Искусство цифровой самозащиты
Шрифт:
• Использовать устройство для проведения DDoS атак.
• Использовать устройство для майнинга криптовалюты.
• Изменить настройки DNS [35] с легитимных серверов на сервера злоумышленников. И всем, кто подключается в интернет через этот маршрутизатор, подменять IP-адреса сайтов. Представьте, пользователь вводит в строке sber.ru, а вместо реально IP-адреса сайта Сбера его отправляют на фишинговый сайт. Там пользователь вводит свой логин и пароль, которые тут же попадают к злоумышленникам. Кроме фишинга (мы рассмотрим его ниже),
35
DNS (Domain Name System) – это система, преобразующая человекочитаемые доменные имена в IP-адреса, понимаемые машиной.
• Рассылать через устройство спам или сделать из него прокси-сервер.
КАК ЗАЩИТИТЬ УМНЫЕ УСТРОЙСТВА
1. Поменяйте все пароли по умолчанию: для доступа к устройству, пароль от wi-fi и т. д.
2. Отключите удаленный доступ к устройству из интернета, если он вам реально не нужен. Если нужен, то используйте сложные пароли.
3. Всегда своевременно обновляйте прошивку устройства до самой последней.
Вредоносное ПО, стоящее за крупнейшей DDOS-атакой
Часть 3. Социальная инженерия
Социальная инженерия – в контексте информационной безопасности – психологическое манипулирование людьми с целью совершения определенных действий или разглашения конфиденциальной информации. Совокупность уловок с целью сбора информации, подделки или несанкционированного доступа от традиционного «мошенничества» отличается тем, что часто является одним из многих шагов в более сложной схеме мошенничества.
Также может быть определено как «любое побуждение человека к действию, которое может или не может быть в его интересах».
Сегодня благодаря разнообразию социальных сетей собрать сведения о человеке очень легко. А опытные мошенники хорошо разбираются в психологии и могут использовать в своих целях даже минимальные знания о пользователе.
Многие специалисты по информационной безопасности говорят, что как ни защищай программы и системы, есть одно слабое звено – это сам пользователь. Люди зачастую оказываются очень доверчивыми и сами предоставляют мошенникам конфиденциальную информацию.
Сейчас социальная инженерия приобрела прочную связь с киберпреступностью, но на самом деле это понятие появилось давно и изначально не имело выраженного негативного оттенка.
Люди использовали социальную инженерию с древних времен. Например, в Древнем Риме и Древней Греции очень уважали специально подготовленных ораторов, способных убедить собеседника в его «неправоте». Эти люди участвовали в дипломатических переговорах и работали на благо своего государства.
Спустя много лет, к началу 1970-х годов, стали появляться телефонные
Когда же появились компьютеры, большинство инженеров сменило профиль, став социальными хакерами, а понятия «социальные инженеры» и «социальные хакеры» стали синонимами.
Яркие примеры социальной инженерии
Кража у компании The Ubiquiti Networks 40 миллионов долларов в 2015 году. Никто не взламывал операционные системы и не крал данные – правила безопасности нарушили сами сотрудники. Мошенники прислали электронное письмо от имени топ-менеджера компании и попросили, чтобы финансисты перевели большую сумму денег на указанный банковский счет. И те перевели.
В 2007 году одна из самых дорогих систем безопасности в мире была взломана – без насилия, без оружия, без электронных устройств. Злоумышленник просто забрал из бельгийского банка ABN AMRO алмазы на 28 миллионов долларов благодаря своему обаянию. Мошенник Карлос Гектор Фломенбаум, человек с аргентинским паспортом, украденным в Израиле, завоевал доверие сотрудников банка еще за год до инцидента. Он выдавал себя за бизнесмена, делал подарки, короче говоря – налаживал коммуникацию. Однажды сотрудники предоставили ему доступ к секретному хранилищу драгоценных камней, оцененных в 120 000 каратов.
А слышали, как Виктор Люстиг продал достояние Парижа – Эйфелеву башню – на металлолом? Всё это стало возможным с помощью социальной инженерии.
Эти реальные примеры социальной инженерии говорят о том, что она легко адаптируется к любым условиям и к любой обстановке. Играя на личных качествах человека или отсутствии профессиональных (недостаток знаний, игнорирование инструкций и так далее), киберпреступники буквально «взламывают» человека.
Самые популярные методы социальной инженерии:
• Фишинг – это вид мошенничества, суть которого – завладение логинами и паролями от важных сайтов, аккаунтов, счетов в банке и другой конфиденциальной информацией путем рассылки писем со ссылками на мошеннический сайт, внешне очень похожий на настоящий. После того как пользователь попадает на поддельную страницу, мошенники пытаются различными психологическими приемами побудить его ввести на поддельной странице свои логин и пароль, что позволяет им получить доступ к аккаунтам и банковским счетам.
• Фарминг – при фарминге на персональный компьютер жертвы устанавливается вредоносная программа, которая меняет информацию по IP-адресам, в результате чего обманутый пользователь перенаправляется на поддельные сайты без его ведома и согласия. Это более продвинутая версия фишинга, тут уже не нужно слать письма.
• Вишинг – метод, который заключается в том, что злоумышленники, используя телефонную коммуникацию и играя определенную роль (сотрудника банка, покупателя и т. д.), под разными предлогами выманивают у держателя платежной карточки конфиденциальную информацию или стимулируют его к совершению каких-то действий со своим счетом или банковской платежной карточкой.