Социальная инженерия: не хуже любой утечки

Социальная инженерия: не хуже любой утечки
Иногда даже никакой утечки информации не нужно, чтобы данные, которые вы где-то почему-то кому-то оставили, были применены против вас же. Потому что в наши дни каждый оставляет в сети такое количество данных, что собрать внушительное досье можно без каких бы то ни было закрытых источников.
Чем, собственно говоря, активно и пользуются разномастные рекламщики и маркетологи. Их, не поверите, интересует в буквальном смысле всё. Где они едят, куда ездят отдыхать и что покупают… Поскольку отраслей, куда можно потом продать данные, бесконечно много, то и список получается весьма и весьма внушительным. Но подробное досье с именами, паролями и явками - удел спецслужб, а никак не маркетологов. Поэтому сперва эту информацию обезличивают. Благодаря данному подходу слежка становится «легальной», при этом собранные данные вы можете сконвертировать в реальные деньги, а также продавать их рекламным компаниям.
В реальной жизни это реализуется, например, с помощью сбора информации о местонахождении владельцев смартфонов. Какой от этого будет прок? Имея на руках такую информацию, компания может показывать рекламу именно в тех местах, где её увидит максимальное количество людей. Красиво пишет в своих рекламных листовках Google: "не продавай рыбе зонтик" - или, как модно говорить сегодня, настраивай ретаргетинг, чтобы твоя реклама нагнала свою жертву на любом сайте.
Но это цветочки. Потому что те же геоданные можно использовать куда менее безобидным способом. Для примера можно взять Twitter, очень популярный сегодня сервис коротких сообщений, и столь же популярный сервис, который позволяет отмечать посещаемые места – речь идет о Foursquare. Интеграция данных сервисов друг с другом будет очень полезной для многих злоумышленников. Человек обитает один в своей квартире, он отправляется на променад в бар, и пишет об этом в твиттере. Заведение, в которое он направился, человек отмечает на сервисе Foursquare. Квартира пустая, вуа-ля.
Кстати, говорят, в свое время именно таким способом похитили сына, вы не поверите, самого Евгения Касперского.
Но даже если вы не пользуетесь Forsquare (честь вам и хвала за это), это вовсе не значит, что соцальные инженеры не найдут чего-нибудь подходящего и для вас. Например, все мы пользуемся вопросами для восстановления паролей (хотя это и не очень эффективно в теперешние времена, но что поделать). Что вы скажете, если я сообщу, что большинство ответов на них гуглятся буквально за пару минут? Не поверите? Какой, говорите, секретный вопрос? Девичья фамилия матери? А это не она там случайно её в скобочках указала на "Одноклассниках"?..
В общем, остается только констатировать, что сегодня социальная инженерия - не меньшее зло, чем утечки данных. Правда, защиты от неё такой же эффективной и удобной, как DLP-системы от утечек, сегодня, к сожалению, нет.
Alt text

СёрчИнформ

Взгляд на информационную безопасность от компании SearchInform и сторонних экспертов.