книги хакеры / Курс_по_кибер_безопастности_Секреты_хакеров

87.Поведенческие меры безопасности от атак социального типа - Часть 2

6.Проверьте отправителя

Проверка отправителя. Если ваш друг или коллега отправил вам какую-либо ссылку или вложение, которых вы не запрашивали, воспользуйтесь другим средством связи с ним и удостоверьтесь, что именно он является отправителем. Если их отправила некая компания, типа вашего банка или соцсети, вам также следует связаться с ними, если имеется возможность удостовериться в легитимности. Если они отправлены компанией или человеком, с которыми у вас нет никаких отношений, то можете мгновенно насторожиться.

Проверьте доменное имя из адреса электронной почты, с которого пришло подозрительное письмо. Если это не домен компании и что-то наподобие Hotmail или Gmail, то это определенно фейк. Компании могут себе позволить владеть собственными доменными именами, им не нужно пользо-

ваться Yahoo, Gmail или Hotmail.

Скопируйте содержимое электронного письма и вставьте его в свой любимый поисковик. Но аккуратно, не нажимайте ни на какие ссылки. Если это известная атака,

9

Здесь всего лишь пример письма, которое я получил, собственно, это легитимное письмо. Если это письмо от компании, я могу проверить вещи типа IP-адреса, с которого письмо было отправлено, различные домены, проверить, на самом ли деле все это связано с данной компанией.

Можно поискать по названию компании и проверить, представлена ли она легально в интернете, есть ли у нее собственный сайт, телефонные номера для связи. Если нет - скорее всего это фейк. Если у них есть веб-сайт, скрыты ли данные о нем в записях

Whois?

https://whois.domaintools.com

Можете зайти в любой сервис Whois и поискать домен, для примера я выбрал blob.com, ищем, и давайте посмотрим на этот домен. Видим, что blob.com использует сервис защиты контактных данных, это значит, что владелец домена скрыт.

10

Видим здесь, что можно также сделать обратный поиск по IP-адресу. Вот IP-адрес сервера, связанного с этим доменным именем, blob.com Если мы запустим обратный поиск по нему, то увидим,

какие еще домены связаны с этим IP-адресом. Видим здесь, перечислены 3 домена. И еще свыше 1 миллиона других доменов, это крайне необычно.

Но что вы можете сделать здесь, вы можете проверить, являются ли какие-либо из этих доменов сомнительными. Можно загуглить эти домены, например. И это будет индикатором, является ли основной домен, в нашем случае это blob.com, легитимным.

Также вы можете проверить основные характеристики вебсайта, выглядит ли он так, словно только что собран? Работают ли ссылки на этом сайте? Есть ли фото или содержимое, не имеющие отношения к тематике сайта? Соответствуют ли изображения, ссылки и контент на странице друг другу? Есть ли несоответствия между темой и назначением страницы и сайтом в целом? Если они пытаются что-либо вам продать, понятно и точно ли представлена информация? Вы можете проверить, было ли что-то склонировано, просто скопировав и вставив фрагменты сайта в ваш любимый поисковик, и вы увидите, был ли этот сайт склонирован. Опять же, это индикатор различного рода мошенничества.

11

12

Сжатые и архивные файлы

Опасные - могут содержать исполняемые файлы

.ZIP

.RAR

.z

.Z

.7z

.DMG

Здесь представлены некоторые из расширений форматов архивации файлов и сжатия данных. Такие файлы часто используются для скрытия исполняемых модулей, будьте осторожны с ними, если вы разархивируете подобный файл, внутри архива могут оказаться исполняемые файлы.

Прочие Потенциально безопасные

И последнее, это список потенциально безопасных расширений: .txt, .gif, .jpg, но теоретически не исключено, что при помощи этих файлов можно эксплуатировать дыры, если программное обеспечение, которое вы используете для их просмотра, имеет уязвимость, но это довольно маловероятный сценарий.

8. Избегайте очевидных угроз

И напоследок мы обсудим некоторые очевидные вещи. Они очевидны, но я должен их проговорить в любом случае для проформы. Если запросчик данных просит предоставить информацию о банковском аккаунте, номера кредитных карт, девичью фамилию вашей матушки или другую персональную информацию, то очевидно, что это

подстава. Законные организации не станут отправлять вам подобные запросы через 13 электронную почту или сообщение.

Если вы получили подозрительное письмо, исходящее, как в нем сказано, из определенной компании, то вы можете отправить копию этого письма в настоящую компанию, чтобы помочь им предотвратить атаки. Если вы получили фишинговое письмо, можете отправить его на этот адрес, это рабочая группа по противодействию фишингу, это поможет борьбе с фишинговыми атаками:

reportphishing@antiphisshing.org

Что касается вишинга, телефонного мошенничества, один из лучших способов защиты от вишинговых атак - это подтверждение личности говорящего. Не предоставляйте никакой информации неизвестным звонящим, даже если идентификатор номера вызывающего абонента выглядит легитимным, это может быть мошенничество.

9. Вишинг и смишинг

В случае с вишингом и телефонными звонками всегда проверяйте личность звонящего. Спрашивайте имя, название компании, правомочия, телефонный номер для обратного звонка. Более продвинутые атакующие будут иметь легитимный номер для обратного звонка, так что проверьте компанию поиском в интернете и проведите различные проверки, которые мы уже с вами обсуждали. Удостоверьтесь, что эта компания и все, что с ней связано, действительно существует и легальна, найдите в сети все, о чем они говорили вам для проверки, кто они и что из себя представляют.

Когда речь идет об оффлайне, чтобы снизить вероятность стать целью, купите и начните использовать шредер, уничтожитель бумаги. Все, что связано с персональной информацией, должно уничтожаться, не носите с собой карту социального обеспечения, в случае утери или кражи банковских чеков и кредитных карт немедленно заявляйте об этом.

Это было видео об изменениях в поведении. Возможно, вам не нужно ничего менять и вы уже следуете всем этим правилам, которые помогают минимизировать последствия атак социального типа наподобие фишинга, вишинга, смишинга, спама и различного рода мошенничества.

14

Мы только что поговорили о поведенческих мерах обеспечения безопасности, теперь переходим к техническим средствам защиты, и опять же, многие из угроз социального типа, с которыми мы сталкиваемся, могут быть ликвидированы одинаковыми техническими средствами. К угрозам, которые мы здесь рассматриваем и которые можем устранить, относятся: кража личности, социальная инженерия типа фишинга, вишинга, смишинга, различного рода мошенничество, доксинг, спам, другие подобные виды угроз.

Вцелях противодействия данным угрозам рассмотрите следующие виды технических средств защиты. Во-первых, используйте провайдера электронной почты со средствами обеспечения безопасности для уменьшения количества подобных атак. При выборе провайдера электронной почты узнайте, насколько хорошо они защищают вас от спама, фишинга, вредоносных программ и прочих негативных явлений. Почти все поставщики услуг электронной почты сканируют содержимое электронных писем на наличие подобных видов атак. Это проблема для приватности и конфиденциальности, но одновременно и средство обеспечения безопасности.

Иногда безопасность и приватность несовместимы, и вам придется выбирать, как с этим справляться. Что важнее для вас? Приватность или безопасность? Вам придется принять риск-ориентированное решение. Но вы можете выбрать использование раздельных аккаунтов под разные цели.

Например, для большей конфиденциальности переписки вы можете иметь выделенную электронную почту, в которой вы будете использовать GPG, что обеспечит вас нужным уровнем приватности, мы обсудим этот сценарий в деталях позже, а для обычных писем, когда потребность в приватности меньше, вы можете обратиться к услугам провайдера, предоставляющего защиту путем сканирования содержимого электронных писем.

Крупные провайдеры электронной почты хорошо защищают от спама, фишинга и вредоносных программ, поскольку обладают большими ресурсами для решения данной проблемы. В их числе Apple, Google, Microsoft, Yahoo и другие. Они хорошо защищают вас от фишинга и малвари, но не подходят для конфиденциальности. Так что вам нужно выбрать провайдера для себя, взвесив варианты между приватностью и безопасностью.

Для безопасности вам нужен провайдер, который обеспечивает определенную фильтрацию против атак социального типа, и мы рассмотрим процесс выбора провайдера в больших подробностях в разделе о безопасности электронной почты.

Другое средство для защиты от атак социального типа - это использование сервиса кредитного мониторинга, который уведомляет вас о проверках платежеспособности и обращениях в банк, что поможет вам, в частности, от угрозы кражи личности.

ВСША и других странах вы можете "замораживать" проверки кредитоспособности. Это препятствует возможности злоумышленникам брать на ваше имя кредиты или кредитные карты. Это полезно, если вы знаете, что не нуждаетесь ни в каких займах или кредитах, так что вы можете "заморозить" взятие кредитов на свое имя.

Вам стоит мониторить аккаунты, о которых вы беспокоитесь, в том случае, если предоставляется подобный функционал по мониторингу и оповещению в случае несанкционированных действий. Включите уведомления о безопасности в вашем аккаунте, где это возможно. Например, когда кто-либо входит в вашу учетную запись, откуда, с какого устройства, когда проводятся денежные переводы, когда меняются пароли и так далее. Вам нужно получать оповещения о подобного рода событиях. В качестве примера, Gmail обеспечивает подобную информацию об устройствах, с которых вы входите в учетную запись, многие банки отправляют оповещения, когда производятся денежные переводы или когда объем средств на вашем счете достигает определенного уровня. Вам следует включить такие оповещения.

15

Технические средства защиты от атак социального типа

•Просмотр в текстовом формате

•Использование Google Safe Browsing (в целях обеспечения приватности отключить)

•Использование фильтров uBlock Origin (+ другие расширения для браузеров)

•Изоляция и компартментализация

•Использование виртуальных машин

•Application whitelisting (контроль запуска приложений)

•Управление исполнением приложений

•Песочницы

•Открытие вложений онлайн (Google Docs или Etherpad)

•Использование живых операционных систем

•Использование электронных подписей OpenPGP для валидации отправителя

•Использование хостинга файлов и ссылок вместо вложений к письмам

•Использование антивирусов и решений по защите компьютеров

Первое, изменить просмотр электронных писем с HTML-формата на текстовый. Использование встроенной технологии защиты Google Safe Browsing в Mozilla Firefox, Apple Safari и Google Chrome. Расширение для браузеров uBlock Origin для фильтрации.

Далее, использование изоляции и компартментализации. Использование виртуальной машины для открытия вложений и перехода по ссылкам. Управление исполнением приложений. Песочницы. Открытие вложений онлайн с использованием инструментов типа Google Docs или Etherpad. Использование Live CD для открытия приложений и перехода по ссылкам. Использование электронных подписей OpenPGP для валидации подлинности отправителя. Если вы регулярно отправляете и получаете файлы по электронной почте, то измените отправку файлов на хостинг этих файлов и отправляйте ссылки на файлы, а не вложения. Вы можете использовать сервисы типа SpiderOak, ownCloud или Seafile. Включение антивирусов и решений по защите компьютеров.

Все эти методы мы изучим в данном курсе, они весьма надежно защищают от атак социального типа. Для получения полезной информации по защите от фишинга, вишинга, смишинга, спама, мошенничества, можете обратиться к сайту ActionFraud, довольно неплохой сайт. И также Scambusters.org весьма хорош.

www.actionfraud.police.uk/types_of_fraud www.scambusters.org

16

89. Цели и задачи обучения

Основная цель этого небольшого раздела - разобраться с виртуальными и физическими доменами безопасности. Как они могут использоваться для уменьшения поверхности атаки и областей взаимодействия между вашими активами. Вдобавок, изучим, как домены безопасности применяются для снижения уровня негативных последствий и возможностей распространения атак.

90. Домены безопасности

Вы довольно быстро поймете, что если у вас высокая потребность в безопасности и/или приватности, они могут быть в некоторой степени несовместимы с такими понятиями, как быстродействие и простота, в том случае, если вы пытаетесь объединить все это в одно целое внутри одной среды или операционной системы. В этом разделе я поговорю о доменах безопасности и изоляции, и о том, как пользоваться разными доменами безопасности и изоляцией.

К сожалению, может быть очень трудно найти операционную систему для повседневного использования, которая была бы высокозащищенной и обеспечивала бы приватность, вдобавок была бы достаточно быстрой для запуска нужных вам приложений и легкой в использовании. Знаете, для примера, если вы хотите запускать игры, то если у вас настроено полное шифрование диска, то это будет замедлять процессы. Вот почему для повседневного использования вам стоит иметь домен со слабой безопасностью и/или приватностью, а когда вам потребуется безопасность и/или приватность посильнее, то вы бы использовали другой подход или домен безопасности.

17

Домены безопасности в целом могут быть либо физическими, либо виртуальными, в зависимости от того, каким образом вы их выделяете. Примером физического домена безопасности может быть наличие у вас одной изолированной физической машины или лэптопа, и операционной системы и настроенного в ней определенным образом программного обеспечения, которые обеспечивают вас высоким уровнем безопасности. И наличие у вас другой физической машины или лэптопа, который предназначен для обычного использования. Это образец физического домена безопасности.

У вас также могут быть виртуальные домены безопасности или изоляция. Виртуальный образец может использовать платформу виртуализации или гипервизоры, которые, как мы уже обсуждали, и вы уже видели, представляют собой программное обеспечение, эмулирующее полноценный физический компьютер, и может неоднократно эмулировать различные физические платформы. Например, вы можете иметь Windows в качестве слабого домена безопасности, и возможно, виртуальную машину с Debian на борту в качестве домена высокого уровня безопасности.

Собственно говоря, есть довольно много способов обеспечить вас разными доменами безопасности и изоляцией, которые не будут слишком обременительными, включая использование виртуальных машин, это хороший пример. Вы можете настроить себе подобные раздельные домены безопасности или среды, если вы действительно хотите усилить безопасность и приватность.

Виртуальная изоляция обеспечивает барьер от компрометации. Если у вас есть гостевая операционная система на виртуальной машине, например, Debian, и она была скомпрометирована, а ваша хостовая операционная система, допустим, Windows, то будет трудно получить доступ до Windows, будет трудно попасть из Debian в Windows через гипервизор. Чтобы это произошло, гипервизор должен иметь уязвимость, которую можно проэксплуатировать, или он должен быть плохо настроен, например, вы разрешили обмен файлами или что-то наподобие этого, таким образом, что эксплойт сможет отработать из Debian в среду Windows.

Стоит заметить, что если безопасность и/или приватность чрезвычайно важны, то вам точно придется разделить домены безопасности под выполнение различных задач. Не обязательно на физическом уровне, хотя бы на уровне виртуальном. Уровень защиты, который вам нужен для поддержания высокого уровня приватности, непрактичен для повседневного использования интернета.

Подумайте о типе доменов безопасности, которые вам нужны, во время прохождения этого курса. В экстремальных ситуациях можно использовать следующие домены: рабо- 18 чий домен, персональный, банкинг, временный домен - то есть непостоянный домен,