Найти тему
Андрей Смирнов
43 подписчика

Цифровая самооборона. Защита от уловок мошенников. Часть 12

142
6 мин
Оглавление

Продолжение списка уловок мошенников.

Основные уловки мошенников это:

  1. Несуществующие ссылки
  2. Мошенничество с использованием брендов известных корпораций
  3. Ложные письма с предложениями халявы/чего-то интересного
  4. IVR или телефонный фишинг
  5. Претекстинг
  6. Квид про кво
  7. Дорожное яблоко
  8. Сбор информации из открытых источников
  9. Плечевой серфинг
  10. Обратная социальная инженерия

В этой статье разберём 2 половину уловок

Первая половина тут.

Хотя весь обман строится на одном принципе👇👇👇

Миленько, правда? Но в мошенниках нет ничего милого. Не хотите быть этим котиком? Читайте до конца и внимательно!

Квид про кво

Квид про кво (от лат. Quid pro quo — «то за это») — в английском языке это выражение обычно используется в значении «услуга за услугу».

Данный вид атаки подразумевает обращение злоумышленника в компанию по корпоративному телефону (используя актерское мастерство) или электронной почте.

Зачастую злоумышленник представляется сотрудником технической поддержки, который сообщает о возникновении технических проблем на рабочем месте сотрудника и предлагает помощь в их устранении.

В процессе «решения» технических проблем, злоумышленник вынуждает цель атаки совершать действия, позволяющие атакующему запускать команды или устанавливать различное программное обеспечение на компьютере.

Защита от этой атаки весьма проста-обучение сотрудников. Хотя бы минимальное знание что и как. В разных компаниях разные телефоны, разные компьютеры, поэтому обучение нужно проводить на месте.

Дорожное яблоко

Этот метод атаки представляет собой адаптацию троянского коня, и состоит в использовании физических носителей.

Злоумышленник подбрасывает «инфицированные» носители информации в местах общего доступа, где эти носители могут быть легко найдены, такими как туалеты, парковки, столовые, или на рабочем месте атакуемого сотрудника.

Носители оформляются как официальные для компании, которую атакуют, или сопровождаются подписью, призванной вызвать любопытство(котики или какая-нибудь игра).

К примеру, злоумышленник может подбросить CD, снабженный корпоративным логотипом и ссылкой на официальный сайт компании, снабдив его надписью «Заработная плата руководящего состава».

Диск может быть оставлен на полу лифта или в вестибюле. Сотрудник по незнанию может подобрать диск и вставить его в компьютер, чтобы удовлетворить свое любопытство.

В сериале mr.robot в одной из серий используется данный метод, когда хакеры разбросали у полицейского участка флэшки с зловредом и один из полицейских подобрал ее и вставил в компьютер что бы посмотреть что там такое.

Защита проста-не берите эти диски, флешки. Да, интересно, но безопасность дороже. Поддавшись любопытству можно потерять всё.

Сбор информации из открытых источников

Применение техник социальной инженерии требует не только знания психологии, но и умения собирать о человеке необходимую информацию.

Относительно новым способом получения такой информации стал ее сбор из открытых источников, главным образом из социальных сетей.

К примеру, такие сайты как livejournal, «Одноклассники», «ВКонтакте», содержат огромное количество данных, которые люди и не пытаются скрыть.

Как правило, пользователи не уделяют должного внимания вопросам безопасности, оставляя в свободном доступе данные и сведения, которые могут быть использованы злоумышленником.

Показательным примером может стать история о похищении сына Евгения Касперского. В ходе следствия было установлено, что преступники узнали расписание дня и маршруты следования подростка из его записей на странице в социальной сети.

Даже ограничив доступ к информации на своей странице в социальной сети, пользователь не может быть точно уверен, что она никогда не попадет в руки мошенников.

Например, бразильский исследователь по вопросам компьютерной безопасности показал, что существует возможность стать другом любого пользователя Facebook в течение 24 часов, используя методы социальной инженерии.

В ходе эксперимента исследователь Нельсон Новаес Нето выбрал жертву и создал фальшивый аккаунт человека из ее окружения — ее начальника.

Сначала Нето отправлял запросы на дружбу друзьям друзей начальника жертвы, а затем и непосредственно его друзьям. Через 7,5 часов исследователь добился добавления в друзья от жертвы.

Тем самым, исследователь получил доступ к личной информации пользователя, которой тот делился только со своими друзями.

В дальнейшем будет статья о том как собирается эта информация.

Спойлер: даже паспортные данные можно найти в открытом доступе.5

Плечевой серфинг

Плечевой серфинг (англ. shoulder surfing) включает в себя наблюдение личной информации жертвы через ее плечо. Этот тип атаки распространен в общественных местах, таких как кафе, торговые центры, аэропорты, вокзалы, а также в общественном транспорте.

Опрос ИТ-специалистов о безопасности показал, что:

85 % опрошенных признались, что видели конфиденциальную информацию, которую им не положено было знать;

82 % признались, что информацию, отображаемую на их экране, могли бы видеть посторонние лица;

82 % слабо уверены в том, что в их организации кто-либо будет защищать свой экран от посторонних лиц.

Защита тоже проста-купить отражающее стекло. Т.е. "защиту от подглядывания". Однако в некоторых современных смартфонах она уже есть. Смысл в том что сбоку или сверху никто не подглядит, ему будет казаться что экран в бликах. Не хотите покупать? Тогда будьте настороже, чтобы никто не подглядел.

Обратная социальная инженерия

Об обратной социальной инженерии упоминают тогда, когда жертва сама предлагает злоумышленнику нужную ему информацию.

Это может показаться абсурдным, но на самом деле лица, обладающие авторитетом в технической или социальной сфере, часто получают идентификаторы и пароли пользователей и другую важную личную информацию просто потому, что никто не сомневается в их порядочности. Например, сотрудники службы поддержки никогда не спрашивают у пользователей идентификатор или пароль; им не нужна эта информация для решения проблем.

Однако, многие пользователи ради скорейшего устранения проблем добровольно сообщают эти конфиденциальные сведения. Получается, что злоумышленнику даже не нужно спрашивать об этом.

Приведу вам несколько примеров:

Злоумышленник, работающий вместе с жертвой, изменяет на ее компьютере имя файла или перемещает его в другой каталог. Когда жертва замечает пропажу файла, злоумышленник заявляет, что может все исправить.

Желая быстрее завершить работу или избежать наказания за утрату информации, соглашается на это предложение. Злоумышленник заявляет, что решить проблему можно, только войдя в систему с учетными данными жертвы.

Теперь уже жертва просит злоумышленника войти в систему под ее именем, чтобы попытаться восстановить файл. Злоумышленник неохотно соглашается и восстанавливает файл, а по ходу дела крадет идентификатор и пароль жертвы.

Успешно осуществив атаку, он даже улучшил свою репутацию, и вполне возможно, что после этого к нему будут обращаться за помощью и другие коллеги.

Этот подход не пересекается с обычными процедурами оказания услуг поддержки и осложняет поимку злоумышленника. Хакер подстраивает неприятность пользователю, обеспечиваете контакт с собой, затем проводит атаку.

Пример — приходите в охраняемый периметр как уборщик, заменяете номер техподдержки в распечатке на стене на свой, а затем устраиваете мелкую неполадку.

Уже через день вам звонит расстроенный пользователь, готовый поделиться всеми своими знаниями с компетентным специалистом. Ваша авторизация проблем не вызывает — ведь человек сам знает, кому и зачем он звонит.

4
Взгляните на эти темы
Гаджеты и электроника
Кибербезопасность
Найти тему
Безопасность и правопорядок
Общество
Умные колонки
Колонки и аудиосистемы
Графические планшеты
VR-очки
Смартфоны
Планшеты
Ноутбуки
Игровые консоли
Умные часы
Фитнес-трекеры
Камеры и фототехника
Наушники
Электронные книги
Технологии в финансах
Технологии будущего
ЖКХ
Общество
14,16 млн интересуются