Рубрика:
Безопасность /
Социальная инженерия
|
Facebook
Мой мир
Вконтакте
Одноклассники
Google+
|
ВИЗИТКА
Александр Михайлов, аналитик
Шесть правил борьбы с мошенниками Социальная инженерия глазами Dr.Web
Специалистам по информационной безопасности, да и просто опытным пользователям, термин «социальная инженерия» известен уже больше пятнадцати лет. В общем случае так называются все типы интернет-атак, напрямую связанные с человеческим фактором
Наиболее распространенными примерами могут служить следующие:
- Звонок «из банка» с информацией о том, что «мошенники получили доступ к вашей карте, срочно сообщите нам все свои данные!». Самый простой способ подарить посторонним свои деньги.
- Письмо «от хакера» с текстом вида «ваша почта взломана, я разместил у вас на ПК троянца, который собрал компромат на вас, отправьте мне деньги, иначе…».
- Письмо на ваш почтовый адрес «от администрации сервиса», что аккаунт взломан и надо срочно сменить пароль, перейдя по ссылке. Ссылка, разумеется, фишинговая, и данные уйдут авторам письма.
- «Нигерийские письма», в которых адвокат умирающего миллиардера готов поделиться с вами состоянием «покойного», если вы поможете ему перевести эти деньги. Как правило, для «подтверждения ваших намерений сотрудничать» вам нужно сначала перевести на счет этого «адвоката» некоторую сумму.
- Слезные письма о бедных детях/животных/инвалидах, которым нужны деньги на лечение/еду. Счета в письмах, разумеется, настоящие, а вот их хозяева если и являются инвалидами, то исключительно из-за полной атрофированности совести и чести.
«Первая волна» социальной инженерии бушевала в рунете на заре его активного развития – в начале 2000-х годов.
Тогда число пользователей сети росло лавинообразно, при этом даже элементарных знаний у большинства новичков не было, чем и пользовались мошенники, зачастую сами немногим более опытные, чем их жертвы. Только тогда могли быть успешными атаки на электронную почту, где «админ mail.ru» с ящика «administrarions1@mail.ru» писал пользователю «ваш пароль взломан, поменяете его и сообщите мне, чтобы я внес его в базу».
Потом был похожий период, когда начали развиваться соцсети и массовый взлом перекочевал туда, но сильным всплеском это (2006–2008 годы) назвать нельзя.
Потом на долгое время популярность социальной инженерии упала – пользователи набрались опыта, средний уровень знаний у обитателей Интернета вырос и простейшие механизмы перестали работать.
Но в последние годы социальная инженерия вновь набрала обороты, и сейчас на нее приходится, пожалуй, большая часть успешных взломов устройств, аккаунтов, почтовых ящиков, а также похищения средств с банковских счетов. Неужели «средний пользователь» деградировал в знаниях и навыках до уровня двадцатилетней давности? На самом деле нет.
Причин вновь выросшей успешности социальной инженерии сейчас пять:
1. Усовершенствованные методики атаки. Раньше это была типичная попытка «пробить дверь лбом», а сейчас бывают ситуации, когда даже весьма опытный человек не сможет раскрыть обман сразу. Злоумышленники не ограничиваются письмами, в ход идут звонки с поддельных номеров, которые невозможно отличить от настоящих, значительная осведомленность, полученная из различных источников, хорошее знание психологии, в конце концов. Если раньше этим занимались любители, а цели были уровня «личный почтовый ящик» или «красивый номер ICQ», то в настоящее время методом социальной инженерии проводят атаки профессионалы, а целями зачастую бывают крупные организации и их управленцы. Но и обычные люди рискуют не меньше, особенно когда речь идет о краже денег.
2. Обилие личной информации о людях в Интернете. Любой ИТ-безопасник скажет вам, что не стоит выкладывать в социальные сети слишком много личной информации – в какой-то момент она может сыграть против вас. В подготовке атаки используются именно сведения из открытых источников, ведь когда у человека «вся жизнь видна в социальной сети», то и «раскрутить» его гораздо проще. Вплоть до того, что тщательное изучение соцсетей пользователя позволяет «без напряга» взламывать его аккаунты, поскольку пароль злоумышленнику неизвестен, а вот угадать ответ на контрольный вопрос (которые часто используются для восстановления пароля) после изучения личных страниц становится достаточно легко.
3. Доступность «закрытой» информации. Не просто так в России активно продвигаются законы и правила, регламентирующие работу с конфиденциальной информацией, причем это регулирование идет от уровня государственных институтов до уровня микропредприятий и индивидуальных предпринимателей. Увы, злоумышленники не опускают руки – подкупают должностных лиц, организуют технически сложные атаки и иными методами устраивают «сливы» баз данных. К сожалению, остановить эту порочную практику правоохранительным органам пока не удается – на черном рынке можно купить практически любую государственную базу данных, а иногда случаются и весьма скандальные утечки клиентских баз банков. Имея на руках эти данные, гораздо проще «аргументировано» общаться с жертвой, представляясь сотрудником государственных служб или банков.
4. В чистом виде социальная инженерия сейчас не так распространена, как гибридные атаки. Примером такой «чистой» социальной инженерии может быть звонок пожилому человеку, где мошенник рассказывает о том, что сын/дочь жертвы устроила ДТП с летальным исходом, и нужны деньги, чтобы «отмазать» родственника. В таком случае играет роль только уровень артистизма злоумышленника и его осведомленность о наличии у жертвы этого самого сыны/дочери с автомобилем и правами. Более же сложные и, как правило, более успешные утечки и взломы организуются комбинацией социальной инженерии с вирусописательством.
Примером могут служить две очень популярные схемы:
- Создается троянец для Windows и подсовывается пользователю посредством методов социальной инженерии – вредоносное ПО присылается под видом рабочего документа или полезной программы, зачастую с поддельного адреса или с реального, но взломанного аккаунта знакомого/коллеги жертвы. Без антивируса отразить такую атаку можно, только если не просматривать вообще никакие вложения, ибо определить поддельное человеку зачастую физически невозможно, а вложение достаточно просто открыть. Подобным методом часто организуются атаки на бухгалтерские отделы предприятий с целью похищения денег.
- Создается вредоносное ПО для Android и также подсовывается пользователю под видом чего-то полезного. Здесь злоумышленникам придется постараться гораздо больше – многие пользователи уже привыкли, что ставить на смартфон или планшет неизвестно что и откуда – плохая идея. Но без явного разрешения пользователя вредоносное ПО не сможет сделать на смартфоне ничего недопустимого. Поэтому злоумышленнику стоит убедить «клиента» не только скачать и установить приложение, но и дать ему все разрешения. И только после этого троянец, «размещенный в благоприятную среду», сможет нанести вред пользователю, украв любые данные, интересные злоумышленнику. Но если пользователь уже наступил на грабли, то наличие в системе антивируса может спасти его от потерь.
5. Совершенствование защитных механизмов, причем как антивирусного ПО, так и физических систем защиты, когда для доступа к какой-то информации требуется токен-ключ, а система контроля доступа мониторит всё, вплоть до аппаратного обеспечения пользователя. Организовывать атаки на такие «бастионы» хакерам сложно, иногда практически невозможно, поэтому пресловутый человеческий фактор всё чаще становится тем самым слабым звеном почти идеальной системы безопасности. Этим объясняется рост числа атак с привлечением социальной инженерии, особенно на высоконадежные системы вроде банков и государственных предприятий. Впрочем, отсюда же вытекает важность обучения сотрудников, а также обеспечения их лояльности – без этого самая крутая система превращается в картонный щит. К счастью, на крупных предприятиях профильное обучение организуется все чаще даже для рядовых сотрудников, ведь важно не потерять информацию, а не тот факт, кто станет виновником инцидента – невнимательный системный администратор или доверчивый менеджер.
Как видно из вышесказанного, социальная инженерия – общий метод взлома, жертвой может стать и условная пенсионерка из Читы, и топ-менеджер условного Газпрома, а в его лице и вся компания. И сказать, что какая-то категория людей находится вне зоны риска – значит соврать. Даже если вы пользуетесь только наличкой, не имеете ПК и смартфона – вас могут «достать» по городскому телефону, как в примере выше.
С какими формами социальной инженерии пользователь может с наибольшей вероятностью столкнуться прямо сейчас, летом 2020-го, и как он может им противостоять?
Вот основной перечень:
- Суть атаки: звонок из банка с любыми сообщениями. Вам могут говорить о взломе карты, о несанкционированном входе в интернет-банк, сообщать о подозрительных операциях. Буквально, что угодно.
- Как бороться: не паниковать, сказать «спасибо» и положить трубку. Этим вы полностью оборвете связь с мошенниками, но в безопасности средств убедиться все же нужно, поэтому самостоятельно позвоните в банк и уточните, что происходит с вашим счетом или картой. Номер банка в формате «8-800» или короткий номер вроде «900» обычно указан на главной странице его сайта.
- Суть атаки: сотрудник небольшого предприятия получает от своего руководителя/бухгалтера электронное письмо с просьбой СРОЧНО!!! оплатить приложенный к письму счет или отправить деньги по указанным в письме реквизитам.
- Как бороться: не открывать вложение и помнить, что e-mail коллеги теоретически мог быть взломан. То есть вложение может содержать нечто вредоносное. Но чаще там в самом деле реквизиты или счет на оплату. Поэтому нужно связаться с хозяином ящика по другому виду связи (телефон, сходить к нему в кабинет пешком) и уточнить, отправлял ли он это письмо и точно ли приложенный счет требуется оплатить.
- Суть атаки: кто-то посторонний или даже ваш друг присылает вам на электронную почту/в мессенджер/в социальной сети какой-то документ с просьбой открыть его.
- Как бороться: знать, что аккаунт друга можно взломать, а неизвестные редко присылают что-то полезное. Удалить вложение или, если вам очень любопытно, связаться с другом по другому виду связи и уточнить, что он вам отправил.
- Суть атаки: вам на электронную почту/в мессенджер/в социальной сети приходит сообщение, что вы что-то выиграли в каком-то розыгрыше, но для получения приза надо перейти по ссылке или сделать что-то еще.
- Как бороться: не забывать, что бесплатный сыр раздают только в мышеловках, а чтобы что-то выиграть – надо во что-то играть. Как правило, достаточно игнорировать сообщение, сразу удалив его.
- Суть атаки: вам приходит слезное письмо с просьбой о помощи уже упомянутым выше детям/животным/инвалидам.
- Как бороться: осознать, что реально нуждающиеся в помощи не занимаются массовой рассылкой писем – у них нет на это времени. Если вы имеете желание и возможности оказать помощь тем, кому она нужна – найдите в Интернете информацию о реально работающих фондах помощи по тем или иным направлениям. Свяжитесь с ними напрямую или ознакомьтесь с их сайтами. Как правило, там есть исчерпывающая информация о том, кому именно и какая нужна помощь и как продвигается процесс сбора средств.
- Суть атаки: вы размещаете товар на сайте типа «из рук в руки», с вами связывается «покупатель» и вместо того, чтобы обсудить условия продажи и напрямую перевести вам деньги по номеру карты, предлагает провести платеж по какому-то странному алгоритму, так как у него есть «определенные сложности», мешающие ему отправить вам платеж напрямую.
- Как бороться: забыть слово «схема», сложности и прочие. Все трудности – проблемы покупателя, а не ваши. Для перевода вам денег нужен только номер вашей карты, остальное лишнее. Существуют сотни способов получить деньги с продавца (да, именно с продавца), чем и пользуются злоумышленники. В ход идут истории вида «очень хочу вашу вещь, но не могу подъехать сейчас, а карта у меня «необычная», или «я военный, покупаю для своей части и мне нужно фото вашего чека, который можно получить в таком-то банкомате». После от вас просят выполнить некую последовательность действий, где, среди прочего, вы указываете и реквизиты своей карты или даже диктуете покупателю пришедшую СМС с кодом. Деньги с вашей карты, что логично, пропадают, как и «покупатель».
Примечание. Мошенничество на сайтах перепродажи вещей имеет массовый характер, поэтому, если вы покупатель, ни при каких обстоятельствах не соглашайтесь на странные схемы и не переводите продавцу предоплату, чем бы он эту необходимость ни обосновывал. Принцип «утром деньги, вечером стулья» оставьте для серьезных онлайн-магазинов.
- Суть атаки: вам приходит СМС с незнакомого номера с текстом вида «Я случайно положил денег на ваш телефон, верните, пожалуйста».
- Как бороться: проверить поступление, и если оно было – можно положить аналогичную сумму на номер отправителя СМС. Если нет – не делать ничего! Если вы позвоните или отправите СМС «Мне ничего не приходило», что кажется логичным действием, вы просто потеряете деньги. Мошенники подключают платный номер и массово рассылают СМС-спам. При отправке СМС на этот номер вы подпишетесь на какую-нибудь бешено дорогую и совершенно ненужную рассылку, а при звонке рискуете потерять весь баланс, потому что номер платный.
Разумеется, существует множество других типов подобных мошеннических действий, и описать их все не хватит не только статьи, но и целой книги, но в основном они являются вариациями перечисленных.
Обратите внимание: за исключением прямого звонка вам, остальные способы применения социальной инженерии базируются на доставке вам сообщений или электронных писем, а также на подсовывании вредоносного ПО под тем или иным предлогом.
Самым простым и эффективным средством для борьбы с этим является комплексная антивирусная система, в состав которой входит не только антивирус для ПК, но и почтовый антивирус и антиспам. Например, если вы используете антивирус Dr. Web Security Space, то входящий в его состав компонент SpIDer Mail обезвредит любые вредоносные вложения, Антиспам не пропустит нежелательную корреспонденцию, избавив вас от необходимости постоянно чистить ящик и риска «вчитаться» в одно из «нехороших» писем. А антивирусный сторож SpIDer Guard поймает вредоносное ПО, даже если вы получили его не в почте, а скачали по ссылке или загрузили через мессенджер.
Если же речь о мобильных устройствах на Android, тут на помощь придет приложение Dr.Web для Android, которое, по аналогии со своим «настольным» коллегой, защитит ваш смартфон или планшет от вирусов и спама. Потому что пользователи ПК и смартфонов рискуют стать жертвами мошенников в равной степени, и будут ли атаковать именно вас – вопрос исключительно личной удачи.
Стоит отметить, что в идеале в каждом случае вы, как потенциальный потерпевший, можете и должны обратиться с заявлением в полицию. Увы, шансов поймать злоумышленников немного, особенно в случае, когда вы проявили бдительность и не пострадали, так как всё, что будет у оперативников, – только данные звонившего вам номера. Как правило – поддельного. В связи с этим, стоит ли выделять время на составление и подачу заявления – решать вам.
Подводя итог, можно сказать, что каждый из нас сталкивается с социальной инженерией очень часто, и только собственная внимательность и критическое отношение к любой поступающей информации поможет вам сохранить свои аккаунты и деньги.
Конечно, хороший антивирус с антиспамом поможет вам, но если вы проявите излишнюю доверчивость или «в панике» совершите неправильные действия, – вам не поможет даже самая «умная» система, ведь целью атаки в социальной инженерии (как ясно из названия) является сам человек и уже во вторую очередь – его техника.
Поэтому запомните и строго придерживайтесь простых правил:
- Если с вами связываются и представляются сотрудниками банка или иной организации, – свяжитесь с организацией самостоятельно и проверьте всё сказанное. Сразу заканчивайте диалог, если звонящий вызывает подозрение, – мошенник легко может войти в доверие и запутать вас.
- Не отвечайте на подозрительные СМС и сообщения в соцсетях.
- Не рассказывайте о себе в соцсетях слишком много личной информации.
- Не сообщайте посторонним данные своей карты (срок действия, имя и трехзначный код), для перевода вам денег достаточно номера карты. А также не диктуйте никому СМС с кодом от банка.
- Не открывайте подозрительные вложения в почте и не устанавливайте без необходимости стороннее ПО из непроверенных источников на свое мобильное устройство.
- Ваши ПК и смартфон/планшет должны быть защищены качественным антивирусом.
Одним словом, будьте бдительны, пользуйтесь антивирусом и все будет хорошо!
Подпишитесь на журнал Купите в Интернет-магазине
Facebook
Мой мир
Вконтакте
Одноклассники
Google+
|