Читаем Старший брат следит за тобой. Как защитить себя в цифровом мире полностью

КЕЙС Эксперт из Университета Эрлангена‒Нюрнберга провел среди студентов исследование[100] с имитацией фишинговой атаки через электронную почту и Facebook. Было создано поддельное сообщение от имени организаторов форума по кибербезопасности со ссылкой для просмотра фотографий с мероприятия. Когда к адресату обращались по имени, по ссылке последовали 45 % людей, а когда без указания имени – 20 %. Большинство людей заявили, что щелкнули по ссылке из любопытства, доверяя своему компьютеру или университету. Кроме того, они посчитали, что компьютер заблокирует доступ к сайту, если тот окажется вредоносным. А один из студентов заявил, что не боится вирусов, так как пользуется macOS и Firefox.

Социальная инженерия

Вопреки мнению обывателей, большинство утечек данных и краж финансовых средств с личных счетов происходит не из-за взлома, а из-за несоблюдения жертвами элементарных правил цифровой гигиены. Грубо говоря, люди сами отдают преступникам сведения о себе и ключи для доступа к информации и банковским счетам. Для формирования доверительных отношений преступник представляется тем, кому жертва атаки может или должна доверять: сотрудником службы безопасности сервиса, банка или магазина, которым она пользуется; представителем органов власти или правоохранителем; родственником; человеком, попавшим в трудную ситуацию; ведущим шоу, в котором разыгрываются ценные призы, и т. п. В ходе атаки преступники часто применяют различные психологические уловки, например запугивая жертву (обвиняя в нарушении законодательства и даже в совершении преступления и т. п.) и пытаясь заставить быстро принять решение (заявляя, что срок действия предложения ограничен и т. д.). Псевдосотрудник службы безопасности может при разговоре включить запись звуков, характерных для работы в офисе; мошенник, говорящий с женщиной, может для создания напряженной обстановки включить запись голоса плачущего младенца. Нередко хакеры предварительно проводят разведку – анализируют сведения о жертве, доступные в социальных сетях. Они делают это с помощью инструментов для автоматизированного сбора данных (например, SimplyEmail[101], ePochta Extractor[102] или Foca[103]) и прочих утилит (о средствах сбора информации рассказывается на сайте https://osintframework.com), а также утекших баз данных (например, https://weleakinfo.com с 10 млрд записей)[104]. Собранная информация позволяет вести эффективные целенаправленные атаки.

Кейс В 2015 г. хакерами был взломан аккаунт PR-директора компании Acronis Екатерины Турцевой[105]. Действуя от имени Турцевой, злоумышленники убедили ее друзей расстаться с более чем 250 000 рублей[106].

В период пандемии COVID-19 злоумышленники (в том числе и продавцы фиктивных сертификатов) стали шантажировать покупателей фиктивных сертификатов о вакцинации, угрожая, что за хранение поддельного сертификата предусмотрена уголовная ответственность, и требуя с жертвы десятки тысяч рублей. Учитывая, что в России за покупку и хранение поддельного документа предусмотрено наказание до 1 года лишения свободы, многие жертвы отправляют деньги злоумышленникам. Аналогичные методы шантажа применяются к покупателям любых других нелегальных товаров[107].

С поддельными сертификатами злоумышленники поступают двумя путями. Первый из них – генерируют поддельный сертификат с QR-кодом с внесением данных на государственные порталы. В этом случае сертификат неотличим от настоящего, но покупателю угрожает риск заражения и невозможность вакцинироваться, если он все же решится это сделать (по крайней мере, в государственных медучреждениях). Второй вариант – создают сертификат с QR-кодом, ведущим на фейковый сайт «Госуслуг». Такое предложение обходится покупателю дешевле, но и срабатывает не всегда, так как ориентировано на невнимательность людей, проверяющих QR-коды[108]. В обоих случаях жертва передает продавцам фиктивных сертификатов внушительный объем персональных данных, которые те продают злоумышленникам или используют самостоятельно в шантаже покупателей как описано выше.

Все подобные способы атаки называются социальной инженерией – термин был введен Кевином Митником, известным хакером (ныне – специалистом по информационной безопасности (ИБ)). Преступники используют социальную инженерию, чтобы побудить (заставить) человека расстаться с деньгами или с ценной информацией (которую позже можно монетизировать с помощью шантажа). Это самый распространенный и успешный вид атаки[109], наиболее неприятный для специалистов по информационной безопасности, поскольку такие преступления нельзя предотвратить с помощью технологий защиты. Здесь главную роль играет человеческий фактор – уязвимость потенциальной жертвы.

Современные методы социальной инженерии используются в основном для манипуляции пользователями интернет-сервисов (через сайты, вредоносное программное обеспечение, электронную почту, мессенджеры и пр.) и сотовых сетей (с помощью телефонии и SMS-сообщений). Но они могут применяться и при личной встрече (например, этим занимаются «представители пенсионных фондов», а также торговцы волшебных лекарств и «чудо-фильтрами для воды», ходящие по подъездам), при звонках на стационарные телефоны и даже в обычных почтовых отправлениях (например, в рассылках «с денежными призами»)[110].