Митник Кевин. Искусство обмана.

Вариации по вариации

Как много других путей существует, чтобы ввести в заблуждение пользователей компьютера и заставить посетить фальшивый веб сайт, где они предоставят свою личную информацию? Я не думаю, что у кого то есть точный ответ на этот вопрос, но фраза «множество и множество» вполне послужит цели.
Несуществующая ссылка
Один трюк используется регулярно. Отправляется письмо с соблазнительной причиной посетить сайт и предоставляется прямая ссылка на него. Кроме этого, ссылка не доставляет вас на сайт, который вы ожидаете увидеть, потому что ссылка только имеет сходство со ссылкой на тот сайт. Вот вам другой пример, который начал использоваться в Интернете, снова злоупотребляя именем PayPal:
www.PayPai.com
В принципе, это выглядит так, будто речь идет о PayPal. Даже если жертва заметит, то может подумать, что это всего лишь незначительная ошибка в тексте, которая переделала "I" в "i". И кто заметит, что в адресе
www.PayPa1.com
используется цифра 1 вместо прописной "L"? Существует достаточно людей, которые допускают опечатки и другие неправильные указания и тем самым прибавляют популярности этой затее ворующих кредитки. Когда люди идут на фальшивый сайт, он выглядит так же, как и сайт, который они ожидают увидеть, и они жизнерадостно вводят информацию об их кредитке. Чтобы провернуть один из этих ужасов, взломщику всего лишь нужно зарегистрировать фальшивое доменное имя, разослать письма и ждать дураков, чтобы обмануть их.
В середине 2002,я получил письмо, по видимому, являющееся частью из массовой рассылки, которое было помечено от: [email protected] . Это сообщение показано ниже.

Дорогой пользователь eBay,
Стало известно, что другая группа испортила ваш eBay аккаунт и нарушила наше Пользовательское Соглашение по безопасности, приведенное ниже:
4. Торги и покупка
Вы обязываетесь завершить транзакцию с продавцом, если вы покупаете товар по одной из указанных нами цен или являетесь лицом, предложившим наибольшую цену на торгах, как упомянуто выше. Если вы предложили наибольшую цен в конце торгов и ваша надбавка к цене одобряется продавцом, вы обязываетесь завершить транзакцию с продавцом или транзакция запрещается законом или этим соглашением.
Вы получили это предупреждение от eBay, потому что нам стало известно, что ваш текущий аккаунт вызвал неприятности с другими членами eBay и eBay требует немедленно подтвердить ваш аккаунт. Пожалуйста, подтвердите ваш аккаунт, иначе он может быть аннулирован. Щелкните по этой ссылке, чтобы подтвердить ваш аккаунт: http://errorebay.tripod.com

***

Созданные торговые марки и брэнды являются собственностью их соответствующих владельцев, eBay и eBay logo являются торговыми марками eBay Inc.

Жертвы, которые щелкали по ссылке, попадали на веб страницу, очень похожую на страницу eBay. Фактически, страница была хорошо спроектирована, с достоверным логотипом eBay и ссылками «Посмотреть», «Продать», а также другими навигационными ссылками, которые, если щелкнуть по ним, приводили посетителя на настоящий сайт eBay. В нижнем правом углу был также логотип гарантии. Чтобы удержать догадливую жертву, дизайнер даже использовал даже HTML шифрование, чтобы замаскировать, откуда отправлялась предоставленная пользователем информация.
Это был отличный пример предумышленной атаки с использованием компьютера, на основе социальной инженерии. Но все таки, в ней были некоторые недоработки.
Письмо не было написано очень хорошо; в частности, параграф, начинающийся словами «Вы получили это предупреждение», слишком бестактный и бессмысленный (люди, ответственные за эти мистификации, никогда не нанимают профессионалов, чтобы отредактировать их образец, и это всегда видно). Также, любой, обративший внимание, пришел бы в подозрение, что eBay интересуется информацией клиента компании PayPal; нет ни одной причины, почему eBay будет спрашивать клиента о его личной информации, использующейся другой компанией.
И кто нибудь, хорошо осведомленный по теме Интернета, вероятно, поймет, что ссылка соединяет не с доменом eBay, а с tripod.com, который предоставляет бесплатный хостинг. Все это говорит о том, что письмо не было законным. Тем не менее, готов поспорить, что нашлось много людей, напечатавших свою личную информацию, включающую номер кредитки, на ту страницу.
Заметка
Почему людям позволяют регистрировать вводящие в заблуждение и неподходящие домены? Потому что, в соответствии с нынешним законом и он лайн политикой, любой может зарегистрировать любые имена сайтов, которые еще не используются.
Компании пытаются бороться против такого копирования их адресов, но представьте, с чем они сталкиваются. General Motors подала иск против компании, зарегистрировавшей сайт f**kgeneralmotors.com (только без звездочек) и поместившей ссылку на официальный сайт General Motors. GM проиграла дело.
Будьте бдительны
Будучи отдельными пользователями Интернета, нам нужно быть бдительными, принимая сознательное решение, когда безопасно вводить персональную информацию, пароли, номера аккаунтов, пины и т.д.
Как много ваших знакомых могут рассказать вам, какой из используемых ими сайтов отвечает всем требованиям безопасности? Как много работников в вашей компании знают, чего ожидать?
Каждый , кто использует Интернет, должен знать о маленьком символе, который обычно появляется на какой нибудь веб – странице и напоминает нарисованный висячий замок. Им следует знать, что когда засов закрыт, это значит, что защищенность сайта гарантирована. Когда засов открыт или изображение замка отсутствует, веб сайт не отмечен как подлинный и любая информация, открыто передаваемая, не шифруется.
Тем не менее, атакующий, обладающий администраторскими привилегиями в компьютерной системе компании, может изменить или пропатчить код операционной системы, чтобы исказить понимание пользователем ситуации. Например, перепрограммирование инструкций к софту браузера, который позволяет не отображать нерабочее состояние цифрового сертификата страницы, а просто обходить проверку. Или система может быть изменена с помощью руткита, установив один или больше бэкдоров на уровне операционной системы, где их труднее обнаружить.
Безопасное соединение устанавливает подлинность сайта и шифрует передаваемую информацию, так что атакующий не сможет использовать какие либо перехваченные данные. Вы можете доверять сайту, даже использующему безопасное соединение? Нет, потому что владелец сайта может не быть бдительным в установке всех необходимых патчей или принуждению пользователей или администраторов к использованию хороших паролей. Так что вы не можете допускать мысль, что тот или иной сайт является неуязвимым к атакам.
LINGO
бэкдор – скрытый вход, который обеспечивает секретный доступ к компьютеру пользователя. Также используется программистами в процессе разработки программы, чтобы иметь возможность «зайти» в программу для исправления ошибок
Надежный HTTP(гипертекстовый протокол передачи ) или SSL обеспечивает автоматический механизм, который использует цифровые сертификаты не только для зашифровки посланной на удаленный сайт информации, но и для обеспечения идентификации (чтобы убедиться в подлинности удаленного сайта). Тем не менее, этот механизм защиты не приемлем для пользователей, не обращающих внимания на правильность имени сайта, к которому они пытаются получить доступ.
Другой вопрос безопасности, чаще игнорируемый, появляется в виде предупреждающей таблички, в которой говорится нечто вроде «Этот сайт не является безопасным или срок действия сертификата истек. Вы желаете посетить этот сайт?». Многие пользователи Интернета просто не понимают это сообщение и, когда оно появляется, просто щелкают OK или YES и продолжают свою работу, не подозревая, что они вступили на зыбучие пески. Будьте внимательны: на веб сайте, не использующем безопасный протокол, никогда не вводите какую либо конфиденциальную информацию, будь это ваш адрес или номер телефона, номера кредитной карты или банковского счета или что то еще, что вы желаете сохранить в тайне.
Томас Джефферсон сказал, что поддержание нашей свободы требует постоянной бдительности. Для поддержания безопасности в обществе, где информация играет роль денег, требуется не меньше.
Подобающее понимание вирусов
Особая заметка по поводу вирусов: это необходимо как для корпоративной сети, так и для каждого работника, использующего компьютер. Сверх обычной инсталляции антивирусных программ на компьютеры, пользователям явно нужно подключать программное обеспечение (чего многие люди не очень любят делать, так как это замедляет некоторые функции компьютера).
Будучи владельцем антивирусного программного обеспечения, не стоит забывать о еще одной важной процедуре: своевременном обновлении антивирусных баз. Если ваша компания не собирается рассылать программы или обновления каждому пользователю, каждый из них должен нести ответственность за своевременную установку обновлений. Моя личная рекомендация – настроить свойства антивирусных программ таким образом, чтобы они автоматически обновлялись каждый день.
LINGO
Просто представьте, вы все еще уязвимы, несмотря на регулярное обновление антивирусных баз, и также, вы все еще не защищены полностью от вирусов и червей, которые не распознаются антивирусными программами или файлы об их обнаружении еще не опубликованы.
Все работники с привилегиями удаленного доступа со своих ноутбуков или домашних компьютеров обязаны иметь обновленное антивирусное программное обеспечение и персональный файрвол. Искушенный хакер проанализирует общую ситуацию и найдет самое слабое место, по которому и ударит. Напоминание людям с удаленным доступом о своевременных обновлениях и установке файрволов – обязанность каждой корпорации, потому что вы не можете ожидать, что рабочие, менеджеры, продавцы и другие, не связанные с IT отделом, будут помнить об опасности незащищенности их компьютеров.
Кроме этих шагов, я рекомендую использовать меньше обычных, но больше важных пакетов, которые защищают от троянских атак. На момент написания книги, лучшими из известных программ являются The Cleaner (www.microsoft.com ) и Trojan Defence Sweep (www.diamondcs.com.au ).
В заключение, самое важное сообщение о безопасности для всех компаний, которые не сканируют на наличие опасных писем: Мы все имеем тенденцию быть забывчивыми или беспечными в вопросах, которые кажутся второстепенными в плане выполнения нашей работы, поэтому работникам нужно снова и снова напоминать не запускать приложения в письмах, несмотря на то, что они могут быть отправлены отдельным лицом или организацией, которым можно доверять. И управляющим также нужно напоминать работникам, что они должны использовать работающие антивирусные программы и антитроянское программное обеспечение, которое обеспечивает защиту против писем, которые могут содержать в себе разрушающий груз.

Глава 8: Используя чувство симпатии, вины и запугивание

(Chapter 8 Using Sympathy, Guilt and Intimidation)
Перевод: ext3 (www.hackzona.ru ) [email protected]

Как обсуждалось в Главе 15,социальный инженер использует психологию влияния в достижении своей цели и исполнения просьб. Опытные социальные инженеры очень сведущи в развитии уловок, симулирующих эмоции, такие как страх, возбуждение или вина. Они делают это, используя психологические рычаги – автоматические механизмы, которые ведут людей к исполнению требований без всякой доступной им информации.
Мы все хотим избежать трудных ситуаций для нас и окружающих. Базируясь на этом позитивном импульсе, атакующий может сыграть на симпатии человека, заставить жертву чувствовать свою вину или использовать запугивание в роли оружия.
Вот вам несколько прогрессивных уроков в известной тактике игре на эмоциях.

Визит в студию

Вы когда нибудь замечали, как некоторые люди проходят через охрану на танцевальный вечер в отеле, приватную вечеринку, или презентацию книги без всякого билета или приглашения?
В большинстве случаев, социальный инженер может добиться прохода в такие места, о которых вы и не думали, что это возможно. В этом вы убедитесь на примере следующей истории об индустрии создания фильмов.
Телефонный звонок
"«Офис Рона Хилларда. Это Дороти»
«Привет Дороти. Меня зовут Кайл Беллами. Я только что приступил к работе в отделе Анимации в компании Брайана Глассмана. Вы, ребята, занимаетесь совсем другой деятельностью».
«Я понимаю. Я мало работала над другими фильмами, поэтому не являюсь знатоком. Что я могу для вас сделать?»
«Честно говоря, я чувствую себя довольно тупо. В послеобеденное время ко мне должен прийти писатель, но я даже не знаю, с кем буду говорить и как помочь ему влиться в компанию. Люди из офиса Брайана очень милые, но я не хочу лишний раз надоедать им, как мне сделать это, как мне сделать то. Это как будто я только перешел в старшие классы и не могу найти дорогу в уборную. Вы понимаете о чем я?»
Дороти засмеялась.
«Вам следует поговорить с отделом безопасности. Наберите 7,а потом 6138.Если попадете на Лорен, то скажите, что Дороти просит помочь вам».
«Спасибо, Дороти. И если я не найду уборную, я позвоню вам!»
Они посмеялись над этой фразой и завершили телефонный разговор.
История Дэвида Гарольда
Я люблю фильмы, и когда я переехал в Лос Анджелес, думал, что повстречаю много людей, работающих в кино – индустрии и они проведут меня на вечеринки и ланчи в студиях. Я был там где то год, мне исполнилось 26 лет и самое лучшее, чего я достиг – это тур по студии Юниверсал с другими милыми людьми из Феникса и Кливленда. Все подошло к тому, что если бы они не пригласили меня, то я сам сделал бы это. Собственно говоря, так и получилось.
Я купил экземпляр Лос Анджелес Таймс и читал колонку развлечений на ближайшие пару дней, записывая имена продюсеров различных студий. Я решил попробовать пробиться на одну из больших студий. Так, я позвонил на коммутатор и спросил номер офиса продюсера, о котором я прочитал в газете. Голос секретарши звучал по матерински, так что мне удавалось добиться удачи. Если бы на ее месте была молоденькая девушка, она бы не стала тратить на меня время.
Но эта Дороти, ее голос напоминал человека, который обязательно подберет заблудившегося на улице котенка и чувствует жалость по отношению к коллеге, подавленному на своей новой работе. И конечно, я нашел к ней верный подход. Не каждый день получается обдурить кого то так, что он даст вам даже больше, чем вы желали. Она дала мне не только имя одного из людей из отдела Безопасности, но и велела сказать девушке, что Дороти просит ее помочь мне.
Конечно, я в любом случае планировал использовать имя Дороти. И это даже лучше. Ведь Лорен даже не побеспокоится, чтобы проверить, существует ли мое имя в списке служащих.