Перейти к публикации
  • Integra
    Integra

    Социальные ловушки

    В аспекте компьютерной безопасности социальная инженерия – это совокупность методов и техник управления действиями человека без использования технических средств. Социальная инженерия использует человеческие слабости: страх, любопытство, жадность, жажду легкой наживы. Основные задачи СИ – выудить у пользователя конфиденциальные данные: логины, пароли, сведения о банковских счетах и доступе к ним и прочие сведения, которые могут иметь большую ценность.

    Дешевле, больше, быстрее 

    Использовать методы социальной инженерии не в пример дешевле, чем писать и распространять вирусы. Например, гораздо проще выманить у пользователя социальной сети его логин и пароль, предложив ему повторно авторизоваться на поддельном сайте, чем взламывать защищенную базу данных с персональными данными.
    Именно поэтому СИ с успехом применяется и в массовых атаках на рядовых пользователей и при тщательно планируемых проникновениях в информационные системы крупных компаний.
    Вот что говорит по этому поводу Сергей Комаров, руководитель отдела антивирусных разработок и исследований «Доктор Веб»: «Пользователь де-факто сейчас -- самое слабое звено в защите компьютера. Современные операционные системы, антивирусное ПО, не стали непреодолимым барьером для злоумышленников, хотя такое преодоление требует усилий и квалификации. А чтобы «облапошить» пользователя никакой квалификации не нужно».
    По статистике крупных антивирусных лабораторий, социальная инженерия становится все более популярной у преступников.
    Так, Эдди Уильямс (Eddy Willems),  евангелист по безопасности G Data SecurityLabs, приводит в пример ежемесячные рейтинги самых распространенных вредоносов, среди которых все чаще встречаются вирусы, использующие техники социальной инженерии. «Это показывает, что мы имеем дело с одной из самых недооцененных проблем», -- считает он.
    Не меньшие опасения вызывает СИ и у экспертов «Лаборатории Касперского». Дарья Гудкова, руководитель отдела контентных аналитиков компании, называет среди самых популярных видов интернет-мошенничества ссылки на подложные сайты, SMS-мошенничество, онлайн-лотереи, финансовые пирамиды, фальшивые антивирусы.
    «Доверяя всему, что предлагается в Интернете и не следуя элементарным правилам компьютерной безопасности, -- комментирует она, -- пользователь становится легкой добычей киберпреступников и может понести серьезные финансовые потери».

    Любопытство, жадность, самоуверенность 

    Играя на человеческих слабостях, злоумышленники вынуждают пользователя действовать по собственному сценарию: открывать зараженные файлы (документ, Flash-ролик), переходить по сомнительным ссылкам и устанавливать на компьютер вирусное ПО под видом легальных приложений, вводить данные своих учетных записей или кредитных карт на поддельных сайтах.
    Эксперты в области безопасности сходятся во мнении, что самым распространенным каналом для подобных уловок остаются электронная почта и социальные сети. А вот средства обмена мгновенными сообщениями нечасто используются преступниками – как правило, в IM-клиентах допустимо отключать получение сообщений от неизвестных пользователей.
    Увы, клюнуть на удочку злоумышленников может кто угодно, «типичной жертвы» не существует. Разумеется, основная масса тех, кто попадается на различные уловки, -- начинающие пользователи, не осведомленные о возможных опасностях. Для них используются примитивные, но широко «бьющие» методы, направленные на плотные скопления пользователей.
    Например, для того чтобы заманить пользователя на зараженный сайт или заставить его установить вредоносное приложение, используются кричащие заголовки типа «Майкл Джексон жив, доказательства по ссылке». Для любителей легкой наживы существуют специальные предложения, например, «Сосчитай сколько iPhone’ов на картинке и получили один из них бесплатно». Злоумышленники также активно применяют для атак громкие новостные поводы – осенью прошлого года были зафиксированы мошенничества, замаскированные под новости о смерти Стива Джобса и событиях в Ливии.
    Весьма достоверно выглядят и способы кражи паролей от учетных записей. Известны случаи, когда мошенникии создавали форумы, например, для обсуждения товаров и услуг. Пользователь, чтобы принять в нем участие, должен был войти на этот форум, используя аккаунт от одной из социальных сетей. В тот же момент открывалось поддельное окно регистрации и вводимые пользователем данные уходили злоумышленникам.
     Но есть и еще одна категория потенциальных жертв – продвинутые пользователи и эксперты в области ИТ. Они обычно переоценивают свои силы и возможности защитного ПО. Для них социальные инженеры используют изощренные тактики с оригинальными, не повторяющимися приемами и более тяжелыми последствиями для жертв. Например, нашумевший этой осенью вирус Duqu, написанный для узкоспециализированных предприятий, проник в эти компании с помощью электронных писем. Первая попытка заставить пользователей открыть приложенный к письму файл с эксплойтом не удалась, хотя текст полностью имитировал деловую переписку. Тогда злоумышленники повторили атаку, изменив текст так, чтобы было видно, что это повторная попытка донести до сотрудников предприятия деловое предложение. И она, увы, сработала: открыв файл, пользователь внес вирус на свою машину. А потом, через произошедшее заражение и иную уязвимость, уже другой вирус проник на предприятие и продолжил свое движение через прочие «дыры» дальше, на машины, управляющие теми системами, которые вирус должен был поразить.
    К сожалению, максимально осторожное поведение, недоверие к присылаемым файлам и ссылкам и отсутствие аккаунтов в социальных сетях не гарантирует полной безопасности.
    Даже подозревая о мошенничестве, человек всегда испытывает любопытство, а иногда даже жажду легкой наживы при получении подобных предложений. И чувство «со мной этого не случится» подвигает его на опасные действия. По статистике, всего один из пяти пользователей в социальных сетях переходит по ссылкам только от знакомых людей, остальные даже не смотрят на адресата. Впрочем, и самый внимательный пользователь в спешке может неправильно набрать название известного поискового сервера, например goggle.ru вместо google.ru. И именно на goggle.ru его и будет ждать вредоносный код.

    Не сетью единой 

    Однако социальная инженерия использует и другие методы. Так, эксплуатируя обычное человеческое любопытство, была успешно проведена атака на иранский ядерный завод с использованием нашумевшей троянской программы Stuxnet. В данном случае не было ни писем с зараженными файлами, ни ссылок на сомнительные ресурсы. Сотрудник компании всего лишь открыл на рабочем компьютере флешку, подброшенную ему на улице злоумышленниками.
    Есть и совсем «безкомпьютерный» способ – узнать телефоны и имена работников компании (что относительно несложно сделать, например, в тех же социальных сетях), позвонить техническому специалисту, назваться именем нужного сотрудника и попросить продиктовать логин и пароль для входа в систему, сославшись, в частности, на какой-нибудь сбой или неполадку с ПО.
    Действенность подобных методов подтверждает Александр Ковалев, директор по маркетингу компании SecurIT, российского разработчика DLP-систем. По его мнению, в отличие от атак на частных пользователей, организуемых с помощью специально написанных троянов, для получения корпоративных данных применяются гораздо более эффективные методы, основанные на личных контактах. «На нашем DLP-рынке сотрудники некоторых компаний, занимающихся защитой от утечек информации, с большой охотой сообщают конкурентам много интересного, в том числе планы развития и перечень продаж за последние годы с указанием количества лицензий и сумм, – рассказывает Александр. -- Для получения подобной информации достаточно иметь телефон и электронную почту — всю остальную информацию вам с удовольствием пришлют, разумеется, при правильном выстраивании разговора».

    Не болтай! 

    На уловки социальных инженеров могут попасться и очень известные компании. Прошедшим летом на конференции по компьютерной безопасности Defcon 19 проходил конкурс, организованный профессиональным социальным инженером Кристофером Хэднеги. Участникам конкурса предстояло связаться с одной из широко известных компаний и постараться выудить у ее сотрудников информацию, не предназначенную для публичного доступа.
    Целями социальных инженеров стали Apple, AT&T, Conagra Foods, Dell, Delta Airlines, IBM, McDonald's, Oracle, Symantec, Sysco Foods, Target, United Airlines, Verizon и Walmart. Участники собирали доступную в Интернете информацию о компании и входили в контакт с сотрудниками под вымышленными предлогами. Только четыре компании сумели оказать социальным инженерам сопротивление. Осторожнее прочих оказались компании, работающие в сфере розничных продаж: AT&T, Walmart и др. На последнем месте осталась Oracle.

    Ловушка для любителей фастфуда 

    Самой нашумевшей в третьем квартале 2011 г. стала история с фишинговой атакой на любителей McDonald’s. Нестандартная многоступенчатая схема была создана так, что сначала пользователь получал письмо, где ему предлагалось якобы принять участие в онлайн-опросе о качестве питания в ресторанах McDonald’s, а затем получить вознаграждение за ответы на свой банковский счет. Форма опроса выглядела весьма убедительно. Ответив на все вопросы, пользователь попадал на следующую страницу, где ему предлагалось ввести номер карты и CCV-код. Разумеется, данные переадресовывались злоумышленникам, и к ним же «утекали» все деньги со счета.
    Для обхода фильтров и черных списков злоумышленники использовали зараженные веб-сайты: пройдя по ссылке в письме, пользователь попадал сначала на страницу сайта, где не было ничего, кроме короткого javascript-кода, перенаправлявшего пользователя на основной сайт мошенников. Так называемый опрос был нужен, разумеется, только для отвода глаз. Главная страница -- последняя, где пользователь отправлял номер кредитки мошенникам и потом перенаправлялся на официальный сайт McDonald's.

    Откровенность в Сети 

    Очень часто злоумышленникам даже не приходится прибегать к каким-либо специальным методам получения информации, поскольку нужные сведения о пользователе легко найти на его странице в соцсети. Интересы, увлечение музыкой, любимые фильмы, текущее местонахождение – все это может сыграть на руку преступникам.
    Именно поэтому эксперты по безопасности советуют не держать информацию о себе в открытом доступе. По мнению Дарьи Гудковой, серьезную информацию не следует оставлять в Интернете вообще. Все, что пользователь вводит в Сети, может так или иначе попасть к злоумышленникам.
    Сергей Комаров рассказывает о более серьезных опасностях.Известны случаи, когда с помощью соцсетей реальные, а не компьютерные преступники находили жертв для похищения и требования выкупа.
    Эдди Уильямс приводит в пример существовавшую до недавнего времени в Англии «социальную сеть» для квартирных воров. В ней размещалась информация о том, кто, когда и куда уезжает из дома. Все эти сведения были найдены в статусах пользователей социальных сетей. Для успешного ограбления квартиры преступникам оставалось лишь дождаться обещанного времени и найти адрес владельца квартиры, который он мог опрометчиво указать в своем профиле соцсети или в других материалах в Интернете. 
    Социальные сети также используются для организации атак против целых компаний. Например, один из сотрудников компании в статусе в социальной сети пишет, что сегодня идет на концерт Элтона Джона. Тогда злоумышленник отправляет жертве письмо с обещанием показать интересные фотографии Элтона Джона, на что пользователь немедленно попадается, и получает вместо фотографий троянца. Вслед за этим вредоносы начинают распространяться по всей корпоративной сети.
    Однако Эдди Уильямс не советует компаниям полностью блокировать доступ к популярным социальным сетям на работе. Если сотрудник не может войти на свой профиль с рабочего компьютера, то он будет пытаться получить доступ через свой личный смартфон или планшет, используя корпоративную сеть. А это еще страшнее, потому что сейчас мало кто защищает личные мобильные устройства.

    Изменено пользователем ADMIN




  • Заходи сюда! кошельки, связки, карты! оптом и в розницу!

    У НАС САМЫЕ ПРИЯТНЫЕ ЦЕНЫ! НА ОПТОВЫЕ ЗАКАЗЫ ЦЕНА ВСЕГДА ОБСУЖДАЕМА! WebMoney Формальный аттестат + проверенные документы - 500 руб. Начальный аттестат на Ваши/Наши данные - 2099 т.р. Персональный аттестат - 19999 т.р. Связка вебмани начальный/формальный + Киви + Яндекс ( все на одни данные ) - 3999 т.р.   QIWI Частично идентифицированный кошелек + сканы - 300 рублей. Идентифицированный кошелек на Ваши/Наши данные - 999 рублей. (Идентификация от 10 ш

    InkognitoXXX
    InkognitoXXX
    Продажа карт 23

    Оборудование для скимминга

    Оборудование для скимминга: готовые комплекты для установки на Wincor, Diebold, Ncr Скиммеры, вставки, щелевики, шиммеры Возможна продажа чертежей, адаптированных для печати на 3D принтерах. Есть в продаже отдельно аудио электроника с шифрованием, частотой дискретизации в 22.000 гц. Гарантия качества, сделки исключительно через Гарант Форума Доставка по всем странам, в том числе России и СНГ Наш сервис предоставляет услуги по расшифровке с аудио оборудования. Расшифровываем с

    rus123
    rus123
    Скиммеры 26

    Посылка с DARKNET | Техника

    Добро пожаловать! В нашем магазине для вас представлены: Любая техника за 40% от цены Amazon.com и Ebay.com Apple    Samsung    Sony    NVidia    Huawei    Xiaomi и т. п. IPhone | MacBook | IPad IPhone 11                   64гб - 370$ | 256гб - 455$ | IPhone 11  Pro           64гб - 555$ | 256гб - 640$ | 512гб - 750$ IPhone 11  Pro  Max  64гб - 615$ | 256гб - 700$ | 512гб - 810$ IPhone XS max           64гб - 475$ | 256гб - 530$ | 512гб - 570$ IPhon

    NFS
    NFS
    Прочие товары и услуги 60

    Продам онлайн схему заработка с доходом от 50 тыс.руб/мес.

    Приветствую вас, форумчане! Представляю вашему вниманию онлайн схему заработка, которая позволит вам зарабатывать от 50 т.р. в месяц! Это авторская схема (цвет абсолютно белый), которая включает мануал и маленькие консультации и первоначальные подсказки, которые имеют также важное значении. Я уверен, что более 99.99% участников форума не сталкивались с этой сферой и общей информацией изложенной в моём труде. Это не бизнес план, это схема заработка. В чём суть:  Мы создаём циф

    SovetskiSoyouz
    SovetskiSoyouz
    Схемы заработка 10

    Паспорт РФ под Ваши данные

    Наш сервис растёт и развивается! Работаем на площадках с 2014 года (оффлайн с 2008 года). Мы рады предложить Вам документы высокого качества, а именно: Паспорт старого образца с 1997 года по 2007 год включительно Паспорт нового образца с конца 2007 года по наши дни, все модификации. Документы имеют все необходимые степени защиты, в том числе делаем текст "Паспорт гражданина РФ" читабельным тактильно. Делаем полностью под необходимые Вам данные. Серия и номер так же такти

    Nazar787
    Nazar787
    Купить паспорт РФ 13

    Карты под обнал

    Здравствуйте, по приглашению администрации форума создаю тему на площадке. Ищу активных, ответственных людей во всех регионах РФ и СНГ для обнала карт. Балансы 1000+$, карты не чекаю точных балансов не знаю, но меньше 1000 не было ни разу. В данный момент выслал карты для проверки по просьбе администрации, надеюсь потом получу статус доверенного. Со временем внесу залог, если будет работа именно на этом борде. Буду работать с людьми по рекомендации от доверенных лиц форума 50

    DropOBot
    DropOBot
    Продажа карт 97
  • Схема заработка - парикмахерская

    Прибыльность парикмахерского бизнеса, как любого бизнеса, направленного на удовлетворение естественных потребностей, зависит от качества услуг и их стоимости. Кроме того имеется целый ряд факторов, определяющих, насколько успешен будет проект. Не полный их перечень выглядит следующим образом: Расположение парикмахерского салона. Уровень потенциального спроса. Формат деятельности парикмахерской. Наличие конкурентов и их возможности. Финансовые и организационные

    олеся
    олеся
    Легальный бизнес 9

    Российские хакеры взламывают аккаунты предпринимателей в Telegram.

    Пользователи популярного мессенджера стали жертвами мошенников, которые получали доступ к аккаунтам посредством перехвата сообщений. Об этом сообщают эксперты по кибербезопасности компании Group-IB. Пользователи получали сообщение с кодом подтверждения входа в аккаунт, который не запрашивали. Оно приходило на смартфон и в сервисный канал Telegram. Через несколько секунд жертва взлома получала уведомление об авторизации с нового устройства. По словам специалистов, несанкционированный вх

    ChekTime
    ChekTime
    Ботнеты, кодинг, загрузки 2

    Зарабатываем на чат-ботах

    Предисловие В этой статье не будет сложных терминов и  километров программных кодов. Как не странно, для разработки своего чат-бота не требуется специальных навыков. Каждый из вас сможет постичь эту “науку” за несколько дней.  Инструмент интегрируется в любую компанию, возможно разработать бот даже для государственных услуг. Функционал бота ограничивается только вашей фантазией.  Данный способ заработка только набирает обороты. Многомиллионная аудитория, отсутствие конкуренции и

    tor
    tor
    Слив схем заработка

    Перестала радовать жизнь?

    Если твоя жизнь — тоска полная и ничего в ней не радует, то обязательно с этим нужно что-то делать. Разумеется, если ты героиновый наркоман или любой другой маргинал, то тебя ничего радовать и не должно, кроме сампонимаешь чего. Однако если ты в целом нормальный парень, вроде всё ничего, но, бывает, моментами начинается внезапная грусть, депрессия и апатия, то это случается не просто так, а в связи с некоторыми причинами. Ты пресытился   Или попросту зажрался. Это не т

    Novichok
    Novichok
    Курилка 1

    Заливы на карту Сбербанка без предоплаты – форум Hackatm

    Где сделать залив на карту Сбербанка?   Термин «залив» жаргонный и популярен в Сети. Суть в том, что некие люди предлагают кому-то пополнить его счет в банке или скинуть деньги на карту. Это и есть залив. Сумма зачастую немаленькая, иногда она исчисляется в сотнях тысяч рублей. Затем человек, получивший средства на карту, должен эти средства вывести и отправить на реквизиты, которые указываются отправителем. При этом получивший залив оставляет себе в награду заранее оговоренный процент

    Integra
    Integra
    Платёжные системы 3

    Даже СОРМ не нужен: как полиция и ФСБ получают любые данные пользователей

    На этой неделе в соцсетях разгорелся новый спор про персональные данные: сервис «Яндекс.Такси» по одному письму с указанием номера выдал полиции данные о поездках пользователя. Им оказался журналист Иван Голунов. Благодаря этой информации он в итоге и был задержан по сфабрикованному уголовному делу о наркотиках. Многих удивило, как просто компания рассталась с данными о своем пользователе, но для российских интернет-сервисов и соцсетей это нормальная практика. Рассказываем, как это работает, — н

    Verb
    Verb
    Новости


×
×
  • Создать...