09.01.2014
В статье перечислены 11 явных признаков того, что ваша система взломана и приведены рекомендации необходимых действий в такой ситуации. Поскольку полного доверия скомпрометированный компьютер не заслуживает
Roger A. Grimes. 11 Sure Signs You"ve Been Hacked, www.infoworld.com
Переадресация поисковых запросов в Сети, неизвестно откуда появившиеся программы, установленные на компьютере, странное поведение мыши: что делать, если вы находитесь под колпаком?
В сегодняшнем мире угроз антивирусное программное обеспечение оставляет не так много места для выбора. На практике антивирусные сканеры ошибаются довольно часто, особенно если речь идет об эксплойтах, появившихся менее суток тому назад. В конце концов, хакеры и вредоносные программы в любой момент могут поменять тактику. Достаточно переставить местами пару байт, и хорошо выявлявшаяся ранее вредоносная программа мгновенно перестает распознаваться.
В целях борьбы с расплодившимися мутантами многие антивирусные программы следят за поведением программных средств (соответствующие функции часто называют эвристическими), отлавливая таким образом нераспознанные вредоносные программы. Используются также виртуальные среды, мониторинг состояния системы, анализ сетевого трафика и все вышеперечисленное одновременно, что помогает повысить точность результатов. И, тем не менее, антивирусы регулярно ошибаются.
В этой статье мы перечислим 11 явных признаков того, что ваша система взломана, и расскажем о том, что следует делать в такой ситуации. Учтите, что для полного восстановления системы во всех случаях нужно выполнить рекомендацию номер один. Когда-то это означало переформатирование жесткого диска компьютера, повторную установку всех программ с последующим восстановлением данных. Сегодня же в некоторых операционных средах достаточно просто нажать кнопку Restore. Как бы то ни было, полноценно доверять скомпрометированному компьютеру уже нельзя. В каждом из пунктов приведены рекомендации, которых нужно придерживаться, если вы не желаете выполнять процедуру полного восстановления. Но все-таки следует подчеркнуть, что наилучшим вариантом, исключающим всякие риски, является полное восстановление системы.
1. Поддельное сообщение антивирусной программы
Сегодня поддельное сообщение антивируса стало верным признаком того, что ваша система скомпрометирована. Правда, большинство людей не понимают, что к моменту, когда они получат такое предупреждение от антивируса, ущерб может оказаться непоправимым. Нажатия кнопки «Нет» или «Отмена», призванного предотвратить фальсифицированное антивирусное сканирование системы, уже недостаточно. Слишком поздно. Вредоносные программы использовали уязвимости необновленного программного обеспечения (чаще всего речь здесь идет об исполняемой среде Java Runtime Environment или о продуктах Adobe) и полностью поставили систему под свой контроль.
.jpg)
Почему же вредоносные программы выдают такое «антивирусное предупреждение»? Да потому, что фальсифицированное сканирование, которое выявит тонны «вирусов» – хороший стимул для покупки продуктов, распространяемых злоумышленниками. Переход по предлагаемой ссылке перенесет пользователя на профессионально сделанный веб-сайт, пестрящий многочисленными рекомендациями. У вас спросят номер вашей кредитной карты и прочую учетную информацию. Вы, наверное, удивитесь, узнав, как много людей попадаются на эту удочку и предоставляют свою финансовую информацию. Злоумышленники получают полный контроль над вашей системой, а кроме того еще и сведения о кредитной карте и банковскую информацию. Именно это больше всего и интересует взломщиков.
Что делать. Как только вы обнаружите поддельное предупреждающее сообщение антивируса (а для этого нужно знать, как выглядит настоящее предупреждение антивирусной программы), выключите свой компьютер. Если вам нужно сохранить какую-то информацию, и система позволяет вам это сделать, сохраните ее. После этого завершите ее работу. Загрузите компьютер в безопасном режиме без использования сети и попытайтесь деинсталлировать установленное недавно программное обеспечение (зачастую оно деинсталлируется точно так же, как и легитимные программы). В любом случае попытайтесь восстановить свою систему и перевести ее в предыдущее состояние. Если вам это удастся, протестируйте компьютер в обычном режиме и убедитесь в том, что поддельные предупреждения антивируса больше не появляются. Затем проведите полное антивирусное сканирование системы. Зачастую антивирус обнаруживает и другие вредоносные программы, ускользнувшие от вашего взгляда.
2. Нежелательные панели инструментов браузера
Пожалуй, это второй по распространенности признак взлома вашей системы. В браузере появляется множество новых панелей инструментов, названия которых говорят о том, что они призваны помочь вам. Но если вы не уверены, что панель инструментов предлагается надежным поставщиком, имеет смысл избавиться от нее.
.jpg)
Что делать. Большинство браузеров позволяют просмотреть список установленных и активных панелей инструментов. Удалите те из них, которые вам совершенно точно не нужны. При наличии каких-либо сомнений удаляйте панель. Если нежелательная панель инструментов в списке не отображается или удалить ее простыми способами не удается, возможно, ваш браузер поддерживает возможность возврата к настройкам по умолчанию. Если это не срабатывает, попробуйте выполнить те же действия, что и при появлении поддельных антивирусных сообщений. Обычно избежать появления нежелательных панелей инструментов можно в том случае, если у вас установлены все обновления программного обеспечения и нет бесплатных программ, которые устанавливают эти самые панели. Совет: читайте лицензионные соглашения. Информация об установке панелей инструментов чаще всего присутствует в лицензионных соглашениях, на которые большинство пользователей не обращают никакого внимания.
3. Переадресация поисковых запросов в Интернете
Многие хакеры решают свои задачи, перенаправляя ваш браузер не туда, куда вы хотите попасть. За перенаправление пользователей на определенные веб-сайты, хакеры получают деньги. Обычно владельцы этих ресурсов даже не подозревают, что соответствующее перенаправление производится путем внедрения на компьютерах пользователей вредоносных программ.
Зачастую такой тип вредоносных программ можно определить, набрав в интернет-поисковике несколько связанных с ними общеупотребительных слов (например, «puppy» или «goldfish») и проверив, появляются ли в результатах одни и те же сайты – почти никогда не имеющие прямого отношения к указанным словам. К сожалению, сегодня многие переадресованные запросы хорошо скрыты от пользовательских глаз за счет использования дополнительных прокси-серверов, и пользователю никогда не возвращаются никчемные результаты, которые могли бы его насторожить. По сути, если у вас появилась непонятно откуда взявшаяся панель инструментов, значит вас тоже куда-то перенаправили. Хорошо подготовленные в техническом отношении пользователи, желающие убедиться в достоверности получаемых результатов, могут изучить информационные потоки своего браузера и сетевой трафик. Отправляемый и получаемый трафик у скомпрометированных и нескомпрометированных компьютеров всегда заметно отличается.
Что делать. Следуйте инструкциям, которые были приведены выше. Обычно удаления нежелательных панелей инструментов и программ оказывается достаточно, для того чтобы избавиться от вредоносных перенаправлений.
4. Частое появление всплывающих окон
Всплывающие окна помимо того, что являются признаками взлома вашей системы, еще и сильно раздражают. Если браузер внезапно стал выдавать всплывающие окна, которые ранее не появлялись, значит ваша система скомпрометирована. Борьба с обходом запрета браузера от всплывающих окон напоминает борьбу со спамом, только в еще более гипертрофированном варианте.
Что делать. Возможно, очередная рекомендация вызовет у вас ассоциацию с заезженной пластинкой, но нам остается лишь еще раз констатировать, что появление всплывающих случайным образом окон обусловлено одной из уже описанных причин. Поэтому если вы не хотите лицезреть всплывающие окна, в первую очередь нужно избавиться от нежелательных панелей инструментов и других программ.
5. Ваши друзья получают поддельные электронные письма с вашего почтового адреса
Это один из тех сценариев, когда лично у вас все может быть в порядке. Ситуация, при которой наши друзья получают от нас вредоносные электронные письма, распространена достаточно широко. Десять лет назад, когда рассылка вирусов, присоединенных к электронной почте, превратилась в повсеместное явление, вредоносные программы просматривали вашу адресную книгу и отправляли поддельные письма всем адресатам, которые в ней присутствовали.
Сегодня вредоносная электронная почта, как правило, приходит лишь на некоторые адреса из ваших контактов. В этом случае компьютер скорее всего не скомпрометирован (по крайней мере, вредоносной программой, которая охотится за адресами электронной почты). А в поддельных электронных письмах ваш адрес не фигурирует в качестве адреса отправителя (хотя такое тоже происходит не всегда). Возможно, там указано ваше имя, но правильного адреса электронной почты нет.
Что делать. Если кто-то из ваших друзей сообщает о получении поддельного электронного письма, отправленного якобы от вашего имени, запустите на своем компьютере полную антивирусную проверку и займитесь поисками установленных без вашего ведома программ и панелей инструментов. Довольно часто беспокоиться здесь не о чем, но, тем не менее, лишняя проверка не повредит.
6. Ваши пароли в Сети внезапно изменились
Если один или несколько паролей внезапно изменились, скорее всего ваша система взломана (или же взломан интернет-сервис). Чаще всего причиной этого становится ответ пользователя на фишинговое письмо, пришедшее якобы от сервиса, на котором он зарегистрирован. Результатом становится смена пароля без вашего ведома. Злоумышленник получает интересующую его учетную информацию, регистрируется на сервисе от имени пользователя, которому принадлежат похищенные конфиденциальные сведения, меняет пароль (а также другую информацию, чтобы затруднить его восстановление) и использует сервис для кражи денег у пользователя или у его знакомых (выдавая себя за него).
.jpg)
Что делать. Если активность злоумышленников приобрела серьезные масштабы, и они успели добраться до многих из ваших знакомых, немедленно уведомите друзей о том, что ваша учетная запись скомпрометирована. Это нужно сделать, для того чтобы минимизировать урон, нанесенный другим из-за вашей ошибки. Во-вторых, уведомите сервис о своей скомпрометированной учетной записи. Большинство сервисов уже привыкли к вмешательству такого рода и оперативно возвращают учетную запись под ваш контроль. Новый пароль вы получаете уже через несколько минут. У некоторых сервисов соответствующая процедура полностью автоматизирована. А у некоторых имеется даже кнопка «Моего друга взломали», с помощью которой необходимые действия может инициировать ваше доверенное лицо. Это довольно полезно, потому что зачастую друзья узнают о том, что вас взломали, еще раньше вас.
Если скомпрометированные учетные сведения используются на других сайтах, немедленно смените пароли. И в следующий раз ведите себя осторожнее. Сайты никогда не рассылают письма с просьбой указать свою учетную информацию. Если есть какие-то сомнения, заходите на сайт напрямую (а не по ссылке, указанной в электронном письме) и сверьте информацию с той, которая отобразилась на экране вашего компьютера при использовании мер предосторожности. Позвоните в сервис по телефону или напишите электронное письмо, известив поставщика услуг о поступлении фишинговой почты. Рассмотрите возможность перехода на сервисы с двухфакторной аутентификацией. В этом случае украсть вашу учетную информацию будет гораздо труднее.
7. Появление программ, установленных без вашего ведома
Неожиданное и нежелательное появление на компьютере новых программ – явный признак того, что система была взломана. На заре появления вредоносных программ большинство из них относилось к категории компьютерных вирусов, модифицировавших легитимное программное обеспечение. Делалось это в целях маскировки. Сегодня же большинство вредоносных программ распространяется в виде троянов или червей, которые обычно устанавливаются точно так же, как и легитимные программы. Возможно, происходит это потому, что их создатели пытаются балансировать на тонкой грани, за которой начинается их судебное преследование. Они пытаются выдать себя за разработчиков вполне легитимного программного обеспечения. Зачастую нежелательные программы традиционным образом устанавливаются другими программами, поэтому внимательно читайте лицензионные соглашения. В них четко написано об установке одной или нескольких дополнительных программ. Иногда от установки этих дополнительных программ вы можете отказаться, иногда нет.
Что делать. Существует много бесплатных утилит, которые показывают все установленные на компьютере программы и позволяют выборочно деинсталлировать их.
.jpg)
Например, утилита CCleaner не выдает информацию обо всех установленных на компьютере программах, но уведомляет о тех из них, которые автоматически запускаются в момент загрузки ПК. Большинство вредоносных программ относятся именно к этой категории. Труднее всего определить, какие программы являются легитимными, а какие нет. Если у вас есть сомнения, отключите неопознанную программу, перезагрузите ПК и запускайте ее лишь в том случае, если вам понадобятся функции, которые перестали работать.
8. Указатель мыши без вашего участия перемещается между окнами программ, выбирая определенные элементы
Если курсор вашей мыши начинает перемещаться самостоятельно, выделяя при этом какие-то элементы, вас, несомненно, взломали. Указатели мыши довольно часто перемещаются случайным образом – обычно это происходит при возникновении каких-то аппаратных проблем. Но если при этом мышь правильно выбирает элементы интерфейса и запускает определенные программы, во всем этом чувствуется рука автора вредоносных программ.
Атаки подобного рода распространены не так широко, как некоторые другие, но, тем не менее, следует помнить, что хакеры могут взломать ваш компьютер, подождать, пока пользователь перестанет проявлять признаки активности (например, после полуночи) и попытаться похитить ваши деньги. Хакеры получают информацию о банковских счетах и выводят с них деньги, продают принадлежащие вам акции и выполняют другие действия, направленные на то, чтобы облегчить ваш кошелек.
Что делать. Если компьютер ночью неожиданно «оживает», подождите минуту, прежде чем выключить его и попытайтесь определить, что интересует взломщиков. Не позволяйте им ограбить себя, но все же полезно будет посмотреть, за чем они охотятся. Если у вас под рукой есть сотовый телефон, сделайте несколько снимков, чтобы зафиксировать выполняемые операции. Иногда имеет смысл выключить компьютер. Отключите его от сети (или выключите маршрутизатор) и обратитесь к профессионалам. Это как раз тот случай, когда вам понадобится помощь эксперта.
Немедленно измените все свои учетные данные и пароли с использованием другого компьютера. Проверьте историю операций с банковским счетом, ценными бумагами и т.д. Подключите сервисы, которые будут оперативно информировать вас о любых операциях с финансовыми средствами. Если вы стали жертвой такой атаки, надо отнестись к этому со всей серьезностью. Имеет смысл переустановить программное обеспечение компьютера с нуля. Если вы потеряли деньги, пусть представители правоохранительных органов предварительно сделают копии всей информации, хранящейся на компьютере. Оперативно уведомите их о случившемся и напишите соответствующее заявление. При благоприятном исходе компьютерные данные помогут вернуть ваши деньги.
9. Ваше антивирусное программное обеспечение, диспетчер задач и редактор реестра отключены и не запускаются
Велика вероятность того, что компьютер заражен вредоносными программами. Если вы обнаружите, что антивирусное программное обеспечение отключено и не запускается, вероятно, ваша система взломана (особенно если диспетчер задач с редактором реестра тоже не запускаются, исчезают сразу после старта или запускаются в режиме ограниченной функциональности). Скорее всего причиной тому являются вредоносные программы.
Что делать. Поскольку неясно, что именно произошло, следует выполнить полное восстановление системы. Если же вы хотите сначала попробовать что-нибудь менее радикальное, для восстановления утраченной функциональности существует множество различных методов (любой интернет-поисковик выдаст массу ссылок). Перезагрузите компьютер в безопасном режиме и приступайте к нелегкой процедуре. Отдавайте себе отчет в том, что решить все проблемы быстро вряд ли получится. Как правило, прежде чем вы доберетесь до способа, который сработает, несколько попыток закончатся неудачей. Для удаления вредоносной программы попробуйте в первую очередь воспользоваться методами, которые уже были описаны ранее.
10. Деньги с вашего банковского счета исчезли
Речь идет о большой сумме денег. Злоумышленники, промышляющие в Сети, обычно на мелочи не размениваются. Чаще всего они переводят все или почти все средства в какой-нибудь зарубежный банк. Обычно все начинается со взлома вашего компьютера или с вашего ответа на поддельное письмо из банка. Затем злоумышленник заходит на сайт банка в ваш личный кабинет, меняет там контактную информацию и переводит себе крупную сумму денег.
Что делать. В большинстве случаев финансовые институты возмещают нанесенный ущерб (особенно если им удается вовремя остановить транзакцию). В такой ситуации можно считать, что клиенту повезло. Однако довольно часто суды выносят определение, в соответствии с которым вина за взлом возлагается на самого клиента, и тогда право принятия окончательного решения предоставляется самому финансовому институту.
Для того чтобы избежать возможных неприятных последствий, подключите услугу SMS-уведомления об операциях со средствами на вашем банковском счете. Многие финансовые институты позволяют установить пороговое значение для снятия денег, и если этот порог превышен, или деньги выводятся за рубеж, вы получите соответствующее предупреждение. К сожалению, известны случаи, когда злоумышленники перед похищением денег блокировали отправку таких сообщений или изменяли контактную информацию. Поэтому убедитесь в том, что ваш банк в любом случае будет высылать предупреждения по прежнему адресу или пришлет уведомление об изменении контактных сведений.
11. От магазинов приходят жалобы на неоплату ранее отгруженных товаров
В этом случае хакеры взломали одну из ваших учетных записей и совершили ряд покупок, указав свой адрес доставки. Зачастую злоумышленники заказывают массу всего в разных магазинах, каждый из которых, проверив баланс, считает, что у вас на счету достаточно средств. Но когда транзакция проходит окончательно, выясняется, что деньги кончились.
Что делать. Печальная ситуация. Первым делом попробуйте выяснить, каким образом был взломан ваш аккаунт. Если применялся один из методов, описанных выше, выполните соответствующие рекомендации. Смените свои имена пользователя и пароли (не только для взломанной учетной записи), обратитесь в правоохранительные органы, инициируйте возбуждение уголовного дела и внимательно следите за состоянием своих кредитов. Возможно, на аннулирование фальшивых транзакций, выполненных от вашего имени, уйдет несколько месяцев, но большую часть ущерба (а может быть, и все убытки) при этом удастся ликвидировать.
Несколько лет назад вы получили бы негативную кредитную историю, которая тянулась бы за вами десятилетиями. Сегодня же компании и агентства, составляющие отчеты о кредитных историях, уже привыкли к киберпреступности и стремятся урегулировать подобные ситуации. В любом случае, проявляйте активность и старайтесь следовать всем рекомендациям правоохранительных органов, кредиторов и агентств, формирующих кредитные рейтинги.
Три основных способа избежать негативного воздействия вредоносных программ
Не стоит надеяться на появление антивируса, который идеально фильтровал бы все вредоносные программы и блокировал действия хакеров. В первую очередь обратите внимание на признаки и симптомы (перечисленные выше), которые свидетельствуют о взломе вашей системы. Для исключения рисков всегда переустанавливайте все программное обеспечение скомпрометированных компьютеров. После того как ваш компьютер взломан, злоумышленник может делать что угодно и прятаться где угодно. Поэтому лучше все же начать с чистого листа.
В основе большинства взломов лежат три основные причины: необновленное программное обеспечение, запуск троянских программ и ответ на поддельные фишинговые электронные письма. Исключите три эти фактора, и вам в гораздо меньшей степени придется полагаться на точность срабатывания антивирусного программного обеспечения. Удачи.
Дистанционная викторина
для студентов 1 курса
«Безопасный Интернет»
/Николо Макиавелли/
1. Клавиатурный шпион – это:
Как определить, что ваш компьютер заражен?
a) Друзья получают от вас по электронной почте сообщения, которых вы не посылали
b) Компьютер часто зависает либо программы начинают выполняться медленнее обычного
c) На диске исчезают или изменяют название файлы и папки
d) Компьютер издает неожиданные звуки, воспроизводимые в случайном порядке
e) Все вышеперечисленное
5. Что нужно сделать в первую очередь, если компьютер подвергся атаке?
a) Сделать несколько глубоких вдохов и принять витамины
b) Девушкам выпить не менее литра пива, парням – съесть не менее двух шоколадок
c) Вызвать милицию и скорую помощь, в особенно сложных случаях еще и пожарных
d) Отключить компьютер от интернета
e) Выключить до приезда специалистов монитор
6. Соберите пазл и дайте определение данному понятию.
В ситуациях № 7-10 опишите сои действия.
7. Тебе на электронную почту пришло письмо с интересной игрой от неизвестного пользователя. Что ты будешь делать?
Тебе на электронную почту стали приходить письма, содержащие оскорбления, грубости. Что ты будешь делать?
Новый друг, с которым ты недавно познакомился в Интернете, просит дать твой номер телефона и сказать адрес. Твои действия?
На занятии истории тебе задали найти изображения гербов разных стран. Ты нашел картинку в Интернете, но для того чтобы ее сохранить нужно отправить SMS на указанный номер в Интернете. Как ты поступишь?
Русский писатель, философ и общественный деятель 19 века в романе, написанном в 1837 году, похоже, первым предсказал появление современных блогов и Интернета: в тексте романа есть строки: «между знакомыми домами устроены магнетические телеграфы, посредством которых живущие на далёком расстоянии общаются друг с другом». Разгадайте ребус и узнайте фамилию этого писателя.
 |
Ответ: ______________________________________________________
Дистанционная викторина
для студентов 1 курса
«Безопасный Интернет»
Только те средства по обеспечению безопасности хороши, надежны и долговечны, которые зависят от вас самих и от вашей собственной энергии.
/Николо Макиавелли/
В вопросах №1-5 выберете один вариант ответа
1. Клавиатурный шпион – это:
a) Агент спецслужб, в служебные обязанности которого входит просмотр переписки пользователей
b) Сотрудник, ведущий протокол собраний и набирающий текст сразу на клавиатуре удаленно подключенной к компьютеру
c) Программа, отслеживающая ввод пользователем паролей и пин-кодов
d) Юридический термин, используемый для обозначения правонарушений, связанных с информационной безопасностью
Какую цель преследует такая угроза как фишинг?
a) Перенаправлять любые запросы пользователя в браузере на хакерский сайт о рыбалке
b) Довести пользователя до самоубийства путем постоянного вывода сообщения «купи рыбу!»
c) Организовать отправку от имени зараженного пользователя приглашения в гости тёще по электронной почте каждый раз, когда он собирается с друзьями на рыбалку
d) Обманным путем выудить у пользователя данные, позволяющие получить доступ к его учетным записям
3. Троянская программа опасна тем, что:
a) Проникает на компьютер под видом полезной программы и выполняет вредоносные действия без ведома пользователя
b) Ищет на диске какого-то коня, снижая производительность системы
c) Постоянно читает вслух «Илиаду» Гомера без выражения
d) Обладает всеми вышеперечисленными возможностями
Вопросы викторины «Как стать мудрым?» /для учащихся 6-11 классов/ Раньше когда человек говорил, что не смотрит телевизор, это значило, что он ходит в театры, читает книги …, а теперь это значит, что у него есть безлимитный Интернет 1. Что такое сетевой этикет? А. Правила поведения в Интернете. 2. Действуют ли правила этикета в Интернете? А. Да, как и в реальной жизни. 3. Как определить, что ваш компьютер заражен? А. Все вышеперечисленное. 4. Что нужно сделать в первую очередь, если компьютер подвергся атаке? А. Отключить компьютер от интернета. 5. Какая программа была самой популярной среди покупателей сайта softkey.ua за последние полгода? А. Kaspersky Internet Security 2010 6. Клавиатурный шпион – это: А. Программа, отслеживающая ввод пользователем паролей и пин-кодов. 7. Что делают при помощи ботнетов? А. Выполняют вредоносные действия, используя сеть, состоящую из зараженных компьютеров пользователей. 8. Какую цель преследует такая угроза как фишинг? А. Обманным путем выудить у пользователя данные, позволяющие получить доступ к его учетным записям. 9. Троянская программа опасна тем, что: А. Проникает на компьютер под видом полезной программы и выполняет вредоносные действия без ведома пользователя. 10. Чем отличается компьютерный вирус от компьютерного червя? А. Вирус не является самостоятельным файлом. 11. Когда необходима покупка антивирусного ПО? А. Сразу после покупки нового компьютера, перед подключением к интернету. 1 12. Почему беспроводная сеть нуждается в защите? А. Снижается скорость работы интернета. 13. Как могут распространяться компьютерные вирусы? А) посредством электронной почты. 14. На экране компьютера отображается непонятное сообщение. Какое действие предпринять? В) Обратиться за советом к учителю, родителям. 15. В ящик входящей почты пришло «письмо счастья». В письме говорится, чтобы его переслали пяти друзьям. Как поступить? Б) Не пересылать никакие «письма счастья». 16. Что нужно сделать при получении подозрительного сообщения электронной почты? А) Удалить его, не открывая. 17. Вы случайно прочитали пароль, который оставил на бумажке ваш друг на компьютерном столе. Как вы должны поступить? В) Сообщить другу, чтобы он сменил пароль, т. к. вы его прочитали, и посоветовать ему больше не записывать пароль на бумажках. 18. Что необходимо помнить, регистрируясь в Интернете? Б) Придумать себе Ник. 19. При регистрации в социальных сетях тебе просят загрузить свою фотографию. Твои действия. А. Вместо фото загрузишь аватарку или картинку. 20. В каких случаях можно, не опасаясь последствий, сообщить в Интернете свой номер телефона или домашний адрес? Г) Такую информацию можно сообщить только хорошо знакомому человеку и то с осторожностью. 21. На страничке социальной сети тебя оскорбили, обозвали нецензурными словами, прислали порнографические картинки. Что сделаешь ты в таком случае? Г) Срочно расскажешь об этом своим родителям или учителям. 22. Если в сетях тебя призывают кого-то наказать за то, что он не такой, как все, ты… А. Ты поделишься своими мыслями по этому поводу с родителями, учителями. 2 23. На твой электронный адрес пришли фото недостойного содержания. Ты… А. Сразу же удалишь фото и заблокируешь сообщения того человека, который их тебе присылает. 24. Тебе очень понравился знакомый из Интернета. Он предлагает тебе с ним встретиться, чтобы пообщаться по-настоящему, не в Интернете. Твои действия… А. Ты никогда не согласишься на встречу, даже если очень хочется увидеть интересного человека. 25. Какую информацию нельзя разглашать в Интернете? А. Твой адрес проживания. 26. Что запрещено в Интернете? А) Запугивание других пользователей. 27. Чем опасны социальные сети? А. Личная информация может быть использована кем угодно в разных целях 28. Что в Интернете запрещено законом. А. Размещать информацию других без их согласия. 29. Какое незаконное действие преследуется в России по Уголовному Кодексу РФ? А. Создание и распространение вредоносных программ и вирусов. 30.Что не является признаком интернет-зависимости? В. Можешь выключить компьютер без сожаления. II. Используя Шляпу размышлений, зачитайте и продолжите фразу. 1. Никогда не сообщайте свои личные данные. 2. Если вас что-то пугает в работе компьютера, немедленно обратитесь к специалисту или ко взрослым. 3. Всегда сообщайте взрослым обо всех случаях в Интернете, которые настораживают вас. 4. Никогда не соглашайтесь на личную встречу с людьми, с которыми вы лично не знакомы. 5. Прекращайте любые контакты в социальных сетях или в чатах, если кто-нибудь оскорбляет вас. 6. Познакомился в сети и хочешь встретиться – будь осторожен. 3 7. Помните, что виртуальные знакомые могут быть не теми кем кажутся. 8. Никогда не поздно рассказать взрослым, если вас запугивают. 9. Не доверяйте людям, с которыми вы познакомились в социальной сети, ведь они могут быть преступниками. 10.Помните, то, что когда-либо было опубликовано, облагается авторскими правами. 4
Распространение атак направленного фишинга связанно с их эффективностью и слабой возможности традиционных решений по безопасности противостоять им. В то время как обычная фишинговая атака рассылается массово, атаки направленного фишинга (spear phishing) проводятся против конкретных субъектов.
Spear phishing
В настоящее время растет процентная доля целевых фишинговых атак, организуемых через рассылку писем по электронной почте, в которых можно выделить конкретную организацию или группу лиц. Целевые пользователи получают тщательно разработанные фишинговые сообщения, заставляющие человека вводить конфиденциальные персональные сведения – типа логина и пароля, которые дают доступ к корпоративным сетям или базам данных с важнейшей информацией. Помимо запрашивания учетных данных, целевые фишинговые письма могут также содержать вредоносное ПО.Направленный фишинг стал самым распространенным типом таргетированной атаки по одной простой причине: эта техника по-настоящему работает, вводя в заблуждение даже тех пользователей, которые серьезно подходят к вопросам безопасности. Она создает для хакеров опорный пункт для проникновения в корпоративную сеть. По данным исследования Check Point, проведенного среди более 10 тысяч организаций по всему миру, в 84% из них за последние 12 месяцев был скачан хотя бы один зараженный документ. Это происходит потому, что злоумышленнику достаточно просто получить представление о компании или о конкретных ее сотрудниках в сети Интернет, а затем написать такое письмо, которое побудит даже самого бдительного работника открыть вредоносное вложение и тем самым инициировать хакерскую атаку.
Цели атаки
Для определения списка целей злоумышленники могут воспользоваться несколькими путями:- получить список сотрудников с сайта (уровень доверия информации - очень высокий);
- получить список сотрудников с помощью социотехнических техник - звонок или обращение по почте (уровень доверия информации - очень высокий);
- получить ФИО из метаданных документов, размещенных на сайте (уровень доверия информации - высокий);
- linkedin (уровень доверия информации - средний);
- пропарсить соцсети (уровень доверия информации - низкий).
После предварительного сбора списка вероятных сотрудников организации производится сбор данных об их сфере деятельности, зонах ответственности и горизонтальных связях. Также производится поиск точки входа для проведения атаки на выбранных субъектов. После анализа полученной информации можно составлять сценарий атаки.
Психология атаки
Нацеленная фишинговая атака всегда содержит проработанные социотехнические методы и приемы манипулирования человеческим сознанием.С точки зрения психологии атака методами социальной инженерии всегда идет в обход аналитических инструментов разума. Она действует преимущественно на уровне эмоциональной сферы, привычно подавляемой у большинства людей, занятых умственным трудом. Именно поэтому приемы социальной инженерии часто завершаются успехом даже в том случае, когда интеллект атакующего заметно ниже, чем у жертвы.
Высокий IQ мало препятствует обману, поскольку методы СИ бьют по шаблонам поведения, глубинным страхам и выработанным под давлением микросоциума приспособительным рефлексам. Чтобы развитый блок критического восприятия жертвы не мешал атаке, его просто перегружают потоком данных, переключая на анализ второстепенной информации, или используют фактор срочности, чтобы отключить вовсе и заставить действовать необдуманно. Все это похоже на атаку ключевых узлов нейросети.
Один из базовых приемов социальной инженерии- создание дефицита времени, некое событие, на которое жертва должна среагировать немедленно. Срочные решения сложно принимать именно потому, что приходится действовать в условиях нехватки достоверной информации. В таких ситуациях некогда советоваться и проверять все сообщенные атакующим данные, поэтому жертва начинает действовать, руководствуясь сильными чувствами: желанием помочь, стремлением получить признание или поскорее отделаться от неожиданной проблемы. Также часто удается сыграть на жажде легкой наживы, страхе потерять деньги, работу, результаты труда или репутацию.
Жертве могут сказать в лоб, что ситуация срочная, или позволить ей самостоятельно прийти к такому выводу. Второе эффективнее, так как для человека это будет собственная мысль, которая не вызывает сомнений. Именно на нее он будет опираться в своих минимальных рассуждениях, все больше проникаясь доверием к услышанной легенде.
Пример
Объект атаки организация ООО «Ромашка». С сайта компании получены данные о руководителе компании, секретаре и системном администраторе. С помощью телефонного звонка было выяснено ФИО и email главного бухгалтера. Из базы данных ОГРН/ЕГРЮЛ были получены полные реквизиты компании.Объектами атаки выбраны главный бухгалтер и секретарь, под которых были задействованы следующие сценарии атаки (вектор - электронная почта):
Главный бухгалтер:
- От: нейтральный адрес, типа %surname%%birthyear%@mail.ru
- Тема письма: FWD акт сверки
- Текст письма: Добрый день, ФИО. Согласно предварительной договоренности высылаю акт сверки.
- Приложение: Акт сверки ООО Ромашка.xls
- От: [email protected] (поддельный адрес)
- Тема письма: Исковое заявление о взыскании долга
- В Арбитражный суд г. Москвы подано исковое заявление №23401-16 о взыскании долга с ООО «Ромашка», ЕГРЮЛ: ХХХХХХХХХХХХ, ИНН: ХХХХХХХХХХХ, Юридический адрес:, свидетельство о регистрации: ХХХХХХ на основании искового заявления контрагента по взысканию задолженности за оказанные услуги.
- Исковые требования:
- В соответствии со ст. 395 ГК РФ за пользование чужими денежными средствами вследствие их неправомерного удержания, уклонения от их возврата, иной просрочки в их уплате либо неосновательного получения или сбережения за счет другого лица подлежат уплате проценты на сумму этих средств.
- Приложение: судебное решение 23401-16.docx
Тренинг персонала
Во многих компаниях проводятся тренинги по повышению осведомленности персонала к социотехническим атакам.Технические меры защиты от фишинга, такие как фильтрация и анализ почтового/веб трафика, ограничение программной среды, запрет запуска вложений - весьма эффективны, но они не могут противостоять новым угрозам и, что более важно, не могут противостоять человеческой глупости любознательности и лени. Бывали случаи, когда пользователь, будучи не в состоянии открыть/запустить вредоносное содержимое на рабочем месте пересылал его на свой домашний компьютер и запускал, со всеми вытекающими… Поэтому, какую бы основательной не была система технической защиты - не стоит забывать про такой важный фактор как обучение пользователя.
Периодические инструктажи и информационные рассылки являются важной составляющей обучения персонала, но, как показывает практика, их эффективность значительно ниже, нежели обучение сотрудников на собственных ошибках, учитывая фактор вовлеченности в процесс.
Простейшая система, позволяющая провести тестирование и тренинг персонала по выявлению фишинговых атак выглядит следующим образом:
- Подготовка сценария и шаблонов писем;
- Рассылка фишинговых писем пользователям;
- Перенаправление отреагировавших пользователей на специализированную страницу с предупреждением;
- Статистический учет эффективности атаки.
Скриншот «уведомляющей» страницы, сгенерированный фреймворком sptoolkit. В настоящий момент проект заморожен.
Для облегчения такого рода «учений» можно воспользоваться специализированным фреймворком gophish. Существуют и другие утилиты для облегчения задачи социоинженеру, например setoolkit, но они обладают избыточным функционалом и предназначены скорее для активной атаки. Также есть несколько онлайн сервисов, но они, в основном, англоязычные и не подходят для использования среди русскоговорящих целей фишинговой компании.
Gopgish - мультиплатформенный фреймворк с удобным веб-интерфейсом и простейшим развертыванием. Этот фреймворк разработан на Golang и вероятнее всего не заработает на шаред-хостинге, имейте это ввиду.
С его помощью можно создать фишинговую компанию для определенной группы пользователей:
На фишинговой странице можно «собирать» введенные пользователями данные:
После проведения компании можно оценить её эффективность:
