Безопасность личных данных, или Социальная инженерия

22.09.2015 15359   Комментарии (18)

Мне нередко приходят письма из серии: "Помогите, похитили деньги со счета", "помогите, похитили деньги из электронного кошелька", "помогите, получили доступ к почтовому ящику" - ну, и так далее. Когда количество подобных писем превысило некую критическую величину, я решил написать отдельную статью о безопасности личных данных в Сети. Итак... >

Большинство людей даже и не догадываются, какое огромное количество информации можно собрать о них в Сети! Даже раньше, когда еще не существовали всякие социальные сети вроде Facebook, "Вконтакте" и прочих одноклассников, когда еще люди для общения в Интернете, как правило, использовали какие-то псевдонимы и тщательно скрывали свои фотографии, предпочитая использовать всякие аватары-картинки, даже тогда с помощью изучения той информации, которую люди о себе оставляли на различных форумах и сайтах, можно было выяснить очень многое.

Яркий пример. Где-то в начале двухтысячных на моем форуме Club443 появилась пара довольно ярких персонажей, которые занимались - скажем так - не очень хорошими манипуляциями с большой группой форумчан. Они выдавали себя за других людей, постоянно врали, причем на такие темы, на которые люди врут крайне редко, ну и в конце концов, когда все это выяснилось, возник большой скандал, эти персонажи с форума исчезли и перед администрацией форума встала задача этих людей как-то найти - ну, хотя бы для того, чтобы задать им кое-какие вопросы. (Не буду подробно разжевывать эту старую историю, тут важен просто сам факт.)

Так вот. Мы потратили два дня на то, чтобы выяснить об этих людях все, что мы хотели знать. Как их на самом деле зовут, чем они занимаются, где они живут, даже выяснили их домашние и служебные телефоны. (Кстати, эти люди жили в США.)

Заметьте, эти люди занимались некрасивыми манипуляциями и они старательно шифровались. Они нигде не фигурировали под реальными именами. Однако мы располагали их фотографиями (они несколько раз появлялись на наших форумных встречах - им требовалось живое общение), мы знали их ники на форумах, по отрывочным сведениям мы более или менее знали, на каких форумах и сайтах они еще бывают. Ну и вот так по ниточке мы раскрутили весь клубок. И это, заметьте, было еще в старые времена, поэтому нам понадобилось два дня, причем в поиске информации были задействованы десятки людей.

Но сейчас совершенно другие времена. Facebook, "ВКонтакте", "Одноклассники" и так далее - подавляющее большинство людей участвуют в этих социальных сетях под своими реальными именами-фамилиями. Более того, эти социальные сети в основном и создавались для того, чтобы люди в них участвовали под своими именами-фамилиями.

А уж сколько мы о себе сообщаем в этих социальных сетях - и не передать. Кто мы, что мы, где мы работаем, как зовут нашего нелюбимого (или любимого - у кого как) начальника, с кем мы состоим в отношениях ("С кем состоите в сношениях?" - "Со своей служанкой, ваша милость"), как зовут наших родителей ("Поздравляю с днем рождения мою дорогую мамочку Светлану Петровну, в девичестве - Петренкову"), что мы ели на завтрак, куда и когда мы ездим отдыхать.

У многих людей есть любопытная манера публиковать в Сети свой посадочный талон на самолет ("Ура, вот мой посадочный на самолет до Мальдив!"), а ведь по коду брони и фамилии (это все указано в посадочном) нередко можно выяснить паспортные данные.

Таким образом, о вас можно столько всего узнать, что вы даже себе и представить не можете!

Причем если раньше еще надо было напрягаться (искать похожие на ваш псевдонимы на других форумах и так далее), то сейчас узнать реальные ФИ человека, его адрес-телефон, девичью фамилию его матери, узнать его расписание, места, где он постоянно бывает, - да это все элементарно, мы сами о себе это рассказываем постоянно!

Второй интересный момент - программы-шпионы. Беспечный пользователь может запустить шпиона на своем компьютере самыми разнообразными способами: ответив "да" на не слишком понятный запрос с какого-то сайта, открыв из любопытства приложенный к письму файл - и так далее и тому подобное.

Шпион будет скрыто сидеть в вашем компьютере, коллекционировать адреса посещенных вами сайтов и записывать все, что вы вводите с клавиатуры. Периодически он будет скрытно отправлять эту информацию своему владельцу. А уж что он сделает с этой информацией, можно только гадать. Потому что у него могут оказаться и пароли к вашим почтовым ящикам, и логины-пароли к электронным кошелькам, и логины-пароли к банковским аккаунтам, да все что угодно!

Еще один очень распространенный способ хищения личных данных - это фишинг. Целью фишинга является получение личных данных, а чтобы ими завладеть, фишер рассылает некие письма, которые подделываются под, например, письмо из банка, интернет-магазина, платежной системы и так далее. В письме вам сообщают какую-то тревожную информацию вроде "ваши данные были скомпрометированы, нужно срочно зайти в ваш аккаунт и сменить пароль" или "ваш банковский счет был заблокирован, нужно срочно зайти в ваш личный кабинет для разблокировки пароля", ну и там обязательно есть ссылка, которая вроде бы переводит вас на сайт банка (интернет-магазина, платежной системы), причем название домена может быть очень похожим (например, вместо адреса сайта vtb24.ru - какой-нибудь vtb24.bk).

Вы в панике отправляетесь по ссылке, видите страничку, имитирующую соответствующую страницу банка (интернет-магазина, платежной системы), вводите свой логин-пароль - и опа, они уплывают злоумышленнику!

Различные методы несанкционированного доступа к личным данным, основанные на знании человеческой психологии, называются социальной инженерией. Основной целью людей, использующих эти технологии, является получение доступа к защищенным системам с целью кражи конфиденциальной информации: логинов-паролей, данных кредитных карт и так далее. В подавляющем большинстве эти данные используются прежде всего для того, чтобы вас ограбить: украсть деньги с вашего банковского счета, электронного кошелька и так далее. В некоторых других случаях эти данные могут использоваться для шантажа и прочих методов воздействия, которые опять-таки направлены на то, чтобы получить у вас деньги.

А теперь представьте, что вору известны ваши реальные имя-фамилия, девичья фамилия вашей матери (а это в подавляющем большинстве случаев - кодовое слово в банке) и он с помощью фишинга получил ваши паспортные данные и логин-пароль к банковскому счету. Если вы при этом не озаботились включить для вашего счета подтверждение операций по SMS, то ваш счет теперь можно вычистить полностью!

Вы думаете, что если вы в социальной сети большинство личной информации сообщаете только "друзьям", то к ней нельзя получить доступ? Даже если в "друзья" вы добавляете практически только тех, кого вы знаете лично?

И вы считаете, что к вам в "друзья" при этом не сможет добавиться злоумышленник? Да сможет, конечно. Используя все те же методы социальной инженерии. Например, из ваших открытых записей выяснит фамилию-имя кого-то из ваших друзей, родственников или коллег, после чего создаст фальшивый аккаунт с таким именем-фамилией и попросится к вам в "друзья".

Да можно даже обойтись и без фальшивого аккаунта. В открытом доступе вы о себе сообщаете столько сведений, что можно просто написать личное письмо, в котором признаться в любви к той же музыкальной команде или увлеченности тем же хобби в виде собирания пивных этикеток, и попроситься в "друзья". Кто при этом откажет? Это же не в дом к себе привести, это просто какие-то почти мифические "друзья" в социальной сети. Но человек при этом получит доступ к достаточно конфиденциальным данным, которые вы считали защищенными.

Кстати, если знать технологии работы различных социальных сетей, там можно получить немало интересного. Например, вы знаете, как выяснить имя реального человека по его e-mail? Вот есть у вас только обезличенный e-mail. Какой-нибудь 123456@mail.ru. Как по нему узнать реальное имя человека и, возможно, еще и получить его изображение?

Заходим в "ВКонтакте", нажимаем "Забыли пароль?", вводим e-mail. Получаем вот это.

Ну, в данном случае там явно была какая-то чушь написана, однако если ввести тот же exler@exler.ru - получим следующее. Реальное имя и фото. Просто по почте.

Вы думаете, в Facebook как-то по-другому? Ничего подобного. Нет нужного человека в "ВКонтакте" - идем в Facebook. Нажимаем "Забыли пароль?", вводим почтовый адрес. Получаем.

Ну разве что "Одноклассники" все-таки поступают корректнее и лишнюю информацию не выдают.

Собственно, это все к чему? А к тому, что надо хорошо понимать следующие вещи:

  • любая информация, которую вы оставляете в Интернете, остается там практически навсегда и ее можно найти;

  • даже если в какой-то социальной сети уничтожили ваш аккаунт с информацией - эту информацию можно найти в кеше поисковых систем по соответствующему запросу;

  • уничтожить информацию о вас в кеше поисковых систем почти нереально;

  • сопоставить ваш аккаунт на одном форуме, другом, третьем, в службе знакомств, другой службе знакомств намного проще, чем вам кажется;

  • найти ваши реальные имя-фамилию по адресу электронной почты намного проще, чем вам кажется;

  • украсть вашу конфиденциальную информацию тоже обычно не сильно сложно.

Поняли, осознали? Теперь о мерах противодействия.

1. Слово - не воробей. Вылетит - не убьешь!

Любая информация, которую вы оставляете в Интернете, остается там навсегда. И тут не особенно важно, шифровались вы там или нет. На одном форуме вы назвали себя "Доктор Фрейд". На другом - "Доктор Френд". На третьем - "Френдовый доктор". И везде сообщали свой e-mail, рассказывали какие-то данные о себе. Вы действительно считаете, что это все нельзя сопоставить и выстроить цельную картину?

2. Максимальная защита

Во всем, что касается реально конфиденциальной информации, должна действовать максимальная защита, предлагаемая сервисом.

В электронном банкинге необходимо всегда использовать все средства, которые они предлагают. Карточка уникальных кодов, подтверждение каждого действия через SMS, потому что если логин-пароль у вас украсть можно, то карточку уникальных кодов или вашу сим-карту - уже значительно сложнее. Не ленитесь включать дополнительное подтверждение - это спасет вас от многих проблем.

3. Критически относиться к странным письмам

Как только вам приходит письмо из серии "Усе пропало, шеф, гипс снимают, клиент уезжает", а вам при этом предлагают срочно пройти по какой-то ссылке, ввести данные своей карты, срок действия и секретный код CV2 (дополнительные три цифры секретного кода, расположенные на обратной стороне вашей карты) - тут нужно сразу понимать, что это очередная фишинговая атака. Ни один банк у вас не потребует вводить непонятно где (особенно для "разблокировки аккаунта" и так далее) все эти данные. Они вводятся только при покупке чего-то в Интернете и только на проверенных сайтах, использующих специальные защищенные сервисы. У вас никто не может потребовать ввести подобные данные по письму - это фишеры.

В любом случае, если вы получаете странное письмо от вашего банка, интернет-магазина, электронного кошелька и так далее, просто позвоните (напишите) этому сервису - и вам объяснят, что это фишеры. Не надо тут же щелкать по ссылке и дарить фишерам свои конфиденциальные данные.

4. Не доверять - проверять

В Сети фраза "если у вас нет паранойи - это не значит, что за вами не следят" уже давно не анекдот, а чистая правда. Паранойей страдать не нужно, но за сохранностью своих данных нужно следить и не доверять их абы кому.

5. Средства защиты должны быть защищенными

Выбирайте только известные и проверенные средства защиты. И обязательно устанавливайте их на свой компьютер. Компьютер без средств защиты - как птица без крыла, хвоста и без тестикул, то есть абсолютно незащищенный!

Вроде бы это все прописные истины, но вы удивитесь тому, какое количество людей им почему-то не следуют.

© 1998–2024 Alex Exler
22.09.2015

Комментарии 18

Думаю, отсутствие акков в соцпомойках должно затруднить идентификацию. Лично я сру в каментах общаюсь на форумах под разными обезличенными никами и разными почтами. Для деловой переписки есть другая почта с реальными данными и она никода не светится в форумах и пр. Йа наивный йуноша?
22.09.15 10:06
0 0

А можно для особо тупых про паспорт: ну, сфоткаю я паспорт и выложу его на всеобщее обозрение... и чо??? Или это предупреждение только и ислючительно для дарагих рассеян?
22.09.15 10:29
0 0

denovch: А можно для особо тупых про паспорт: ну, сфоткаю я паспорт и выложу его на всеобщее обозрение... и чо???

Уже обсуждалось на форуме. Можно там и еще обсудить.
Да ничего особенного не случится. Только потом не удивляйтесь, если окажется, что эти данные оказались в каком-то гражданско-правовом договоре о котором вы ни слуху, ни духу. Ну или там, например, указаны как поручитель по кредиту, за человека которого в глаза не видели. Конечно, в итоге вы докажете, что никаким боком к этой афере. Но, нафига самому нарываться на неприятности.
За один только ваш номер телефона указанный мошенником как его собственный, вам коллекторы потом весь мозг изнасилуют. Что уж говорить о полных паспортных данных.
30.09.15 11:19
0 0

denovch: ну, сфоткаю я паспорт и выложу его на всеобщее обозрение... и чо???

Да в общем то ничего. Просто потом некотоые удивляются - эти мошеники все знали обо мне , даже дату выдачи паспорта, откуда, Карл?
22.09.15 10:44
0 0

22.09.15 10:42
0 0

В шпионаже есть метод сбора данных из открытых источников. По нектр. исследованиям это способ является в подавляющем большинстве случаев более эффективным, чем всякие шпионские страсти с перестрелками, переспалками, уголовными кражами и пр. безобразными кинопогонями.

Это, кстати, даже в нашем зак-ве отражено. Т.е. даже если ты собрал данные из открытых источников, но сумел сделать из них выводы, раскрывающие гос. тайну, то тебя легко могут укатать лет на 20 за измену.
22.09.15 11:34
0 0

В России - возможно (Поле Чудес все-таки), у нас нет.
22.09.15 12:28
0 0

Кстати товарищи на днях взломали пятерку андроида, причем тупым переполнением буфера памяти
22.09.15 12:54
0 0

"легкая подозрительность и клиническая пароноя суть синонимы" (с) единственное средство спокойной и нормальной жизни в сети да и в реале,
22.09.15 15:58
0 0

Вот, кстати, интересная статья про сбор информации из открытых источников: OSINT как метафора
22.09.15 17:21
0 0

Мой опыт с картами: я заклеиваю CCV код наклеечкой (отлично подходят акционные наклейки из супермаркетов). 3 цифры запомнить мне не сложно.
24.09.15 16:46
0 0

Меня тут заинтересовала фраза про паранойю и слежку. Встречал в двух вариантах: Если у вас мания преследования, то это не значит, что за вами не следят. Второй вариант с отрицанием установки. Мне кажется, что приведенный Алексом вариант (второй) - левый. Правильней первый.
24.09.15 17:34
0 0

Вы не путайте норманые страны и бандитский Абсурдистан. Да, в России модет все - Поле Чудес все-таки. У себя в стране никаких подобных страшилок не может случиться. И доказывать ОНИ должны. И с коллекторами пусть мои адвокаты беседуют.
30.09.15 11:30
0 0

"постоянно врали, причем на такие темы, на которые люди врут крайне редко"
прям заинтригован, что за темы на которые люди не врут..., подробнее можно?
20.01.16 14:47
0 0

Без этого никак. В отношении безопасности, посмотрел еще в источнике https://tsarev.biz/stati/audit-informatsionnoy-bezopasnosti/ Понравилось, как всё детально расписано. Да и парни помогут предоставить хорошую безопасность в короткие сроки.
06.09.21 11:05
0 0