Кви про кво что это значит мошенники
Электронное мошенничество: техники и способы защиты
«Троянский конь», «Дорожное яблоко», «Подсматривание через плечо», «Кви про кво» — данные техники применяют злоумышленники с целью кражи электронных денежных средств. Мы, становясь жертвами, по собственной воле даем злоумышленникам доступ к своему онлайн-банку, либо же переводим денежные средства на нужный банковский счет. В действительности, интернет-мошенники «взламывают» нашу личность. Основное количество таких «взломов» относятся к социальной инженерии (от англ. social engineering) — методу получения необходимого доступа данным, который основан на особенностях психологии граждан. Что же это такое и как противостоять мошенникам.
Понятие социальная инженерия (SE) обозначает смесь науки, психологии и искусства. При том, что это удивительно и сложно, это также довольно просто. Основная задача злоумышленника — социального инженера — создание стрессовой ситуации, выбивание гражданина из привычной колеи, а также они желают заставить совершить действия, которые для него не свойственны. К примеру, под угрозой якобы «несанкционированного списания» убедить назвать преступнику код из SMS-сообщения с целью подтверждения перевода, либо перепривязки своего банковского счета к другому номеру телефона.
Техники социального инжиниринга
Социальная инженерия включает в себя некоторое количество техник. Каждая из них отличается принципом, но основная задача остается неизменной.
Фишинг (password harvesting fishing — «ловля паролей»): получение важной информации напрямую от владельца при помощи электронной почты, сервисов мгновенных сообщений, либо СМС-сообщений. К примеру, вам присылают письмо на электронную почту от имени популярного бренда, сайта банковской организации, либо платежной системы, которое содержит просьбу авторизоваться по причине возникновения технических проблем. В письме находится ссылка на поддельную веб-страницу, которая до мелочей имитирует официальную. В случае, если вы выполните все, что требуют в письме, вы — жертва кибермошенников.
«Троянский конь». Программа «троянец» «скрывается» в безобидных программах, таких как, к примеру, игры, изображения, музыка, либо файлы с видеозаписями, но как только данные программы загружаются на устройство, вредоносное программное обеспечение начинает свою работу. «Троянцы» могут стереть ваш диск, посылать номера вашей банковской карты и пароли незнакомцам, либо позволить другим использовать ваш персональный компьютер в незаконных целях.
«Дорожное яблоко». Техника, использующая человеческое любопытство. Если, к примеру, работник организации обнаружит оброненный кем-то диск с корпоративными логотипами и надписью «Зарплаты персонала», довольно велика вероятность того, что любопытство возьмет верх, и он постарается изучить его содержимое. И скачает вредоносное программное обеспечение.
«Претекстинг». Злоумышленник озвучивает заблаговременно заготовленный текст со всеми встроенными психологическими ловушками. Как раз, именно по данной причине способ называется «претекстинг» (от англ. pretext — «предварительный текст»). К примеру, социальный инженер звонит под видом представителя службы безопасности банка и придумывает повод узнать личные данные, либо данные кредитной карты.
Совет. Даже если разговор с кем-то, кто представился представителем службы безопасности банковской организации, выглядит довольно реалистично, никогда не сообщайте CVV, кодовое слово или код из SMS-сообщения. Как только вы услышали такую просьбу, имейте ввиду: на телефонной линии — преступник.
Существует также новый способ хищений у состоятельных людей с помощью имитации голосов их друзей. Самая наиболее реакция — это положить трубку и перезвонить, узнать, в чем дело.
«Подсматривание через плечо». Банальная и опаснейшая техника социального инжиниринга. Заключается в том, что конфиденциальная информация похищается именно таким образом — подсматриванием через плечо.
Важно отметить! Чтобы не стать жертвой, надо выработать привычку, находясь в публичном месте, всегда быть начеку — проверять, не смотрит ли кто за вашими действиями.
Совет. Не пользуйтесь интернет-банкингом через бесплатный Wi-Fi, в общественных местах — злоумышленники могут похитить ваши денежные средства. В случае, если Wi-Fi «глючит», открывает подозрительные интернет-сайты, а знакомые сайты выглядят «как-то не так» — это повод задуматься и закончить сессию.
«Кви про кво» (от лат. quid pro quo — «услуга за услугу»). Аферист обращается к вам при помощи электронной почте, либо мобильному телефону с целью получения интересующих его данных взамен на оказанную «помощь». К примеру, представляется сотрудником технической поддержки, который сообщает о технической проблеме в Сети и предлагает свою помощь. Во время «решения» диктует вам действия, которые дают возможность запустить вредоносное программное обеспечение, либо получить удаленный доступ непосредственно к вашему устройству.
«Обратная социальная инженерия». Аферист заставляет пользователя самому обратиться к нему за «помощью». К примеру, на персональном компьютере жертвы атаки сначала создаются неполадки. После чего тем, либо иным образом подсовывается объявление наподобие «если у вас возникли трудности с компьютером, мы вам окажем помощь».
Как себя обезопасить
Существуют довольно простые правила. Никому и никогда не называть пароли для входа в онлайн-банк, номер банковской карты, CVC-код, а также иные данные, позволяющие осуществить списание денежных средств. Даже в том случае, если собеседник представится сотрудником службы безопасности банка и будет иметь о вас какую-то информацию (знать ФИО, дату рождения и т. д.). Вы всегда должны быть уверены, что разговариваете именно с сотрудником банка, либо микрофинансовой организации и так далее. Не уверены — перезвоните самостоятельно в финансовую организацию. К примеру, в случае возникновения проблем с банковской картой следует звонить по телефонам, которые указаны на обороте банковской карты.
Совет. На основании Федерального закона «О национальной платежной системе» от 27.06.2011 N 161-ФЗ у вас есть 2 дня, чтобы подтвердить, либо опровергнуть операцию, которая приостановлена финансовой организацией как подозрительная — нет необходимости принимать поспешные решения.
Не следует открывать SMS-сообщения, а также осуществлять переход по ссылкам от неизвестных лиц. Даже если от знакомого приходит неожиданное сообщение — узнайте, действительно он направлял вам данное SMS-сообщение, либо же его почтовый ящик был взломан.
Рассылки от имени друзей по типу «глянь, я хохотал неделю» также могут быть способом привлечь ваше внимание и заставить пройти по предлагаемой ссылке. Это же касается сообщений в социальных сетях — в случае, если знакомый просит денежных средств в долг, либо пополнить баланс телефона, удостоверьтесь, что данная просьба исходит от знакомого, а не от мошенника, который взломал его аккаунт.
Помимо этого набирает популярность такой вариант интернет-мошенничества, как взлом аккаунтов в социальных сетях и рассылка друзьям жертвы просьб об оказании помощи. В случае, если знакомый просит денежных средств в долг, либо пополнить баланс телефона, удостоверьтесь, что данная просьба исходит от знакомого, а не от мошенника, который взломал его аккаунт.
Совет. По-настоящему эффективная защита от интернет-мошенничества — полное игнорирование подозрительного сообщения в социальных сетях, по SMS, либо по электронной почте. Даже если вы вступаете в переписку с социальным инженером исключительно с целью отказа, вы все равно ставите себя под угрозу — подтверждается адрес электронной почты, ваши данные. И следующие рассылки станут более изощренными.
В заключение данной статьи хочу привести любимую почти всеми киберэкспертами цитату Фрэнка Уильяма Абигнейла, в свое время популярного и изощренного афериста, а на сегодняшний день известного эксперта по безопасности личности: «Правоохранительные органы не смогут защитить пользователей. Гражданам следует быть более осведомленными и больше знать о таких вещах, как взлом личности. Необходимо стать немного умнее, немного сообразительнее. Нет ничего плохого в том, чтобы быть скептиком. Мы живем в такое время, что, в случае если у вас легко украсть, кто-нибудь в обязательном порядке воспользуется возможностью». При подготовке публикации частично была использована информация источника.
Спасибо за внимание!
Возможно Вам будут интересны следующие публикации:
На карту поступили деньги неизвестно от кого. Что делать? можно ознакомиться Подробнее ➤
Мобильный развод. Как мошенники обманывают по телефону, можно ознакомиться Подробнее ➤
Вставьте карту: как мошенники воруют из банкоматов, можно ознакомиться Подробнее ➤
Социальная инженерия
С момента появления компьютеров и начала развития Интернета программисты всеми силами стремятся обеспечить компьютерную безопасность. Но даже сегодня добиться этого на 100% не удалось никому. Однако давайте представим, что этот результат все же достигнут благодаря мощнейшей криптографии, усиленным протоколам безопасности, надежному программному обеспечению и другим элементам защиты. В итоге мы получаем абсолютно безопасную сеть, и можем смело в ней работать.
«Прекрасно! – скажете вы, – дело в шляпе!», но окажетесь неправы, ведь этого недостаточно. Почему? Да потому что пользу от любой компьютерной системы можно получить лишь при участии пользователей, т.е. людей. И как раз это взаимодействие между компьютером и человеком несет в себе серьезную опасность, и человек зачастую оказывается наиболее слабым звеном в цепи мер безопасности. К тому же он сам и является причиной, по которой безопасность оказывается неэффективной.
В информационный век манипулировать людьми стало проще, ведь есть Интернет и мобильная связь, которые позволяют взаимодействовать без непосредственного контакта. Существуют даже специальные методы, помогающие злоумышленникам «оперировать» людьми так, как им хочется. Их комплекс называется социальной инженерией, и в этой статье мы попробуем выяснить, что же это такое.
Социальная инженерия: что это и как она появилась?
Несложно догадаться, что даже самая навороченная система безопасности уязвима, когда ей управляет человек, тем более, если этот человек доверчив, наивен и психологически неустойчив. И когда на машину (ПК) совершается атака, ее жертвой может выступать не только компьютер, но и человек, который за ним работает.
Именно такая атака на сленге социальных хакеров называется социальной инженерией. В традиционной форме она выглядит как телефонный звонок, где звонящий выдает себя за кого-то другого, желая выудить у абонента конфиденциальную информацию, чаще всего – пароли. Но в нашей статье мы рассмотрим явление социальной инженерии в более широком понимании, подразумевая под ним любые возможные методы психологических манипуляций, такие как шантаж, игра на чувствах, обман и т.п.
В этом понимании социальная инженерия является методом управления действиями людей без применения технических средств. Чаще всего он воспринимается как незаконный метод получения разных ценных сведений. Используется же он преимущественно в Интернете. Если вам интересны примеры социальной инженерии, то вот один из самых ярких:
ПРИМЕР: Злоумышленник хочет узнать пароль от личного кабинета Интернет-банка у человека. Он звонит жертве по телефону и представляется сотрудником банка, просит назвать пароль, ссылаясь на серьезные технические проблемы в системе организации. Для большей убедительности он называет вымышленное (или узнанное заранее реальное) имя сотрудника, его должность и полномочия (если потребуется). Чтобы заставить жертву поверить, социальный хакер может наполнить свою историю правдоподобными деталями, сыграть на чувствах самой жертвы. После того как злоумышленник получил сведения, он все также мастерски прощается со своим «клиентом», а затем использует пароль для входа в личный кабинет и кражи средств.
Как ни странно, но даже в наше время есть люди, которые клюют на такие удочки, и доверчиво рассказывают социальным хакерам, все, что им нужно. А в арсенале последних может быть немало техник и приемов. О них мы тоже расскажем, но чуть позже.
Социальная инженерия – наука (направление), появившаяся сравнительно недавно. Ее социологическое значение состоит в том, что она оперирует специфическими знаниями, направляющими, систематизирующими и оптимизирующими процесс создания, модернизации и применения новых социальных реальностей. В некотором смысле она дополняет социологическое знание, преобразуя научные знания в алгоритмы деятельности и поведения.
В определенной форме люди использовали социальную инженерию с древних времен. Например, в Древнем Риме и Древней Греции очень уважали специально подготовленных риторов, способных убедить собеседника в его «неправоте». Эти люди участвовали в дипломатических переговорах и решали государственные проблемы. Позже социальную инженерию взяли на вооружение спецслужбы, такие как ЦРУ и КГБ, агенты которых с успехом выдавали себя за кого угодно и выведывали государственные тайны.
К началу 1970-х годов стали появляться телефонные хулиганы, нарушавшие покой разных компаний ради шутки. Но со временем кто-то сообразил, что, если использовать техничный подход, можно достаточно легко получать разную важную информацию. И уже к концу 70-х бывшие телефонные хулиганы превратились в профессиональных социальных инженеров (их стали называть синжерами), способных мастерски манипулировать людьми, по одной лишь интонации определяя их комплексы и страхи.
Когда же появились компьютеры, большинство синжеров сменило профиль, став социальными хакерами. Теперь понятия «социальная инженерия» и «социальные хакеры» синонимичны. А с мощным развитием социальной инженерии стали появляться ее новые виды и расширился арсенал методик.
Посмотрите это небольшое видео, чтобы узнать, как социальные хакеры манипулируют людьми.
Методы социальной инженерии
Все реальные примеры социальной инженерии говорят о том, что она легко адаптируется к любым условиям и к любой обстановке, а жертвы социальных хакеров, как правило, даже не подозревают, что по отношению к ним применяют какую-то технику, и тем более не знают, кто это делает.
Все методы социальной инженерии основываются на особенностях принятия людьми решений. Это так называемый когнитивный базис, согласно которому люди в социальной среде всегда склонны кому-то доверять. Среди главных методов социальной инженерии выделяются:
Расскажем о них подробнее.
«Троянский конь»
При использовании «троянского коня» эксплуатируется любопытство человека и его желание получить выгоду. Социальные хакеры отправляют на E-Mail жертвы письмо, в котором есть некое интересное вложение, например, апгрейд для какой-то программы, скрин-сейвер эротического содержания, будоражащая новость и т.д. Метод используется, чтобы вынудить пользователя кликнуть по файлу, который может заразить компьютер вирусом. Часто в результате на экране появляются баннеры, закрыть которые можно только двумя способами: переустановив операционную систему или заплатив злоумышленникам определенную сумму.
Претекстинг
Под термином «претекстинг» подразумевается действие, которое пользователь совершает по предварительно подготовленному претексту, т.е. сценарию. Цель состоит в том, чтобы человек выдал конкретные сведения или совершил конкретное действие. В большинстве случаев претекстинг применяется при телефонных звонках, хотя есть примеры подобных атак по Skype, Viber, ICQ и другим мессенджерам. Но для реализации метода синжер или хакер должен не просто умело лгать, но и заранее провести исследование объекта – узнать его имя, дату рождения, место работы, сумму на счете и т.д. При помощи таких деталей синжер повышает к себе доверие жертвы.
«Дорожное яблоко»
Метод дорожного яблока состоит в адаптации «троянского коня» и требует обязательного применения какого-то физического носителя информации. Социальные хакеры могут подбрасывать загрузочные флешки или диски, подделанные под носители с интересным и/или уникальным контентом. Все, что нужно, – это незаметно подложить жертве «дорожное яблоко», например, в машину на парковке, в сумку в лифте и т.д. А можно просто оставить этот «фрукт» там, где жертва его с большой долей вероятности увидит и возьмет сама.
Фишинг
Фишинг является очень распространенным методом получения конфиденциальных сведений. В классическом варианте это «официальное» электронное письмо (от платежного сервиса, банка, частного лица высокого ранга и т.д.), снабженное подписями и печатями. От адресата требуется перейти по ссылке на фальшивый сайт (там тоже есть все, что говорит об «официальности и достоверности» ресурса) и ввести какую-то информацию, к примеру, ФИО, домашний адрес, номер телефона, адреса профилей в соцсетях, номер банковской карты (и даже CVV-код!). Доверившись сайту и введя данные, жертва отправляет их мошенникам, а что происходит дальше, догадаться несложно.
Кви про кво
Метод «Кви про кво» используют для внедрения вредоносного ПО в системы различных компаний. Социальные хакеры звонят в нужную (иногда – в любую) компанию, представляются сотрудниками техподдержки и опрашивают работников на наличие каких-либо техническим неисправностей в компьютерной системе. Если неисправности имеются, злоумышленники начинают их «устранять»: просят жертву ввести определенную команду, после чего появляется возможность запуска вирусного ПО.
Вышеназванные методы социальной инженерии встречаются на практике чаще всего, но есть и другие. Кроме того, есть еще и особенный вид социальной инженерии, который также призван повлиять на человека и его действия, но делается по совсем другому алгоритму.
Обратная социальная инженерия
Обратная социальная инженерия и социальные хакеры, специализирующиеся на ней, выстраивают свою деятельность в трех направлениях:
В случае с этим видом социальной инженерии злоумышленники изначально изучают человека или группу людей, на которых планируется оказать влияние. Исследуются их пристрастия, интересы, желания и потребности, и влияние оказывается именно через них с помощью программ и любых других методов электронного воздействия. Причем программы должны сначала работать без сбоев, чтобы не вызывать опасений, а уже потом переключаться на вредоносный режим.
Примеры обратной социальной инженерии – тоже не редкость, и вот один из них:
Социальные хакеры разрабатывают программу для конкретной компании, исходя из ее интересов. В программе заложен вирус замедленного действия – через три недели он активируется, а система начинает давать сбои. Руководство обращается к разработчикам, чтобы они помогли устранить проблему. Будучи готовыми к такому развитию событий, злоумышленники присылают своего «специалиста», который, «решая проблему», получает доступ к конфиденциальной информации. Цель достигнута.
В отличие от обычной социальной инженерии, обратная более трудоемка, требует особых знаний и навыков и используется для воздействия на более широкую аудиторию. Зато эффект от нее потрясающий – жертва без сопротивления, т.е. по своему собственному желанию раскрывает перед хакерами все карты.
Таким образом, любой вид социальной инженерии практически всегда используется со злым умыслом. Некоторые люди, конечно, говорят о ее пользе, указывая на то, что с ее помощью можно разрешать социальные проблемы, сохранять социальную активность и даже адаптировать социальные институты к меняющимся условиям. Но, несмотря на это, успешнее всего ее применяют для:
Естественно, это не могло остаться незамеченным, и появились методы противодействия социальной инженерии.
Защита от социальной инженерии
Сегодня в крупных компаниях систематически проводят всевозможные тесты на сопротивляемость социальной инженерии. Почти никогда действия людей, подпавших под атаку социальных хакеров, не носят умышленного характера. Но тем они и опасны, ведь если от внешней угрозы защититься сравнительно легко, то от внутренней – намного сложнее.
Чтобы повысить безопасность, руководство компаний проводит специализированные тренинги, контролирует уровень знаний своих сотрудников, а также само инициирует внутренние диверсии, что позволяет установить степень подготовленности людей к атакам социальных хакеров, их реакцию, добросовестность и честность. Так, на E-Mail могут присылать «зараженные» письма, вступать в контакт в Skype или соцсетях.
Сама же защита от социальной инженерии может быть как антропогенной, так и технической. В первом случае привлекается внимание людей к вопросам безопасности, доносится суть серьезности данной проблемы и принимаются меры по привитию политики безопасности, изучаются и внедряются методы и действия, повышающие защиту информационного обеспечения. Но у всего этого есть один недостаток – все эти способы пассивны, и многие люди просто пренебрегают предупреждениями.
Что же касается технической защиты, то сюда относятся средства, затрудняющие доступ к информации и ее использованию. Учитывая то, что самыми «популярными» атаками социальных хакеров в Интернете стали электронные письма и сообщения, программисты создают особое ПО, фильтрующее все поступающие данные, и это касается как частных почтовых ящиков, так и внутренней почты. Фильтры анализируют тексты входящих и исходящих сообщений. Но здесь есть трудность – такое программное обеспечение загружает серверы, что может тормозить и сбивать работу системы. К тому же невозможно предусмотреть все вариации написания потенциально опасных сообщений. Однако технологии совершенствуются.
А если говорить конкретно о средствах, препятствующих использованию полученных данных, они делятся на:
Оба этих способа блокируют возможность автоматизации и смещают баланс между ценностью сведений и работой по их получению в сторону работы. Поэтому даже при наличии всех данных, выданных ничего не подозревающими пользователями, социальные хакеры сталкиваются с серьезными трудностями в их практическом применении.
А любому обычному человеку для защиты от социальной инженерии мы советуем просто сохранять бдительность. Получая на электронную почту письмо, обязательно внимательно читайте текст и ссылки, старайтесь понять, что находится в письме, от кого оно пришло и зачем. Не забывайте пользоваться антивирусами. Если же неизвестные звонят по телефону с незнакомого номера, никогда не называйте своих личных данных, тем более тех, которые касаются ваших финансов.
Кстати, в этом видео, пусть и коротко, но интересно рассказано о том, как защититься от социальной инженерии.
И, напоследок, мы хотим познакомить вас с некоторыми из книг по социальной инженерии, в том числе как области социологического знания, чтобы при желании вы могли познакомиться с темой подробнее.
В этих книгах есть множество практических рекомендаций о том, как овладеть распространенными манипулятивными техниками и приемами. Также вы узнаете о наиболее эффективных методах социальной инженерии и научитесь распознавать их и защищаться от атак.
Книги по социальной инженерии:
И вместе с книгами почитайте несколько наших статей о манипуляции:
Помните, что овладеть искусством управления действиями окружающих способен каждый, но эти умения нужно использовать во благо людям. Иногда направлять человека и подталкивать его к выгодным нам решениям полезно и удобно. Но намного важнее уметь определять социальных хакеров и обманщиков, чтобы не стать их жертвой; намного важнее и самому не быть одним из них. Желаем вам мудрости и полезного жизненного опыта!
Мошенничество и социальная инженерия: как не стать жертвой?
Социальная инженерия – это метод получения необходимого доступа к информации, основанный на особенностях психологии людей.
Самое слабое звено в системе обеспечения безопасности – человек.
Почему люди уязвимы для атак?
1. Теряют бдительность.
2. Легко верят полученной информации, независимо от ее источника.
3. Считают соблюдение политики информационной безопасности пустой тратой времени и сил.
4. Недооценивают значимость информации, которой владеют.
5. Искренне хотят помочь каждому, кто об этом просит.
6. Не осознают пагубных последствий своих действий.
Приемы, применяемые злоумышленниками наиболее часто и успешно в попытках манипулировать людьми:
Людям свойственно желание услужить человеку с авторитетом (властью). Злоумышленник получит нужный ответ, если человек уверен, что спрашивающий имеет власть или право задавать этот вопрос.
Злоумышленник пытается выдать себя за авторитетное лицо одного из подразделений организации (например, руководителя IT-подразделения) или должностное лицо, выполняющее задание организации.
2. Умение расположить к себе
Люди имеют привычку удовлетворить запрос располагающего к себе человека или человека со сходными интересами, мнением, взглядами, либо бедами и проблемами.
В разговоре злоумышленник пытается выяснить увлечения и интересы жертвы, а потом с энтузиазмом сообщает, что это ему близко. Также он может сообщить, что он из той же школы, места, или что-то похожее. Злоумышленник может даже подражать жертве, чтобы создать сходство, видимую общность.
Когда кто-то делает что-то для нас, мы чувствуем желание отплатить взаимностью. Эта сильная черта человеческой натуры проявляется тогда, когда получивший подарок не ждал (не просил) его.
Злоумышленник звонит по случайному номеру в организации и представляется работником Службы техподдержки, опрашивающим, есть ли какие-либо технические проблемы. В случае, если они есть, в процессе их «решения» работник отвечает на многочисленные вопросы злоумышленника, зачастую, не задумываясь сообщая злоумышленнику конфиденциальную информацию (например, пароли, учетные записи), вводит команды, которые позволяют злоумышленнику запустить вредоносное программное обеспечение.
Люди имеют привычку исполнять обещанное. Пообещав, мы сделаем все, потому что не хотим казаться не заслуживающими доверия.
Злоумышленник связывается с подходящим новым работником организации, выдает себя за работника подразделения и предлагает придумать сложный пароль для доступа к информации. Мошенник пытается давать рекомендации по выбору пароля и в целом довольно ответственно (в глазах сотрудника) подходит к своим обязанностям. Когда сотрудник говорит свой пароль, то мошенник утверждает, что пароль правильный и предлагает его сохранить. Сотрудник следует его указанием, так как чувствует, что согласился с человеком и не хочет его подвести.
5. Социальная принадлежность
Людям свойственно не выделяться в своей социальной группе. Действия других являются гарантом истинности в вопросе поведения.
Пример: мошенники приезжает в подразделение с проверкой и называют друг друга по имени. Человек верит им, так как это реальные имена сотрудников компании.
6. Ограниченное количество «бесплатного сыра»
Одна из потенциально опасных для безопасности информации человеческих черт – вера в то, что объект делится частью информации, на которую претендуют другие, или что эта информация доступна только в этот момент.
Злоумышленник рассылает электронные письма, сообщающие, что первые 300 зарегистрировавшихся на новом сайте выиграют 3 билета на премьеру фильма. Когда ничего не подозревающий человек регистрируется на сайте, его просят ввести адрес электронной почты и пароль. Многие люди, даже не задумываясь, введут запрашиваемые данные.
Методы социальной инженерии
Мошенник звонит человеку и представляется работником Банка. Под каким-либо предлогом он просит сообщить личные данные или данные банковских карт.
Возможно, Вас атакуют, если Ваш собеседник:
проявляет к Вам повышенный интерес;
преувеличенное внимание и заботу;
отказывается дать Вам свои координаты;
обращается к Вам со странной или необычной просьбой;
пытается втереться к Вам в доверие или льстит Вам;
говорит с Вами подчеркнуто начальственным тоном.
Классическая схема фишинг-атаки:
Вам пришло электронное письмо или SMS-сообщение с просьбой перейти по указанной ссылке.
При переходе по ссылке открывается сайт-подделка.
Вам предлагают ввести Ваш логин и пароль.
Не задумываясь, Вы вводите данные, и готово – злоумышленник уже получил доступ к ранее защищенной информации на настоящем сайте.
Да и без ввода данных, просто после открытия сайта-двойника на Ваш компьютер вполне может попасть некий «троян» непредсказуемого назначения.
Ссылки на зараженные сайты могут быть отправлены по электронной почте, через социальные сети, системы мгновенного обмена сообщениями.
Мобильные вирусы часто доставляются SMS-сообщениями.
Многие пользователи Facebook столкнулись c «трояном» Facebook.310, который «перекочевывал» на компьютер пользователя Facebook после того, как он «щелкал» на фальшивый видеоролик с сообщением о необходимости обновления видеоплеера.
Вместо обновления устанавливался «троян» Facebook.310, который действовал в Facebook от имени пользователя: устраивал рассылки, ставил «лайки», писал комментарии, открывал доступ к фотоальбому, вступал в группы и т.д.
Вместе с ним устанавливался второй троян-backdoor IRC.Bot.2344, который обеспечивал злоумышленникам внешнее управление компьютером пользователя Facebook, делая зараженный компьютер частью бот-сети, осуществляющей сетевые атаки на сайты коммерческих компаний и государственных структур, платежные системы.
Человек получает звонок отзлоумышленника, который называет себя интернет-провайдером. Звонящий рассказывает, что некоторые компьютеры заражены новым вирусом, который не обнаруживается антивирусом. Этот вирус может уничтожить (повредить) все файлы на компьютере.
Злоумышленник делится информацией, как решить проблему. Затем он просит выполнить некоторые действия.
Человеку неудобно отказать, потому что звонящий лишь предлагает помощь, которая защитит пользователей от вируса. Он готов отплатить, сделав что-нибудь для «доброго человека». Например, ответить на пару вопросов…
6. Самое тривиальное, но тем не менее опаснейший метод социальной инженерии:
Обратная социальная инженерия
«Как такое может произойти? Бред!» – подумаете Вы.
На самом деле лица, обладающие авторитетом в технической или социальной сфере, часто получают идентификаторы, пароли пользователей и другую важную личную информацию просто потому, что никто не сомневается в их порядочности.
Злоумышленник, работающий вместе с жертвой, изменяет на ее компьютере имя файла или перемещает его в другой каталог.
Когда жертва замечает пропажу файла, злоумышленник заявляет, что может все исправить.
Злоумышленник заявляет, что решить проблему можно, только войдя в систему с учетными данными жертвы.
Теперь уже жертва просит злоумышленника войти в систему под ее именем, чтобы попытаться восстановить файл. Злоумышленник «неохотно» соглашается и восстанавливает файл, а по ходу дела крадет идентификатор и пароль жертвы.
З.Ы. не моё, текст написан по многочисленным статьям в интернете.
Антимошенник
3K постов 29.8K подписчиков
Правила сообщества
* посты об очередном фишинговом сайте
* скриншоты фишинговых сообщений
* переписки с мошенниками
* номера телефонов мошенников
* фото фальшивых квитанций ЖКХ
* фото попрошаек и «работников СНИЛС»
* «нигерийские письма» и прочие баяны
* видео без описания
Подобные посты могут быть добавлены на усмотрение администрации сообщества.
1. Нарушения базовых правил Пикабу.
2. Посты не по тематике сообщества, а также недоказанные случаи мошенничества (в случае обвинения какого-либо лица или организации).
4. Пошаговые, излишне подробные мошеннические схемы и инструкции к осуществлению преступной деятельности.
5. Мотивация к мошенничеству, пожелания и советы «как делать правильно».
6. Флуд, флейм и оскорбления пользователей, в т.ч. провокации спора, распространение сведений, порочащих честь и репутацию, принижающих квалификацию оппонента, переходы на личности.
7. Бессодержательное, трудночитаемое и в целом некачественное оформление постов. При наличии подтверждений в комментариях, пост может быть вынесен в общую ленту.
В зависимости от степени нарушения может последовать:
А. Вынос поста в общую ленту (п.1, 2, 3, 5, 7 правил сообщества)
Б. Удаление поста (п.1, п.4 правил сообщества)
В. Занесение пользователя в игнор-лист сообщества (п.6 правил сообщества, а также при систематических нарушениях остальных пунктов)
Просьбы о разбане и жалобы на модерацию принимает администратор сообщества. Жалобы на администратора принимает @SupportCommunity и общество Пикабу.
Страна непуганых идиотов
Живу в Германии, работаю в IT. На днях в нашей конторе ушла налево зарплата одного сотрудника. Хакеры, взломы, использование неизвестных уязвимостей? Не-а. Социальная инженерия, простая до безобразия.
Кто-то с почты на Hotmail написал нашему HR, представился именем этого сотрудника и попросил в связи со сменой банка изменить счет для перечисления зарплаты (это ок, зарплатных карт тут не бывает, сотрудник дает работодателю реквизиты личного счета). HR не смутило ни письмо с левой (а не рабочей) почты, ни отсутствие электронной подписи, ни дикие ашыпки явно указывающие на гуглопереводчик, ни неправильное написание имени. Он пожурил «сотрудника» за некорректно составленное обращение, попросил в следующий раз так не делать и поменял реквизиты во внутренней системе, на основании которой бухгалтерия перевела деньги.
Вскрылось все это только через несколько дней, когда настоящий сотрудник стал выяснять, где его зарплата. Откатывать платеж было уже поздно. Теперь этим занимается полиция, а HR ищет новую работу. Вангую, что счет оформлен на бомжа Ганса, деньги давно ушли так что концов не найти, а Hotmail отдаст полиции IP-адрес прокси в Зимбабве.
Дыра в безопасности билайн
UPD: может быть это и ФИЧА, а не дыра. Но по одному нажатию «принять» входить в личный кабинет это уж слишком. Сообщение приходит не как пуш, а во весь экран, легко случайно нажать. А модель сяоми black shark 1 сама нажимает «принять».
Электронная подпись: как обходиться без бумаги и при этом не отдать все свои активы мошенникам?
Электронная подпись появилась в России еще в прошлом веке, когда компьютеры были большими, а интернет был по диал-апу. С тех пор применение усиленной электронной подписи (ЭП) расширяется. Её регистрируют как крупные организации, так и совсем небольшие ИП.
После начала пандемии коронавируса случился настоящий бум получений ЭП, ведь иначе бизнес бы встал. В результате за 2020 год было выдано почти вдвое больше сертификатов ЭП, чем в 2019-м. Разберемся, что такое ЭП, почему она так привлекательна для мошенников и как защитить ее от злоумышленников.
ЧТО ТАКОЕ ЭЛЕКТРОННАЯ ПОДПИСЬ?
В этом материале мы говорим об усиленной электронной подписи – идентификаторе человека при дистанционном обмене информацией, имеющем юридическую силу.
Бывает еще простая электронная подпись, подтверждающая, что документ отправил конкретный пользователь. Ее можно сделать с помощью обычных офисных программ, но уровень ее защищенности таков, что всерьез ее воспринимать сложно. Однако простые подписи используются широко. Например, ими незаметно для клиента заверяются все операции по банковским картам. Простая подпись может быть доказательством в арбитражном суде.
Чтобы ввести электронный документооборот, требовался инструмент, одновременно достаточно защищенный, чтобы ему можно было доверять, и достаточно простой, чтобы им мог пользоваться обычный пользователь ПК. Так появилась усиленная электронная подпись.
Усиленная ЭП – это реквизит документа, подтверждающий его авторство и отсутствие изменений в данных с момента подписания. Она защищена криптографическими методами, и взломать ее практически невозможно.
Чтобы подписать документ, нужна пара из секретного и открытого ключа.
Когда человек ставит электронную подпись, алгоритм считает контрольную сумму данных и зашифровывает получившееся значение секретным ключом.
Получатель документа с помощью парного открытого ключа узнаёт, кем именно был подписан документ и проверяет совпадение контрольной суммы. Если после подписи в документе хотя бы переставят запятую или удалят пробел, она будет уже другой. Значит, подпись недействительна.
Из всех ЭП юридической силой собственноручной подписи обладает только усиленная квалифицированная. Чтобы получить ее, нужно, чтобы соответствующий открытый ключ был подписан секретным ключом УЦ.Открытый ключ с метаданными владельца и подписью УЦ и называется сертификатом электронной подписи.
Неквалифицированная подпись используется в основном в деловой среде. Ее может выдать любой удостоверяющий центр (УЦ), в том числе и внутренний УЦ предприятия. Сообщение с неквалифицированной электронной подписью может (по предварительной договоренности сторон и в специально предусмотренных законом случаях) быть приравнено к бумажному документу, подписанному собственноручно.
Квалифицированная подпись по закону считается официальным документом. Она позволяет удаленно работать с налоговой инспекцией, присылать документы в суд – делать все то же, для чего нужна собственноручная подпись. Она подтверждается сертификатом от аккредитованного удостоверяющего центра.
С помощью сотрудников Музея криптографии, который скоро откроется в Москве, мы смогли составить хронологию использования ЭП в России.
1994 – в России принят первый стандарт электронной подписи – ГОСТ Р 34.10-94 (сейчас действуют национальный стандарт ГОСТ Р 34.10-2012 и межгосударственный ГОСТ 34.10-2018)
2002 – вступил в силу первый закон, призванный регулировать использование ЭП – 1-ФЗ «Об электронной цифровой подписи». Он содержал слишком серьезные требования к ЭП и сильно ограничивал возможности по применению электронных документов.
2011 – вышел закон 63-ФЗ «Об электронной подписи», значительно облегчающий ее применение. Это создало основу для перехода к безбумажному документообороту.
2018 – ЭП стала использоваться на портале «Госуслуги»
2019 – появление облачной подписи, которую можно оформить удаленно.
2020 – ключи ЭП можно получать через МФЦ.
2020 – ЭП активно используется в банках для защиты переводов.
Электронная подпись стала по-настоящему доступна. Но так ли это хорошо?
Секретный ключ чужой электронной подписи для мошенников поистине золотой. Имея его, для всего цифрового мира злоумышленник может оставить её настоящего владельца без банковского депозита, бизнеса и единственного жилья.
Самые распространенные преступления с использованием ЭП:
— вывод средств со счетов компании;
— заключение договора дарения или купли-продажи на собственность человека или компании, включая недвижимость и дорогую технику;
— различные манипуляции с организацией: смена руководителя компании, главбуха, других ключевых сотрудников, ограничение доступа организации к госзакупкам и даже ликвидация компании.
Чтобы осознать полный спектр возможностей мошенников, представьте, что вы решили очень сильно навредить собственному материальному положению. Что вы можете для этого сделать? Мошенник с вашим секретным ключом может сделать все то же самое.
Открытый ключ на то и открытый, что давать его можно всем, кому требуется подтвердить вашу электронную подпись. Им можно:
— зашифровать что-то так, что расшифровать сможет только владелец парного секретного ключа;
— проверить подпись, созданную с использованием парного секретного ключа.
Имея доступ к открытому ключу, получить секретный невозможно. Поэтому его можно безопасно предоставлять всем, кому нужно прочитать ваши документы.
УДОСТОВЕРЯЮЩИЙ ЦЕНТР: ЗАЧЕМ ОН НУЖЕН?
На всех сайтах удостоверяющих центров говорится: чтобы получить электронную подпись, нужно получить в УЦ ключевую пару и сертификат. Создается впечатление, что ключевую пару могут сделать только там. Но это а) не так, б) нарушает главное правило работы с ЭП: секретный ключ не должен оказываться в чужих руках. Тем более – в непонятно чьих.
Удостоверяющие центры – это частные организации (порой ИП или вообще частные лица), которые не в полной мере контролируются государством. До 2020 года существовали сотни УЦ, среди которых встречались созданные с мошенническими целями – как раз для кражи секретных ключей. Теперь требования к ним значительно ужесточили, и многие недобросовестные игроки с этого рынка отсеялись. Но все ли? Вряд ли вам хочется проверить это ценой собственной квартиры или бизнеса.
Поэтому если УЦ не аккредитован в Минкомсвязи, с ним можно иметь дело только если:
— это собственный УЦ вашего предприятия;
— он сертифицирует подписи для участия в конкретных мероприятиях (например, в торгах, и тогда УЦ должен иметь аккредитацию не менее чем шести торговых площадок).
Смысл создания аккредитованных УЦ – в дополнительной защите подписи путем сертификации. Сертификат УЦ говорит о том, что его сотрудники удостоверились в том, что конкретный гражданин пришел к ним с паспортом и заявил, что принесенная им ключевая пара принадлежит ему. Для такой идентификации достаточно предоставить в УЦ открытый ключ. Но явиться лично и с паспортом придется. Дистанционные способы подтверждения личности в таком важном деле, как получение сертификата, могут применяться только в исключительных случаях. Если УЦ предлагает такие варианты просто по желанию клиента, возможно, организация настолько же непринципиальна и в других вопросах информационной безопасности.
Кроме выдачи сертификата электронной подписи, УЦ по заявлению владельца может приостановить действие сертификата или отозвать его, и тогда ЭП потеряет силу. Об этом пользователю, имеющему парный открытый ключ, сообщит программа, проверяющая подпись. В сообщении будет сказано: «Подпись верна, сертификат недействителен». Но между тем, как секретный ключ станет кому-либо известен, до тех пор, пока УЦ поместит сертификат открытого ключа в список отозванных, пройдет какое-то время. За этот промежуток злоумышленник вполне может провести операции, которые будут считаться легитимными.
КЕЙС: КАК СДЕЛАТЬ СЕБЕ ЭП
Верный способ защитить секретный ключ от утечек на начальном этапе – сделать на предприятии собственный УЦ. Он не будет аккредитованным, зато вы точно будете знать, кто имеет доступ к настолько важным данным. Приведем кейс от дружественной компании, которая не поленилась немного поработать, и теперь ее руководство спит спокойно. Ну, почти спокойно: инсайдерское в+оздействие (то есть, злой умысел сотрудника) никто не отменял, но это уже другая задача.
Для создания ключевой пары и последующей работы с цифровой подписью мы использовали отдельный компьютер с заведомо «чистой» системой. Мы протестировали несколько систем, и остановились на российском Alt Linux. Для добавления поддержки шифрования и цифровой подписи по ГОСТ в ней оказалось достаточно установить пакет openssl-gost-engine и добавить в начало конфигурационного файла несколько строчек:
В других системах на основе GNU/Linux все тоже заработало, но усилий приложить потребовалось чуть больше. Нам удалось настроить софт для создания ключевой пары под Windows и MacOS, но в этих случаях гораздо острее встает проблема вредоносного ПО, нацеленного на кражу секретного ключа.
После создания ключевых пар мы обратились в аккредитованный УЦ и зарегистрировали их по установленной законом процедуре. Мы предъявили в УЦ открытые ключи и необходимые документы как для физических лиц, так и для организации. Этот этап оказался самым сложным: сотрудники УЦ не сразу поняли, что нам не нужна медвежья услуга по созданию ключевой пары, а достаточно просто подписать уже существующий открытый ключ.
Мы ссылались на ФЗ-63 «Об электронной подписи». В ст. 2 этого закона и во многих других статьях сказано, что сертификат электронной подписи, в том числе квалифицированной, выдает УЦ. Но нет ни слова о том, что УЦ выдает ключевую пару. Сотрудники сначала аргументировали отказ в выдаче сертификата доводами вроде «Ну мы всегда так делали». Но затем они, вероятно, все же почитали закон и посоветовались с юристами. В результате наше законное требование было выполнено, мы успешно избежали навязанной и небезопасной услуги.
С 1 января 2022 года вступят в силу изменения к ФЗ-63, но принципиально поменяется только выбор УЦ, в которых могут получить сертификат руководители предприятий, индивидуальные предприниматели и нотариусы. Список компаний, которые смогут выдать сертификат в таких случаях, будет ограничен УЦ ФНС и организаций, которые налоговая служба сочтет доверенными. Получать ключевую пару именно в них закон по-прежнему не требует.
Как хранить секретный ключ
Ключевую пару можно хранить в специализированном устройстве. Для этого обычно используют рутокен или е-токен. УЦ выдает секретные ключи именно на этих устройствах, но их вполне можно приобрести самостоятельно.
Внешне токен похож на обычную USB-флешку, но внутри содержит не накопитель, а криптопроцессор – устройство, хранящее секретные ключи и осуществляющее внутри себя все необходимые криптопреобразования. Поместить секретные ключи в эти устройства можно, но извлечь их оттуда уже не получится, что обеспечивает дополнительный уровень защиты.
Две главных опасности для секретного ключа – это вредоносное ПО и действия пользователя. Надеяться только на антивирусные программы недостаточно. Важно соблюдать правила:
— не оставлять токен подключенным к компьютеру дольше необходимого;
— не оставлять устройство без присмотра (его нужно всегда иметь при себе или хранить в сейфе);
— ни в коем случае не помещать секретный ключ в облачное хранилище и вообще не использовать для его хранения Интернет.
ЭП: ТЕХНИКА БЕЗОПАСНОСТИ
1. Изучите компьютерную грамотность сами и обучите ей сотрудников или родственников! Антивирусы – это хорошо, но лучшая защита пользователя от кибермошенничества – его собственная голова. Люди, которые могут хотя бы подойти к вашему компьютеру, должны знать, что такое фишинг, как отличить настоящий сайт от подделки и почему нельзя открывать все ссылки подряд.
2. Поддерживайте антивирусную защиту актуальной! Самый распространенный способ «украсть ЭП» (а точнее секретный ключ) на сегодня – зловредные программы, которыми преступники заражают компьютеры.
3. Не используйте токен на компьютере, в защищенности которого вы не уверены.
4. Ключевую пару можно и нужно создать самостоятельно.
5. Не пользуйтесь услугами неаккредитованных удостоверяющих центров, если это не ваш собственный УЦ.
6. Секретный ключ, в том числе содержащий его токен, нельзя передавать никому. Даже родным и близким. Сотрудникам, которые имеют право подписывать документы, сделайте их личные ключи.
7. Паспортные данные и тем более сканы документа должны храниться максимально надежно. Нельзя размещать их в Интернете, даже в якобы безопасных хранилищах. Если при получении какой-либо услуги вместо паспорта допустимо предъявить другой документ, так и поступите. Иначе есть риск обзавестись неучтенной цифровой подписью.
8. Установите пароли на токен и компьютер. Пароль должен иметь достаточную длину и содержать как буквы в разных регистрах, так и цифры со спецсимволами. Еще лучше использовать ключевую фразу (passphrase): это набор слов, разделенных цифрами или спецсимволами. Например, 1k*СпОc0бОв/=\zaS4itit`+token|_|. Его придется выучить наизусть. Записанный на бумажке, даже самый сложный пароль теряет смысл. Достаточно один раз забыть такой листок на столе – и в лучшем случае просто придется заказывать новую подпись.
9. Не храните незащищенный секретный ключ на жестком диске компьютера.
10. Если вы – руководитель, и у ваших подчиненных есть ЭП, дающая право подписывать документы от имени предприятия, при увольнении сотрудника отзывайте его подпись даже раньше, чем он получит расчет.