Особенности киберпреступлений в России: инструменты нападения и защиты информации - [12]
Не задаваясь целью глубокого изучения психологии человеческих поступков, но имея стремление показать фактическое положение вещей, которое наблюдалось автором в процессе работы, предлагается рассмотреть роль социальной инженерии при проведении фишинг-атак.
Социальная инженерия во всей красе наблюдается именно в целенаправленном фишинге, хотя ее шаблонно-базовые принципы есть и в массовых (слепых) атаках.
Кто-то скажет, может быть: «посмотрел я в Интернете примеры фишинг-писем, и отлично, меня теперь не обмануть». Однако социальная инженерия в руках злоумышленников — это больше искусство, чем наука. Неизвестно, можно ли этому искусству научить настолько, чтобы человек смог применять этот инструмент на практике, применяя повсюду, где это может пригодиться.
Человеческая психология всегда была уязвимостью, эксплуатируемой во все времена преступниками и аферистами различного толка. Настали времена использования социальной инженерии и в киберпреступлениях, в частности при получении неправомерного доступа к электронным почтовым адресам и другим аккаунтам: вместо того чтобы пытаться найти уязвимость программного обеспечения, взломщик может заставить жертву сообщить свой пароль самостоятельно.
Как уже говорилось, человеческий мозг, пользуясь опытным путем закрепленной связью между видимым и невидимым, а в данном случае — изображениями и содержанием, не уделяет внимания каждому полученному письму.
Создание тематических писем и разработка персонализированных фэйков — задача увлекательная и требует от нападающего досконального знания не только интерфейса почтового сервиса либо другой атакуемой системы, но и алгоритма действий пользователя при тех или иных обстоятельствах.
Просто так украсть пароль, воспользовавшись фишингом, не столь важно, сколь сделать это незаметно для пользователя. Важность момента заключается в том, чтобы пользователь не заподозрил чего-нибудь неладного и не сменил пароль, а то и вовсе не удалил учетную запись.
Если атака проведена правильно, то пользователь ни о чем не догадывается, а почтовый адрес находится под контролем и может использоваться в дальнейшем для совершения различных преступлений, как в отношении владельца электронного адреса, так и в отношении организации, в которой он работает, или круга лиц, с кем он осуществляет переписку и обмен данными.
Использование социальной инженерии при фишинг-атаке основано на понимании взаимодействия человека с компьютерной техникой, человека с программным обеспечением.
История фишинга, наверное, начинается в Древней Греции, во времена неудачной десятилетней осады Трои. Когда, согласно мифам, греческая армия решила отступить, солдаты собрали вещички, оставив осажденным фишинговое письмо — огромную деревянную статую благородной лошади.
Троянцы письмо открыли (или ворота крепости) и кликнули по ссылке (то есть завезли к себе домой лошадку), прочитали сообщение типа «Спасибо за войну. До свидания», после чего пошли спать. В это время небольшой отряд греческих солдат, сегодня состоящий из одного сутулого мальчика в очках, повылезал из лошадки, открыл городские ворота (собрал все пароли, информацию о сетевом окружении и безопасности) и впустил остальную часть греческой армии, которая под покровом ночи украла много ценной конфиденциальной информации, осуществила переводы на кругленькие суммы на офшорные счета или счета фирм-однодневок…
Греки полностью разрушили Трою, а оставшиеся в живых троянцы жили с мыслью о том, на кой черт они ежегодно тратили огромные средства на обеспечение информационной и экономической безопасности, если по собственной глупости поступают так, как того хотят кибершпионы.
Мифическая или нет история про Трою, но она олицетворяет пример социальной инженерии, который успешно используется и сегодня.
Когда человек производит авторизацию в своем электронном почтовом адресе, у него складывается полное ощущение того, что он находится один на один со своими секретами в закрытом кабине — те и нет никаких бесконечно длинных коммутационных проводов, ползущих по вентиляционным шахтам, темным чердакам и подземным лабиринтам, нет целых тонн сетевого и серверного оборудования, гигабайтов сложного программного обеспечения и алгоритмов.
Иллюзия настолько прочная и всем привычная, что позволяет с легкостью похитить пароль, какой бы сложный и длинный он ни был. Имеющиеся установленные средства программно-аппаратной защиты только усиливают эффект иллюзии и необоснованного чувства безопасности.
Если пользователь незнаком с механизмом проведения фишинг-атак и их разновидностями, попасться на удочку ничего не стоит.
В ранних проявлениях фишинга рассылались письма о временной блокировке аккаунта или его удалении. Довольно весело было злодеям, когда они осуществляли фишинговые спам-рассылки писем, содержащие угрозы пользователям заблокировать их аккаунты навсегда, если те срочно не пройдут повторную авторизацию в связи с поступившими жалобами или подозрением администрации ресурса в использовании почтового ящика для спам-рассылок.
В годах 2002–2008 эффект от такого фишинга был потрясающий. С одной стороны, сам термин «спам» в России стал ругательством, поскольку использовался всеми без исключения «впаривателями» всего, что можно было только впарить. С другой — уровень доверия к программному обеспечению, интернет-сервисам и компьютерной технике был значительно выше и вызывал во многих чувство, близкое к уважению.
B этой книге собраны важнейшие для каждого автовладельца статьи КоАП РФ с учетом самых последних изменений.Автоюрист подробно и в доступной форме комментирует текст Кодекса, приводя ссылки на действующие нормативные акты.Небольшой формат позволит всегда держать издание под рукой, а актуальная информация будет полезна водителю в любой ситуации.Книга учитывает изменения в КоАП на 2015 год.
Настоящее издание содержит постановления Правительства Российской Федерации, устанавливающие правила продажи отдельных видов товаров, правила комиссионной торговли непродовольственными товарами, правила продажи товаров по образцам и дистанционным образом.
Настоящее издание содержит текст Федерального закона от 22 апреля 1996 года № 39-Ф3 «О рынке ценных бумаг». Текст приводится с изменениями и дополнениями на 2013 год.
В книге рассказывается история главного героя, который сталкивается с различными проблемами и препятствиями на протяжении всего своего путешествия. По пути он встречает множество второстепенных персонажей, которые играют важные роли в истории. Благодаря опыту главного героя книга исследует такие темы, как любовь, потеря, надежда и стойкость. По мере того, как главный герой преодолевает свои трудности, он усваивает ценные уроки жизни и растет как личность.
Общие правила наследования по завещанию и по закону, порядок приобретения наследства; наследование при отсутствии каких-либо документов, необходимых для принятия наследства, путем установления в судебном порядке места открытия наследства, факта родственных отношений (отцовства), факта принятия наследства и пр. – тема настоящей книги. Также в книге рассматриваются вопросы о принятии наследства по истечении установленного срока как путем восстановления данного срока в судебном порядке, так и во внесудебном порядке, вопросы об отстранении недостойных наследников от наследования, о признании права на обязательную долю в наследстве или об уменьшении обязательной доли наследника, о выделе доли супруга в наследственном имуществе, раздел наследства и пр.Настоящая книга является третьей книгой из серии «Подаем в суд», основная тема книги – проблемы, которые могут возникнуть при наследовании, и их решение.
Что такое налоговое право и налоговое возмещение ущерба? Какие бывают виды налоговых вычетов и каковы их размеры? Кто имеет право на налоговые вычеты? Чьи доходы не подлежат налогообложению? Как возместить свои расходы на покупку жилья, лечение, обучение и прочие нужды? Как правильно оформить налоговый вычет?На эти и другие ваши вопросы отвечает опытный юрист, адвокат Дмитрий Бачурин.