Информации по теме (статья для журнала «Магия ПК»)

Внимание мошенники: социальная инженерия

На личном опыте убедился, что во время праздничных дней активность разного рода мошенников на просторах сети Интернет возрастает. Отмечу сразу, что это относится к жуликам, работающим, так сказать, по мелочам. Серьезные атаки, направленные на сервера банков, бирж, государственных и коммерческих центров маловероятны, так как большинство этих организаций в выходные и праздничные дни просто не работает. Активность сервисов сведена к минимуму и любое действие, будь то санкционированное или нет, особенно заметно админам, которые остаются на рабочих местах и вынуждены работать, в то время как остальные люди веселятся и отдыхают. Вполне очевидно, что после нескольких праздничных тостов желание посмотреть что-то интересное в сети Интернет остается, а внимание и объективность восприятия информации несколько притупляются, особенно если праздники продолжаются несколько дней. Для получения доступа к конфиденциальной информации, какой являются пользовательские аккаунты в социальных сетях, почтовые ящики, учетные данные для управления доменами, сайтами и так далее, мошенникам часто не приходится даже серьезно изучать технические методы, так как основ социальной инженерии оказывается более чем достаточно.

Вспомним определение. Социальная инженерия — метод несанкционированного доступа к информации или системам хранения информации без использования технических средств. Такое определение можно найти на страницах бесплатной интернет энциклопедии – Векипедии. На мой взгляд, более точной была бы формулировка: метод несанкционированного доступа к информации или системам хранения информации без использования технических средств или с минимальным использованием таких средств, не требующих от злоумышленников специальных знаний и умений. В роли объекта атаки выбирается не компьютер, а его оператор. Методы и техники социальных инженеров основываются на использовании слабостей людей. Злоумышленник может получить информацию, например, с помощью обычного телефонного разговора или путем проникновения в организацию под видом ее служащего. Для защиты от атак данного вида следует знать о наиболее распространенных видах мошенничества, понимать, что на самом деле хотят взломщики и не попадаться на их уловки. На этом заканчиваю с небольшой вступительной частью и рассмотрю пару примеров.

Читаю входящую почту и нахожу в ней сообщение (приведено на скриншоте), со следующим текстом:

“Уважаемый клиент!

Аккаунт c домeном technologka.ru превышaет лимит нaгрузки для тapифнoгo плана. Во избежание блокирoвки аккaунта рекомендуется cмeнить тapифный план нa более ресурcоёмкий, или ограничить нaгpузку на ceрвер оптимизацией кодa.

Решение технических вопросов:

http://www.jino.ru/support/faq/problems/?domain=technologka.ru

Мы надеемся, что вы останетесь довольны нашим хостингом, и будем очень признательны, если вы разместите на своем сайте код нашей кнопки:

Получить код баннера другого цвета или размера можно на нашем сайте на странице http://www.jino.ru/about/banners.html

Все выглядит более чем правдоподобно, особенно если учесть, что на сайте technologka.ru у меня стоит автоматизированная система представления информационного контента, предлагаемая одним из достаточно известных сервисов. Перехожу по ссылке и сразу вижу, что что-то не то. Все же, как и большинство пользователей сети Интернет, я не смотрю каждое входящее сообщение на уровне его исходного кода, а делаю это только в особых случаях

При  переходе по ссылке вижу привычный интерфейс хостинг-провайдера Джино (http://www.jino.ru/?par=aiv123), но совершенно неприемлемый адрес:

http://support.jino.ru.gstgtg5476765.myjino.tmweb.ru/index.php?domain=technologka.ru

Действительно в начале строки стоит http://support.jino.ru, что может обмануть  невнимательного или не слишком грамотного в техническом плане пользователя. При ближайшем рассмотрении видно, что обращение идет к домену седьмого уровня support.jino.ru.gstgtg5476765.myjino.tmweb.ru, а если говорить более просто, то некий злоумышленник использовал сайт tmweb.ru для создания фишинговой странички для получения конфиденциальной информации пользователей, которую они добровольно отдают злоумышленнику. Создать форму для сбора информации занимает минут 10-15, после чего ее можно разместить на том сайте, к которому есть доступ. Например, для моего сайта обращение к записи выглядело бы так:

http://support.jino.ru.gstgtg5476765.mctrewards.ru/. Все ссылки со странички злоумышленника ведут на подлинные страницы, размещенные на хостинге Джино, исключая ссылку для обращения в службу поддержки и саму форму авторизации. Справедливости ради отмечу, что в данном случае пользователь должен быть слишком уж невнимателен, а знания html кода злоумышленниками явно оставляют желать лучшего, так как при вводе пароля видим его в незащищенном виде. Человек, знающий основы html, не забыл бы добавить type=»password», для того, чтобы пароль не отображался.  Например, <INPUT TYPE=password NAME=hack SIZE=30 MAXLENGTH=12> определяет окно шириной 30 символов для ввода пароля. Максимально допустимая длина пароля — 12 символов. Введенный пароль передается обработчику в переменной hack.

)


На этом разбор данного инцидента считаю исчерпанным, двигаемся дальше. Еще одно письмо:


Не вооруженным взглядом видно, что злоумышленник поленился даже должным образом оформить ссылку. Смотрим фрагмент кода: “Пройдите процедуру восстановления пароля для доступа к странице&nbsp;

<a href=»http://vk.cc/1bUlX7″ target=»_blank»>http://vk.cc/1bUlX7</a>

<img src=»http://srclick.ru/click/i104fZC1N8Eb6f97a.gif» width=1 height=1 border=0>”. Человек, более прилежно изучивший основы html, скорее всего, написал бы так:

<a href=»http://vk.cc/1bUlX7″ target=»_blank»>http://vk.com/1bUlX7</a>. Переход осуществлялся бы на туже самую ссылку, но читатель письма видел корректно отображаемый адрес сайта социальной сети http://vk.com. При переходе по ссылке видим, что адрес сайта является фишинговым. Единственный, так сказать, творческий элемент – фотография и имя с фамилий пользователя “подлинные”, так как взяты с сайта социальной сети.

Можно было продолжать приводить примеры и дальше, но, по большому счету, все они однотипные. Во многих случаях не попадать в неприятные ситуации, связанные с потерей конфиденциальных данных, можно, если быть чуть более внимательным и знать элементарные правила безопасности. Желающие покопаться в исходном коде могут посмотреть файлы сохраненных писем и фишинговых страниц в архивом файле http://mctrewards.ru/files/fishing.zip. Уловки, используемые мошенниками не новы, несколько лет назад рассказывал о чем-то подобным в своей заметке “Сайт-ловушка. Зайди на него и оставь свой пароль…” (http://www.magicpc.spb.ru/journal/200803/19/01.php), но посчитал, что напомнить еще раз будет не лишне.  На этом все, будьте бдительны.

* * * Дополнительная информация * * *
Официальные комментарии администрации Info-DVD по поводу взлома Smartresponder
http://info-dvd.ru/digest/info-dvd-on-smartresponder-hack/

Ананченко Игорь Викторович Контактная информация Моб. телефон: +79213201586 ICQ: 361916132 Веб-сайт: http://anantchenko.ru E-mail: igor@anantchenko.ru Вконтакте: http://vkontakte.ru/id8574436 https://mcp.microsoft.com/authenticate/validatemcp.aspx Transcript ID 793398 and the Access Code 9213201586 Microsoft Certification Status: Microsoft Certified IT Professional, Microsoft Certified Technology Specialist, Microsoft Certified Desktop Support Technician, Microsoft Certified Professional, Microsoft Certified Trainer