Библибоба

Читаем Особенности киберпреступлений в России: инструменты нападения и защиты информации полностью

Особенности киберпреступлений в России: инструменты нападения и защиты информации

Андрей Сергеевич Масалков

Мифическая или нет история про Трою, но она олицетворяет пример социальной инженерии, который успешно используется и сегодня.

Когда человек производит авторизацию в своем электронном почтовом адресе, у него складывается полное ощущение того, что он находится один на один со своими секретами в закрытом кабине — те и нет никаких бесконечно длинных коммутационных проводов, ползущих по вентиляционным шахтам, темным чердакам и подземным лабиринтам, нет целых тонн сетевого и серверного оборудования, гигабайтов сложного программного обеспечения и алгоритмов.

Иллюзия настолько прочная и всем привычная, что позволяет с легкостью похитить пароль, какой бы сложный и длинный он ни был. Имеющиеся установленные средства программно-аппаратной защиты только усиливают эффект иллюзии и необоснованного чувства безопасности.

Если пользователь незнаком с механизмом проведения фишинг-атак и их разновидностями, попасться на удочку ничего не стоит.

В ранних проявлениях фишинга рассылались письма о временной блокировке аккаунта или его удалении. Довольно весело было злодеям, когда они осуществляли фишинговые спам-рассылки писем, содержащие угрозы пользователям заблокировать их аккаунты навсегда, если те срочно не пройдут повторную авторизацию в связи с поступившими жалобами или подозрением администрации ресурса в использовании почтового ящика для спам-рассылок.

В годах 2002–2008 эффект от такого фишинга был потрясающий. С одной стороны, сам термин «спам» в России стал ругательством, поскольку использовался всеми без исключения «впаривателями» всего, что можно было только впарить. С другой — уровень доверия к программному обеспечению, интернет-сервисам и компьютерной технике был значительно выше и вызывал во многих чувство, близкое к уважению.

Был период, когда злоумышленники массово заманивали пользователей на созданные фэйки банков, где под различными предлогами (смены программного обеспечения дистанционного банковского обслуживания, противодействия мошенничеству) заставляли пользователя вводить данные для доступа к своему аккаунту.

Время шло, пользователи становились опытнее, менялись системы защиты. Но социальная инженерия помогла мошенникам обходить и двухфакторную аутентификацию, и SMS-оповещения. При этом комплекс атаки мог включать совершение звонков потенциальным жертвам, например с просьбой ввести SMS-код, якобы для отмены ошибочно направленного в их адрес перевода.

В некоторых случаях на фишинговых сайтах создавались поля для ввода значения из таблицы переменных кодов. Такой трюк делали, например, братья Евгений и Дмитрий Попелыши[14], которые признаны виновными в совершении преступлений, предусмотренных ч. 2 ст. 272 (неправомерный доступ к охраняемой законом компьютерной информации), ч. 1 ст. 273 (создание, использование и распространение вредоносных компьютерных программ) и ч. 4 ст. 159 (мошенничество, совершенное группой лиц по предварительному сговору с причинением ущерба в особо крупном размере) УК РФ.

Роль социальной инженерии в фишинг-атаке всегда заключается в подведении пользователя к вводу необходимых данных или совершению необходимых действий.

Учитываются действия пользователя, а при совершении целенаправленной фишинг-атаки учитывается весь собранный информационный массив о конкретном человеке, разрабатывается сценарий, позволяющий получить пароль, открыть документ, запустить программу.

В практике встречались случаи, когда злоумышленники должны были получить доступ к электронной почте одного бизнесмена. Попытки заброса вредоносных программ к успеху не приводили. Злоумышленникам удалось подсунуть жертве магазин автозапчастей, где бизнесмен зарегистрировался. Вышло так, что бизнесмен не стал себя заморачивать разнообразием паролей и ключевых фраз и везде, где ему приходилось регистрироваться, указывал один и тот же пароль, что очень повеселило жуликов.

В другой похожей истории злодеям пришлось поработать немного больше. Для получения пароля от бдительной гражданки злодеи создали полнофункциональный онлайн-магазин, рекламу которого забросили жертве на почту. Предложения в магазине были настолько привлекательными, что наша гражданка не удержалась и решила совершить покупку.

Как выяснилось, для совершения покупки необходимо было создать аккаунт, то есть зарегистрироваться в магазине, а для полной-преполной защиты персональных данных (а гражданка к защите своих персональных данных относилась достаточно серьезно) необходимо было придумать несколько вариантов пароля и ключевую фразу. Эффект был тот же, что и в предыдущем случае, а вложенные злоумышленниками средства и усилия с лихвой окупились.

Другая группа хакеров изощренными путями затягивала жертв регистрироваться на модном сайте, для активации аккаунта на котором, как писала администрация модного сайта, нужно ввести код безопасности, который будет высылаться посредством SMS на указанный пользователем абонентский номер.

Перейти на страницу:
Читать далее

Похожие книги

Создание микросервисов
Создание микросервисов

Книга посвящена программированию микросервисов — небольших автономных компонентов, позволяющих добиться модульности и отказоустойчивости любой программы. Теория микросервисов тесно связана с философией Unix, способствует улучшению архитектуры любых приложений, дает возможность избегать громоздкого и запутанного кода. Эта книга поможет читателю заново взглянуть на многие, казалось бы, трудноразрешимые проблемы, масштабировать любые проекты, ювелирно разрабатывать даже самые сложные системы.

Unknown , Сэм Ньюмен

Зарубежная компьютерная, околокомпьютерная литература / ОС и Сети, интернет / Программирование, программы, базы данных
Читать бесплатно
UNIX: разработка сетевых приложений
UNIX: разработка сетевых приложений

Новое издание книги, посвященной созданию веб-серверов, клиент-серверных приложений или любого другого сетевого программного обеспечения в операционной системе UNIX, — классическое руководство по сетевым программным интерфейсам, в частности сокетам. Оно основано на трудах Уильяма Стивенса и полностью переработано и обновлено двумя ведущими экспертами по сетевому программированию. В книгу включено описание ключевых современных стандартов, реализаций и методов, она содержит большое количество иллюстрирующих примеров и может использоваться как учебник по программированию в сетях, так и в качестве справочника для опытных программистов.

Билл Феннер , Уильям Ричард Стивенс , Эндрю М. Рудофф

ОС и Сети, интернет / ОС и Сети / Книги по IT
Без регистрации
Вопросы истории: UNIX, Linux, BSD и другие
Вопросы истории: UNIX, Linux, BSD и другие

Это попытка последовательного изложения истории UNIX, Linux и свободных ОС вообще, а также связанных с ними графических интерфейсов. Она разделяется на три части: в первой рассматривается история UNIX-подобных операционных систем, во второй – дистрибутивов Linux, в третьей – их интерфейсов. Основана на печатных и сетевых материалах, воспоминаниях очевидцев, устной традиции и личных впечатлениях.

Алексей Викторович Федорчук

ОС и Сети, интернет / ОС и Сети / Прочая компьютерная литература / Книги по IT
Полная версия
Веб-дизайн
Веб-дизайн

Книга автора бестселлера `Факс-модем: от покупки и подключения до выхода в Интернет` — Дмитрия Кирсанова — первый полный курс веб-дизайна на русском языке, написанный профессиональным дизайнером. От теоретических основ визуального дизайна до интернетовских технологий и приемов практической работы над сайтом — все это есть в книге, написанной понятно, подробно и увлекательно. Издание будет полезно не только начинающим создателям сайтов, но и дизайнерам, работающим в более традиционных областях, специалистам по рекламе и маркетингу, художникам, программистам, — и, конечно же, всем творческим и любознательным людям.

Дмитрий Михайлович Кирсанов

ОС и Сети, интернет / Интернет / Книги по IT
Читать Онлайн
Избранное