ( ) 0 i j j j j U U U U i j U U U                =    =     ( ) | j U j U a a     =    ( ) | : i i U U b a a b      =  → i U j U Получается всегда равным 1 ( ) ( , ) , 0, i j j j j U U i j U U U I U U           =     =    ( ) ( ) i i a A A a   =   ( ) ( ) 1 , i i i a a A a     = , 0 ( , ) 1. i j i j U U I U U   

13. 13/26 Расчёт влияния       

       1 2 5 6 7 1 2 7 5 6 8 9 10 , , , U U U U U a a a a a a a a      = = = = = Обозначение Описание 1 K Публикция поста 2 K Комментирование поста 3 K Репост поста 4 K Лайк поста 5 K Ответ на комментарий 6 K Лайк комментария   1 10 , , a a  = ( )   ( )   ( )   1 5 2 1 10 5 6 10 7 8 9 , , , , , , U U U a a a a a a a a       = = = ( ) ( , ) , 0, i j j j j U U i j U U U I U U           =     =    3 7 ( , ) 0 I U U = 1 2 3 ( , ) 1 3 I U U = = 2 7 2 ( , ) 3 I U U = 5 7 1 ( , ) 3 I U U = ( ) 1 1 1 1 , , a U K T = ( ) 2 2 2 2 , , a U K T = ( ) 7 2 2 7 , , a U K T = ( ) 3 3 2 3 , , a U K T = ( ) 4 4 2 4 , , a U K T = ( ) 5 5 2 5 , , a U K T = ( ) 6 6 5 6 , , a U K T = ( ) 8 7 6 8 , , a U K T = ( ) 9 7 5 9 , , a U K T = ( ) 10 7 6 10 , , a U K T =

14. 14/26 Расчёт влияния на основе начальных действий агента Множество действий

    пользователя Множество действий, которые являются последствиями начального действия пользователя 0 0 ( ( ) ) , ( ) 0 ( ) ( , ) 0, ( ) 0 i j j j j U U U U i j U U U               =    =     ( ) | j U j U a a     =    0 0 ( ) | : I I U U b a a b     =   → Функция влияния пользователя на i U j U 0 0 ( ) ( , ) , 0, i j j j j U U i j U U U I U U           =     =   

15. 15/26 Расчёт влияния       

       1 2 5 6 7 1 2 7 5 6 8 9 10 , , , U U U U U a a a a a a a a      = = = = = Обозначение Описание 1 K Публикция поста 2 K Комментирование поста 3 K Репост поста 4 K Лайк поста 5 K Ответ на комментарий 6 K Лайк комментария   1 10 , , a a  = ( )   ( )   ( )   1 5 2 0 1 2 3 4 5 7 0 5 6 10 0 7 8 9 , , , , , , , , , U U U a a a a a a a a a a a a       = = = 0 3 7 ( , ) 0 I U U = 0 1 2 3 ( , ) 1 3 I U U = = 0 2 7 2 ( , ) 3 I U U = 0 5 7 1 ( , ) 3 I U U = 0 0 ( ) ( , ) , 0, i j j j j U U i j U U U I U U           =     =    ( ) 1 1 1 1 , , a U K T = ( ) 2 2 2 2 , , a U K T = ( ) 7 2 2 7 , , a U K T = ( ) 3 3 2 3 , , a U K T = ( ) 4 4 2 4 , , a U K T = ( ) 5 5 2 5 , , a U K T = ( ) 6 6 5 6 , , a U K T = ( ) 8 7 6 8 , , a U K T = ( ) 9 7 5 9 , , a U K T = ( ) 10 7 6 10 , , a U K T =

16. 16/26 Функция влияния пользователя Функция влияния пользователя Множество действий пользователя

    Множество действий, которые являются последствиями действия пользователя ( ( )) ( ) ( , ) ( ) i U i i U U N      = =     ( ) | j U j U a a     =    ( ) | : i i U U b a a b      =  → i U ( ) ( ) i U i I U   =  0 0 0 ( ( )) ( ) ( , ) ( ) i U i i U U N      = =   0 0 ( ) ( ) i U i I U   =  Множество действий пользователя Множество действий, которые являются последствиями начального действия пользователя   ( ) | j U j U a a     =    0 0 ( ) | : I I U U b a a b     =   →

17. 17/26 Расчёт влияния пользователя      

        1 2 5 6 7 1 2 7 5 6 8 9 10 , , , U U U U U a a a a a a a a      = = = = = Обозначение Описание 1 K Публикция поста 2 K Комментирование поста 3 K Репост поста 4 K Лайк поста 5 K Ответ на комментарий 6 K Лайк комментария   1 10 , , a a  = ( )   ( )   ( )   1 5 2 0 1 2 3 4 5 7 0 5 6 10 0 7 8 9 , , , , , , , , , U U U a a a a a a a a a a a a       = = = ( )   ( )   ( )   1 5 2 1 10 5 6 10 7 8 9 , , , , , , U U U a a a a a a a a       = = = 1 10 ( ) 1 10 I U = = 0 1 6 ( ) 0,6 10 I U = = ( ) 1 1 1 1 , , a U K T = ( ) 2 2 2 2 , , a U K T = ( ) 7 2 2 7 , , a U K T = ( ) 3 3 2 3 , , a U K T = ( ) 4 4 2 4 , , a U K T = ( ) 5 5 2 5 , , a U K T = ( ) 6 6 5 6 , , a U K T = ( ) 8 7 6 8 , , a U K T = ( ) 9 7 5 9 , , a U K T = ( ) 10 7 6 10 , , a U K T =

18. 18/26 Функция значимости ( ) ( ) i i a

    A A a   =   ( ) ( ) 1 , i i i a a A a     = Обозначение Описание 1 K Публикция поста 2 K Комментирование поста 3 K Репост поста 4 K Лайк поста 5 K Ответ на комментарий 6 K Лайк комментария ( ( ) ) , ( ) 0 ( ) ( , ) 0, ( ) 0 i j j j j U U U U i j U U U                =    =   ( ) 1 1 , , , i i i n i n p если a K a A a p если a K      =     Расположите, пожалуйста, действия пользователя в порядке их весомости… Откуда брать?

19. 19/26 Функция значимости ( ( ) ) , ( )

    0 ( ) ( , ) 0, ( ) 0 i j j j j U U U U i j U U U                =    =   ( ) 1 1 , , , i i i n i n p если a K a A a p если a K      =     Показатель, учитывающий только количественные характеристики ( ) ( , ) , 0, i j j j j U U i j U U U I U U           =     =    ( ) ( ) i i a A A a   =   Показатель, учитывающий и количественные, и качественные характеристики

20. 20/26 Где использовать? Можно рассмотреть задачу поиска такого сотрудника, который

    был бы достаточно уязвим к атаке и при этом имел сильное влияния на коллег Функция влияния пользователя Можно применить в модели расчёта вероятности атаки между пользователями (как один из параметров оценки взаимосвязи между пользователями) Функции влияния пользователя на пользователя 0 0 ( ) ( , ) , 0, i j j j j U U i j U U U I U U           =     =    0 0 ( ) ( ) i U i I U   =  ( ( ) ) , ( ) 0 ( ) ( , ) 0, ( ) 0 i j j j j U U U U i j U U U                =    =  

21. 21/26 А проблемы? Функции влияния пользователя на пользователя 0 0

    ( ) ( , ) , 0, i j j j j U U i j U U U I U U           =     =    Множество действий пользователя Множество действий, которые являются последствиями начального действия пользователя   ( ) | j U j U a a     =    0 0 ( ) | : I I U U b a a b     =   → ( ) 1 1 1 1 , , a U K T = ( ) 2 2 2 2 , , a U K T = ( ) 7 2 2 7 , , a U K T = ( ) 3 3 2 3 , , a U K T = ( ) 4 4 2 4 , , a U K T = ( ) 5 5 2 5 , , a U K T = ( ) 6 6 5 6 , , a U K T = ( ) 8 7 6 8 , , a U K T = ( ) 9 7 5 9 , , a U K T = ( ) 10 7 6 10 , , a U K T =   0 : b a A a b a b    →  =  =

22. 22/26 Функция значимости ( ( ) ) , ( )

    0 ( ) ( , ) 0, ( ) 0 i j j j j U U U U i j U U U                =    =   ( ) 1 1 , , , i i i n i n p если a K a A a p если a K      =     Показатель, учитывающий только количественные характеристики ( ) ( , ) , 0, i j j j j U U i j U U U I U U           =     =    ( ) ( ) i i a A A a   =   Показатель, учитывающий и количественные, и качественные характеристики

23. 23/26 Взаимосвязи между пользователями

24. 24/26 Взаимосвязи между пользователями Тип взаимоотношений Сопоставленная вероятностная оценка Лучшие

    друзья 29/37≈0.7838 Друзья по школе 367/826≈0.4443 Брат/сестра 230/523≈0.4398 Влюблены 111/265≈0.4189 Коллеги 11/27≈0.4074 Женаты 223/588≈0.3793 Друзья по университету 195/529≈0.3686 Семья 312/857≈0.3641 Внук/внучка 74/213≈0.3474 Родители 13/38≈0.3421 Ребёнок 41/120≈0.341 Гражданский брак 39/121≈0.3223 Помолвлены 206/663≈0.3107 Встречаются 234/761≈0.3075 Друзья 213/725≈0.2938 Дедушка/бабушка 187/746≈0.2507 Всё сложно 173/900≈0.1922 Тип взаимоотношений Сопоставленная вероятностная оценка У меня есть фото с X 985/1584≈0.62 X знаменитость 1795/3168≈0.57 X имеет фото со мной 575/1256≈0.54 На X подписаны аккаунты, на которые я тоже подписан 403/792 ≈0.51 Я оставил комментарий 71/176≈0.4 Я подписан 127/264≈0.48 X подписан на меня 1373/3168≈0.43 X оставил не комментарий 1361/3168≈0.43 Общие геотеги 673/1584≈0.42 X поставил мне лайк 320/833 ≈0.38 Общие хештеги 47/122≈0.36 Мне нравится 179/528≈0.34

25. 25/26 Взаимосвязи между пользователями Цель: уточнение и верификация модели распространения

    многоходовой социоинженерной атаки Как достигнуть? Новый опрос Что в результате? С одной стороны, будет получен явный список окружения пользователя, через которых данный пользователь наиболее подвержен социоинженерной атаке (достигается за счёт предлагаемых в опросе ситуаций) С другой стороны, будут получены данные о взаимодействии указанных пользователей в социальных сетях: • информация о лайках • комментариях • постах на стене друг друга • подарках • общих геометках • фотографиях, на которых один пользователь отметил другого • наличие в публичном списке друзей/основной информации на странице

26. 31 марта 2021 Анастасия Олеговна Хлобыстова Распространение многоходовой социоинженерной атаки

    на социальном графе сотрудников организации

27. 27/26 Ситуации для опроса (1) 1. Привет! Встретился/лась по объявлению

    с авито о продаже (???). Собираюсь купить, но приложение сбера зависло, и налички с собой нет. Ты не мог/ла бы отправить через сбербанк-онлайн 1000 рублей на номер +7**********, Андрей Дмитриевич К.. Приеду домой верну. У Вас бы возникло стремление помочь, если бы данная просьба поступила от: 2.Смотри, что я нашла/нашёл. Я про них совсем забыла/забыл https://drive.google.com/drive/u/0/folders/LGkofdrOKJVG85bfcr... Вы бы нажали на ссылку, если бы такое сообщение пришло от: 3.Привет! У знакомой ребёнок в больнице, нужна 4-я отрицательная группа крови. Можешь помочь? Может среди твоих друзей кто-то найдётся? Телефон для связи +7********** Вы бы позвонили сами/отправили это сообщение кому-то из своих друзей, если бы такое сообщение пришло от:

28. 28/26 Ситуации для опроса (2) 4. C просьбой предоставить доступ

    к каким-то рабочим/учебным документам. Например, к документу со списком Ваших коллег/одногруппников с указанием корпоративной почты и мобильными номерами. Вы бы предоставили доступ, если бы сообщение поступило от: 5. Можно с твоим номером зарегистрироваться в приложении? Пользовался/ась этим приложением весь прошлый месяц, но пробный период истёк. Помоги, пожалуйста, очень нужно. Вы бы согласились помочь, если бы сообщение поступило от: 6. Привет! Ты случайно не знаешь к кому можно подойти, чтобы поставить подпись, если <фамилия руководителя> сегодня нет на месте? Вы бы ответили, если бы сообщение пришло от:

29. 29/26 Ситуации для опроса (3) 7. Привет! Ты ведь в

    <название компании> сейчас работаешь? Может знаешь, есть ли сейчас свободные вакансии у Вас? Или может кто-то планирует увольняться?" Вы бы ответили, если бы сообщение пришло от: 8. Представьте следующую ситуацию. Вам на телефон приходит sms о пополнении банковской карты. После чего ВКонтакте Вам приходит сообщение от друга: "Привет! По ошибке отправил/а тебе деньги, хотел кинуть денег Игорю, можешь перевести сюда: +7**********?". Вы бы перевели деньги, если бы сообщение пришло от: 9. Кому из друзей Вы сильнее всего доверяете? 10.С кем Вы чаще всего общаетесь в социальной сети ВКонтакте?

30. 30/26 Ситуации для опроса (4) 11. Социальную сеть ВКонтакте Вы

    обычно используете для общения с: • Коллеги • Родственники • Одногруппники • Друзья (из реальной жизни) • Знакомые • Практически не использую (возможен выбор нескольких вариантов ответа) 12. Где Вы чаще всего общаетесь: • ВКонтакте • Telegram • WhatsApp • Viber • Instagram • Одноклассники • Звоню по телефону (возможен выбор нескольких вариантов ответа)