«Помайните, пожалуйста, две минуты. Это поможет нам и дальше выкладывать для вас пиратские фильмы»

Алексей Дрозд
Алексей Дрозд

Директор Учебного центра «СёрчИнформ»

Расскажите друзьям
Полина Константинова

На удочку социальных инженеров попадаются организации и обычные пользователи. Кого атакуют чаще? Тех, по кому лучше соотношение «цена атаки/выхлоп». Физических лиц всегда было проще атаковать, но и финансовый результат получался скромнее.

С организациями затрат на атаку больше: они лучше защищены и подготовлены, но и куш серьезнее в случае удачи.

Алексей Дрозд, директор Учебного центра «СёрчИнформ» рассказывает, как эволюционировали приемы социальной инженерии.

Приемы социальной инженерии: как это было раньше


История атак с помощью социальной инженерии представляет собой волны: менялись жертвы, приемы отрабатывались. К примеру, в 2015 году заместитель начальника Главного управления безопасности и защиты информации Банка России Артем Сычев заявил, что киберпреступники переключились на банки с их клиентов.

  • Рассылка электронных писем с «трояном»

Сотрудник банка, открывая такое письмо, «позволяет» злоумышленнику получить доступ к счету и отправить в ЦБ платежное поручение.

Очевидно, отработав приемы на физлицах, мошенники решили прощупать защиту крупных структур, оказалось, что в ней есть существенные дыры. Это спровоцировало целую волну атак.

Так хакерская группа Anunak в свое время атаковала более пятидесяти банков и пять платежных систем на территории России и стран бывшего СССР и смогла похитить около 1 млрд рублей. Хакеров-миллиардеров все-таки нашли, доказали вину и осудили. Банки, в свою очередь, усилили защиту.

  • Заражение через популярные интернет-ресурсы

Тогда тренд сменился – кибермошенники заинтересовались небольшими и средними компаниями: денег на их счетах больше, чем у физических лиц, а защита может оказаться слабее (если вообще есть), чем у крупных организаций.

Дополнительный плюс – в таких компаниях зачастую нет выделенного подразделения, занимающегося вопросами информационной безопасности. В итоге хакерам достаточно заразить компьютер бухгалтера, чтоб получить доступ к счету. Это можно сделать несколькими способами.

Заражение может произойти через популярные среди финансовых работников ресурсы. Если преступникам удается скомпрометировать эти сайты, они превращаются в «рассадники заразы», так как могут содержать на своих страницах вредоносный код эксплойта (подвид вредоносных программ).

Он использует незакрытую уязвимость браузера и устанавливает «тоннель» с компьютером пользователя. Через него в ПК загружается программа, которая определяет, какая ценная информация на нем хранится. А дальше «жертва» заражается вирусом, специально адаптированным под антивирус на его ПК.

  • Заражение через электронную почту

Пользователь получает письмо с зараженным вложением. Отправитель просит проверить данные, в нем содержащиеся. Ну а дальше снова происходит заражение ПК жертвы вирусом.

  • Вербовка инсайдеров в компаниях

В 2016 году начала набирать популярность целенаправленная вербовка инсайдеров. Эксперты по информационной безопасности заявляли об активности злоумышленников в этом направлении: участились попытки завербовать банковских служащих, особенно входящих в экономический блок и способных влиять на принятие тех или иных решений в банке.

Недавний отчет компаний RedOwl и IntSights подтверждает возрастающий спрос на инсайдеров в Dark Web.

Сотрудники вербуются целенаправленно, что сильно удешевляет атаку: не нужно гадать, как проникнуть в сеть компании и как вынести данные. За «процент» эту информацию предоставит инсайдер.

  • «Тихие» взломы банкоматов

Не так давно начали набирать популярность «тихие» взломы банкоматов. Когда устройство само добровольно выдает деньги. Осуществить такое преступление без помощи инсайдеров крайне сложно.

Злоумышленникам необходима информация об устройстве банкомата, о ПО, встроенном в него. Не помешает и сам банкомат для тренировок.


Криптовалюты создают новый тренд в социальной инженерии


Приемы социальной инженерии отработаны десятилетиями, при этом как и прежде эффективны и хорошо подтверждают IT-шную поговорку «работает – не трогай». Испытанные технологии можно применять для новых направлений.

Ранее приемы социальной инженерии объединяла общая цель: злоумышленник причинял очевидный ущерб жертве – получение информации, финансовый ущерб, испорченная репутация, требование выкупа.

Так было ровно до тех пор, пока мир не захлестнула лихорадка добычи криптовалют.

Майнинг пропагандирует для широких масс простую идею: делай деньги из ничего. Всего-то нужно взять компьютер и использовать его мощности для «вычисления» виртуальной валюты.

Валют, к слову, предлагается с избытком. Помимо растиражированного Bitcoin, сегодня можно «вложиться железом» еще в десяток альтернатив: Monero, litecoin, Zcash и другие.

Но если бы все было так просто, мы бы уже давно были миллионерами. С использованием одного компьютера майнинг экономически невыгоден.Упрощенно ситуация выглядит так: заработок зависит от того, как много хешей в секунду просчитывает процессор/видеокарта (что именно будет использоваться зависит от конкретной криптовалюты).

К примеру, Monero «высчитывается» процессорами. При производительности 863 kH/sec (килохешей в секунду), за сутки можно заработать $2000 в эквиваленте. Вот только производительность процессора среднего уровня Intel Core i5-7400 примерно 0,165 kH/sec. Это значит, что за сутки на таких мощностях получится добыть аж 38,3 цента.


Новая цель социнженеров – паразитировать на технике жертвы


Разумеется, это создало сложности и привело к интересному эффекту – эволюционировала цель социальных инженеров.

Теперь основная задача не в причинении очевидного вреда жертве, а в тихом и незаметном паразитировании на ее технике.

Ведь чем дольше вирус-майнер будет находиться на машине ничего не подозревающего «донора», тем больше он «насчитает». Тогда доходы взлетают.

Цифры в подтверждение: группа хакеров установила вредоносное ПО для добычи криптовалюты на 9000 компьютеров и, по оценке аналитиков, такая сеть приносит своим владельцам до $30 000 в месяц.


Начало эпохи «дружелюбного» социального инжиниринга


Экономически майнинг «в лоб» за свой счет невыгоден (если не рассматривать специализированные устройства и фермы). Поэтому для социальных инженеров открывается новое поле для деятельности.

Прибавим к этому, что в теории майнить криптовалюту можно на любом устройстве, имеющем вычислительные мощности и выход в интернет. И это не только смартфоны, но и весь спектр IoT-устройств («умных устройств»). Кроме того, для майнинга необязательно устанавливать какое-то ПО, достаточно специального скрипта.

Думаю, что это начало новой эпохи – «нескрытого» и «дружелюбного» социального инжиниринга.

И не исключено, что скоро, к примеру, на торрент-сайтах появятся баннеры с котиком из Шрека и надписью: «Помайните, пожалуйста, две минуты. Это поможет нам и дальше выкладывать пиратские фильмы для вас».

Честно и без обмана пользователя.


Материалы по теме: 

Как защитить бизнес от цифровых мошенников – реальные кейсы

«Алло! Кто это? Где вы взяли мой телефон?» – как прекратить «левые» звонки на свой номер

«Мы не берем на работу хакеров — у них нет принципов»

Кто и сколько зарабатывает на подмене домена

Как в CPA-сетях обманывают рекламодателей


Актуальные материалы — в Telegram-канале @Rusbase

Нашли опечатку? Выделите текст и нажмите Ctrl + Enter


Комментарии

Зарегистрируйтесь, чтобы оставлять комментарии и получить доступ к Pipeline — социальной сети, соединяющей стартапы и инвесторов.
OpenTalks.AI
14 февраля 2019
Ещё события


Telegram канал @rusbase