Социальная инженерия. Некто 404

«Моя жизнь - селф-мейд. Я знаю, как украсть и остаться анонимным»

Пока вы будете читать эту статью, «некто» воссоздаст и спланирует сценарий киберпреступления, напрягая свой пытливый ум.

Развивая свои таланты, идущие в разрез с законом, благодаря киберпреступникам люди ежегодно теряют свои сбережения.

Согласно отчетам ЦБ, в третьем квартале 2022 года мошенники смогли украсть у банковских клиентов почти 4 млрд руб., следует из статистики регулятора. Банки вернули минимальную долю похищенных средств — всего 3,4%.

Больше всего мошенники традиционно крадут через мобильный банкинг (ДБО). В этом сегменте наиболее высока доля социальной инженерии - по итогам третьего квартала она составила 75%.

На 2023-й год методов мошенничества с использованием социальной инженерии приличное количество, и оно растёт. Мошенники развиваются по мере развития общества, технологий и коммуникаций, придумываются всё новые схемы, новые подходы, используя новостной фон на ряду с видами социальной инженерии.

ВАЖНО: инфа для хейта: дорогой читатель, текста будет много. Запастись терпением, если совсем не любишь читать, не ругайся, проходи мимо, твой вариант - тут. Для всех остальных, будет много различных схем и примеров. Спасибо за ваше внимание.

Социальная инженерия - в контексте информационной безопасности — это психологическое манипулирование людьми с целью совершения определенных действий или разглашения конфиденциальной информации.

Другими словами, это комплекс различных махинаций, основная цель которых: получить несанкционированный доступ к той или иной информации, произвести ее сбор или подделку, от привычного в нашем понимании «мошенничества» отличается лишь тем, что зачастую является одной из многих ступеней в более замысловатой схеме обмана.

У такой категории преступлений причина довольна проста и известна — любые данные можно монетизировать.

В недавней статье «Фишинг. Искусство обмана» я говорил о фишинге и его проявлении. Но стоит и упомянуть про виды и подвиды фишинга, такие как: «Вишинг», «Смишинг», Целевой фишинг, Уэйлинг и «Фарминг». В том числе мы поверхностно затронем и другие интересные методы социальной инженерии: «Кви про кво», «Претекстинг», «Троянский конь» (стилеры, трояны-вымогатели, вирусы-майнеры), «Дорожное яблоко».

Вишинг

Вишинг (англ. vishing – от voice phishing) - голосовой фишинг — это одна из разновидностей фишинга, при котором также используются методы социальной инженерии, но уже с помощью телефонного звонка.

Очень часто вишинг-звонок происходит в формате автоматического голосового сообщения, якобы от легитимной компании или организации (например, различные государственные учреждения, банки).

Но случается и когда сам мошенник начинает с вами диалог, представляясь сотрудником банка, должностным лицом или даже вашим родственником.

Сценарий выглядит следующим образом:

Представившись, к примеру сотрудником службы безопасности банка или службы финансового мониторинга, мошенник может заявить, что именно сейчас по вашей карте либо счёту, происходит подозрительная активность и необходимо срочно осуществить переводы денежных средств на холодную банковскую ячейку, реквизиты которой данный «псевдо» сотрудник, разумеется, вам подскажет.

И это будут реквизиты не расчётного счета, а номер банковской карты или даже номер мобильного телефона. Делается это потому, что при переводе на р/с, денежные средства зачастую поступают не моментально, а находятся какое-то время в обработке у банка, и за это время человек понимая, что его ввели в заблуждение, может попытаться остановить такой перевод, также и сам банк при подозрении может его отклонить предварительно уточнив у исполнителя о легитимности этого перевода.

На карту или мобильный телефон, денежные средства в основном поступают моментально. Если в первом случае у вас есть возможность «зарубить» такой перевод и остаться с деньгами, то во втором случае, вероятность такого исхода будет крайне мала, пока вы будете дозваниваться до банка, слушая виртуального помощника, мошенник уже получит свой гонорар за свои усилия и будет выбирать вариант обналичивания ваших денежных средств. Если говорить о самых известных банках, то средний отклик с момента набора номера и до слов «оператор ответит вам через Х минут» - около 30 секунд, но не стоит забывать, что именно в этот момент, когда нужно быстро и решительно дозвониться, вы услышите фразу «Оператор ответит вам, в течении 1-ой минуты» и это будет не самый плохой вариант ожидания.

По многолетней практике сотен уголовных дел подобного характера, сценарии реализации схем меняются, но есть детали, которые зачастую всегда неизменны: мошенник представившийся должностным лицом говорит, что все условия озвученные им, необходимо сделать «здесь» и «сейчас». Он будет настаивать, чтобы вы были с ним на связи и в режиме разговора, с его помощью осуществили переводы, якобы для сохранения своих денег. Он понимает, что все отвлекающие вас факторы, такие как советы близких родственников, диалоги с реальным сотрудником банка или звонок в полицию, могут помешать ему осуществить задуманное, поэтому для него в первую очередь необходимо получить от вас заветный перевод, какое дальнейшее развитие окажет на вас эта ситуация - ему не интересно. Побежите вы с заявлением в полицию или банк, это будет после, цель — это опустошить вашу карту(ы).

Тут стоить добавить, что мошенник не только может представиться сотрудником банка, но и сотрудником страховой компании и сказать, что ваш полис Осаго/Каско на автомобиль подходит к концу (и это неважно действительно ли его срок заканчивается, есть ли у вас вообще автомобиль) и для того, чтобы получить дополнительную информацию или предпринять какие-либо действия вам необходимо для начала предоставить свои персональные данные, а в последствии и код подтверждения из смс.

Кроме этого, вы можете быть победителем какой-либо лотереи или конкурса. (все сведется к необходимости перевода).

Или вы могли, просматривая различные сайты автосалонов присматриваться к автомобилю, возможно где-то даже оставили свой номер во всплывающем окне, что именно для «вас» сейчас имеется ошеломительная скидка и в скором времени «наш менеджер» с вами свяжется. Который предложит вам купить, к примеру, новенький «хендай солярис» по цене «лады приоры», но есть маленькие нюансы, автомобиль последний и уже его планирует кто-то купить, но если вы готовы внести 30% предоплаты в счет стоимости, его обязательно за вами забронируют. Вариантов мошенничества очень и очень большое количество, начиная от «подозрительных операций» и заканчивая «аукционами».

Главное во всех этих ситуациях не впадать в панику, а быть с холодной головой и поступать взвешенно. Перепроверяйте информацию, перезванивайте на официальные контакты учреждений и компаний. Всегда можно тактично закончить разговор и перепроверить ту или иную ситуацию.

Смишинг

Менее распространёнными видом мошенничества посредством связи является - смишинг (от англ. sms + fishing = smishing) - смс фишинг.

Суть схемы — это переход жертвы по вредоносной ссылке из SMS-сообщения.

Такое смс может представлять собой сообщения от известного банка или компании. И если при фишинге вы владеете какой-либо информацией, к примеру из электронного письма, то в данном случае вы имеете сообщение с отсутствием конкретной информации, а зачастую лишь пару интригующих предложений и ссылку для перехода. Предлоги для перехода бывают разными: «Информации о Covid-19», «сообщение от лица службы поддержки», «уведомление о выигрыше или подарке», «предложение о работе» и т.д.

Смишинг — это не всегда про: перейти по ссылке и указать свои персональные данные, тем самым раскрыть их, это может быть и установка вредоносных программ (Malware) из этой ссылки или «смс-голосование» о необходимости ответить на сообщение, в результате чего вы потеряете определённую сумму средств с баланса мобильного телефона. Приведу простой пример, вам приходит смс с неизвестного номера с текстом: «Госуслуги: в рамках программы «Делаем город комфортнее», проголосуйте за объект благоустройства своего города, 1-благоустройство дворов, 2-благоустройство парков и скверов, 3-реставрация памятников и фонтанов, 4-организация площадок для собак. В ответном сообщении отправьте цифру с выбранной категорией».

В данном примере ваша инициативность будет неоправданной.

Целевой фишинг (Spear-phishing)

Целевой фишинг предполагает отправку вредоносных электронных писем чтобы обмануть конкретного человека или сотрудников определенной компании. В данном методе не происходит массовая рассылка писем огромному количеству рандомных людей, а жертва и возможно ее окружение, круг связей, изучаются более скрупулёзно. Если обычный фишинг работает по принципу “spray and pray” (распространи и жди), то данный вид фишинга более опасен чем классический, поскольку информация в отправленном письме может быть более персонализированная, такое письмо для жертвы будет весьма убедительное и человек может повестись на уловку преступника.

Уэйлинг ( whaling - с англ. языка означает «китобойный промысел»).

Этот вид атаки весьма похож на спеарфишинг (spear phishing), но вместо рядового сотрудника компании, киберпреступники выбирают руководителей исключительно высшего звена. Также данный подход маленькие любители киберпреступлений часто называют «китобойный фишинг». Уэйлинг предполагает использование электронной почты, в том числе и подмененных сайтов, чтобы путем обмана вынудить жертву на определенные действия, это может быть как раскрытие конфиденциальной информации, так и перевод денежных средств.

Стоит отметить, что при Уэйлинге, киберпреступник обманом получив к примеру определенные, конфиденциальные данные компании от ее руководителя, может применить эти данные в целях обмана и рядовых сотрудников этой же компании. Как писал выше, схемы мошенничества очень часто переплетаются при реализации. Киберпреступник под видом руководителя компании, имея определенные сведения, по должностям, фамилиям и именам сотрудников, проектам и текущим задачам, может вынудить рядового сотрудника на те или иные действия, создавая давление под видом руководства.

Фарминг (англ. pharming)

В рамках данного типа мошенничества происходит скрытое перенаправление пользователя на поддельный ресурс.

Если в случае с классическим фишингом, о котором я писал в статье «Фишинг. Искусство обмана» жертве необходимо нажать на ссылку, тем самым перейдя на «фейковый» ресурс, то с фармингом все иначе, перенаправление на поддельный сайт происходит автоматически без ведома пользователя, за счет работы встроенного вредоносного кода. На почту жертвы может прийти письмо с неочевидным для него вредоносным кодом (текст и посыл данного письма могут быть разнообразными, на этом останавливаться не будем), который способен изменять файл «host» на компьютере. Модифицированный файл «host», будет подменять реальные адреса сайтов на поддельные. Даже если не о чем не подозревающий пользователь в адресной строке своего браузера введет корректный адрес сайта, он все равно будет перенаправляться на фейковый сайт, который внешне будет выглядеть почти одинаково с реальным сайтом, а пользователь может этого просто не заметить, произвести авторизацию, а мошенник собрать необходимые ему конфиденциальные данные, такие как пароли, учетные или банковские данные.

Вредоносы, реализующие фарминг-атаку, используют 2 основных приема для скрытного перенаправления на поддельные сайты — манипулирование файлом «HOSTS» или изменением информации «DNS».

Основными целями для фарминга являются пользователи онлайн-банков или других финансовых систем и валютно-обменных сервисов.

Стоит отметить, что данный тип мошенничества является более опасным и сложным.

Давайте далее пройдемся и по другим видам атак, которые имеют место быть и переплетены зачастую между собой.

«Кви про кво» (от лат. Quid pro quo (фразеологизм, в англ. языке используемый в значении «услуга за услугу).

Суть «злодейства»: выдать себя за человека, которому доверится жертва.

Зачастую мошенник представляется, например, сотрудником службы технической поддержки и информирует вас о возникшей неполадке в сети, далее он сообщает о необходимости решения данного инцидента и в процессе диалога по решению проблемы, диктует вам действия, направленные на запуск вредоносного ПО на вашем устройстве или для получения удаленного доступа. В результате чего вы можете потерять не только личную и конфиденциальную информацию, но и свои финансы.

Претекстинг (англ. Pretexting – «предлог») – один из методов социальной инженерии, для реализации которой мошеннику необходимо изначально иметь определённые данные о жертве, например имя отчество, рабочую должность, дату рождения. Очень часто, техника данного метода предполагает не просто «ложь мошенника», но и его предварительные исследования о вас. За счет манипуляции этими данными, мошенник будет вводить вас в заблуждение, пока не сыграет на вашем доверии. После чего будет подводить вас к тому, чтобы вы выполнили требуемые ему действия или выдали необходимую ему информацию. Сценарий метода у профессионального мошенника заранее спланирован в голове, у плохого записан на листке бумаги, с возможными исходами ваших ответов на его вопросы.

Зачастую схема реализуется через телефон, но также и через социальные сети или электронную почту.

«Троянский конь» – достаточно интересный метод социальной инженерии. «Мамкин хацкер» отправляет на электронную почту жертвы письмо, во вложении которого находится файлик, предположим, именоваться данный файлик будет: «Я знаю, что ты сделал прошлым летом», «стыдливый компромат», «лотерейный билет с выигрышем острова» или на худой конец «Последнее обновление антивирусных баз». Цель: вызвать проявление у вас интереса, некое чувство любопытства, сопровождающееся дальнейшим открыванием этого файла.

Но файл содержит в себе не фотографию, как вы украли со стола последний пирожок с повидлом 12 июля в 10:10, а обычный «зловред», «стилер» (Stealer) или официальным языком – вредоносная программа, которая предназначена для кражи пользовательских данных, начиная от паролей и заканчивая электронными документами. Браузеры предлагают нам сохранить такую информацию, как логины и пароли от аккаунтов социальных сетей и различных государственных сервисов, данные банковской карты при оплате в интернет-магазинах, паспортные данные при покупке билетов, в том числе сохраняются файлы cookies, всю эту информацию можно похитить, даже ваши файлы, хранящиеся на жестком диске пк.

Вот пару новостей для понимания масштабов подготовки и уровня киберпреступников и их конечных результатов:

«Словить трояна» можно на разных площадках и ресурсах, на «YouTube» под видео обзором на игру, мошенник может оставить ссылку для скачивания какого-нибудь мода, в комментариях к видео, также на форумах, в социальных сетях, на фейковых сайтах. Вариантов очень много.

Думаю, многие встречали или хотя бы слышали про трояны-вымогатели (Ransomware). Эти «зловреды» создают сбой в работе Пк или вовсе блокируют доступ. Может появиться заставка на весь «рабочий стол» или анимация с ужасающим звуком. После заражения на заставке зачастую отображается информация о том, что случилось, каким образом можно восстановить доступ к своим файлам и в целом к функциям компьютера, а также сколько это будет стоить и каким методом будет осуществляться оплата. Варианты заражения разные, начиная от системных окон, которые невозможно закрыть и заканчивая шифрованием всех файлов на Пк. В настоящее время в основном, это оплата криптой на указанный крипто-кошелек, но были и времена, когда вирусы-вымогатели были запилены на оплату через пополнение указанного мобильного номера телефона или через «Qiwi» кошелек.

Вирусы-майнеры, направлены на скрытый майнинг криптовалюты за счет работы вашего оборудования, вы даже не будете знать, что ваша машинка во время работы пополняет кому-то крипто кошелёк и по непонятной для вас причине, чаще стал гудеть вентилятор видеокарты.

Ну и последний на сегодня метод, но не последний в копилке киберпреступников:

«Дорожное яблоко»

Это адаптированная версия «троянского коня», но с использованием физических носителей (CD, флэш-накопителей).

Реализация метода заключается в подкидывании носителя в общественно-доступном месте и зачастую на территории определенной компании. Например, в переговорной или в столовой, возле рабочего места какого-либо сотрудника или в туалете. В данном случае также, основную роль играет банальное человеческое любопытство, жажда узнать, что за информация на носителе. Для создания искусственного интереса, может быть нанесена какая-нибудь надпись на конверте диска: «зарплата сотрудников», «личные фото», «только для служебного пользования» или на флешке: «секретно». Суть данного метода по сути своей идентична с методом «Троянский конь». Но на случай указанной кибератаки, в «нормальных» компаниях создаются отделы и департаменты по информационной безопасности, кто не понаслышке знает про файрволы, и кто незамедлительно реагирует на инциденты безопасности. При должном подходе и отладке оборудования, «загрузка» данных с физического носителя попросту не произойдет. Все зависит от задач компании и деятельности сотрудников. Даже для самых старательных: заражение пк еще не говорит об успешности реализации метода, ведь возможность отправки украденных файлов с данными, тоже может «зарубиться» на корню. Тем не менее тот или иной «киберкрэкер» сможет себя потешить шифрованием дисков и ожиданием оплаты за код-разблокировки.

√ Рекомендательный итог (если очень вкратце):

• полюби стратегию «никому не доверяй»;

• цифровая безопасность. Держи под защитой свои устройства;

• читай новости и тенденции кибермошенничества, чтобы быть в курсе новых схем и сценариев.

Далее пройдемся поподробнее:

• Получая электронное письмо проверяйте адрес отправителя. На первый взгляд письмо может иметь легитимный вид, но по факту оказаться фейковым. Расчет мошенника на вашу невнимательность, имеет смысл проверять не только адрес отправителя, но и сам текст на грамматические ошибки, далее объясню почему. В основном, если мы говорим о «банках» и типовом уведомлении, сотрудники имеют шаблон письма, в котором текст выверен, а меняются только ваши данные. Наличие грамматических ошибок в тексте должно вас насторожить (но человеческий фактор имеет место быть и люди тоже ошибаются). В случае использования анонимных «спуфбоксов», о которых я писал тут, вас может не смутить адрес отправителя, но текст сообщения все равно будет заготовлен под ваш сценарий, повествование письма может оказывать на вас определенное давление, для совершения с вашей стороны каких-либо действий, будьте внимательны и не раскрывайте свои данные и пароли, тем более не совершайте «слепых» переводов.

• в письме могут присутствовать различные, в том числе скрытые ссылки, не нужно нажимать по «кликабельным» словам в тексте, тем более не нужно скачивать файлы из письма и открывать их, если вы не уверены в данном письме.

• «Нигерийские письма».

Или мошенничество с предоплатой. Из названия понятно, откуда появилось распространение этого вида мошенничества, но суть фишинга в следующем: вам на почту приходит письмо, в котором говорится, к примеру, что вы являетесь потомком герцога Девонширского и вам полагается огромное наследство. Углубляться в это не будем, так как сюжеты письма часто разные, но смысл один, для получения невиданных богатств, с вас будут выманивать суммы денежных средств якобы для оформления сделок, уплату налогов и сборов и так далее. Если вы видите письмо, о невероятном для вас случае, будь то наследство или «суперприз» от Якубовича, успокойтесь и просто улыбнитесь, на 99% это не ваш случай. Я бы использовал тут фразу: не доверяй и тщательно проверяй.

Что касается технических средств защиты:

○ есть смысл обновлять антивирусное ПО, сейчас даже стандартный Windows Defender справляется не худшим образом. Различного антивирусного софта сейчас на любой вкус и цвет, с необходимым функционалом и настройками, для защиты как данных, так и сети, не стоит пренебрегать этим;

○ обновляйте также ПО своего Пк и мобильного телефона, особенно в части апдейта по повышению безопасности устройства. Меняются политики безопасности, исправляются ошибки - закрываются баги и «дырки», ввиду чего вы должны понимать о рациональности этого действия;

○ вы можете по работе использовать различные приложения по удаленному доступу, на ряду с такими как «Teamviewer», «AnyDesk» и др. Использование удаленного рабочего стола порой необходимо, но не стоит забывать про основы информационной безопасности. Не стоит скачивать данные приложения с различных не проверенных источников и тем более с неизвестных вам ссылок из электронного письма. Осторожно относитесь к root-правам и режиму администратора ваших устройств;

○ при необходимости вы можете установить альтернативный спам-фильтр сообщений. Различные фишинговые письма он сможет идентифицировать, но есть доля ложных срабатываний, под этот фильтр могут попасть и легитимные письма. Также спам-фильтр проверяет домен отправителя и может сигнализировать, что он похож на домен реальной компании, но написан с ошибкой. Также некоторые спам-фильтры проверяют письма на вредоносные файлы. Но не стоит забывать, что у почтовых сервисов будь то «mail» или «gmail», имеются свои встроенные спам-фильтры, функции которых возможно не настолько широки, как у сторонних разработчиков, но тем не менее, со счетов их списывать мы не будем;

○ не используйте одинаковые пароли от всех своих учетных записей и аккаунтов, периодически меняйте пароли, хотя бы раз в 90 дней (лучше-чаще), делайте их сложными. Лучше всего хранить пароли в своей голове, но очевидно, при их большом количестве может потребоваться их записать, будьте осторожны с этим, не нужно хранить записанные пароли в кошельке, на карте, в записях телефона;

○ двухфакторная аутентификация – ваш друг.

Запомните одну простую мысль:

© Игорь Ландшман

✓ Друзья, обязательно пишите отзывы, комментарии, с какими видами мошенничества сталкивались Вы лично или ваши близкие. До какого финала это доходило. Делитесь интересными историями или необычными схемами, с которыми вам удалось столкнуться, чтобы наши читатели могли быть осведомлены в большей мере, различными видами мошенничества и соответственно вооружены. ↓

► ч.1: ФИШИНГ. Искусство обмана

#Вишинг #vishing #Смишинг #smishing #Целевойфишинг #Spearphishing #Уэйлинг #whaling #Фарминг #pharming #Квипрокво #Quidproquo #Претекстинг #Pretexting #Троянскийконь #троянывымогатели #Ransomware #Вирусымайнеры #Дорожноеяблоко #фишинг #искусствообмана #социальнаяинженерия #мошенничество #киберпрестуность #информационнаябезопасность