книги хакеры / Как_защитить_себя_в_цифровом_мире_

с деньгами расстаются женщины.

КЕЙС В 2006 г. «нигерийским» мошенникам с помощью фальшивого предложения о выгодной сделке с Нигерийской национальной нефтяной компанией на 600 000 долларов удалось обмануть Иржи Пасовски. Удивляет то, что в прошлом Пасовски был ни много ни мало сотрудником тайной полиции Чехословакии и, в свое время пройдя проверку на полиграфе, смог завербоваться в ЦРУ США, став двойным агентом [99].

Еще один вид писем — с лживым предложением высокооплачиваемой работы. Обнаружив точные совпадения между своим резюме и требованиями мнимого работодателя, жертва обычно теряет бдительность и заполняет анкету, в которой, помимо прочего, требуется указать банковские реквизиты. Дальше такие данные (в зависимости от полноты) продают мошенникам, занимающимся кражей личных данных, либо используют для дальнейшей обработки жертвы, вплоть до кражи денег с ее банковского счета.

КЕЙС Украинцу Артему Геращенкову в ответ на «нигерийское» письмо удалось выманить у мошенников 600 долларов. Мошенники выдали себя за девушку из США и через социальную сеть начали общение с Артемом. «Девушка» просила выслать ей 50–60 долларов, чтобы познакомиться с ним ближе. В ответ Артем рассказал, что является экспортером продукции Apple и как раз собирается отправить партию из 200 смартфонов iPhone, из которых «девушка» сможет взять себе один, а остальные передать в салон связи. Свои слова Артем подкреплял фотографиями, взятыми из интернета. Взамен Артем попросил мошенников оплатить только один смартфон из якобы готовой к отправке партии. В конце концов те согласились и перевели Артему 600 долларов. Когда же мошенники попросили у своего собеседника номер грузовой декларации, тот отправил им фотографию чернокожего мужчины и «признался», что сам родом из Нигерии [100]. Нередки письма с ложными извещениями о штрафах (и предложениями оформить страховку ОСАГО или КАСКО) от ГИБДД, Федеральной налоговой службы, управляющих компаний (ЖКХ), а также послания якобы от местных органов власти с предложением перевести деньги на оплату некоего мероприятия или на благотворительность.

Доверчивых граждан пытаются обмануть и люди, выдающие себя за бывших сотрудников компаний сотовой связи и прочих коммерческих организаций. Заявляя, что мстят предыдущим работодателям, они «раскрывают» легковерным людям некие «секретные номера»: якобы если перечислить на них деньги, можно удвоить (утроить и т.д.) свои вложения или получить копеечные тарифы с безлимитным трафиком.

волшебных кошельков», которые выманивают деньги, обещая последующее получение выгоды. Все «волшебство» заключается в магическом исчезновении вложенных пользователями денег.

К классике жанра также относятся романтические письма — послания от прекрасных незнакомок (незнакомцев), желающих общаться. То у мошенника якобы не хватает денег на телефоне, то происходят неприятности с карточкой, то еще что-то. Пока пользователь оплачивает все его прихоти, общение продолжается, причем жулик всегда выдает себя за другого человека.

Злоумышленники, рассылающие «нигерийские» письма, стараются реагировать на происходящие в мире события, будь то землетрясение в Мексике или наводнение в Сочи, беспорядки в США или пандемия COVID-19 — такие катаклизмы не остаются без их внимания. Они рассылают сообщения от имени людей, чьи родственники погибли во время катастроф, и просят оказать помощь в получении оставленного ими наследства [101].

Фарминг

Фишеры постоянно совершенствуют свои приемы. Появилось понятие «фарминг». Оно также означает кражу персональных данных пользователей, но не через почту, а непосредственно через официальные сайты. Злоумышленники перехватывают и модифицируют DNS-запросы и меняют адреса оригинальных сайтов на поддельные, и пользователи перенаправляются на сайты хакеров. Такой способ еще более опасен, так как пользователь практически не способен обнаружить подделку.

Также мошенники берут на вооружение и технологии, разрабатываемые с целью повышения уровня безопасности. Так, протокол HTTPS, призванный гарантировать подлинность посещаемого ресурса, в последнее время используется и кибермошенниками. Согласно отчету [102] компании Purplesec, уже в 2019 г. 50% всех фишинговых сайтов были размещены на доменах HTTPS. В 2016 г. таких сайтов было менее 3%, а в 2015-м — менее 1% [103]. Для использования протокола HTTPS злоумышленники приобретают в недобросовестных центрах SSL-сертификаты, необходимые для полного копирования легальных ресурсов, размещенных на «безопасных» HTTPS-доменах. Примечательно, что такие фишинговые копии и без SSL-сертификатов отлично привлекают жертв, но мошенники идут на этот дополнительный шаг, чтобы ловушка точно сработала.

гарантирует подлинность ресурса, но это не так. Этот протокол, как и SSL-сертификат, оповещает лишь о шифровании канала связи между браузером и сайтом, который может быть как подлинным, так и поддельным. Поэтому в любом случае важно проверять доменное имя

[104].

Для мелких мошенников целевой фишинг слишком сложен, их задача — охватить как можно больше пользователей; самые легковерные из них откликнутся на вредоносные письма. Письма со ссылками на незнакомые сайты, как правило, сразу настораживают внимательных пользователей, и они не поддаются на обман. Максимум, на что способны мелкие фишеры, — захватывать и подставлять в письма имя и фамилию, используя для этого автоматические способы извлечения персональных данных из открытых источников (социальных сетей, профилей типа «Мой мир» и т.п.) и взломанных или утекших баз данных, где имена соседствуют с адресами электронной почты.

Другое дело — целевой фишинг, осуществляемый людьми с серьезными намерениями; об этом речь пойдет далее.

Целевой фишинг

Один из самых опасных видов фишинга — целевой: атака ведется с целью получить данные конкретного человека или определенной компании. Целевой фишинг намного опаснее, поскольку, как правило, совершается специально подготовленными людьми, предварительно собравшими некоторую информацию о жертве, чтобы их предложения выглядели как можно более убедительными. Качественное целевое фишинговое письмо крайне трудно отличить от настоящего, так как в нем указываются такие данные, как имя и фамилия человека; учитываются сведения из его биографии, родственные связи, его привычки, слабые места и другая информация. В большинстве своем при целевом фишинге, как, впрочем, и любом другом, злоумышленники преследуют одну из двух целей (или обе): украсть деньги или ценную информацию (с помощью которой опять же получить деньги или устранить жертву).

В октябре 2017 г. экспертами «Лаборатории Касперского» была выявлена целевая BEC-атака [[18]], направленная на финансовые учреждения, прежде всего российские банки. Атакующие использовали очень эффективный метод — получили доступ к внутренней банковской сети и долгое время изучали ее инфраструктуру. Проникновение в сети происходило посредством целевого фишинга — с помощью содержащих вредоносные вложения электронных писем с

адресов (они были элементами ранее зараженной сети), что существенно повысило шансы на заражение. Во вложении находился файл формата CHM (справочный файл компании Microsoft) — по сути, сжатый в единый документ набор HTML-страниц, допускающий выполнение JavaScript-сценариев для перехода на внешние URL-адреса. В случае открытия файла запускался скрипт, скачивающий файлы для загрузки и запуска троянской программы Silence, отвечающей в числе прочего за запись находящегося на экране изображения [105]. Таким образом злоумышленники могли следить за сотрудниками банка и выбирать тех, кто обладает ценной информацией, а далее, досконально изучив принципы работы информационных систем банка, переводить финансовые средства на свои счета [106]. Обычно целенаправленно атакуют крупные компании, банковские или государственные структуры, а также известных людей. В компаниях целями злоумышленников чаще всего становятся бухгалтеры и специалисты по набору персонала и связям с общественностью, а также топ-менеджеры и прочие сотрудники, вынужденные открывать множество документов из сторонних источников. Например, бухгалтерам и менеджменту компаний, участвующих в серых и черных финансовых схемах, рассылаются письма от имени руководства с требованием срочно и тайно перевести некий платеж на определенный счет. В них используются ранее похищенные данные реальных сотрудников, поэтому такие письма выглядят убедительно. В других случаях жертву вначале втягивают в некую серую схему, а затем шантажируют угрозами обратиться в полицию или к руководству. Мошенники могут представляться сотрудниками органов охраны правопорядка или налоговой службы и так же шантажировать адресата.

В случае шпионажа в зоне риска находятся сотрудники, имеющие доступ к техническим системам и сведениям: системные администраторы и ИТ-специалисты. Причем список сотрудников с именами и фамилиями, а зачастую и с должностями довольно легко составить даже по открытым данным: многие из служащих указывают место работы в профилях в социальных сетях; нередко сослуживцы даже объединяются в группы. Корпоративные адреса, как правило, не гуглятся, но раздобыть парочку вполне реально, для этого злоумышленники отправляют сообщения на публичный адрес или общаются по телефону с ресепшена, применяя методы социальной инженерии. Далее — дело техники. Обычно системные администраторы придумывают адреса электронной почты по шаблону:

допустим, фамилияИО@компания.com. Сопоставив паттерн со списком имен и фамилий, полученным ранее, злоумышленники составляют

сотрудников.

Изредка встречаются даже обращения с угрозами от имени киллера, нанятого родственниками или конкурентами. Здесь от злоумышленников требуется идеальное знание потенциальной жертвы и ее контактов (в чем отлично помогают социальные сети). В этом случае адресату предлагается заплатить киллеру, чтобы тот не выполнял работу либо к тому же устранил заказчиков.

Рядовые пользователи редко становятся жертвами целевого фишинга, так как для него требуется много ресурсов (в том числе и финансовых) и времени, а выгода в таком случае сомнительна.

сервере (хостинговой компании) и подставить свои данные. Стоимость таких наборов, продающихся в интернете, от 20 до 300 долларов [110]. Примечательно, что такие наборы в основном применяют скрипт-кидди

— злоумышленники без квалификации (они используют их сами или являются работниками, нанятыми другими злоумышленниками (см. рис. 3.3 — в данном примере ведется набор спамеров для фишинга в сети «ВКонтакте»).

как раньше, потому что в большинстве случаев оперативно перехватывается антивирусными программами. Для обхода антивирусной защиты злоумышленники вкладывают безобидный файл, который проходит проверку на предмет отсутствия вирусов, но после запуска скачивает и исполняет вредоносный код либо перенаправляет получателя на фишинговый/вредоносный сайт. Хакеры используют и другие методы защиты своих атак, например встраивают в фишинговые страницы CAPTCHA-код, который надо ввести для загрузки вредоносного содержимого на устройство посетителя. Такие коды гарантируют, что доступ к вредоносному контенту получит живой человек, а не боты автоматических защитных механизмов, которые должны обнаруживать и блокировать подобные атаки [114].

и официальные, на которые загружены инфицированные (подмененные) приложения и другие файлы.

Примечание. Подробнее о типах вредоносного ПО и защите от него мы поговорим в главе, посвященной компьютерам.

Спам

В принципе, все сообщения о которых мы говорили ранее (и фишинговые, и вредоносные) можно отнести к спаму — рассылкам, на которые получатель не давал согласия и вынужден получать (не следует путать с массовыми рассылками, на которые получатель подписывается осознанно).

Согласно отчету [115] «Лаборатории Касперского», в марте 2021 г. доля спама в мировом почтовом трафике составляла примерно 45%, т.е. практически каждое второе письмо было отправлено спамерами. С помощью спамерских рассылок не только ведется фишинг и распространяется вредоносное ПО, но и рекламируются разнообразные товары и услуги, в том числе и незаконные, например порнография; контрафактные товары (подделки, конфискат, см. рис. 3.5); лекарственные средства, оборот которых ограничен; незаконно полученная закрытая информация (базы данных); взломанное программное обеспечение.

ухищрения: вставляются дополнительные пробелы между буквами, текст заменяется изображением и т.п. Для подтверждения получения спам-сообщения и того, что адрес получателя «работает», отправляются запросы о подтверждении доставки (некоторые программы отвечают на них автоматически); при загрузке письма подгружаются невидимые изображения с сервера, контролируемого злоумышленниками; создаются кнопки «Отписаться», при нажатии на которые на самом деле подтверждается получение письма, и т.п. После того как выяснится, что адрес электронной почты используется, поток спама возрастает.

К спаму относится и так называемый флуд — отсылка на адрес электронной почты огромного количества бессмысленных сообщений с целью его переполнения или перегрузки почтового сервиса. В случае переполнения почтового ящика адресат уже не может получать новые письма, которые могут быть очень важными для него.

В большинстве случаев спам и фишинговые сообщения могут иметь характерные признаки, отличающие их от «добросовестных» писем (перечислены наиболее распространенные):