книги хакеры / Как_защитить_себя_в_цифровом_мире_

осуществляется слежка за людьми, а также доставка вредоносного контента (92% вредоносных объектов передается по электронной почте

[81]).

Далее рассмотрим основные опасности использования электронной почты.

Фишинговые сообщения

Первое, что приходит на ум в контексте «угрозы электронной почты»,

— фишинг. Это слово происходит от английского phishing (а phishing в свою очередь — слегка измененное fishing («рыбная ловля»)) и обозначает вид мошенничества, цель которого получение доступа к конфиденциальным данным пользователей, как правило, логинам и паролям. В большинстве случаев фишинговое письмо представляет собой поддельное сообщение якобы от банка, платежной системы или ритейлера [82] с просьбой к адресату срочно передать какие-либо данные. Выдуманные причины запроса данных могут быть самыми разными — сбой системы, подтверждение личности, разблокировка счета или аккаунта, выплата вознаграждения или приза и пр. Согласно отчету ФБР, в 2019 г. это был наиболее распространенный вид киберпреступлений [83].

Пример типичного фишингового письма показан на рис. 3.1.

Причем в любые другие разделы сайта, например Support, перейти невозможно: ссылки никуда не ведут. Разумеется, при вводе данных авторизация не происходит, а информация передается злоумышленникам.

Мошенники становятся все более искусными и применяют методы социальной инженерии: от угроз («если вы не сообщите ваши данные в течение недели, ваш счет будет заблокирован») и личного обращения к жертве до шифрования ссылок или имитации реальных адресов.

Фишеры стараются делать ссылки похожими на адреса реальных сайтов, поэтому только наблюдательный пользователь может обратить внимание на то, что адрес в строке браузера отличается от настоящего. Адреса могут включать в себя название реального домена, дополненное другими словами (например,

вместо https://www.apple.com адрес https://www.login-apple.com).

Популярный в последнее время фишинговый прием — рассылка писем, содержащих адрес с точками вместо косых черточек, внешне очень похожий на реальный (вместо https://www.apple.com/personal/login — https://www.apple.com.personal.login или,

скажем, https://www.apple.com-personal.login). Применяется также многократное повторение слов в адресе сайта, что вводит в заблуждение невнимательных или неуверенно чувствующих себя в интернете людей

(например, https://www.fcbk.com/www.facebook.com/facebook/login.fac ebook.com.php).

Есть и другие приемы, притупляющие бдительность пользователя. Так, ссылка может выглядеть как настоящая, но вести не на реальный сайт, а на ресурс мошенников. При этом различаются текст ссылки (если его скопировать именно как текст, вставить в адресную строку веб-браузера и нажать Enter, то откроется настоящий сайт) и значение элемента a в HTML-коде (это и есть ссылка на ресурс мошенников). Вот как может выглядеть HTML-код: <a href=«https://(невидимая ссылка

на ресурс мошенников)»>https://(видимая ссылка на настоящий сайт)</a>. Некоторые сервисы электронной почты, если открывать их в веб-браузере (например, Safe-mail.net), при наведении указателя мыши на ссылку в письме показывают реальное значение элемента a в HTMLкоде, а некоторые (например, почта «Яндекс») представляют его в зашифрованном виде. Либо, например, поддельная ссылка окружается второстепенными, позволяющими перейти на реальный сайт. На рис. 3.2 показан пример типичного фишингового сайта, передающего злоумышленникам логины/пароли аккаунтов Google. Обратите внимание на адрес сайта.

использовании не только электронной почты, но и любых других средств текстового общения, таких как мессенджеры и SMS (если вы размещали объявления на сайте Avito или «Авто.ру», то, вероятно, получали сообщения с предложением обмена товарами и перехода по ссылке). Кроме того, для фишинговых атак злоумышленники нередко используют и облачные сервисы, такие как «Google Календарь» и «Google Фото», размещая там документы с фишинговыми ссылками

[84].

студентов исследование [85] с имитацией фишинговой атаки через электронную почту и Facebook. Было создано поддельное сообщение от имени организаторов форума по кибербезопасности со ссылкой для просмотра фотографий с мероприятия. Когда к адресату обращались по имени, по ссылке последовали 45% людей, а когда без указания имени

— 20%. Большинство людей заявили, что щелкнули по ссылке из любопытства, доверяя своему компьютеру или университету. Кроме того, они посчитали, что компьютер заблокирует доступ к сайту, если тот окажется вредоносным. А один из студентов заявил, что не боится вирусов, так как пользуется macOS и Firefox.

Социальная инженерия

Вопреки мнению обывателей, большинство утечек данных и краж финансовых средств с личных счетов происходит не из-за взлома, а изза несоблюдения жертвами элементарных правил цифровой гигиены. Грубо говоря, люди сами отдают преступникам сведения о себе и ключи для доступа к информации и банковским счетам. Для формирования доверительных отношений преступник представляется тем, кому жертва атаки может или должна доверять: сотрудником службы безопасности сервиса, банка или магазина, которым она пользуется; представителем органов власти или правоохранителем; родственником; человеком, попавшим в трудную ситуацию; ведущим шоу, в котором разыгрываются ценные призы, и т.п. В ходе атаки преступники часто применяют различные психологические уловки, например запугивая жертву (обвиняя в нарушении законодательства и даже в совершении преступления и т.п.) и пытаясь заставить быстро принять решение (заявляя, что срок действия предложения ограничен и т.д.). Псевдосотрудник службы безопасности может при разговоре включить запись звуков, характерных для работы в офисе; мошенник, говорящий с женщиной, может для создания напряженной обстановки включить запись голоса плачущего младенца. Нередко хакеры предварительно проводят разведку — анализируют сведения о жертве, доступные в социальных сетях. Они делают это с помощью инструментов для автоматизированного сбора данных (например, SimplyEmail [86], ePochta Extractor [87] или Foca [88]) и прочих утилит (о средствах сбора информации рассказывается на сайте https://osintframework.com), а также утекших баз данных (например, https://weleakinfo.com с 10 млрд записей) [89]. Собранная информация позволяет вести эффективные целенаправленные атаки.

Acronis Екатерины Турцевой [90]. Действуя от имени Турцевой, злоумышленники убедили ее друзей расстаться с более чем 250 000 рублей [91].

В период пандемии COVID-19 злоумышленники (в том числе и продавцы фиктивных сертификатов) стали шантажировать покупателей фиктивных сертификатов о вакцинации, угрожая, что за хранение поддельного сертификата предусмотрена уголовная ответственность, и требуя с жертвы десятки тысяч рублей. Учитывая, что в России за покупку и хранение поддельного документа предусмотрено наказание до 1 года лишения свободы, многие жертвы отправляют деньги злоумышленникам. Аналогичные методы шантажа применяются к покупателям любых других нелегальных товаров [92].

С поддельными сертификатами злоумышленники поступают двумя путями. Первый из них — генерируют поддельный сертификат с QRкодом с внесением данных на государственные порталы. В этом случае сертификат неотличим от настоящего, но покупателю угрожает риск заражения и невозможность вакцинироваться, если он все же решится это сделать (по крайней мере, в государственных медучреждениях). Второй вариант — создают сертификат с QR-кодом, ведущим на фейковый сайт «Госуслуг». Такое предложение обходится покупателю дешевле, но и срабатывает не всегда, так как ориентировано на невнимательность людей, проверяющих QR-коды [93]. В обоих случаях жертва передает продавцам фиктивных сертификатов внушительный объем персональных данных, которые те продают злоумышленникам или используют самостоятельно в шантаже покупателей как описано выше.

Все подобные способы атаки называются социальной инженерией — термин был введен Кевином Митником, известным хакером (ныне — специалистом по информационной безопасности (ИБ)). Преступники используют социальную инженерию, чтобы побудить (заставить)

человека расстаться с деньгами или с ценной информацией (которую позже можно монетизировать с помощью шантажа). Это самый распространенный и успешный вид атаки [[16]], наиболее неприятный для специалистов по информационной безопасности, поскольку такие преступления нельзя предотвратить с помощью технологий защиты. Здесь главную роль играет человеческий фактор — уязвимость потенциальной жертвы.

Современные методы социальной инженерии используются в основном для манипуляции пользователями интернет-сервисов (через сайты, вредоносное программное обеспечение, электронную почту, мессенджеры и пр.) и сотовых сетей (с помощью телефонии и SMS-

(например, этим занимаются «представители пенсионных фондов», а также торговцы волшебных лекарств и «чудо-фильтрами для воды», ходящие по подъездам), при звонках на стационарные телефоны и даже в обычных почтовых отправлениях (например, в рассылках «с денежными призами») [[17]].

С особой любовью мошенники относятся к таким мероприятиям, как «черная пятница», во время которых на протяжении нескольких дней многие магазины продают товары по сниженным ценам. В этот период возникает много ресурсов типа https://blackfridayscom.tld, нацеленных на сбор личных и финансовых данных пользователей. Людей завлекают с помощью рекламных акций, таких как бесплатные подписки и реклама фейковых интернет-магазинов, якобы торгующих товарами мировых брендов с невообразимыми скидками. Аналогичные «акции» злоумышленники приурочивают к таким событиям, как выпуск новых флагманских устройств, предлагая раньше всех обзавестись «новейшим гаджетом», да еще и со скидкой. В реальности жертва получает реплику аппарата или вовсе лишается денег.

Примечание. Обратите внимание: на фишинговые сайты могут вести ссылки типа «Отписаться», какие обычно содержатся в рекламных электронных письмах и позволяют получателю отказаться от получения таких сообщений. Злоумышленники могут воспользоваться этим; когда получатель перейдет по такой ссылке, чтобы отписаться, он попадет на фишинговый сайт, крадущий данные. Поэтому всегда важно проверять адрес сайта в строке браузера, а еще лучше переходить на любые сайты, вручную набирая их адрес. Используя поисковые системы (в том числе и крупные — Google и «Яндекс») для поиска сайтов, также очень важно проверять появляющиеся в списке выдачи адреса ресурсов, на которые вы собираетесь перейти. Злоумышленники могут оплачивать рекламу поддельных сайтов с определенными ключевыми словами, стремясь попасть в топ поисковой выдачи.

В последнее время в России получили распространение фишинговые письма от имени сотрудников государственных организаций, в частности с ссылками на клоны сайта «Госуслуги» и банковских ресурсов с предложением оформить выплаты на ребенка, вакцинироваться от COVID-19 и т.п. [94] После посещения подложного сайта пользователь вместо получения денег лишается их, перечислив злоумышленникам, а также предоставляет им свои персональные данные для дальнейших мошенничеств. Для проверки подлинности подобных предложений можно перейти на официальный сайт компании

там (либо позвонить на горячую линию компании).

Примечание. Согласно отчету [95] компании Positive Technologies, в 2020‒2021 гг. чаще всего похищали учетные и персональные данные, а также информацию о платежных картах. Преобладали целевые атаки: 77% всех киберпреступлений.

Важно отметить, что на фишинговых сайтах крайне опасно аутентифицироваться не только путем предоставления своих учетных данных, но и через аккаунты в социальных сетях (многим нравится этот быстрый способ авторизации на различных сайтах). Достаточно нажать кнопку (ссылку) для входа с аккаунтом Facebook, «ВКонтакте» и т.п., как на сайте автоматически создается профиль пользователя, и он получает доступ ко всем материалам ресурса. В случае если авторизация происходит на фишинговом сайте, личные данные пользователя утекают мошенникам. Если они получают логин и пароль, используемые вами в социальной сети, то могут осуществлять фишинг и рассылку спама уже от вашего имени, а также украсть ваши конфиденциальные данные и использовать их в целевых атаках против вас [96].

«Нигерийские» письма

«Нигерийские» письма (по сути, это обычные фишинговые письма, но, так как название довольно известное, выделены в самостоятельный подраздел) получили свое название потому, что данный вид мошенничества весьма распространен в Нигерии (на самом деле подобные письма появились в XVI в. и в разные времена были известны как «испанские», «иерусалимские» и прочие письма). Суть их одна: заплатив автору письма некое вознаграждение, через некоторое время адресат якобы сможет получить сумму во много раз бóльшую (либо некие выгодные ему услуги). В одних случаях в письмах сообщается о выигрыше крупной суммы в лотерею или возможности приобрести дорогой товар с огромной скидкой, а в других письма рассылаются от имени богатого или известного человека, по каким-то причинам не имеющего доступа к своим деньгам, либо жертвы (сирийской летчицы, нигерийского космонавта или даже вдовы Мобуту Сесе Секо, бывшего диктатора Заира), которой необходима помощь, а в обмен на нее отправитель готов поделиться частью своих богатств. Встречаются письма, в которых получателю сообщается, что он — наследник почившего богатого родственника либо что он (получатель) может выдать себя за наследника. Мошенники также представляются одинокими несчастными людьми, на которых свалилось огромное

Америке, брошенные недругами, и не могут оттуда выбраться, если им не перечислить некую сумму на перелет.

Рассылаемые сотнями тысяч, эти письма содержат настолько разнообразные и захватывающие сюжеты, что «нигерийские» спамеры даже получили в 2005 г. Игнобелевскую премию по литературе (в России ее часто называют Шнобелевской). Иногда в письмах содержатся якобы выгодные коммерческие или кредитные предложения. Или объявляется псевдолотерея, и адресату предлагается компенсировать расходы на пересылку, налоговые сборы и т.п., чтобы получить дорогой приз. В конечном итоге либо жертва не получает ничего, либо «приз» не окупает затрат: это может быть реплика или неработающее устройство. Чтобы заверить адресата в искренности своих намерений, мошенники могут просить не пересылать деньги непосредственно им, а открыть через интернет счет в определенном банке и внести деньги туда. В таких случаях они создают сайт несуществующего банка или имитируют сайт реального банка, а внесенные средства похищают.

Чаще всего в качестве помощи злоумышленники просят перечислить некую сумму — десятки, сотни и даже тысячи долларов, в обмен обещая прислать колоссальное количество денег через несколько дней или недель. Иногда жертве предлагают полулегально поехать в Нигерию или иную страну якобы для тайной встречи с высокопоставленным чиновником. По прибытии жертву похищают или арестовывают за незаконный (без визы) въезд в страну, и преступники вымогают выкуп за ее освобождение. Известны даже случаи убийства жертв махинаций.

Гротескность и причудливость историй в «нигерийских» письмах вовсе не свидетельствуют о глупости их создателей. Такой стиль писем

— это тонкий психологический прием, позволяющий отсечь всех, кроме самых наивных. В противном случае мошенники бы утонули в переписке со скептиками. Практически все получатели просто удаляют такие письма, прочитав первые несколько строк и даже не задумываясь о том, чтобы вступить с отправителями в переписку. Но, согласно прогнозам, к концу 2022 г. число пользователей электронной почты превысит 4 млрд [97]. Поэтому легковерных людей, которые станут жертвами такого мошенничества, может все же оказаться очень много. Только за 11 месяцев 2018 г. было зарегистрировано 760 обращений (большинство жертв обмана вовсе не сообщают об этом) по факту мошенничества с помощью «нигерийских» писем, а суммарно жертвы выплатили мошенникам свыше 1 млн долларов [98]. Согласно