Ищите человека

Источник материала:

Ищите человека

Виртуальные бастионы бессильны перед беспечностью их обитателей
Наиболее уязвимой брешью в системах компьютерной безопасности являются не аппаратное и программное обеспечение, а сами пользователи. Прошли те времена, когда электронные злоумышленники проникали в электронные сейфы путем прямого взлома защиты. В наши дни вместо лобового штурма используется более эффективная тактика овладения паролями и кодами доступа.
Владимир БАРАНИЧ
От глупости
нет патча

“Эта проблема гораздо в большей степени человеческая, чем техническая”, — сказал Дэн Каминиски из фирмы Dox Para Research на проходившей недавно в Лас-Вегасе ежегодной международной конференции по компьютерной безопасности DefCon, известной как съезд хакеров. Каждый год это мероприятие собирает лучших специалистов по взлому и защите компьютеров. Именно здесь хакеры демонстрируют свои таланты и умения, не опасаясь судебных разбирательств и штрафов, поскольку происходит это в форме состязаний.

Многие из тех, кто был хакером в школьные или студенческие годы, сейчас стали респектабельными людьми и возглавляют IT-отделы крупных фирм или работают менеджерами компьютерных сетей. И все они на конференции в один голос говорили, что сотрудники их фирм, как правило, оставляют пароли, записанные на бумажках, приклеенных к мониторам, или под клавиатурой и обмениваются секретными кодами доступа со своими сослуживцами.

Известен случай, произошедший с наследницей империи отелей Пэрис Хилтон, у которой из мобильного телефона был украден огромный список контактов ее друзей-знаменитостей. Хакер просто угадал пароль, которым весьма предсказуемо оказалось имя ее любимого домашнего животного.

В одном из конференц-залов казино, где собрались участники DefCon, была установлена “Доска ламера” с длинным списком логинов и паролей, выуженных с незащищенных компьютеров через Интернет. Многие участники конференции носили футболки с фразой, приписываемой легендарному хакеру Кевину Митнику (знаменитые атаки которого больше основывались не на программном обеспечении, а на манипулировании людьми по методам социальной инженерии): “От человеческой глупости нет патча” (англ. patch — заплатка).

Брэд Смит, психолог, специализирующийся на нейролингвистическом программировании, говорит, что пользователям Интернета давно пора вспомнить, что если что-то выглядит чересчур привлекательным, вероятно, на самом деле оно может быть опасным. “Помните, что вы не миллионный посетитель веб-сайта, ваш родственник не мог умереть в Нигерии, оставив состояние на тайном банковском счете, — говорит Смит. — Вы не выиграли лотерею где-то за границей. А участие в опросе, где вас просят сообщить большое количество личной информации, просто не стоит того, даже если вам все-таки заплатят за него обещанные 5 долларов”.

Мошенникам по-прежнему удается заставлять людей открывать вложения в электронные письма, зараженные вирусами и другим вредоносным ПО, давая файлам привлекательные имена. “Если электронное письмо выглядит забавно, когда вы его откроете, скорее всего, забавно уже не будет”, — предупреждает Смит.

Наконец, как это ни удивительно, в современном мире люди все еще недостаточно разумны, чтобы не рассказывать о своих паролях приятным незнакомцам или интересующимся сослуживцам, считает Смит.

Счет — находка для шпиона

Учитывая различные уровни распространения современных технологий в разных странах, нельзя точно подсчитать степень зависимости от них человека в глобальном масштабе. Однако если взять конкретные примеры из разных мест, общая тенденция будет достаточно ясна.

Например, проведенный энергетической компанией Npower опрос 2.200 совершеннолетних жителей Великобритании выявил широко распространенное невежество в области предотвращения краж персональных данных. Согласно результатам опроса, почти каждый десятый человек считает, что его личные данные незаконно оказывались у третьих лиц.

Собранная информация свидетельствует о том, что наибольшему риску подвержены молодые люди в возрасте до 30 лет, так как они наиболее легкомысленно относятся к защите личных данных. В этой группе две трети опрошенных признали, что сообщали друзьям или членам семьи ПИН-код кредитной карты или сведения о банковском счете, а 28% даже не подозревают, что счет за коммунальные услуги является средством для сбора личных данных.

Кроме того, люди в возрасте до 30 лет подвержены повышенному риску стать жертвами, так как для них более характерен “кочевой” образ жизни с частой сменой места жительства. А при переезде человек зачастую забывает подумать о том, к кому попадут его счета за электроэнергию и выписки с банковских счетов.

Согласно наиболее свежим правительственным оценкам, в Великобритании воровство личных данных ежегодно приносит убытки на сумму до 1,7 млрд. GBP. А по данным английской службы по борьбе с мошенничествами CIFAS, количество эпизодов таких преступлений с 1999 г. по 2005 г. возросло более чем в шесть раз: с 20 тыс. до 137 тыс. случаев.

Однако Мартин Гилл, профессор криминологии университета г. Лестер считает, что фактическое количество случаев незаконного сбора личных данных может быть гораздо выше. “Вору относительно легко украсть личные данные, а люди, особенно молодые, не проявляют нужной осторожности”, — говорит он.

Спам-грабеж по-русски

Если многие проблемы, беспокоящие англичан или американцев, до нас еще не дошли в силу неразвитости у нас системы электронных платежей, то они с лихвой компенсируются простыми и в то же время эффективными русскими способами компьютерного мошенничества.

В Рунете, к которому в силу языковых предпочтений наших пользователей относится и наша страна, растет доля мошеннических писем в спаме. Если в 2005 году средний объем доли спама, относящегося к категории “компьютерное мошенничество”, составил 11% от общего потока рекламных писем, то во втором квартале 2006 года этот показатель достиг уже 18,2%.

Однако мошенники не ограничиваются увеличением количества рассылаемых писем, а придумывают новые способы обмана.

Так, появился новый вид мошеннических писем, в которых спамеры под тем или иным предлогом уговаривают получателей якобы бесплатно отправить SMS определенного вида (содержащее заданное кодовое слово и/или номер) на номер платного сервиса, скажем, для получения рингтона. Предлоги бывают самые разнообразные, однако цель спамеров одна — пополнение их личных счетов за счет пользователей, сообщает “Лаборатория Касперского”.

В одном из таких писем, зафиксированных “Лабораторией Касперского”, спамер, в соответствии с положениями вступившего в силу 1 июля нового российского закона “О рекламе”, предлагает пользователям отписаться от спам-рассылок. Для этого им необходимо отправить SMS-сообщение определенного содержания на указанный короткий номер, получить в ответ ссылку на страницу веб-сайта, где якобы опубликованы спамерские базы адресов, и удалить свой адрес из этой базы.

Спамер утверждает, что текстовое сообщение является совершенно бесплатным, все законы соблюдены, а он якобы хочет “быть законопослушным гражданином”.

Только вот отписаться от спама с помощью SMS невозможно. Зато SMS на указанный номер на самом деле являются платными, причем их стоимость превышает стоимость обычного SMS-сообщения. А в ответ на него приходит SMS следующего содержания: “Спасибо за понимание”.

Специалисты “Лаборатории Касперского” рекомендуют пользователям электронной почты не доверять сообщениям, пришедшим от неизвестных адресатов, не попадаться на удочку “доброжелателей”, предлагающих легкие и быстрые способы обогатиться, и не верить добрым намерениям спамеров — те используют любую возможность наживы за чужой счет.

“Рыбалка” набирает обороты

Мы уже не раз писали о такой форме мошенничества в Интернете, как фишинг (англ. phishing — звучит как “ловля на удочку”). К сожалению, к этой теме приходится возвращаться, поскольку характер преступлений, связанных с использованием фишинга, постоянно меняется. Мошенники выдумывают все более изощренные способы обмана и повышают уровень подготовки атак с целью кражи паролей, номеров кредитных карт и банковских счетов и другой конфиденциальной информации. По данным последнего отчета международной антифишинговой организации Anti-Phishing Working Group (APWG), в месяц обнаруживается 20.109 различных фишинговых рассылок, 11.976 фишерских веб-сайтов.

Самое важное для фишера — правдоподобная легенда, побуждающая жертву перейти на сайт и оставить там свои секретные данные. Поэтому фишинговые сообщения, как правило, оформлены очень качественно в противовес обычному спаму — солидно, с соблюдением малейших деталей корпоративного стиля атакуемой организации. То же самое можно сказать и о фишерских поддельных сайтах, на которые заманивают простодушного пользователя — они исполнены в безупречной манере, и без тщательного изучения их практически невозможно отличить от оригинала.

Письмо, оформленное на “официальном бланке” банка, содержит ссылку, по которой нужно пройти “для подтверждения персональных данных”. Если же изучить ссылку подробнее, просто подвести к ней курсор — в статусной строке видно, что ведет она вовсе не на оригинальный сайт банка, содержащий реальное доменное имя, а на некий безвестный IP-адрес. Такое письмо при желании отличить от подделки совсем несложно.

Фишеры часто пытаются завладеть учетными данными в электронных почтовых службах. В случае успешной атаки мошенники могут, в частности, использовать полученные e-mail-адреса для рассылки спама.

Еще более изощренным является прием, когда пользователю вообще не нужно переходить на поддельный сайт, а форма “верификации” встроена прямо в HTML-версию самого фишинг-сообщения. Здесь имеются усыпляющие бдительность знакомые пользователю легальные ссылки и поля, в которые предлагается ввести личные данные. “Легальный” адрес подделать несложно, и спамеры часто прибегают к этому приему.

Злоумышленники все чаще применяют и так называемые кей-логгеры — специальные программы, отслеживающие нажатия клавиш на компьютерах пользователей и отсылающие полученную таким образом информацию по заранее заложенному адресу. Эти программы злоумышленники рассылают вместе с вирусами, которые выполняют всю работу по установке кей-логгеров и последующему сообщению мошенникам всей необходимой информации о жертве.

При этом, как уже было сказано выше, пользователь сам открывает двери виртуальным злодеям, запуская пришедшие неизвестно от кого файлы. Несмотря на обилие программ, призванных защищать от разного рода неприятностей, лучшего способа, чем элементарная осторожность, еще не придумано.