Социальные ловушки

В аспекте компьютерной безопасности социальная инженерия – это совокупность методов и техник управления действиями человека без использования технических средств. Социальная инженерия использует человеческие слабости: страх, любопытство, жадность, жажду легкой наживы. Основные задачи СИ – выудить у пользователя конфиденциальные данные: логины, пароли, сведения о банковских счетах и доступе к ним и прочие сведения, которые могут иметь большую ценность.

Дешевле, больше, быстрее 

Использовать методы социальной инженерии не в пример дешевле, чем писать и распространять вирусы. Например, гораздо проще выманить у пользователя социальной сети его логин и пароль, предложив ему повторно авторизоваться на поддельном сайте, чем взламывать защищенную базу данных с персональными данными.

Именно поэтому СИ с успехом применяется и в массовых атаках на рядовых пользователей и при тщательно планируемых проникновениях в информационные системы крупных компаний.

Вот что говорит по этому поводу Сергей Комаров, руководитель отдела антивирусных разработок и исследований «Доктор Веб»: «Пользователь де-факто сейчас -- самое слабое звено в защите компьютера. Современные операционные системы, антивирусное ПО, не стали непреодолимым барьером для злоумышленников, хотя такое преодоление требует усилий и квалификации. А чтобы «облапошить» пользователя никакой квалификации не нужно».

По статистике крупных антивирусных лабораторий, социальная инженерия становится все более популярной у преступников.

Так, Эдди Уильямс (Eddy Willems),  евангелист по безопасности G Data SecurityLabs, приводит в пример ежемесячные рейтинги самых распространенных вредоносов, среди которых все чаще встречаются вирусы, использующие техники социальной инженерии. «Это показывает, что мы имеем дело с одной из самых недооцененных проблем», -- считает он.

Не меньшие опасения вызывает СИ и у экспертов «Лаборатории Касперского». Дарья Гудкова, руководитель отдела контентных аналитиков компании, называет среди самых популярных видов интернет-мошенничества ссылки на подложные сайты, SMS-мошенничество, онлайн-лотереи, финансовые пирамиды, фальшивые антивирусы.

«Доверяя всему, что предлагается в Интернете и не следуя элементарным правилам компьютерной безопасности, -- комментирует она, -- пользователь становится легкой добычей киберпреступников и может понести серьезные финансовые потери».

Любопытство, жадность, самоуверенность 

Играя на человеческих слабостях, злоумышленники вынуждают пользователя действовать по собственному сценарию: открывать зараженные файлы (документ, Flash-ролик), переходить по сомнительным ссылкам и устанавливать на компьютер вирусное ПО под видом легальных приложений, вводить данные своих учетных записей или кредитных карт на поддельных сайтах.

Эксперты в области безопасности сходятся во мнении, что самым распространенным каналом для подобных уловок остаются электронная почта и социальные сети. А вот средства обмена мгновенными сообщениями нечасто используются преступниками – как правило, в IM-клиентах допустимо отключать получение сообщений от неизвестных пользователей.

Увы, клюнуть на удочку злоумышленников может кто угодно, «типичной жертвы» не существует. Разумеется, основная масса тех, кто попадается на различные уловки, -- начинающие пользователи, не осведомленные о возможных опасностях. Для них используются примитивные, но широко «бьющие» методы, направленные на плотные скопления пользователей.

Например, для того чтобы заманить пользователя на зараженный сайт или заставить его установить вредоносное приложение, используются кричащие заголовки типа «Майкл Джексон жив, доказательства по ссылке». Для любителей легкой наживы существуют специальные предложения, например, «Сосчитай сколько iPhone’ов на картинке и получили один из них бесплатно». Злоумышленники также активно применяют для атак громкие новостные поводы – осенью прошлого года были зафиксированы мошенничества, замаскированные под новости о смерти Стива Джобса и событиях в Ливии.

Весьма достоверно выглядят и способы кражи паролей от учетных записей. Известны случаи, когда мошенникии создавали форумы, например, для обсуждения товаров и услуг. Пользователь, чтобы принять в нем участие, должен был войти на этот форум, используя аккаунт от одной из социальных сетей. В тот же момент открывалось поддельное окно регистрации и вводимые пользователем данные уходили злоумышленникам.

 Но есть и еще одна категория потенциальных жертв – продвинутые пользователи и эксперты в области ИТ. Они обычно переоценивают свои силы и возможности защитного ПО. Для них социальные инженеры используют изощренные тактики с оригинальными, не повторяющимися приемами и более тяжелыми последствиями для жертв. Например, нашумевший этой осенью вирус Duqu, написанный для узкоспециализированных предприятий, проник в эти компании с помощью электронных писем. Первая попытка заставить пользователей открыть приложенный к письму файл с эксплойтом не удалась, хотя текст полностью имитировал деловую переписку. Тогда злоумышленники повторили атаку, изменив текст так, чтобы было видно, что это повторная попытка донести до сотрудников предприятия деловое предложение. И она, увы, сработала: открыв файл, пользователь внес вирус на свою машину. А потом, через произошедшее заражение и иную уязвимость, уже другой вирус проник на предприятие и продолжил свое движение через прочие «дыры» дальше, на машины, управляющие теми системами, которые вирус должен был поразить.

К сожалению, максимально осторожное поведение, недоверие к присылаемым файлам и ссылкам и отсутствие аккаунтов в социальных сетях не гарантирует полной безопасности.

Даже подозревая о мошенничестве, человек всегда испытывает любопытство, а иногда даже жажду легкой наживы при получении подобных предложений. И чувство «со мной этого не случится» подвигает его на опасные действия. По статистике, всего один из пяти пользователей в социальных сетях переходит по ссылкам только от знакомых людей, остальные даже не смотрят на адресата. Впрочем, и самый внимательный пользователь в спешке может неправильно набрать название известного поискового сервера, например goggle.ru вместо google.ru. И именно на goggle.ru его и будет ждать вредоносный код.

Не сетью единой 

Однако социальная инженерия использует и другие методы. Так, эксплуатируя обычное человеческое любопытство, была успешно проведена атака на иранский ядерный завод с использованием нашумевшей троянской программы Stuxnet. В данном случае не было ни писем с зараженными файлами, ни ссылок на сомнительные ресурсы. Сотрудник компании всего лишь открыл на рабочем компьютере флешку, подброшенную ему на улице злоумышленниками.

Есть и совсем «безкомпьютерный» способ – узнать телефоны и имена работников компании (что относительно несложно сделать, например, в тех же социальных сетях), позвонить техническому специалисту, назваться именем нужного сотрудника и попросить продиктовать логин и пароль для входа в систему, сославшись, в частности, на какой-нибудь сбой или неполадку с ПО.

Действенность подобных методов подтверждает Александр Ковалев, директор по маркетингу компании SecurIT, российского разработчика DLP-систем. По его мнению, в отличие от атак на частных пользователей, организуемых с помощью специально написанных троянов, для получения корпоративных данных применяются гораздо более эффективные методы, основанные на личных контактах. «На нашем DLP-рынке сотрудники некоторых компаний, занимающихся защитой от утечек информации, с большой охотой сообщают конкурентам много интересного, в том числе планы развития и перечень продаж за последние годы с указанием количества лицензий и сумм, – рассказывает Александр. -- Для получения подобной информации достаточно иметь телефон и электронную почту — всю остальную информацию вам с удовольствием пришлют, разумеется, при правильном выстраивании разговора».

Не болтай! 

На уловки социальных инженеров могут попасться и очень известные компании. Прошедшим летом на конференции по компьютерной безопасности Defcon 19 проходил конкурс, организованный профессиональным социальным инженером Кристофером Хэднеги. Участникам конкурса предстояло связаться с одной из широко известных компаний и постараться выудить у ее сотрудников информацию, не предназначенную для публичного доступа.

Целями социальных инженеров стали Apple, AT&T, Conagra Foods, Dell, Delta Airlines, IBM, McDonald's, Oracle, Symantec, Sysco Foods, Target, United Airlines, Verizon и Walmart. Участники собирали доступную в Интернете информацию о компании и входили в контакт с сотрудниками под вымышленными предлогами. Только четыре компании сумели оказать социальным инженерам сопротивление. Осторожнее прочих оказались компании, работающие в сфере розничных продаж: AT&T, Walmart и др. На последнем месте осталась Oracle.

Ловушка для любителей фастфуда 

Самой нашумевшей в третьем квартале 2011 г. стала история с фишинговой атакой на любителей McDonald’s. Нестандартная многоступенчатая схема была создана так, что сначала пользователь получал письмо, где ему предлагалось якобы принять участие в онлайн-опросе о качестве питания в ресторанах McDonald’s, а затем получить вознаграждение за ответы на свой банковский счет. Форма опроса выглядела весьма убедительно. Ответив на все вопросы, пользователь попадал на следующую страницу, где ему предлагалось ввести номер карты и CCV-код. Разумеется, данные переадресовывались злоумышленникам, и к ним же «утекали» все деньги со счета.

Для обхода фильтров и черных списков злоумышленники использовали зараженные веб-сайты: пройдя по ссылке в письме, пользователь попадал сначала на страницу сайта, где не было ничего, кроме короткого javascript-кода, перенаправлявшего пользователя на основной сайт мошенников. Так называемый опрос был нужен, разумеется, только для отвода глаз. Главная страница -- последняя, где пользователь отправлял номер кредитки мошенникам и потом перенаправлялся на официальный сайт McDonald's.

Откровенность в Сети 

Очень часто злоумышленникам даже не приходится прибегать к каким-либо специальным методам получения информации, поскольку нужные сведения о пользователе легко найти на его странице в соцсети. Интересы, увлечение музыкой, любимые фильмы, текущее местонахождение – все это может сыграть на руку преступникам.

Именно поэтому эксперты по безопасности советуют не держать информацию о себе в открытом доступе. По мнению Дарьи Гудковой, серьезную информацию не следует оставлять в Интернете вообще. Все, что пользователь вводит в Сети, может так или иначе попасть к злоумышленникам.

Сергей Комаров рассказывает о более серьезных опасностях.Известны случаи, когда с помощью соцсетей реальные, а не компьютерные преступники находили жертв для похищения и требования выкупа.

Эдди Уильямс приводит в пример существовавшую до недавнего времени в Англии «социальную сеть» для квартирных воров. В ней размещалась информация о том, кто, когда и куда уезжает из дома. Все эти сведения были найдены в статусах пользователей социальных сетей. Для успешного ограбления квартиры преступникам оставалось лишь дождаться обещанного времени и найти адрес владельца квартиры, который он мог опрометчиво указать в своем профиле соцсети или в других материалах в Интернете. 

Социальные сети также используются для организации атак против целых компаний. Например, один из сотрудников компании в статусе в социальной сети пишет, что сегодня идет на концерт Элтона Джона. Тогда злоумышленник отправляет жертве письмо с обещанием показать интересные фотографии Элтона Джона, на что пользователь немедленно попадается, и получает вместо фотографий троянца. Вслед за этим вредоносы начинают распространяться по всей корпоративной сети.

Однако Эдди Уильямс не советует компаниям полностью блокировать доступ к популярным социальным сетям на работе. Если сотрудник не может войти на свой профиль с рабочего компьютера, то он будет пытаться получить доступ через свой личный смартфон или планшет, используя корпоративную сеть. А это еще страшнее, потому что сейчас мало кто защищает личные мобильные устройства.

Контроль Разума