Использование технологии социальной инженерии.

Социальная инженерия представляет собой технологию использования человеческого фактора для взлома информационной безопасности. Именно человек является наиболее слабым звеном в системах защиты. Даже если корпоративная сеть оснащена самой совершенной техникой и программным обеспечением, виновником взлома может стать неопытный сотрудник, который поддался на мошеннические действия злоумышленника.

Чтобы заставить пользователя внимательно прочесть полученное письмо и отреагировать так, как нужно рекламодателю (позвонить по телефону, кликнуть по ссылке и т.п.), спамеры активно осваивают психологические способы воздействия на получателей сообщений. В частности, чтобы привлечь их внимание и спровоцировать чтение писем, спамеры пытались заставить получателей поверить, что перед ними не спам, а личные сообщения. Наиболее примитивный прием, когда спамеры добавляют в тему сообщения метки RE или FW как показатель того, что данное сообщение является ответом на предыдущую переписку или отправлено кем-то из известных адресатов. Но этот подход срабатывает не всегда, поэтому такие «простые» приемы начинают дополняться более изощренной маскировкой.

Спамеры обратились непосредственно к тексту сообщений. Теперь некоторые спамерские тексты стилистически и лексически оформляются, как личная переписка. Часто такой спам не содержит обращений или содержит обращения вида «подруга», «малышка» и т.п., чтобы создать у пользователя иллюзию, что письмо было адресовано именно ему. Иногда в подделке под личную переписку упоминаются и имена. В любом случае, пользователь может захотеть разобраться, что это за сообщение, откуда, не надо ли его куда-то переслать, и, как минимум, прочтет экземпляр спама.

Ниже приведен пример спама, замаскированного под частное письмо:

Привет ДРУЖИЩЕ!

Помнишь ты сетовал на дороговизну расходки для Своей конторы? Я нашёл ребят, которые помогают здорово сэкономит
Представляешь, они мне заправили 3 картриджа за 900 рублей, оплату приняли безналом, все доки привезли, мой бух просто прется
Их номер {xxx-xx-xx}, Ты, если, что звони не стесняйся
Пока!

Среди спамовых писем, замаскированных под личную переписку, попадаются настолько убедительные образцы, что даже специалист может ошибиться при первом взгляде на текст, не говоря уже о не слишком опытных пользователях.

Фишинг

Фишинг (англ. phishing, от fishing – рыбная ловля, выуживание и password – пароль) – вид интернет-мошенничества, цель которого – получить идентификационные данные пользователей. Сюда относятся кражи паролей, номеров кредитных карт, банковских счетов и другой конфиденциальной информации.

Фишинг представляет собой пришедшие на электронный почтовый ящик поддельные уведомления от банков, провайдеров, платежных систем и других организаций о том, что по какой-либо причине получателю срочно нужно передать или обновить личные данные. Причины могут называться различные. Это может быть утеря данных, поломка в системе и модификация баз данных, и т.д.

Атаки фишеров становятся все более продуманными, применяются методы социальной инженерии. Клиента пытаются напугать, придумать критичную причину для того, чтобы он выдал свою личную информацию. Как правило, сообщения содержат угрозы, например, заблокировать счет в случае невыполнения получателем требований, изложенных в сообщении («если вы не сообщите ваши данные в течение недели, ваш счет будет заблокирован»). Забавно, но часто в качестве причины, по которой пользователь якобы должен выдать конфиденциальную информацию, фишеры называют необходимость улучшить антифишинговые системы («если хотите обезопасить себя от фишинга, пройдите по этой ссылке и введите свое имя пользователя и пароль»).

Внешний вид фишинговых сайтов совпадает с официальным сайтом, под который пытаются замаскироваться мошенники. Зайдя на поддельный сайт, пользователь вводит в соответствующие строки свое имя пользователя и пароль, а далее аферисты получают доступ в лучшем случае к его почтовому ящику, в худшем – к электронному счету.

Наиболее частые жертвы фишинга – банки, электронные платежные системы, аукционы. То есть мошенников интересуют те персональные данные, которые дают доступ к деньгам. Также популярна кража личных данных электронной почты – эти данные могут пригодиться тем, кто рассылает спам или вирусы.

Характерной особенностью фишинговых писем является очень высокое качество подделки. Адресат получает письмо с логотипами банка, сайта, провайдера, выглядящее в точности так же, как настоящее. Ничего не подозревающий пользователь переходит по ссыке «Перейти на сайт и авторизоваться», но попадает на самом деле не на официальный сайт, а на фишерский его аналог, выполненный с высочайшей точностью.

Еще одной хитростью фишеров являются ссылки на сайты, очень похожие на URL оригинальных сайтов. Они могут включать в себя название настоящего URL, дополненное расширениями (например, вместо www.examplebank.com стоит www.login-examplebank.com).

Также в самом теле письма может высвечиваться ссылка на легитимный сайт, но реальный URL, на который она ссылается, будет другим. Бдительность пользователя притупляется еще тем, что в письме может быть несколько второстепенных ссылок, ведущих на официальный сайт, но основная ссылка, по которой пользователю надо пройти и авторизоваться, ведет на сайт мошенников.

Технологии фишеров совершенствуются. Так, появилось сопряженное с фишингом понятие – фарминг. Это тоже мошенничество, ставящее целью получить персональные данные пользователей, но не через почту, а прямо через официальные веб-сайты. Фармеры заменяют на серверах DNS цифровые адреса легитимных веб-сайтов на адреса поддельных, в результате чего пользователи перенаправляются на сайты мошенников. Этот вид мошенничества еще опасней, так как заметить подделку практически невозможно.

Согласно данным Gartner, в США в 2006 году ущерб, нанесенный одной жертве фишинга, в среднем составил 1244 долларов США. В 2005 году эта сумма не превышала 257 долларов, что свидетельствует о невероятном успехе фишеров. В России ситуация несколько иная. Из-за того, что у нас электронные платежные системы пока не столь распространены, как на Западе, ущерб от фишинга не столь велик. Но с распространением в России электронных платежных систем доля фишинга в общем почтовом потоке возрастет, и, соответственно, возрастет и ущерб от него.

Успеху фишинг-афер способствует низкий уровень осведомленности пользователей о правилах работы компаний, от имени которых действуют преступники. И хотя на многих сайтах, требующих конфиденциальной информации, опубликованы специальные предупреждения о том, что они никогда не просят сообщать свои конфиденциальные данные в письмах, пользователи продолжают слать свои пароли мошенникам. Поэтому несколько лет назад была создана Anti-Phishing Working Group (APWG) - группа по борьбе с фишингом, в которую входят как компании-«мишени» фишеров, так и компании, разрабатывающие анти-фишинговый/анти-спамерский софт. В рамках деятельности APWG проводятся ознакомительные мероприятия для пользователей, также члены APWG информируют друг друга о новых фишерских сайтах и угрозах. Сейчас APWG насчитывает более 2500 участников, среди которых есть крупнейшие мировые банки и ведущие IT-компании. Так что, по оптимистическим прогнозам, через некоторое время пользователи научатся остерегаться фишерских сайтов. Пока же основной защитой от фишинга остаются спам-фильтры.