В Москве в 2011 году похитили сына известного предпринимателя, гендиректора «Лаборатории Касперского» Евгения Касперского Ивана. Организовать похищение и собрать все необходимые данные злоумышленникам удалось безо всякого шпионского оборудования — хватило всего лишь информации со страницы парня в соцсети. Там было размещено немало фотографий, сведения о месте работы, телефон и прочие данные. На поиски Ивана Касперского у сотрудников спецслужб ушло несколько дней. Этот громкий прецедент обнажил новую проблему: люди дают Всемирной паутине слишком много сведений о себе, которые могут нанести вред.
Так мы приходим к понятию социальной инженерии — методу получения конфиденциальной информации о человеке для дальнейшего ее использования в собственных целях. Чаще всего — для оказания психологического давления или чего-то более приземленного — хищения паролей, данных банковских карт и прочей подобной информации.
Родился такой инструмент не вчера. Социальную инженерию использовали еще в Древнем Риме и Древней Греции, когда не было никаких «ВКонтакте» и запрещенной соцсети с картинками. В то время большим уважением, например, пользовались опытные ораторы, способные переубедить собеседника и доказать ему его «неправоту». Такие люди принимали участие в дипломатических миссиях и в основном работали на благо государства.
Сама технология выстраивается вокруг человеческого фактора безо всяких хакерских трюков. Например, человеку достаточно добиться от владельца интересующего профиля в соцсети минимального доверия, чтобы спровоцировать его на конкретные действия: перечислить деньги на указанные реквизиты, переслать пароли, добавить пользователя в контакты в Telegram, чтобы узнать номер телефона и т.д. Чем больше злоумышленник знает о своей «жертве», тем больше упрощается для него задача.
Увы, но люди сами порой помогают мошенникам, выкладывая частную информацию о себе в открытый доступ — даже поверхностные сведения могут помочь будущей атаке.
Поиск сведений о человеке через открытые источники
Уже прошли времена, когда люди ставили на аватарки в соцсетях котиков и постили смешные картинки. Сейчас люди выкладывают достаточно много информации о себе.
Рассмотрим типичный аккаунт с открытым доступом условного Ивана на основании данных, которые чаще всего люди выкладывают о себе в сети. Он живет в Перми, закончил медицинский университет, в детстве сменил пару школ. Специализация — педиатрия, работал в двух государственных больницах и теперь практикует в частной клинике.
Благодаря фото из профиля мы можем узнать, что Иван любит вечером на выходных играть в футбол на стадионе «Васильки» с друзьями и почти каждый вечер находит время забежать в кофейню «Добро» на пересечении улиц Ленина и Добролюбова. Ездит наш герой на одной из последних моделей Volkswagen, что говорит о его состоятельности, и очень любит показывать подписчикам свою машину. На одном из последних фото машины с парковки засветился кусочек таблички с адресом — без труда можно будет сузить поиск места, где живет Иван, до одной улицы.
На фотографиях также часто мелькает девушка Маша — это невеста. На ее странице много их совместных фотографий из путешествий в компании общих друзей, которых мы также узнали благодаря соцсетям Ивана. Через поиск в Google мы нашли старые странички нашего героя и дополнительные сведения — например, опыт работы через опубликованное резюме на одном из агрегаторов по поиску работы.
Такое описание можно продолжать до бесконечности, но главная мысль заключается в том, что для получения таких данных не нужно проводить какого-то спецрасследования. Даже поиска как такового проводить не пришлось — Иван сам все о себе рассказал и систематизировал информацию, и более того, приложил ссылки на свои аккаунты в других соцсетях. А по повторяющемуся в них никнейму несложно будет подобрать почту или возможные пароли.
Такой метод добывания информации называется OSINT (open source intelligence) или, как еще его называют в народе, «пробив». Правда, с течением времени выполнять его вручную уже перестали и делегировали эти задачи чат-ботам и веб-сервисам, однако конкретных примеров приводить не будем.
Вариант «ничего страшного, запостил — удалил» не сработает хотя бы потому, что некоторые сведения веб-ресурсы обязаны хранить на серверах даже после удаления пользователем информации. Кроме того, есть еще такой сервис, как Internet Wayback Machine — или «архив интернета», причем в буквальном смысле. Он хранит копии страниц различных сайтов, иногда даже по датам: вы можете посмотреть, к примеру, как выглядел конкретный сайт 25 апреля 2009 года, и что на нем размещали 15 июня 2010-го. Причем если пост из 2009-го в 2010-м удалили, открыв копию в Wayback Machine от 2009 года, вы этот пост найдете.
Чаты, каналы и боты также являются потенциальными точками сбора информации о ком бы то ни было. А бывает, что слив данных происходит через приложения, поэтому владельцев смартфонов все чаще просят задуматься перед тем, как предоставить какому-то новому приложению расширенный доступ к геолокации, файлам, списку контактов и т.д. Например, зачем фонарику нужен доступ к Wi-Fi?
Основные сценарии использования социальной инженерии
На первое место логично будет поставить хорошо знакомый всем фишинг — метод интернет-мошенничества, который используют злоумышленники для получения авторизационных данных пользователя. Чаще всего для этого недоброжелатели отправляют жертве поддельные письма по электронной почте якобы от имени банка или какой-то компании, где содержится форма для ввода персональных данных или ссылка на страницу, где их нужно ввести. Часто та самая страница является точной копией уже известных сайтов. Лучше насторожиться, если на почту вдруг придет письмо от «ВКонтакте» с требованием срочно перейти по ссылке и указать пароль и логин, потому что кто-то пытается увести аккаунт. Но проверить подлинность довольно легко — достаточно лишь присмотреться к адресу ссылки, который от оригинальной будет отличаться несколькими символами, так как киберпреступники не смогут повторить его буква в букву по отношению к оригинальному.
Еще один вид «пробива», часто используемый через электронную почту, в народе называется «троянский конь». Это письмо, содержащее зараженный файл или вредоносную программу, ключ к денежному выигрышу и прочее. Как только пользователь запустит такой файл у себя на компьютере, программа в открытую или в фоновом режиме начнет собирать нужные данные и передавать их злоумышленникам.
Метод «дорожное яблоко» — усовершенствованная версия предыдущего с использованием физических носителей (флешки, диски и прочие). Накопители подбрасываются в общедоступное место, например, в офис компании, сведения о которой нужно добыть. Для того, чтобы привлечь внимание рядового сотрудника к флешке, на нее могут наклеить логотип предприятия или пометить стикером в духе «зарплата сотрудников», «отчет налоговой» и т.д.
Есть и обратная социальная инженерия — метод, при котором выгодоприобретатель создает такие условия, чтобы человек сам обратился к нему и выдал всю необходимую информацию. Например, выслать жертве контакты «службы поддержки» или ряда специалистов, а потом создать в них необходимость, организовав неполадки с техникой или аккаунтом в соцсетях. В этом случае пользователь сам цепляется за крючок и связывается со злоумышленником, отправляя ему все нужные мошеннику данные.
Полученные данные чаще всего впоследствии либо распространяют (доксинг), либо продают в огромных объемах как базы данных (здесь уместно будет вспомнить о многочисленных сливах, которые случались в этом году, с информацией о клиентах популярных маркетплейсов или сервисов доставки еды).
Но тот же доксинг не всегда используется во вред — например, в 2018 году распространение информации о живодерке Дарье Смирновой, которая мучила животных и угрожала зоозащитникам, позволило арестовать садистку и ее сообщника и привлечь их к ответственности. Они оба скрывались за псевдонимами, но в соцсетях впоследствии активно постили ее фото, данные об адресе места работы и некоторые факты из биографии.
Самые громкие случаи использования инструментов социнженерии
К ним относится, например, фишинговая атака «ILOVEYOU» или «Love-Bug» в 2000-х. Пользователям на почту поступало электронное письмо с вложением «LOVE-LETTER-FOR-YOU.TXT», который на самом деле был не текстовым, а имел расширение .VBS с возможностями «червя». Запуская вложение, пользователи предоставляли ему возможность собрать данные из адресной книги Microsoft Outlook. Впоследствии он рассылал копию письма всем контактам, заражая и другие компьютеры. Ущерб от кибератаки был оценен в $10 млрд.
Еще один кейс связан со взломом, но суть не в нем. В апреле 2013 года в аккаунте информагентства The Associated Press в Twitter появился пост о взрыве Белого дома, в результате которого якобы получил ранение тогдашний президент США Барак Обама. Этот твит мощнейшим образом ударил по всей мировой экономике — на фейковой новости со взломанного аккаунта доверенного ИА обвалились биржевые индексы. Как выяснилось позднее, до этого хакеры рассылали сотрудникам агентства письмо с просьбой перейти по важной ссылке и авторизоваться — таким образом они получили доступ к аккаунтам редакции.
В случае с компанией The Ubiquiti Networks в 2015 году злоумышленники сыграли исключительно на человеческом факторе и украли $40 млн. Им даже не потребовалось красть данные или взламывать системы — все за них сделали сами сотрудники. Финансисты получили письмо якобы от имени топ-менеджера предприятия с простой просьбой — перевести большие суммы на указанный банковский счет. Этого оказалось достаточно.
Вместо вывода
С каждым днем появляется все больше мошеннических схем. Звонками из банков, полиции или налоговой, основанных на эмоциональной реакции собеседника, уже никого не удивишь. И все же, никакие антивирусы или файрволлы не спасут от таких атак, тем более, если человек зачастую сам обеспечивает злоумышленников нужной информацией.
Было бы полезно иногда практиковать селф-доксинг и самому попытаться найти в интернете какую-то информацию о себе и позаботиться о ее удалении прежде, чем ее найдет кто-то другой и попытается использовать в своих целях. В этом могут помочь такие распространенные инструменты, как поисковики, сервис TinEye или архивы вроде Internet Wayback Machine.
