От 25 до 100 тыс. долларов — в такую сумму оценивали участники опроса Check Point потери от одной атаки с использованием методов социального инжиринга. Разумеется, это лишь средние цифры. В опросе вряд ли участвовали компании и организации, о которых мы расскажем дальше. В этих случаях большинство жертв несли либо колоссальные репутационные издержки, либо теряли суммы с шестью и семью нулями.
В ряде случаев мошенничество приобретает комичный характер. Наглость и остроумие социальных инженеров помогают им обводить вокруг пальца не только среднестатические компании с типичными проблемами в области безопасности, но и, к примеру, режимные заведения или высокотехнологичных «революционеров индустрии».
Отдельные сюжеты достойны Голливуда. Может ли заключенный сбежать из тюрьмы, сверстав на смартфоне поддельный сайт Королевского суда и отправить начальнику тюрьмы инструкции о своем освобождении? Оказывается, может . Реально ли захватить контроль над сайтом и аккаунтом в твиттере компании уровня Tesla Motors с помощью звонка в службу поддержки AT&T? Вполне . И все это происходит не десять лет назад, а в 2015 году.
Флешка против ядерной программы
История с вирусом Stuxnet хорошо переформатировала отношение общества к киберугрозам: впервые компьютерная программа физически разрушала инфраструктуру предприятия. Скрытные модификации данных между ПЛК и рабочими станциями SCADA-системы постепенно вывели из строя 1368 из 5000 центрифуг на заводе в Натанзе, что приостановило развитие ядерной программы Ирана. Вредоносное приложение имело сложнейшую структуру и использовало несколько уязвимостей нулевого дня в Windows, но попало в заводскую компьютерную сеть благодаря человеческому любопытству. Сотрудник компании открыл на рабочем компьютере флеш-накопитель, подброшенный ему на улице злоумышленниками. Аналитики называли авторами Stuxnet спецслужбы США и Израиля, что имело определенные последствия.
Ответ Ирана
Тегеран в долгу не остался. По данным ISight Partners, с 2011 года иранскими хакерами предпринимались множественные попытки войти в доверие к американским и израильским чиновникам, журналистам, государственным деятелям. Для ведения дружеской переписки в социальных сетях, главным образом в Facebook и LinkedIn, были созданы аккаунты вымышленных личностей, часть из которых представлялись журналистами поддельного новостного ресурса NewsOnAir.org. Основная цель атакующих заключалась в получение паролей от аккаунтов корпоративной почты, Gmail, социальных сетей. Жертве, к примеру, могли прислать ссылку на ролик на YouTube, вместо которого пользователь переправлялся на фейковую форму ввода пароля в Gmail. Атаки велись в отношении более 2000 американских и израильских дипломатов, военных подрядчиков, персонала конгресса, представителей финансовых и энергетических отраслей, а также чиновников, занятых вопросами нераспространения ядерного оружия. На принадлежность хакеров из Тегерана косвенно указывали график работы и почти единодушная привычка брать выходные по пятницам. Специалисты iSight уверены, что кампания по взлому была успешной.
Директор ЦРУ тоже человек
Многие пользователи пересылают служебные документы на личную почту, особенно если доступ к рабочей почте вне офиса ограничен и лень втыкать флешку. До октября 2015 года точно также действовал директор ЦРУ Джона Бреннана (John Brennan): в его почтовом ящике на AOL.com содержались экселевские файлы с данными о 2611 сотрудниках разведки, с их телефонами, email-адресами, номерами социального страхования, уровнями допуска. В бесплатной почте директор ЦРУ обсуждал методы пыток задержанных, там же лежала его 48-страничная анкета и другие файлы разной степени секретности.
Ответ Ирана
Тегеран в долгу не остался. По данным ISight Partners, с 2011 года иранскими хакерами предпринимались множественные попытки войти в доверие к американским и израильским чиновникам, журналистам, государственным деятелям. Для ведения дружеской переписки в социальных сетях, главным образом в Facebook и LinkedIn, были созданы аккаунты вымышленных личностей, часть из которых представлялись журналистами поддельного новостного ресурса NewsOnAir.org. Основная цель атакующих заключалась в получение паролей от аккаунтов корпоративной почты, Gmail, социальных сетей. Жертве, к примеру, могли прислать ссылку на ролик на YouTube, вместо которого пользователь переправлялся на фейковую форму ввода пароля в Gmail. Атаки велись в отношении более 2000 американских и израильских дипломатов, военных подрядчиков, персонала конгресса, представителей финансовых и энергетических отраслей, а также чиновников, занятых вопросами нераспространения ядерного оружия. На принадлежность хакеров из Тегерана косвенно указывали график работы и почти единодушная привычка брать выходные по пятницам. Специалисты iSight уверены, что кампания по взлому была успешной.
Директор ЦРУ тоже человек
Многие пользователи пересылают служебные документы на личную почту, особенно если доступ к рабочей почте вне офиса ограничен и лень втыкать флешку. До октября 2015 года точно также действовал директор ЦРУ Джона Бреннана (John Brennan): в его почтовом ящике на AOL.com содержались экселевские файлы с данными о 2611 сотрудниках разведки, с их телефонами, email-адресами, номерами социального страхования, уровнями допуска. В бесплатной почте директор ЦРУ обсуждал методы пыток задержанных, там же лежала его 48-страничная анкета и другие файлы разной степени секретности.
Журналисты Wired смогли узнать у хакера, которому еще нет и 20 лет, каким образом он проник в почтовый ящик главы разведки США. Оказывается, он с приятелями выяснили телефонный номер Бреннана, который был зарегистрирована в компании Verizon. После этого один из хакеров позвонил в Verizon, выдав себя за сотрудника этой компании, рассказал о падении клиентских баз и попросил детали об аккаунте Бреннана. Хакеры смогли сфабриковать уникальный номер, который присваивается всем сотрудникам Verizon (Vcode), что позволило им получить номер аккаунта Бреннана, его четырехзначный PIN-код, запасной мобильный номер аккаунта, email-адрес AOL и последние четыре цифры номера банковской карты. Затем был звонок в AOL с просьбой разблокировать аккаунт. Для ответа на контрольный вопрос надо было назвать четыре цифры номера банковской карты, которые хакеры уже знали.
Китайский сапог
Для США 2015 год запомнился исторической утечкой данных из государственной службы управления персоналом (U.S. Office of Personnel Management). Архив содержал подробнейшие досье на 22 миллиона американских госслужащих: детальные биографии и протоколы проверок на полиграфе с упоминанием пристрастий и зависимостей, сексуальных предпочтений, долговых обязательств, болезней, правонарушений и приводов. Известный своей эксцентричностью Джон Ма
Цифровые следы - ваша слабость, и хакеры это знают.
