Пятница 27.11.2020|

    Партнёры

    Партнёры

    Партнёры

    Загрузка...
    hacker-pixabay

    Как защититься от онлайн-мошенничества

    Кристофер Хэднеги разослал в общей сложности 13 миллионов фишинговых писем – чтобы заполучить персональные данные пользователей. Однако, несмотря на это, он не сидит в тюрьме, не заплатил штраф и даже гордится сам собой.

    «Когда моей дочери было шесть лет, - вспоминает он, - учительница задала вопрос ее одноклассникам, чем занимаются их родители. Моя дочь ответила: «Мой папа взламывает банки». Учительница сказала ей, что она лжет...»

    Хэднеги – необычный хакер; таких называют «этичный хакер» или «белая шляпа». Как правило, в данном случае речь идет об IT-специалисте, который взламывает компьютерные системы, чтобы обнаружить их возможную уязвимость. В отличие от хакеров, действующих исключительно в преступных целях, «белая шляпа», как правило, активно сотрудничает с разработчиками, и они вместе  пытаются устранить просчеты и исправить ошибки.

    Хэднеги известен также тем, что, во-первых, считается основателем Деревни социальной инженерии ("социальная инженерия" – это метод получения необходимого доступа к информации, основанный на особенностях психологии людей – прим. "Детали"); а во-вторых, он – автор ставшей бестселлером и переведенной на многие языки книги  "Искусство обмана: социальная инженерия в мошеннических схемах".

    В 2009 году Хэднеги основал компанию Social Engineer, нацеленную на сотрудничество с профессионалами в сферах безопасности,  информации и услуг, а в 2017 году учредил фонд Innocent Lives Foundation, помогающий правоохранительным органам бороться с нанесением вреда детям в интернете.

    На прошлой неделе знаменитый американец впервые принял участие в ежегодной Национальной кибер-неделе Центра кибер-исследований при Тель-Авивском университете и Национальной киберсети при канцелярии премьер-министра и министерства иностранных дел; этот форум впервые проводился в цифровом формате.

    Но Хэднеги не просто взламывает компьютерные системы и разрабатывает необходимые меры защиты – он еще изучает психологию сетевых мошенников.

    Дафна Маор, корреспондент TheMarker, беседовавшая с ним, справедливо замечает, что сегодня в ловко расставленные жуликами ловушки может попасться каждый; это то, что можно квалифицировать, как «глупость масс».

    В предисловии к бестселлеру, о котором упоминалось выше, в частности, говорится: "Технологии, при помощи которых злоумышленники пытаются получить доступ к вашим паролям или данным, основаны на социальной инженерии – науке об изощренном и агрессивном манипулировании поведением людей. Она использует целый арсенал инструментов: давление на жалость, умение запудрить мозги или вывести из себя, проявить несвойственную жадность и поставить в неловкое положение, вызвать чувство вины или стыда и многое другое".

    «Я собрал данные тысячи человек, которые работают в различных организациях, - рассказывает он, - и отправил им по электронной почте предложение об участии в лотерее, где счастливчики получат от меня десять аппаратов iPhone. Все, что им нужно было сделать, это зайти на веб-сайт, который я создал заранее, заполнить соответствующую форму и отправить. 750 человек заполнили анкету, указав имя пользователя и пароль своего компьютера, подключенного к сети».

    Однако на этом «белая шляпа» предпочел не останавливаться, не удовлетворившись тем фактом, что 75 процентов из тех, к кому он обращался и кто попал в расставленную им ловушку, все до единого профессионалы в компьютерной сфере.

    Хэднеги специализируется на изучении всех способов, к которым прибегают для взлома и кражи личных данных.

    Первый – и самый известный – это фишинг, когда хакер связывается со своей жертвой по электронной почте.

    Второй метод называется войс-фишинг, когда информация выуживается по телефону.

    И третий – смс-фишинг; в этом случае мошенники прибегают к смс-сообщениям.

    Хэднеги выбрал 25 человек, сглотнувших наживку, и позвонил им по телефону.

    «Я представился им человеком из службы технической поддержки компании. – говорит он. – И сказал: "Послушайте, мы обнаружили, что ваши компьютеры взломаны. Вам необходимо загрузить программное обеспечение, которое очистит систему от проникшего вируса". И направил их на сайт, где они могли скачать программное обеспечение».

    24 человека послушно загрузили указанную программу, установили ее, запустили и даже не удосужились выяснить, действительно ли тот, кто им звонил, работает в их компании. Не говоря уже о том, что программное обеспечение, которое их просили загрузить, оказалось чистой воды вымыслом: на самом деле, «это был троян, который проник в их компьютеры».

    Почему эти люди повели себя столь простодушно и доверчиво? Собственно, на такие вопросы и призвана отвечать социальная инженерия, расшифровывающая ход мыслей пользователя, попадающегося на удочку удачливых сетевых аферистов.

    По мнению исследователя, одним из важных компонентов в процессе принятия решений следует считать «гормон любви», - окситоцин, - который выделяется при родах, грудном вскармливании и оргазме, а также играет важную роль в зарождении социальных связей. «Окситоцин - это вещество, которое укрепляет доверие и близость, - поясняет Хэднеги. - Вы можете добиться того, что этот гормон будет выделяться у людей в случае, если вам удастся заставить их чувствовать себя хорошо».

    Как отмечает Маор, «мошенники прибегают к методам, стимулирующим выброс окситоцина. Они следуют пошаговой инструкции и стараются во что бы то ни стало завершить беседу в приятной, успокаивающей и позитивной тональности; нечто вроде: «Если в установленном вами программном обеспечении все в порядке, предупреждения о сбоях более не поступает, значит, мы закончили». Иначе говоря, если удается убедить человека, которому доверяешь, то выброс окситоцина также обеспечен. Это один из распространенных методов, используемых мошенниками: вместо того, чтобы пытаться завоевать доверие клиента, они вначале делают вид, что полностью ему доверяют».

    Эмоциональная манипуляция, - а в данном случае именно она имеется в виду, - имеет свои границы; как только эти границы будут перейдены, тотчас подорвется и доверие к собеседнику.

    "Что в имени тебе моем"...

    По мнению исследователя, невзирая на то, что постоянно слышны предупреждения о сетевых кражах со взломом, вторжении в частную жизнь через интернет, тем не менее пользователи нередко проявляют поразительную беспечность, забывая об элементарных мерах предосторожности. Очень часто это идет от наивной веры в то, что человек, который с нами связывается, не может быть плохим, значит, ему можно доверять. В особенности, когда собеседник выглядит солидным, подкрепляя собственную важность профессиональным жаргоном.

    В качестве показательного примера Хэднеги ссылается на телефонное общение со «страховой компанией». Раздается звонок, вы снимаете трубку и слышите серьезный, вдумчивый голос, представляющийся агентом «крупной страховой компании»; разумеется, произносится и название этой компании, и, вполне возможно, вы слышали об этой компании, и сразу же проникаетесь невольным пиететом к этому человеку, неосознанно убеждая себя, что он действует от имени этой компании и наделен от ее имени определенной властью.

    Нередко звонящий для вящей убедительности называет вас по имени и фамилии, сообщает еще некоторые данные, что позволяет укрепиться в доверии к нему. И, спустя мгновение, когда у нас запрашивают номер удостоверения личности, чтобы агент мог войти на сайт так называемой "Страховой горы", - в Израиле это сайт, созданный министерством финансов, где содержится информация обо всех имеющихся страховых полисах, - то  удержаться от соблазна попросту невозможно. На практике же оказывается, что с нами общался представитель коммерческой компании, которая зарабатывает на комиссионных от продажи "страховых продуктов" своим реальным клиентам.

    Хакеры в "белых шляпах" нашли общий язык с полицией

    «Соединенные Штаты сегодня поставляют 60 процентов мировых материалов по детской порнографии, - утверждает Хэднеги. – Важно понимать, насколько дети уязвимы, поэтому родители не должны об этом забывать. Детям надо говорить: «Мы контролируем вас не потому, что вы делаете что-то не так, а чтобы защитить вас». Собственно, так я разговаривал и со своими детьми, объяснял, что телефон – не только привилегия, но и цена, которую надо платить».

    "Innocent Lives" – так называется созданная Хэднеги ассоциация, использующая хакеров-"белошляпочников" в целях сотрудничества с полицией и правоохранительными органами по всему миру, - чтобы на законных основаниях разоблачать людей, вредящих детям, и людей, которым это выгодно.

    В "Innocent Lives" считают, что бороться с таким уродливым явлением в интернете, как педофилия или детская порнография, нельзя на дилетантском уровне, и уж, тем более, считать себя теми, кто может вершить правосудие. А вот оказывать реальную помощь полиции – совсем другое дело. По словам  Хэднеги, благодаря деятельности ассоциации, за последнее время удалось раскрыть 150 преступлений.

    Понятно, что полиция далеко не сразу решилась на контакты с "Innocent Lives", вначале не очень веря, что подобное сотрудничество возможно. Однако после того, как "белые шляпы" нашли некоторых правонарушителей, и полиция их арестовала, началось плодотворное сотрудничество.

    «На пути к созданию ассоциации пришлось преодолеть множество препятствий, столкнуться с проявлением жестокости и насилия по отношению к детям. Не все выдерживали это испытание. – говорит Хэднеги, - были и те, кто срывался, отказывался работать уже через месяц. Но мы понимали, что делаем нужное дело, и главное – это справиться с эмоциями, контролировать свои чувства, потому что порой хотелось взять закон в свои руки, схватить бейсбольную биту и вершить правосудие, но чем тогда мы будем лучше этих мерзавцев? Необходимо все делать в соответствие с законом».

    Хэднеги довольно критично относится к развитию и укреплению социальных сетей. По его мнению, эти сети создали среду, которая заставляет людей выставлять себя напоказ и порой совершать поступки, которые наносят ущерб их личной безопасности.

    «Пользователи уязвимы в этой среде, потому что они не думают о безопасности. Это отличный инструмент для продвижения различных проектов, социальных связей и коммуникации, но в то же время оборотная сторона медали – высокий уровень психологической уязвимости, и это не случайность, а составляющая часть сетевой модели. Мы часто не придаем значения, что можем час или даже больше потратить на какую-то ерунду в сети, просеивая чужой мусор. Но так задумано. И, к сожалению, для социальных сетей на первом месте стоят деньги. А теперь, когда весь мир закрыт на карантин, люди проводят  там больше времени, чем когда-либо», - констатирует  Хэднеги.

    В предисловии к своей книге он пишет: «Впрочем, не один я несу ответственность за то, что сегодня повсеместно используется термин "социальная инженерия". Полагаю, он вошел в обиход не только потому, что это самый простой способ атаки на системы безопасности различных компаний, но и потому, что сейчас атакующие получают самые большие прибыли. Себестоимость такой прибыльной атаки мала, риски — и того меньше. Окупаемость получается огромной.

    Моя команда собирает новости об атаках, проведенных с применением социальной инженерии, и связанную с ними статистику. И я с уверенностью могу сказать, что в 2017 году более 80 процентов случаев взлома систем безопасности включали в себя тот или иной элемент социальной инженерии. Согласно исследованию «Стоимости утечки данных», опубликованному IBM в 2017 году, из-за одной подобной утечки компании теряли порядка 3,62 миллиона долларов. Понятно, почему мошенники с удовольствием используют приемы социальной инженерии: ставки слишком высоки».

    Марк Котлярский, по материалам TheMarker и зарубежных СМИ. Фотоиллюстрация: Pixabay

    ЧИТАЙТЕ ТАКЖЕ
    ЧИТАЙТЕ ТАКЖЕ
    МНЕНИЯ
    ПОПУЛЯРНОЕ
    Размер шрифта
    Send this to a friend