Старший брат следит за тобой. Как защитить себя в цифровом мире - страница 33

КЕЙС Эксперт из Университета Эрлангена‒Нюрнберга провел среди студентов исследование[100] с имитацией фишинговой атаки через электронную почту и Facebook. Было создано поддельное сообщение от имени организаторов форума по кибербезопасности со ссылкой для просмотра фотографий с мероприятия. Когда к адресату обращались по имени, по ссылке последовали 45 % людей, а когда без указания имени – 20 %. Большинство людей заявили, что щелкнули по ссылке из любопытства, доверяя своему компьютеру или университету. Кроме того, они посчитали, что компьютер заблокирует доступ к сайту, если тот окажется вредоносным. А один из студентов заявил, что не боится вирусов, так как пользуется macOS и Firefox.

Социальная инженерия

Вопреки мнению обывателей, большинство утечек данных и краж финансовых средств с личных счетов происходит не из-за взлома, а из-за несоблюдения жертвами элементарных правил цифровой гигиены. Грубо говоря, люди сами отдают преступникам сведения о себе и ключи для доступа к информации и банковским счетам. Для формирования доверительных отношений преступник представляется тем, кому жертва атаки может или должна доверять: сотрудником службы безопасности сервиса, банка или магазина, которым она пользуется; представителем органов власти или правоохранителем; родственником; человеком, попавшим в трудную ситуацию; ведущим шоу, в котором разыгрываются ценные призы, и т. п. В ходе атаки преступники часто применяют различные психологические уловки, например запугивая жертву (обвиняя в нарушении законодательства и даже в совершении преступления и т. п.) и пытаясь заставить быстро принять решение (заявляя, что срок действия предложения ограничен и т. д.). Псевдосотрудник службы безопасности может при разговоре включить запись звуков, характерных для работы в офисе; мошенник, говорящий с женщиной, может для создания напряженной обстановки включить запись голоса плачущего младенца. Нередко хакеры предварительно проводят разведку – анализируют сведения о жертве, доступные в социальных сетях. Они делают это с помощью инструментов для автоматизированного сбора данных (например, SimplyEmail[101], ePochta Extractor[102] или Foca[103]) и прочих утилит (о средствах сбора информации рассказывается на сайте https://osintframework.com), а также утекших баз данных (например, https://weleakinfo.com с 10 млрд записей)[104]. Собранная информация позволяет вести эффективные целенаправленные атаки.

Кейс В 2015 г. хакерами был взломан аккаунт PR-директора компании Acronis Екатерины Турцевой[105]. Действуя от имени Турцевой, злоумышленники убедили ее друзей расстаться с более чем 250 000 рублей[106].

В период пандемии COVID-19 злоумышленники (в том числе и продавцы фиктивных сертификатов) стали шантажировать покупателей фиктивных сертификатов о вакцинации, угрожая, что за хранение поддельного сертификата предусмотрена уголовная ответственность, и требуя с жертвы десятки тысяч рублей. Учитывая, что в России за покупку и хранение поддельного документа предусмотрено наказание до 1 года лишения свободы, многие жертвы отправляют деньги злоумышленникам. Аналогичные методы шантажа применяются к покупателям любых других нелегальных товаров[107].

С поддельными сертификатами злоумышленники поступают двумя путями. Первый из них – генерируют поддельный сертификат с QR-кодом с внесением данных на государственные порталы. В этом случае сертификат неотличим от настоящего, но покупателю угрожает риск заражения и невозможность вакцинироваться, если он все же решится это сделать (по крайней мере, в государственных медучреждениях). Второй вариант – создают сертификат с QR-кодом, ведущим на фейковый сайт «Госуслуг». Такое предложение обходится покупателю дешевле, но и срабатывает не всегда, так как ориентировано на невнимательность людей, проверяющих QR-коды