Социальные сети: рай для фишинга

Социальные сети основательно вошли в жизнь современного человека, прочно опутав его со всех сторон. Сегодня всем известные Facebook и вКонтакте пытаются сделать всё, чтобы пользователю не нужно было покидать пределы цифрового эдема. Фильмы, музыка, новости, общение, игры… Чего здесь только нет? А нет понимания, насколько всё это может быть опасным. Сегодня социальные сети – настоящий рай для мошенников. Мы поговорим, пожалуй, о самом популярном на сегодняшний день способе обмана – фишинге.

История успеха

Ни одна крупная утечка персональных данных уже не обходится без волны фишинговых рассылок, следующих за ней. Само слово, как нетрудно догадаться, пошло от английского слова «рыбалка», так как по идеологии похоже на неё. Целью злоумышленников является «ловля» конфиденциальной информации на «наживку». К примеру, у банка произошла утечка информации о его клиентах. В том числе злоумышленники получили доступ к адресам электронной почты. С большой долей вероятности можно предположить, что вскоре клиенты получат электронное письмо, которое будет очень похоже на стандартное письмо от банка (дизайн узнаётся заранее), в котором для большей достоверности будут использованы личные данные клиента (обращение по имени-отчеству, номер счёта, личный номер и т.п.). Жертва наверняка заинтересуется содержанием письма, полагая, что информация, указанная в нём, известна только банку. Тем временем в теле письма обычно содержится информация, призывающая жертву перейти по предложенной ссылке для дальнейших действий. Это может быть сообщение о произошедшем инциденте, извещение о плановой смене паролей от личных кабинетов и т.п. В общем, на что хватит фантазии мошенников. Так или иначе, в конце письма предлагается перейти по ссылке для смены пароля. Обычно «жертвы» не придают значения тому, что ссылка не ведёт на сайт банка. К тому же, некоторые злоумышленники могут проявить изобретательность и зарегистрировать похожее доменное имя. Вряд ли вы с первого раза отличитеwww.berlinbank.ru от www.ber1inbank.ru (во втором случае вместо буквы «l» была использована цифра «1»).

Таким образом, перейдя по поддельной ссылке, жертва попадает на не менее поддельный сайт, который является копией реального ресурса банка. Используется та же цветовая схема, тот же стиль кнопок и т.п. На этой странице «банк» просит клиента ввести свой логин и старый пароль от личного кабинета. Для отвода глаз могут попросить ввести новый. Но как только будет нажата кнопка «ОК», информация попадёт к злоумышленникам. Примечательно, что даже спецслужбы не брезгуют фишингом.

Но кто бы ни стоял за подобными противоправными действиями, атаке всегда предшествует большой подготовительный этап. И если раньше требовалось быть серьёзным профессионалом в области добычи информации, то сегодня люди сами рассказывают о себе на страницах социальных сетей.

Сбор информации из открытых источников

Неискушённые в вопросах безопасности, люди зачастую оставляют в свободном доступе сведения, которыми могут воспользоваться злоумышленники. Показательным примером в этом плане может служить история с похищением сына Евгения Касперского. В ходе следствия удалось установить, что преступники узнали примерное расписание дня и маршруты следования подростка из его записей на странице в социальной сети. К тому же, даже если вы ограничили доступ посторонних к вашей странице, мошенники для получения информации могут попытаться втереться в доверие через ваших друзей.

Известная «теория шести рукопожатий» гласит, что любые два человека на нашей планете в среднем разделены лишь небольшой цепочкой из пяти общих знакомых (см. рис.). В этом году Facebook совместно с учёными из Миланского университета провели исследование, в результате которого оказалось, что в реальности среднее число «рукопожатий», которые разделяют любых двух человек на Земле — 4,74. 

Как показывает практика, именно на это и полагаются злоумышленники. Доказано, что если жертва видит, что у человека, подавшего заявку на дружбу, есть с ней общие знакомые, подозрения к нему существенно уменьшаются. В реальной жизни этот принцип доказал бразильский исследователь по вопросам компьютерной безопасности. Он показал, что существует возможность стать другом любого пользователя Facebook в течение 24 часов, используя методы социальной инженерии. В ходе эксперимента исследователь Нельсон Новаес Нето выбрал «жертву» и создал фальшивый аккаунт человека из ее окружения – ее начальника. Сначала Нето отправлял запросы на дружбу друзьям друзей начальника жертвы, а затем и непосредственно его друзьям. Через 7,5 часа исследователь добился добавления в друзья от «жертвы». Тем самым исследователь получил доступ к личной информации пользователя, которой тот делился только со своими друзьями.

Доктор, я буду жить?

Можно подумать, что мир вокруг нас кишит шпионами, мошенниками и преступниками, которых хлебом не корми, а дай что-нибудь украсть. На самом деле большинство инцидентов происходят из-за излишней доверчивости людей, а иногда и из-за банальной лени. Все знают, что служащий банка не попросит вас по телефону назвать логин и пароль от личного кабинета. Все знают, что записывать пароль на стикере и приклеивать его к монитору небезопасно. Помните, что многих неприятностей можно избежать. Тем более, когда вы о них предупреждены.