Ці чулі вы пра такія віды інфармацыйных нападаў, як Baiting, Honey Trap, Scareware, Water Holing, Quid pro Quo? Давайце разгледзім іх і шэраг іншых, у тым ліку розныя віды фішынгу. Усе гэтыя дзеянні зламыснікі прадпрымаюць з адной мэтай – завалодаць асабістымі дадзенымі карыстальнікаў. І для пачатку аб тым, што аб’ядноўвае ўсе гэтыя віды нападаў. Разуменне механізмаў сацыяльнай інжынерыі зробіць вас значна меней уразлівымі да гэтага тыпу маніпуляцый.
Што такое сацыяльная інжынерыя і як яна працуе
Сацыяльная інжынерыя – гэта спосабы маніпулявання людзьмі з мэтай атрымання ад іх канфідэнцыйнай інфармацыі. Інфармацыя, якую шукаюць злачынцы, можа быць рознай, але часцей за ўсё гэта банкаўскія рэквізіты, а таксама паролі ад уліковых запісаў. Акрамя таго, злачынцы могуць паспрабаваць атрымаць доступ да кампутара ахвяры, каб усталяваць тамака шкоднаснае праграмнае забеспячэнне, якое дапамагае здабываць любую інфармацыю. І тут зламыснікі выкарыстоўваюць разнастайны арсенал сацыяльнай інжынерыі, бо куды лягчэй атрымаць ад чалавека жаданае (персанальныя дадзеныя), заваяваўшы яго давер. Гэта значна зручнейшы шлях, чым прамы ўзлом чыйго-небудзь акаўнта: выкарыстоўваць слабасці карыстачоў значна прасцей, чым спрабаваць знайсці ўразлівасць сэрвісу або праграмнага забеспячэння.
Выгляды нападаў з выкарыстаннем сацыяльнай інжынерыі
Вядома больш за дзесяць відаў такіх нападаў, а калі ўлічыць камбінаваныя спосабы, частку з якіх мы таксама разгледзім, то іх колькасць налічвае ўжо некалькі дзясяткаў.
Фішынг (Phishing)
Гэтыя напады актыўна эксплуатуюць чалавечы фактар для збору ўліковых дадзеных або для распаўсюджвання шкоднасных праграм. Можна сказаць, што фішынг – гэта ашуканскае выкарыстанне электронных камунікацый для падману і атрымання выгады ад карыстальнікаў. Часцей за ўсё з дапамогай фішынгавых нападаў зламыснікі спрабуюць атрымаць такую канфідэнцыйную інфармацыю, як лагіны і паролі, дадзеныя крэдытных карт, сеткавыя ўліковыя дадзеныя.
Ёсць некалькі тыпаў фішынгавых кібератак. Гэта такія разнавіднасці, як мэтавы, галасавы, СМС-фішынг, а таксама «кітабойны» (па апісанні будзе зразумела, чаму ён так называецца) і клон-фішынг.
Scareware (пугалка)
Сутнасць гэтага тыпу нападаў складаецца ў тым, што ахвяру палохаюць (часцей за ўсё ўсплывальнымі вокнамі пры наведванні ўзламаных ашуканцамі сайтаў), прымушаючы думаць, што кампутар заражаны шкоднасным ПА ці ж мае выпадкова загружаны нелегальны кантэнт. Праз некаторы час, калі ашуканец разумее, што ахвяра саспела, ён прапануе рашэнне гэтай фіктыўнай праблемы. Аднак насамрэч тая праграма, якая прапануецца ахвяры пад выглядам антывіруса, уяўляе сабой шкоднаснае ПА, мэтай якога з’яўляецца крадзеж асабістай інфармацыі карыстача. Такім чынам, стваральнікі «пугалок» выкарыстоўваюць тэхналогію выклікання, выклікаючы страх карыстальніка і падштурхоўваючы яго да ўсталёўкі падробленага антывіруснага праграмнага забеспячэння.
Baiting (прынада)
Вельмі арыгінальны метад сацыяльнай інжынерыі, калі разлік робіцца на адзін з самых распаўсюджаных чалавечых заган – цікаўнасць. Сутнасць прынады ў тым, што зламыснік наўмысна пакідае заражаныя шкоднасным ПА прылады (напрыклад, USB-назапашвальнікі) у месцах, дзе іх абавязкова знойдуць (напрыклад, у курылцы офіснага будынка). Ахвяра заглынае гэтую няхітрую прынаду і ўстаўляе флешку кампутар, у выніку чаго адбываецца аўтаматычная ўсталёўка шкоднасных праграм у сістэму. Яшчэ адзін від прынад распаўсюджваецца праз інтэрнэт. Патэнцыйным ахвярам прапануецца павабная рэклама, якая на самой справе вядзе на шкоднасныя сайты або заахвочвае карыстальнікаў загружаць заражанае шкоднасным ПА прыкладанне – часцей за ўсё, зразумела, “бясплатнае”. Акрамя таго, зламыснікі нярэдка камбінуюць прынады са Scareware-нападамі, толькі гэтым разам «палохалкі» сапраўдныя, бо кампутар ужо заражаны.
Water-Holing (“вадопай”)
Назва цалкам адлюстроўвае сутнасць нападу, толькі «вада» тут – атручаная. Выкарыстоўваючы сеткавыя ўразлівасці, зламыснік спрабуе скампраметаваць пэўную групу людзей, заражаючы сайты, якія яны наведваюць і якім давяраюць. Аб’ектамі нападаў тыпу «вадапой» нярэдка становяцца папулярныя сайты, якія завуць «мэтавай групай» (target group). Сваіх ахвяр кіберзлачынцы, якія практыкуюць Water holing (іншая назва: Watering hole), завуць «мэтавай здабычай» (target prey), і часцей за ўсё ў ролі такой здабычы выступаюць супрацоўнікі дзяржаўных устаноў або буйных арганізацый.
Хакеры вывучаюць уразлівасці сайтаў «мэтавай групы» і ўкараняюць туды шкоднаснае ПА, звычайна схаванае ў JavaScript ці прама ў HTML кодзе. Гэты шкоднасны код перанакіроўвае «здабычу» з сайтаў мэтавай групы на іншы, дзе ўсталяваныя шкоднаснае ПЗ ці рэклама. Цяпер вірусы гатовы заражаць кампутары, як толькі ахвяры будуць заходзіць на скампраметаваныя сайты.
Pretexting attack (атака з прыназоўнікам)
Сутнасць атакі заключаецца ў тым, што адзін бок проста хлусіць іншы, каб атрымаць доступ да прывілеяваных дадзеных. Махлярства часта ініцыюецца нядобрасумленным супрацоўнікам, які робіць выгляд, што яму патрэбна канфідэнцыйная інфармацыя ад ахвяры для выканання важнай задачы. Ніякага ўзлому – чыстае псіхалагічнае ўздзеянне, якое выглядае вельмі натуральна.
Quid pro quo (лац.: «паслуга за паслугу»)
Такі напад звычайна выконваецца ашуканцамі, якія не маюць у сваім арсенале прасунутых прылад узлому, аднак праводзяць папярэдняе даследаванне мэт. Выкарыстоўваючы гэты від нападаў, зламыснік робіць выгляд, што аказвае ахвяры важную паслугу. Напрыклад, хакер знаходзіць кагосьці з высокімі прывілеямі доступу да сеткі і тэлефануе яму па тэлефоне, уяўляючыся супрацоўнікам службы тэхнічнай падтрымкі кампаніі. Пры паспяховых перамовах і згодзе ахвяры на «дапамога» у рашэнні нібы выяўленых праблем, кіберзлачынца пачынае кіраваць ахвярай, прымушаючы яе здзяйсняць вызначаныя дзеянні. Гэтыя дзеянні ў выніку прыводзяць да запуску шкоднаснага ПА у сістэму або да крадзяжу рэгістрацыйных дадзеных.
Honey Trap, Honey Pot («мядовая пастка», «збанок мёда»)
Памятаеце байку пра варону і лісіцу? Прынцып нападаў тыпу Honey Pot сапраўды такі ж. Ашуканец знаёміцца з ахвярай і прыкідваецца, што адчувае да яе пэўную цікавасць (напрыклад, рамантычнае або сэксуальнае цяга). Паступова завязваюцца віртуальныя “адносіны”, якія ахвяра пачынае ўспрымаць сур’ёзна. А абаяльны злачынец, не губляючы часу дарма, паступова збірае канфідэнцыйную інфармацыю, якая затым можа быць скарыстана, напрыклад, для ўзлому акаўнтаў у сацсетках або скрыні электроннай пошты. Таксама ашуканец можа атрымаць ад даверлівай ахвяры выдалены доступ да яе кампутара.
Tailgating або Piggyback («заднія дзверы», «катанне на спіне»)
Яшчэ адзін арыгінальны прыём з арсенала спецыялістаў па сацыяльнай інжынерыі, які нечым падобны на папярэдні. У дадзеным выпадку злачынец уваходзіць у ахоўнае памяшканне, ідучы за кімсьці з картай доступу. Зразумела, хакер ужо з’яўляецца “сябрам” супрацоўніка з прывілеяваным доступам і праходзіць за ім у забароненую зону.
Rogue Attack (ашуканскі напад)
Гэты спосаб уяўляе сабой разнавіднасць Scareware нападаў. На кампутар ахвяры пад падставай бяспекі усталёўваецца шкоднаснае ПА, а зламыснік пераконвае ахвяру, што гэтае праграмнае забеспячэнне цалкам законна і бяспечна. Усталяваная праграма затым стварае ўсплывальныя вокны і абвесткі, якія раяць карыстачу загрузіць новае “бяспечнае праграмнае забеспячэнне”. Усплывальныя вокны нярэдка паказваюць карыстачу некалькі варыянтаў дамовы (з рознымі сцэнарамі). Аднак розніцы няма: націснуўшы “так” на любы з гэтых варыянтаў, карыстач загружае на свой кампутар небяспечную праграму. Цяпер кампутар у распараджэнні зламысніка.
Diversion Theft (крадзеж з дыверсіяй)
Тут «сацыяльныя інжынеры» падманам прымушаюць службу дастаўкі або кур’ера дастаўляць нічога не падазравальным пакупнікам падробкі. А дарагія рэчы, натуральна, пападаюць прама ў рукі да ашуканцаў. Гэта працуе наступным чынам: злачынцы падсаджваюць у кампанію па дастаўцы сваіх саўдзельнікаў, а апошнія атрымліваюць лёгкі доступ да спісу тавараў для дастаўкі, якія затым можна аператыўна падмяняць. Гэты спосаб крадзяжу ўзнік яшчэ да з’яўлення інтэрнэту (яго радзіма — лонданскі Іст-Энд), аднак з развіццём сеткавых тэхналогій злачынцам стала прасцей маніпуляваць інфармацыяй.
