Дешевле, больше, быстрее
Использовать методы социальной инженерии не в пример дешевле, чем писать и распространять вирусы. Например, гораздо проще выманить у пользователя социальной сети его логин и пароль, предложив ему повторно авторизоваться на поддельном сайте, чем взламывать защищенную базу данных с персональными данными.
Именно поэтому СИ с успехом применяется и в массовых атаках на рядовых пользователей и при тщательно планируемых проникновениях в информационные системы крупных компаний.
Вот что говорит по этому поводу Сергей Комаров, руководитель отдела антивирусных разработок и исследований «Доктор Веб»: «Пользователь де-факто сейчас -- самое слабое звено в защите компьютера. Современные операционные системы, антивирусное ПО, не стали непреодолимым барьером для злоумышленников, хотя такое преодоление требует усилий и квалификации. А чтобы «облапошить» пользователя никакой квалификации не нужно».
По статистике крупных антивирусных лабораторий, социальная инженерия становится все более популярной у преступников.
Так, Эдди Уильямс (Eddy Willems), евангелист по безопасности G Data SecurityLabs, приводит в пример ежемесячные рейтинги самых распространенных вредоносов, среди которых все чаще встречаются вирусы, использующие техники социальной инженерии. «Это показывает, что мы имеем дело с одной из самых недооцененных проблем», -- считает он.
Не меньшие опасения вызывает СИ и у экспертов «Лаборатории Касперского». Дарья Гудкова, руководитель отдела контентных аналитиков компании, называет среди самых популярных видов интернет-мошенничества ссылки на подложные сайты, SMS-мошенничество, онлайн-лотереи, финансовые пирамиды, фальшивые антивирусы.
«Доверяя всему, что предлагается в Интернете и не следуя элементарным правилам компьютерной безопасности, -- комментирует она, -- пользователь становится легкой добычей киберпреступников и может понести серьезные финансовые потери».
Любопытство, жадность, самоуверенность
Играя на человеческих слабостях, злоумышленники вынуждают пользователя действовать по собственному сценарию: открывать зараженные файлы (документ, Flash-ролик), переходить по сомнительным ссылкам и устанавливать на компьютер вирусное ПО под видом легальных приложений, вводить данные своих учетных записей или кредитных карт на поддельных сайтах.
Эксперты в области безопасности сходятся во мнении, что самым распространенным каналом для подобных уловок остаются электронная почта и социальные сети. А вот средства обмена мгновенными сообщениями нечасто используются преступниками – как правило, в IM-клиентах допустимо отключать получение сообщений от неизвестных пользователей.
Увы, клюнуть на удочку злоумышленников может кто угодно, «типичной жертвы» не существует. Разумеется, основная масса тех, кто попадается на различные уловки, -- начинающие пользователи, не осведомленные о возможных опасностях. Для них используются примитивные, но широко «бьющие» методы, направленные на плотные скопления пользователей.
Например, для того чтобы заманить пользователя на зараженный сайт или заставить его установить вредоносное приложение, используются кричащие заголовки типа «Майкл Джексон жив, доказательства по ссылке». Для любителей легкой наживы существуют специальные предложения, например, «Сосчитай сколько iPhone’ов на картинке и получили один из них бесплатно». Злоумышленники также активно применяют для атак громкие новостные поводы – осенью прошлого года были зафиксированы мошенничества, замаскированные под новости о смерти Стива Джобса и событиях в Ливии.
Весьма достоверно выглядят и способы кражи паролей от учетных записей. Известны случаи, когда мошенникии создавали форумы, например, для обсуждения товаров и услуг. Пользователь, чтобы принять в нем участие, должен был войти на этот форум, используя аккаунт от одной из социальных сетей. В тот же момент открывалось поддельное окно регистрации и вводимые пользователем данные уходили злоумышленникам.
Но есть и еще одна категория потенциальных жертв – продвинутые пользователи и эксперты в области ИТ. Они обычно переоценивают свои силы и возможности защитного ПО. Для них социальные инженеры используют изощренные тактики с оригинальными, не повторяющимися приемами и более тяжелыми последствиями для жертв. Например, нашумевший этой осенью вирус Duqu, написанный для узкоспециализированных предприятий, проник в эти компании с помощью электронных писем. Первая попытка заставить пользователей открыть приложенный к письму файл с эксплойтом не удалась, хотя текст полностью имитировал деловую переписку. Тогда злоумышленники повторили атаку, изменив текст так, чтобы было видно, что это повторная попытка донести до сотрудников предприятия деловое предложение. И она, увы, сработала: открыв файл, пользователь внес вирус на свою машину. А потом, через произошедшее заражение и иную уязвимость, уже другой вирус проник на предприятие и продолжил свое движение через прочие «дыры» дальше, на машины, управляющие теми системами, которые вирус должен был поразить.
К сожалению, максимально осторожное поведение, недоверие к присылаемым файлам и ссылкам и отсутствие аккаунтов в социальных сетях не гарантирует полной безопасности.
Даже подозревая о мошенничестве, человек всегда испытывает любопытство, а иногда даже жажду легкой наживы при получении подобных предложений. И чувство «со мной этого не случится» подвигает его на опасные действия. По статистике, всего один из пяти пользователей в социальных сетях переходит по ссылкам только от знакомых людей, остальные даже не смотрят на адресата. Впрочем, и самый внимательный пользователь в спешке может неправильно набрать название известного поискового сервера, например goggle.ru вместо google.ru. И именно на goggle.ru его и будет ждать вредоносный код.
Не сетью единой
Однако социальная инженерия использует и другие методы. Так, эксплуатируя обычное человеческое любопытство, была успешно проведена атака на иранский ядерный завод с использованием нашумевшей троянской программы Stuxnet. В данном случае не было ни писем с зараженными файлами, ни ссылок на сомнительные ресурсы. Сотрудник компании всего лишь открыл на рабочем компьютере флешку, подброшенную ему на улице злоумышленниками.
Есть и совсем «безкомпьютерный» способ – узнать телефоны и имена работников компании (что относительно несложно сделать, например, в тех же социальных сетях), позвонить техническому специалисту, назваться именем нужного сотрудника и попросить продиктовать логин и пароль для входа в систему, сославшись, в частности, на какой-нибудь сбой или неполадку с ПО.
Действенность подобных методов подтверждает Александр Ковалев, директор по маркетингу компании SecurIT, российского разработчика DLP-систем. По его мнению, в отличие от атак на частных пользователей, организуемых с помощью специально написанных троянов, для получения корпоративных данных применяются гораздо более эффективные методы, основанные на личных контактах. «На нашем DLP-рынке сотрудники некоторых компаний, занимающихся защитой от утечек информации, с большой охотой сообщают конкурентам много интересного, в том числе планы развития и перечень продаж за последние годы с указанием количества лицензий и сумм, – рассказывает Александр. -- Для получения подобной информации достаточно иметь телефон и электронную почту — всю остальную информацию вам с удовольствием пришлют, разумеется, при правильном выстраивании разговора».
На уловки социальных инженеров могут попасться и очень известные компании. Прошедшим летом на конференции по компьютерной безопасности Defcon 19 проходил конкурс, организованный профессиональным социальным инженером Кристофером Хэднеги. Участникам конкурса предстояло связаться с одной из широко известных компаний и постараться выудить у ее сотрудников информацию, не предназначенную для публичного доступа.
Целями социальных инженеров стали Apple, AT&T, Conagra Foods, Dell, Delta Airlines, IBM, McDonald's, Oracle, Symantec, Sysco Foods, Target, United Airlines, Verizon и Walmart. Участники собирали доступную в Интернете информацию о компании и входили в контакт с сотрудниками под вымышленными предлогами. Только четыре компании сумели оказать социальным инженерам сопротивление. Осторожнее прочих оказались компании, работающие в сфере розничных продаж: AT&T, Walmart и др. На последнем месте осталась Oracle.
Самой нашумевшей в третьем квартале 2011 г. стала история с фишинговой атакой на любителей McDonald’s. Нестандартная многоступенчатая схема была создана так, что сначала пользователь получал письмо, где ему предлагалось якобы принять участие в онлайн-опросе о качестве питания в ресторанах McDonald’s, а затем получить вознаграждение за ответы на свой банковский счет. Форма опроса выглядела весьма убедительно. Ответив на все вопросы, пользователь попадал на следующую страницу, где ему предлагалось ввести номер карты и CCV-код. Разумеется, данные переадресовывались злоумышленникам, и к ним же «утекали» все деньги со счета.
Для обхода фильтров и черных списков злоумышленники использовали зараженные веб-сайты: пройдя по ссылке в письме, пользователь попадал сначала на страницу сайта, где не было ничего, кроме короткого javascript-кода, перенаправлявшего пользователя на основной сайт мошенников. Так называемый опрос был нужен, разумеется, только для отвода глаз. Главная страница -- последняя, где пользователь отправлял номер кредитки мошенникам и потом перенаправлялся на официальный сайт McDonald's.
Откровенность в Сети
Очень часто злоумышленникам даже не приходится прибегать к каким-либо специальным методам получения информации, поскольку нужные сведения о пользователе легко найти на его странице в соцсети. Интересы, увлечение музыкой, любимые фильмы, текущее местонахождение – все это может сыграть на руку преступникам.
Именно поэтому эксперты по безопасности советуют не держать информацию о себе в открытом доступе. По мнению Дарьи Гудковой, серьезную информацию не следует оставлять в Интернете вообще. Все, что пользователь вводит в Сети, может так или иначе попасть к злоумышленникам.
Сергей Комаров рассказывает о более серьезных опасностях.Известны случаи, когда с помощью соцсетей реальные, а не компьютерные преступники находили жертв для похищения и требования выкупа.
Эдди Уильямс приводит в пример существовавшую до недавнего времени в Англии «социальную сеть» для квартирных воров. В ней размещалась информация о том, кто, когда и куда уезжает из дома. Все эти сведения были найдены в статусах пользователей социальных сетей. Для успешного ограбления квартиры преступникам оставалось лишь дождаться обещанного времени и найти адрес владельца квартиры, который он мог опрометчиво указать в своем профиле соцсети или в других материалах в Интернете.
Социальные сети также используются для организации атак против целых компаний. Например, один из сотрудников компании в статусе в социальной сети пишет, что сегодня идет на концерт Элтона Джона. Тогда злоумышленник отправляет жертве письмо с обещанием показать интересные фотографии Элтона Джона, на что пользователь немедленно попадается, и получает вместо фотографий троянца. Вслед за этим вредоносы начинают распространяться по всей корпоративной сети.
Однако Эдди Уильямс не советует компаниям полностью блокировать доступ к популярным социальным сетям на работе. Если сотрудник не может войти на свой профиль с рабочего компьютера, то он будет пытаться получить доступ через свой личный смартфон или планшет, используя корпоративную сеть. А это еще страшнее, потому что сейчас мало кто защищает личные мобильные устройства.
Рассказать обо всех существующих методах социальной инженерии в одной статье невозможно. И не только потому, что их множество – вполне вероятно, что будут появляться все новые и новые тактики. Чем важнее цель, тем более изощренные ходы будут придумывать злоумышленники. Пользователю же придется рассчитывать только на себя, оставаясь внимательным и осторожным, предоставляя кому-либо информацию о себе или о своей компании.
Напоследок приведу несколько советов, которые дали специалисты антивирусных лабораторий.
Советы от «Лаборатории Касперского»
Дарья Гудкова, руководитель отдела контентных аналитиков «Лаборатории Касперского»
• Отправляя кому-либо свои персональные данные или конфиденциальную информацию, убедитесь, что адресатом действительно является тот, кому она и направляется.
• Задавайте больше вопросов: получив сообщение со ссылкой в ICQ/QIP или личное сообщение в социальной сети, убедитесь, что это не автоматическая рассылка с зараженного компьютера.
• Трезво относитесь к спам-предложениям: не верьте в неожиданные выигрыши, не откликайтесь на предложения бесплатных товаров или дешевых лекарственных средств.
• Используйте настоящие программы защиты: антивирус, требующий деньги за удаление вредоносной программы с компьютера, является фальшивым.
• Уточняйте настоящую стоимость SMS-сообщений на короткие номера.
• Не доверяйте сообщениям «Проголосуй за меня SMS в конкурсе» или «Помоги мне — у меня проблемы».
• Проверяйте информацию об SMS-акциях на сайтах их устроителей.
• Не устанавливайте неофициальные дополнения и улучшения к играм.
• Проверяйте подлинность адреса в строке браузера при вводе персональных данных на игровом сайте.
• Отвечая на письма, присланные от имени администрации игрового сервера, удостоверьтесь, что они подлинные.
• Не доверяйте игрокам, которые предлагают прислать вам какие-либо данные от игры -- подобные файлы могут содержать вредоносный код.
Советы от G Data SecurityLabs
Эдди Уильямс, евангелист по безопасности G Data SecurityLabs
Чтобы не попасться на уловки мошенников, необходимо следовать пяти простым правилам:
1. Знаете ли вы отправителя? Если на этот вопрос вы ответите нет, будьте предельно внимательны с полученным сообщением. Будьте очень осторожны, так как преступники любят отправлять фишинговые письма с уже взломанных аккаунтов электронной почты.
2. Внушает ли сообщение доверие? Например, если мошенник допускает небольшие описки или фразы звучат не «по-русски» и создается впечатление, что они были переведены каким-либо онлайн-переводчиком, то пользователю определенно стоит игнорировать ссылки в таких сообщениях.
3. Перед тем как перейти по сокращенной ссылке, проверьте ее с помощью сервиса расшифровки линков, например longurl.org. При расшифровке можно неприятно удивиться, узнав, что ссылка ведет на фишинговую или заражающую вирусом страницу.
4. Обязательно активируйте функцию «веб-сканер» в своем антивирусном решении. Она проверяет ссылки на вредоносный код, перед тем как они загружаются в браузер.
5. Если у вас возникают сомнения по поводу какой-либо ссылки, лучше не переходите по ней.
Советы от компании «Доктор Веб»
Сергей Комаров, руководитель отдела антивирусных разработок и исследований
Если вам предлагают какую-то уникальную услугу или уникальную программу, то, скорее всего, это мошенничество. Владельцы сайтов делают так, чтобы их услуги были доступны всем и всегда. Следовательно, если кто-то предлагает вам зайти по ссылке и увидеть на своей странице в социальной сети то, что недоступно другим, -- не верьте. Так же и производители, и распространители видео делают все, чтобы результат их труда мог воспроизвести любой компьютер, а значит, за предложением скачать и установить специальный плеер для проигрывания ролика с данного сайта, вероятнее всего, скрывается мошенничество.