Опубликован: 03.08.2011 | Доступ: свободный | Студентов: 12033 / 8626 | Оценка: 4.29 / 3.90 | Длительность: 09:54:00
Лекция 5:

Противодействие методам социальной инженерии

< Лекция 4 || Лекция 5: 12345 || Лекция 6 >

Желание к выгоде у пользователя

Современная реальность вырабатывает у многих людей желание к какой-либо выгоде. В этом желании виноваты и сами люди по их сущности, а также рамки, которые ставит современная жизнь. Злоумышленник может это использовать в своих целях и попытаться предоставить пользователю какие-либо выгодные условия, от которых пользователь не сможет отказаться. Раньше таким примером были различные финансовые пирамиды, из которых мошенники извлекли большое количество денежных средств для своего содержания. Обычные же люди, которые вкладывали свои денежные средства, в результате остались ни с чем. И вроде бы понятна фраза о том, что бесплатный сыр бывает только в мышеловке, но люди постоянно забывают об этом, что дает злоумышленникам новые пути воздействия на психику человека. Одним из таких примеров является уже упомянутая финансовая пирамида. Современные же мошенники в охоте на персональные данные пользователя могут предложить ему обмен своих персональных данных на какие- либо материальные ценности (чаще всего деньги). Естественно, подобный обмен является лишь ловушкой, в которую пытаются заманить пользователя. Пример такого обмена будет проиллюстрирован в виде диалога по ICQ ниже:

- Здравствуйте это компания "Cris&Jonson".

- Здравствуйте.

- В результате наших исследований было выявлено, что вы являетесь большим фанатом различных социальных сетей. Это так?

- Да, это так. А что?

- Мы хотели вам предложить выгодное предложение. Наша компания занимается рекламой различных продуктов для домашнего обихода.

- И?

- Мы хотели бы рекламировать эти продукты через вашу страничку в социальных сетях.

- Каким образом? Мне, в принципе, не нужна реклама.

- Наши веб- мастера создадут вам фотоальбом, в котором будет размещена наша продукция. За один день такого нахождения альбома мы будем платить вам 60$

- Да? И больше ничего мне делать не надо? Просто держать ваш альбом?

- Да, конечно, только держать наш фотоальбом и больше ничего.

- Ну, в принципе, это нормальные условия.

- Конечно, нормальные. Только есть один маленький нюанс. Нам нужно, чтобы вы на один день дали нам пароль от вашей странички, чтобы мы закачали туда наш фотоальбом. Уверяем вас, что ваши данные останутся в целости и сохранности.

- О, ну, конечно, это не проблема.

Далее суть диалога ясна. Основная цель злоумышленника в этом диалоге была достигнута, он узнал пароль от странички (страничек) пользователя и теперь сможет делать с ними все, что он пожелает. В данном случае злоумышленнику просто необходимо было почитать переписку с другими пользователями. Эта цель в результате была достигнута. Другим примером, более безобидным на первый взгляд, является следующий пример:

- Привет. Это Олег из фирмы "АнкетаJOB".

- Привет, опять реклама… отстань.

- Но послушайте сначала наши условия, вам же ничего это не стоит.

- Хорошо, давай свои условия.

- Мы занимаемся анкетированием пользователей. За каждую заполненную анкету мы платим вам по 500 рублей.

- Ого, много, там что, огромные анкеты?

- Нет, анкеты заполняются в течение 20 минут.

- И много анкет?

- В неделю, в среднем, получается, по 6 анкет.

- Да, деньги хорошие, конечно. А что нужно для вступления?

- Никаких денежных взносов вносить не нужно. Вы просто должны зарегистрироваться на нашем сайте.

- Хорошо, давайте ссылку на сайт.

На первый взгляд, в этой истории нет ничего подозрительного. Или все-таки есть? Не каждый сможет догадаться, что пользователь, зарегистрировавшись на сайте, скорее всего, введет пароль, который является его паролем и в других местах. Это может быть использовано злоумышленником в своих целях. При этом, даже если пароль будет другим, то пользователя могут попросить со временем сменить пароль, пожаловавшись на то, что он слишком слабый, длинный, короткий (тут все зависит от фантазии злоумышленника). Пользователь в этом случае может поменять пароль на тот пароль, который у него стоит на самом деле и в других местах. Другой схемой добычи ваших персональных данных может быть следующая переписка:

- Привет. Мы являемся производителем продуктов кухонного обихода и тестируем свою продукцию на обычных людях.

- Привет, это интересно, продолжай.

- В общем, мы присылаем свою продукцию вам, вы тестируете ее, затем отвечаете на несколько вопросов.

- И вы забираете продукцию, да?

- Нет, продукция остается у вас.

- Ой, а вот это здорово.

- Да, нашим предложением пользуются сейчас очень многие люди из вашего региона. Если вы заинтересованы, скажите "да".

- Да.

- Отлично, тогда вы должны прислать нам копию вашего отсканированного паспорта, чтобы мы удостоверились в вашей личности, а так же ваш адрес проживания.

- Хорошо, конечно.

На первый взгляд эта история также кажется относительно безобидной, но это только на первый взгляд. Ведь отсканированная копия паспорта пользователя может быть очень полезна злоумышленнику, если он, например, захочет оформить что-либо на чужое имя. Существуют целые мошеннические конторы в сети Интернет, которые вымогают у своих пользователей копии их личных документов. Пользователи не видят подвоха в том, что у них просят копию их документа, и спокойно предоставляют ее, а злоумышленники потом используют эти копии в личных целях. Одним из таких мест применений является оформление через Интернет различных товаров и услуг в кредит (там также нужна копия документа). В крайнем случае, злоумышленник может просто продать копию документа кому-либо на черном рынке. Обо всех этих вещах пользователь должен помнить, когда у него в очередной раз попросят копию его документа, удостоверяющего личность. Но не все действия, которые связаны с просьбой предоставить копии своих документов, являются мошенническими. Тут необходимо различать популярность той компании, которая просит у вас копию документа, удостоверяющего вашу личность. Необходимо помнить, что крупной компании, которая у всех на слуху, пользователь может спокойно доверить свои личные данные, но если компания является новой и еще толком никому неизвестной, то пользователь должен задуматься о том, надо ли ему предоставлять свои копии личных документов, а также другую личную информацию. Другим примером, когда у пользователя могут под достаточно безобидным предлогом потребовать копию личных документов, может являться следующий случай:

- Алло, здравствуйте, это Екатерина Петровна?

- Нет, это ее муж, а что вы хотели?

- Я представитель компании "Косметика в дом".

- И?

- Дело в том, что ваша жена заказала на большую сумму косметики с доставкой на дом, но не успела расплатиться с нами. Мы ждем оплаты.

- Но она не заказывала косметику с доставкой на дом.

- Ну, как видите, заказывала. Хотя вы точно уверены в этом?

- Да.

- Вы не могли бы ее позвать сюда?

- Нет, она на работе.

- Надо как-то урегулировать ситуацию.

- Отмените заказ.

- Но она ведь его делала?

- Это была не она.

- Вы уверены?

- Да, я абсолютно уверен в этом.

- Чтобы отменить заказ, нам необходимы ее паспортные данные.

- Хорошо, я предоставлю вам их, если это требуется для того, чтобы отменить этот чертов заказ.

- Тогда диктуйте……..

Достаточно ловкий трюк, чтобы узнать паспортные данные некой Екатерины Петровны. Естественно, подобный диалог может быть сделан и через электронную почту, и систему мгновенных сообщений. Суть в том, что здесь применен метод, который является обратным методом от жажды наживы. Тут применен метод, который вкратце называется отказ от нежелаемого. Ведь за доставку косметики надо платить деньги, которые жена, скорее всего, попросит у мужа. Но в данном случае жена не заказывала какой-либо косметики. Весь этот рассказ мужу является чистой воды выдумкой. Но муж верит в эту выдумку и поэтому готов предоставить паспортные данные своей жены злоумышленнику. Причем, когда выяснится, что жена и в самом деле ничего не заказывала, то будет уже поздно искать кого-либо. Также злоумышленник может воспользоваться другой схемой, чтобы заставить пользователя сообщить свои данные:

- Привет, твой номер ICQ является выигрышным.

- Привет, что?

- Это компания "Intерац", мы являемся крупными поставщиками золота.

- Объясните подробнее, что за выигрыш?

- В общем, ваш номер попал к нам в базу номеров, и сегодня в розыгрыше вы вышли победителем. Поздравляю!

- Ух ты, никогда ничего не выигрывал. А как я попал в вашу базу?

- Этот вопрос вы можете задать нашему главному менеджеру, когда приедете за призом.

- А что за приз? И куда ехать?

- В Санкт- Петербург. 50 тысяч рублей.

- Ого, но я не могу приехать ,я живу в другом городе.

- О, ну мы можем перечислить выигрыш на ваш счет в банке.

- Да, пожалуй, мне это больше подходит. Вот это да, такие деньги.

- Мы рады, что рады вы. Это же Петр Иванович?

- Да, так вы и имя мое знаете?

- Да, но мы должны убедиться, что это именно вы.

- Не вопрос, что для этого нужно?

- Нам нужно, чтобы вы отправили нам отсканированную копию вашего паспорта.

- Хорошо, конечно, я отправлю.

Вот еще одна схема, по которой злоумышленник рассчитывает на жадность пользователя. Город был специально выбран далекий от места жительства "жертвы", имя и прочие поверхностные данные были выявлены с помощью социальных сетей. Естественно, никаких денег злоумышленник, в конечном счете, не пришлет, а вот полученные персональные данные пользователя использует для своих нужд. Иногда злоумышленнику, для того, чтобы похитить персональные данные пользователя, необходимо запустить какую- либо зловредную программу. Тогда он может прибегнуть к обману следующего вида:

- Привет. Это Олег из фирмы "программинтер".

- Привет, что ты хотел?

- Тут такое дело, в общем, у вас стоит программа "Программер"?

- Да, стоит и что?

- В общем, ваша копия программы разыгрывается в конкурсе, и вы являетесь победителем.

- Ух ты, а что я выиграл?

- Деньги. Но дело в том, что нам для проверки подлинности вашей программы необходимо, чтобы вы поставили программу-ревизор.

- Но вы же знаете, что моя копия программы подлинная. Зачем мне еще что-либо ставить?

- Мы не уверены, что это именно та копия. Подумайте, речь идет о ста тысячах рублей.

- А этот ваш ревизор не опасен?

- Нет, вы поставите программу (только отключите перед этим антивирус), запустите ее, а далее она проверит вашу копию и пришлет данные нам.

- А зачем отключать антивирус?

- Дело в том, что наша программа использует внутренние операции операционной системы, чтобы проверить подлинность вашей копии программы. Антивирус может посчитать, что это действия вируса.

- Ну да, логично, конечно, я отключу его, в таком случае, присылайте вашу копию.

Естественно, данная программа, которую пришлет злоумышленник является зловредной, но так как антивирус будет отключен, то пользователь об этом не узнает и запустит ее. В свою очередь, зловредная программа украдет у наивного пользователя все его данные и отправит их злоумышленнику. Этот пример и другие примеры, которые были приведены выше, ярко показывают, как жажда получить какую-либо выгоду может быть использована злоумышленником. Многие люди не подозревают об этом, и поэтому готовы с радостью предоставить свои персональные данные злоумышленнику, лишь бы получить свою выгоду от этого. Злоумышленник же, в свою очередь, активно пытается воспользоваться этой человеческой слабостью. Пользователи должны помнить, что персональные данные не являются разменной монетой, поэтому их нельзя сообщать незнакомым им людям, которые предлагают различные соблазнительные предложения. Пользователь должен помнить, что при различных выигрышных акциях их создатели не будут в первую очередь просить ваши персональные данные, а также они будут более подробно рассказывать о сути акции и о том, как именно получилось так, что определенный пользователь выиграл финальный приз без его ведома. Пользователь всегда должен с осторожностью относиться к различным предложениям получить что-либо в обмен на свои персональные данные.

< Лекция 4 || Лекция 5: 12345 || Лекция 6 >
Екатерина Дюбко
Екатерина Дюбко

Как сделать так, чтобы данные о прохождении курса "Основы информационной безопасности при работе на компьютере" появлялись в зачетке. Нужен список полных оценок за каждый тест. 

Александр Мишин
Александр Мишин