Абориген XXI века
|
|
Абориген XXI века |
|
|
|
|
|
||
|
|
|
||
| Скачать Бесплатно | |||
Новое
|
|
Социальная Инженерия Всё что касается этого поистенне ИССКУСТВА! здесь: Претекстинг - это действие, отработанное по заранее составленному сценарию (претексту). В результате цель должна выдать определённую информацию, или совершить определённое действие. Этот вид атак применяется обычно по телефону. Чаще эта техника включает в себя больше, чем просто ложь, и требует каких-либо предварительных исследований (например, персонализации: дата рождения, сумма последнего счёта и др.), с тем, чтобы обеспечить доверие цели. Организаторы фишинг-атак используют массовые рассылки электронных писем от имени популярных брендов. В эти письма они вставляют ссылки на фальшивые сайты, являющиеся точной копией настоящих. Оказавшись на таком сайте, пользователь может сообщить преступникам ценную информацию, позволяющую управлять своим счётом из интернета (имя пользователя и пароль для доступа), или, даже, номер своей кредитной карты. Успеху фишинг-афер способствует низкий уровень осведомленности пользователей о правилах работы компаний, от имени которых действуют преступники. В частности, около 5% пользователей не знают простого факта: банки не рассылают писем с просьбой подтвердить в онлайне номер своей кредитной карты и её PIN-код[источник?]. Для защиты от фишинга производители основных интернет-браузеров договорились о применении одинаковых способов информирования пользователей о том, что они открыли подозрительный сайт, который может принадлежать мошенникам. Новые версии браузеров уже обладают такой возможностью, которая соответственно именуется "анти-фишинг". Этот метод атаки представляет собой адаптацию троянского коня, и состоит в использовании физических носителей. Злоумышленник может подбросить инфицированный CD, или флэш, в месте, где носитель может быть легко найден (туалет, лифт, парковка). Носитель подделывается под официальный, и сопровождается подписью, призванной вызвать любопытство. Пример: Злоумышленник может подбросить CD, снабжённый корпоративным логотипом, и ссылкой на официальный сайт компании цели, и снабдить его надписью "Заработная плата руководящего состава Q1 2007". Диск может быть оставлен на полу лифта, или в вестибюле. Сотрудник по незнанию может подобрать диск, и вставить его в компьютер, чтобы удовлетворить своё любопытство, или просто добрый самаритянин отнесёт диск в компанию. Злоумышленник может позвонить по случайному номеру в компанию, и представиться сотрудником техподдержки, опрашивающим, есть ли какие-либо технические проблемы. В случае, если они есть, в процессе их "решения" цель вводит команды, которые позволяют хакеру запустить вредоносное программное обеспечение. Обратная социальная инженерия Общаясь по Интернет, вы не видите и не слышите своего собеседника, более того, нет никаких гарантий, что сообщение действительно отправлено тем адресатом, имя которого стоит в заголовке. Атакующий может находиться и в соседней комнате, и в соседнем городе, и даже на соседнем континенте! Все это значительно усложняет идентификацию личности, поиск и доказательство причастности злоумышленника к атаке. Стоит ли удивляться огромной популярности социальной инженерии среди молодежи? К счастью, подавляющее большинство мошенников действует по идентичным или близким шаблонам. Поэтому, изучение приемов их "работы" позволяет распознать обман и не попасться на удочку. Автором этой статьи собрана обширная коллекция хакерского арсенала, наиболее популярные "экспонаты" которой представлены ниже. Конечно, на исчерпывающее руководство по обеспечению собственной безопасности данная публикация не претендует, но общее представление о методиках хищения денег и/или информации все же дает. Уход от ответственности Успешно выполнить атаку - означает решить лишь половину задачи. Злоумышленнику еще предстоит замести за собой следы - уйти от ответственности и не попасться. А это, кстати, намного сложнее! Поэтому, матерые мошенники, похитив энную сумму денег, без тени жалости переводят большую ее часть на счет одного из сотрудников фирмы, который в принципе подходит на роль похитителя. Причем, это должен быть жадный, азартный и умственно недалекий человек, который, обнаружив на своем счете "лишние" деньги, с высокой степенью вероятности рискнет прикарманить добро, само идущее к нему в руки, а не побежит в милицию. Затем следует анонимный звонок (письмо) директору фирмы с сообщением: где следует искать пропавшие деньги и… жертве будет чрезвычайно трудно доказать, что она тут ни при чем, и убедить остальных, что ее подставили. Конечно, путь денег - кто именно перевел их жертве - проследить вполне возможно (особенно, если это крупная сумма), но, во-первых, злоумышленник может переводить деньги через подставное лицо. А, во-вторых, даже будучи пойманным, он сможет заявить, что он не главарь, а пешка и вообще не знал, что деньги ворованные. При условии, что злоумышленник оставит себе меньшую часть награбленного, такая легенда будет звучать весьма убедительно. Поэтому, при "разборе полетов" ни в коем случае не хватайте первого попавшегося под руку обвиняемого, - в большинстве случаев он действительно ни в чем не виновен. Другой способ "перевода стрелок" заключается в психологической обработке лиц, "помешанных" на подражательстве хакерам, но хакерами не являющимися. Сначала их убеждают, что пребывание в тюрьме - явление вполне нормальное для хакера, затем демонстрируют целую серию эффективных "взломов", чем вызывают глубокое уважение к себе. Наконец, когда "клиент" готов, мошенник предлагает ему стать своим учеником, после чего руками ученика осуществляет реальный взлом. В случае раскрытия преступления ученик может и не выдать своего "наставника" (а при правильной психологической обработке и не выдаст, хоть режь его на куски). А, если даже и выдаст, следствию будет не так-то легко уличить злоумышленника, ведь все предыдущие атаки - фикция! "Наставник" без больших трудов сможет представить все это невинной игрой. Он-де, просто забавлялся, не причиняя никому никакого вреда. А о том, кто руководил "учеником" в настоящей атаке, - не имеет ни малейшего представления. Впрочем, заставить ученика молчать можно и другими способами, тем же шантажом, скажем, но об этом позже. В том случае, если пароль заполучить не удастся, злоумышленнику ничего не останется, как прибегнуть к атаке на технические средства (т.е. непосредственно на компьютеры). Однако правильно сконфигурированную и хорошо защищенную систему ломать "в лоб" практически бесполезно. Вот если бы в ней была дыра... Один из нетехнических способов пробивания дыр выглядит приблизительно так: злоумышленник звонит администратору и сообщает, что из достоверных источников ему стало известно о готовящейся (или уже совершенной) атаке. Никаких деталей звонящий, естественно, не сообщает (он ведь не взломщик, а "знакомый" взломщика), но приблизительное местонахождение дырки все же указывает. Существует ненулевая вероятность того, что администратор, пытаясь повысить безопасность своей системы, допустит несколько ошибок, упрощающих атаку. (И эта вероятность тем больше, чем сильнее волнуется администратор). Для отвлечения внимания злоумышленники часто прибегают к имитации атаки, выполняя различные бессмысленные, но целенаправленные действия. Автору этой статьи известно несколько случаев, когда в ответ на мусор, направленный в 80й порт, администраторы просто "срубали" WEB-сервисы, поскольку, будучи предупрежденными об "атаке", считали: лучше на время остаться без WEB'а, чем позволить хакерам проникнуть в локальную сеть и похитить конфиденциальную информацию. Естественно, простой WEB-серверов обернулся внушительными убытками, хотя никакой опасности на самом деле и не было. Так что не стоит шарахаться от каждой тени и любое непонятное действие расценивать как вторжение в систему. Развивая идею дальше, злоумышленники догадались, что выдавать себя за знакомого злоумышленника, согласного за определенное вознаграждение быть осведомителем, гораздо выгоднее, чем атаковать систему. К тому же, "осведомителя" чрезвычайно трудно привлечь к ответственности, поскольку факт обмана практически не доказуем, а имитация атаки, не влекущая несанкционированного доступа к системе (блокирования системы), вообще не наказуема. Причем, для такой "атаки" злоумышленнику не требуется практически никакой квалификации, и стать "хакером" может буквально любой! Поэтому, не спешите оплачивать услуги осведомителя, даже если он согласен "работать" почти задаром, - сначала убедитесь, что это действительно осведомитель, и что вас действительно атакуют, а не создают лишь видимость атаки! Но не забывайте, что упускать из рук настоящего осведомителя (а такие - не редкость среди хакеров) очень глупо. Электронная почта, конечно, штука хорошая, но слишком уж небезопасная. Неудивительно, что многие из нас предпочитают все более или менее важные дела решать по телефону (так, по крайне мере, слышен хотя бы голос собеседника). Злоумышленника, выдающего себя за другое лицо, могут серьезно озадачить просьбой оставить свой телефон. Конечно, можно просто подключиться к "лапше" на лестничной площадке или прибегнуть к помощи таксофона (многие таксофоны умеют принимать и входящие звонки). Однако существуют и более изощренные приемы. Рассмотрим два, наиболее популярных, из них. В некоторых случаях возможностей телефонных и компьютерных сетей оказывается недостаточно и злоумышленнику приходится прибегать к встречам "в живую". Как убедительно выдать себя за другое лицо, да так, чтобы у жертвы не возникло и тени сомнения? Ведь, в противном случае она запросто может попросить предъявить документы, а качественно подделать документы очень сложно (во всяком случае, для одиночки). Допустим, злоумышленник выдает себя за сотрудника некоторой фирмы и, чтобы вы окончательно поверили в это, договаривается встретиться с вами в здании фирмы. Чтобы не возиться с выписыванием пропусков, он предлагает подождать вас на проходной. Для усиления эффекта проходящие мимо "сотрудники" могут здороваться со злоумышленником и жать ему руку. Зима, кстати, лучший помощник злоумышленника. Сняв верхнюю одежду и спрятав ее, например, в припаркованной рядом машине, он окончательно развеет ваши сомнении относительно его личности. Если попытки получить требуемое путем обмана ни к чему не приведут, то злоумышленник может отважиться на прямой шантаж сотрудников фирмы. Статистика показывает, что угроза физической расправы встречается довольно редко, а, если и встречается, то в подавляющем большинстве случаев лишь угрозой и остается. На первом месте лидируют обещания рассказать ревнивому мужу (жене) о супружеской измене, - не важно имела ли она место в действительности или нет. Для этого вовсе не обязательно устанавливать скрытые камеры или заниматься фотомонтажом, - достаточно быть хорошим рассказчиком, умеющим убедить собеседника. Опасаясь за распад семьи, многие из нас идут на мелкие (с нашей точки зрения) должностные преступления, оборачивающиеся, тем не менее, значительными убытками для фирмы. Второе место занимают угрозы убедить сына (дочь) в том, что вы не настоящие родители. Поскольку, в подростковом возрасте между детьми и родителями часто случаются серьезные конфликты, вероятность того, что ребенок поверит постороннему дяде, чем и нанесет себе тяжелую душевную травму, отнюдь не нулевая! Способ борьбы с такими шантажистами только один - полное взаимное доверие между членами семьи. Руководители фирм должны осознавать, что семейное благополучие сотрудников - залог их, руководителей, безопасности. В любом случае - никогда не идите на поводу у шантажиста. Этим вы лишь глубже затягиваете себя в его сети. Напротив, проявив безразличие, вы обезоруживаете мошенника, обессмысливая тем самым шантаж и заставляя его искать другие пути. Кстати, достаточно широко распространенный способ имитации шантажа для проверки моральной устойчивости сотрудников юридически незаконен. И "подопытный" сотрудник имеет полные основания для подачи иска за нанесенный ему моральный ущерб. Поскольку, шантаж - дело наказуемое, злоумышленники по возможности используют более законные пути. Например, покорив сердце некоторой сотрудницы, мошенник в один прекрасный день может заявить, что он-де проигрался в карты и теперь вынужден долгие годы отрабатывать долг батраком в Казахстане. Правда, есть один вариант… если его пассия скопирует такие-то конфиденциальные документы, он сумеет их продать, - тогда никуда уезжать не потребуется и любовный роман продолжится… Впрочем, не обязательно играть именно на любви. Ничуть не хуже толкает на преступление алчность, желание отомстить руководству или попытка самоутвердиться. Множество подобных авантюр совершаются по ICQ, что чрезвычайно осложняет поиски злоумышленника. Поэтому, администраторам настоятельно рекомендуется запретить пользоваться ICQ всему персоналу или, на худой конец, хотя бы контролировать содержимое разговоров. (Безнравственно, конечно, но что поделаешь). Разумеется, не стоит забывать и об электронной почте. А еще лучше не принимать на ответственные должности романтических или психологически неуравновешенных лиц, даже если они хорошие специалисты. P.S.:Даже самая совершенная система защиты бесполезна, если ей управляет психологически неустойчивый, наивный и/или доверчивый человек. Помните анекдот о диссертации на тему "зависимость скорости перебора паролей от температуры паяльника (утюга)"? Многие почему-то забывают, что в роли объекта атаки может выступать не только машина, но и ее оператор. Причем, оператор зачастую оказывается слабейшим звеном в системе защиты. |
|
