Кви-про-кво

Кви-про-кво (Quid pro quo) — это техника социальной инженерии, основанная на обмене "услуга за услугу".

Суть атаки: Злоумышленник предлагает жертве какую-либо выгоду или помощь в обмен на конфиденциальную информацию или выполнение определенного действия. В отличие от "Троянского коня", здесь используется не физическая приманка, а прямое взаимодействие (чаще всего по телефону).

Как работает техника? (Схема атаки)

1. Инициатива помощи. Атакующий звонит жертве (чаще всего в офис) и представляется сотрудником службы поддержки, ИТ-специалистом или техническим консультантом.
2. Предложение "услуги". Он сообщает о некой гипотетической или реальной проблеме и предлагает свою помощь для ее немедленного решения.
   "Мы заметили вирусную активность в вашей сети, нужно срочно установить патч."
   "Ваш компьютер замедляет работу всей сети, давайте его проверим."
   "Мы проводим плановый аудит безопасности, нужен ваш логин для проверки."
3. "Услуга" жертвы. В ответ на свою "помощь" злоумышленник просит жертву совершить действие:
   Сообщить логин и пароль для "входа в систему и диагностики".
   Отключить антивирус или файрволл, чтобы "не мешал обновлению".
   Запустить определенную команду или программу, которая является вредоносной.
   Предоставить доступ к корпоративной системе.
4. Обмен состоялся. Жертва, получив обещание решить проблему, добровольно отдает свои данные или открывает доступ. Атакующий выполняет свою "услугу" (ничего не делая или создавая видимость решения мелкой проблемы), получив при этом гораздо более ценную "услугу" от жертвы — доступ к информации.

Реальные примеры

Пример 1: Классический звонок "из техподдержки"

Злоумышленник (звонит сотруднику): "Здравствуйте, это ИТ-отдел. Мы проводим плановое обновление программного обеспечения на вашем компьютере. Для этого мне нужен ваш пароль от домена."
Сотрудник: "Хорошо, мой пароль: Zx12345."
Итог: Злоумышленник получает учетные данные для доступа к корпоративной сети.

Пример 2: "Помощь" с телефонной системой

Злоумышленник (звонит в отдел продаж): "Вас беспокоят из телефонной службы. Мы настраиваем голосовую почту для новых сотрудников. Для проверки можете ли вы сейчас набрать *21* и перезвонить мне на номер 8-900...?"
Итог: Набранная комбинация *21* перенаправляет все входящие звонки сотрудника на номер злоумышленника, который теперь может перехватывать конфиденциальные клиентские звонки.

Пример 3: Фишинг с обратной связью

Злоумышленник: "Я из службы безопасности. Ваш аккаунт пытались взломать. Чтобы подтвердить вашу личность и защитить данные, назовите, пожалуйста, кодовое слово из СМС, которое мы вам только что отправили."
Итог: Жертва сообщает злоумышленнику код для подтверждения транзакции или сброса пароля.

Чем опасен "Кви-про-кво"?

• Использует авторитет. Жертва склонна доверять "специалисту", который предлагает помощь.
• Создает позитивный контекст. Атака выглядит не как угроза, а как решение проблемы.
• Сложность отслеживания. Поскольку жертва добровольно передает информацию, традиционные системы безопасности не видят нарушений.

Как защититься?

1. Правило №1: Никогда и никому не сообщайте пароли, коды из СМС и другую конфиденциальную информацию по телефону. Настоящие техники никогда не спрашивают пароли.
2. Всегда проверяйте личность. Если вам звонят с предложением помощи, вежливо завершите разговор и перезвоните в службу поддержки по официальному номеру, указанному на сайте компании или в вашей визитке.
3. Внедрите процедуры. В компании должны быть четкие регламенты, как ИТ-отдел взаимодействует с пользователями. Любое отклонение от этих правил — повод насторожиться.
4. Требуйте верификации. Если "специалист" представляется коллегой, попросите его назвать ваше полное имя, должность и номер заявки. Мошенник этого не знает.
5. Обучайте сотрудников. Все сотрудники должны знать об этой технике и быть готовы вежливо, но твердо отказать в подобных просьбах.

Главный вывод: "Кви-про-кво" — это ловкая манипуляция, где мошенник играет роль помощника. Ваша лучшая защита — помнить, что настоящая помощь никогда не требует от вас нарушения правил безопасности.