Поводом к написанию данного поста послужило определённое количество новостей, которое субъективно превысило определённый «порог игнорирования». Не секрет, что сегодня различные атаки всё больше социализируются. Так или иначе, но определённые приёмы социальной инженерии нет-нет да «засветятся» в новостной сводке. В частности, речь идёт о технике «кви про кво», которую проще и понятнее именовать «кража личности».
Кви про что?
Схема атаки проста: выдать себя за другую персону, которой «жертва» доверяет. Самый банальный пример – «страшилки», которыми родители запугивали в детстве, наверное, каждого из нас. «Не открывай никому дверь! Там маньяки, которые доверчивым детям, говорят, что они почтальоныводопроводчики, а потом топят в ванной». Реальные же истории более прозаичны.
Цель №1
Чаще всего «кража личности», естественно, используется в мошеннических целях. Рассмотрим на конкретном примере. Тридцатилетний Брэндон Прайс – житель Питтсбурга связался по телефону с филиалом Citibank и, представившись Полом Алленом, сооснователем Microsoft, попросил сменить адрес счета с Сиэтла на Питтсбург. Помимо этого, к счету был добавлен новый телефонный номер. Позже он вновь связался с банком и сообщил от лица сооснователя Microsoft, что утерял свою дебетовую карту, однако о краже ее сообщать не хочет. Прайс попросил банковского сотрудника прислать ему на адрес в Питтсбурге новую карту. На следующий день мошеннику удалось получить карту, активировать ее и сразу же применить в целях платежа по ссуде в Банке вооруженных сил США в размере 658 тысяч долларов уже на собственное имя. В этот же день он с помощью карты попытался совершить денежный перевод посредством системы Western Union на сумму в $15 тыс. Помимо этого, Прайс при помощи карты оплачивал свои приобретения в ряде американских магазинов, что удалось запечатлеть камерам наблюдения. Арестовали Прайса второго марта 2012 года.
Этот случай очень хорошо иллюстрирует главную цель злоумышленников – деньги. Но «главная» не означает «единственная». На втором и третьем месте в приоритетах мошенников находятся распространение вирусов и управление общественным мнением. Разберём по порядку.
От мала до велика
Вирусы сегодня очень удобно распространять через социальные сети. Достаточно проделать определённую подготовительную работу по «залайкиванию» френдов. Соответственно, имея большую базу подписчиков, можно делиться с ними «приколами», «крутыми видео», «новыми сериями любимых сериалов» и прочим контентом, способным привлечь внимание людей. Как вы понимаете, главной задачей является заставить «жертву» перейти на скомпрометированный ресурс. Примечательно, что логика схемы сегодня усложняется. Поясню на примере отчёта Websense.
Мошенники создали поддельную учетную запись LinkedIn, которая на данный момент имеет более 400 контактов и используется как для просмотра профилей потенциальных жертв, так и для их перенаправления на некий сайт знакомств.
Для увеличения эффективности используется премиум-аккаунт LinkedIn – это позволяет выполнять поиск по рабочим функциям, размеру компании и уровню старшинства, а также слать сообщения напрямую, без необходимости быть в друзьях у «жертвы». Вся эта информация в дальнейшем используется для проведения атаки.
Специалисты компании полагают, что мошенники используют сайт знакомств в качестве приманки. Они отметили, что хоть сайт на данный момент не содержит вредоносного кода, но его IP-адрес, как и весь ASN, ранее был привязан к доменам, которые содержали списки ссылок на C&C серверы для нескольких наборов эксплоитов.
Теперь пройдёмся по общественному мнению. Здесь в качестве примера очень интересно связать некоторые исследования и тендеры.
В рамках исследования «Pew Research Centre» (проведено в марте-апреле 2013. Опрашивались по 1000 человек в каждой стране + вероятность ошибки до 7.7%), опубликованного 3 сентября 2013, было изучено отношение к России в 38-ми странах мира, на основании чего был сделан вывод о негативном восприятии России в 36 странах. Позитивно к России относятся, якобы, только жители Греции (63%) и Ю. Кореи (53%).
Российский фонд Vox Populi провел «защитное» исследование: c 9 по 13 сентября было собрано и проанализировано свыше 770 тыс. сообщений о России в СМИ и соцмедиа от 440 тыс. авторов из 231 страны. Исследование показало, что в индивидуальном отношении людей к России преобладает позитив, в то время как в официальных источниках (СМИ, информагентства, официальные лица) — преобладает негатив. Ниже показана аналитика по данным (СМИ и соцмедиа) 74 тыс. жителей США, высказавшихся за 4 дня сентября по теме Россия:
Под «официозом» в данном случае подразумеваются официальные СМИ, известные политологи и экс-чиновники.
Какие выводы можно сделать? То, что «ящику» доверять нельзя, адекватные люди поняли давно. Фокус доверия в этой связи сместился в сторону «открытых и свободных» соцсетей, где контент формируют независимые пользователи. Но здесь как раз-таки и выходит на сцену «кви про кво». Что мешает государству формировать общественное мнение силами обычных граждан? Много чего. Поэтому хорошо бы этот процесс сделать подешевле и понезависимее от тех самых граждан. Как? Да хотя бы вот так.
Служба внешней разведки (СВР) в начале 2012 года провела три закрытых тендера под кодовыми обозначениями «Шторм-12», «Монитор-3» и «Диспут» на сумму более 30 млн. рублей, целью которых является выработка новых правил мониторинга блогосферы. Главной задачей методики должно стать «массовое распространение информационных сообщений в заданных социальных сетях с целью формирования общественного мнения». Заказчиком выступила ФКУ "Войсковая часть N54939". В рамках тендера «Диспут» разработка программы для «исследования методов разведки интернет-центров и региональных сегментов социальных сетей» оценивалась в 4,41 млн. рублей. По тендеру «Монитор-3» (на сумму 4,99 млн. рублей) претенденты должны были предложить исследование методов негласного управления в интернете. По тендеру «Шторм-12» (на 22,8 млн. рублей) - провести научно-исследовательскую работу по разработке «средств продвижения специальной информации в социальных сетях». Логика работы всего комплекса такова: мониторить блогосферу будет система «Диспут», затем полученную информацию проанализирует система «Монитор-3». Вброс нужной информации в соцсети на основе полученных данных возложат на систему «Шторм-12». К слову, исполнителем по всем трем конкурсам стала компания «Итеранет».
Ложка мёда
Справедливости ради стоит отметить, что поддельные личности используются и «во благо». В частности, для аудита безопасности и отлова «нехороших дядей-педофилов».
К примеру, эксперимент «белых хакеров» показал: для того, чтобы выудить секретную информацию, достаточно прикинуться симпатичной девушкой и немного пофлиртовать с суровыми «агентами».
Спецслужбы США при помощи специалистов компании World Wide Technology создали поддельные аккаунты молодой привлекательной девушки в соцсетях Facebook и LinkedIn. В качестве модели для создания поддельных аккаунтов использовалась реальная девушка по имени Эмили Уильямс. Она работала официанткой в кафе неподалеку от офиса правительственного агентства. При этом никто из сотрудников организации ее не узнал.
После непродолжительного общения с «жертвой»-мужчиной «девушке» удалось выудить секретную информацию. Сотрудники организации были так увлечены новой знакомой, что не заметили явных несоответствий в ее анкете. Например, там было указано, что она обладает 10-летним опытом в IT-коммуникациях, при этом ей было всего 28 лет.
Ну а самое интересное, по словам исследователей, в том, что подобный эксперимент проводился и с мужчиной в главной роли. Вот только столь поразительных результатов поддельному «Казанове» добиться не удалось.
Что до педофилов, здесь результатами поделились голландцы. Голландские активисты из организации Terre des Hommes завершили эксперимент по идентификации педофилов в чат-комнатах. Для этого они применили метод ловли «на живца», причем в качестве приманки использовали компьютерную модель 10-летней филиппинской девочки под ником Sweetie. Непосредственно в чате работали активисты Terre des Hommes.
За десять недель операции на контакт со Sweetie в разных чатах вышло более 20 000 мужчин, из них около 1000 человек из 71 страны предложили ей деньги. Большинство преступников — из богатых западных стран: 254 из США, 110 из Великобритании. На третьем месте Индия (103 человека). Что характерно, не удалось обнаружить ни одного пользователя из России.
Выводы?
«Кража личности» в Сети – процедура весьма и весьма лёгкая в исполнении. Масштаб проблемы ширится, а журналисты время от времени любят «нагонять панику», не разобравшись в вопросе. Дело в том, что большинство приёмов, применяемых злоумышленниками, не выдерживают сколь-нибудь серьёзной проверки. Вспомните хотя бы описанный случай с «крутыми агентами» и симпатичной девушкой. Несоответствия были на поверхности, но агенты их просто проигнорировали. Поэтому лично для меня профилактика кражи личности сводится к простой поговорке: «доверяй, но проверяй».
