Investigadores del CSP ARC han desarrollado un prototipo de juego de ordenador que invita al usuario a actuar como malhechor y a robar información valiosa de la oficina de la empresa mediante ciertas técnicas comunes utilizadas por los ciberdelincuentes reales. El objetivo del juego es aumentar el nivel de conocimientos personales y corporativos de los empleados de la empresa al tratar con información clasificada, así como enseñar a los usuarios a resistir diferentes tipos de ataques de ingeniería social.
Los ataques de ingeniería social son un tipo de ataques informativos. Y mientras que los ataques habituales de los hackers son sólo una penetración en el sistema de información mediante de software y vulnerabilidades técnicas del sistema, los ataques de ingeniería social se realizan a través de algún tipo de interacción entre un hacker y un usuario con el fin de obtener acceso al sistema de información de una víctima prevista o a la información almacenada en dicho sistema.
Existe muchos tipos de ataques de ingeniería social: desde los intrusos que entran en la oficina para robar documentos importantes de la empresa y obtener las contraseñas de los ordenadores del trabajo, hasta los estafadores telefónicos que intentan engañar a la persona al otro lado del cable y apoderarse de los datos de su tarjeta de crédito. Hoy en día, un gran número de delitos se producen como resultado de ataques de ingeniería social, a menudo se producen porque la gente no se da cuenta o no da importancia a los signos de que se está cometiendo un delito.
"Hoy en día, muchas grandes empresas, por ejemplo los bancos, imparten formación sobre la protección de los usuarios contra los ataques de ingeniería social. Sin embargo, a menudo ejercen como conferencias orales o en vídeo, donde se explican métodos de protección. Estos eventos no siempre son interesantes, y al finalizar las conferencias los empleados hacen pruebas que se pueden dar por perdidas sin entrar en el corazón del problema. Por eso, hemos llegado a la idea de desarrollar un juego de ordenador en el que los empleados de las empresas o los usuarios individuales puedan tomar el lugar de un delincuente y realizar independientemente un ataque contra la oficina de la empresa.
Es decir el juego puede ser una especie de simulador para formar un comportamiento consciente correcto de un empleado, los patrones necesarios que no se pueden desarrollar a través de sesiones informativas y conferencias de formación", dice Maxim Abramov, el jefe del laboratorio de informática teórica e interdisciplinaria del CSP ARC.
La interfaz del juego está realizada en primera persona. Según el argumento, el usuario entra en la oficina de la empresa, donde se le ofrece realizar una serie de misiones para obtener información corporativa. Por ejemplo, se puede escuchar a escondidas una conversación de colegas o entrar en el despacho del jefe e intentar encontrar las contraseñas del ordenador de la oficina, o contactar con algunos empleados, haciéndose pasar por el servicio técnico. Si tiene éxito, el jugador recibirá dinero virtual para comprar bonificaciones útiles como encender una alarma de incendio en el edificio para obligar a los empleados a abandonar la oficina.
"Tenemos previsto construir puntuaciones de la seguridad de los usuarios contra los ataques de socioingeniería basados en los resultados de su paso por el juego, de modo que cada uno tenga su propio perfil personal, en particular, teniendo en cuenta las características psicológicas individuales. Esperamos que a través del juego podamos familiarizar a la gente se familiarice con los distintos tipos de ataques de ingeniería social, para que se fijen en qué vulnerabilidades se han creado por su comportamiento y, quizás, no se haya reparado en el hecho", dice Alexander Tulupyev, investigador jefe del laboratorio de informática teórica e interdisciplinaria
La idea de crear un juego de este tipo surgió del creciente interés de las grandes empresas y departamentos gubernamentales por proteger sus datos contra los ataques de ingeniería social, por lo que los científicos del CSP ARC están dispuestos a ofrecer su producto a la industria y adaptarlo a las particularidades de cada empresa. Ahora los desarrolladores se centran en mejorar la interfaz, así como en introducir nuevos escenarios de los ataques de de ingeniería social, no sólo contra las grandes organizaciones, sino también contra los ciudadanos individuales.
Algunos de los aspectos científicos del desarrollo se recogen en publicaciones:
[Азаров А.А., Тулупьева Т.В., Суворова А.В., Тулупьев А.Л., Абрамов М.В., Юсупов Р.М. Социоинженерные атаки. Проблемыанализа. СПб.: Наука, 2016. 352 с. ISBN 978-5-02-039592-3] [Krylov B., Abramov M., Khlobystova A. Automated player activity analysis for a serious game about social engineering // Recent Research in Control Engineering and Decision Making. ICIT 2020. Studies in Systems, Decision and Control , 2020. Vol. 2. P. 587-599.] [Krylov B.S., Abramov M.V. Automatic Hierarchical Task Network Planning System for the Unity Engine Russian // CEUR Workshop Proceedings , 2020. Vol. 2648. P. 122-133.] [Абрамов М.В., Тулупьева Т.В., Тулупьев А.Л. Социоинженерные атаки: социальные сети и оценки защищенности пользователей. СПб.: ГУАП, 2018. 266 с. ISBN 978-5-8088-1377-5]. El desarrollo se está llevando a cabo en colaboración con la Universidad Estatal de San Petersburgo.