В случае шпионажа в зоне риска находятся сотрудники, имеющие доступ к техническим системам и сведениям: системные администраторы и ИТ-специалисты. Причем список сотрудников с именами и фамилиями, а зачастую и с должностями довольно легко составить даже по открытым данным: многие из служащих указывают место работы в профилях в социальных сетях; нередко сослуживцы даже объединяются в группы. Корпоративные адреса, как правило, не гуглятся, но раздобыть парочку вполне реально, для этого злоумышленники отправляют сообщения на публичный адрес или общаются по телефону с ресепшена, применяя методы социальной инженерии. Далее – дело техники. Обычно системные администраторы придумывают адреса электронной почты по шаблону: допустим, фамилияИО@компания.com. Сопоставив паттерн со списком имен и фамилий, полученным ранее, злоумышленники составляют список адресов корпоративной электронной почты с именами сотрудников.
Изредка встречаются даже обращения с угрозами от имени киллера, нанятого родственниками или конкурентами. Здесь от злоумышленников требуется идеальное знание потенциальной жертвы и ее контактов (в чем отлично помогают социальные сети). В этом случае адресату предлагается заплатить киллеру, чтобы тот не выполнял работу либо к тому же устранил заказчиков.
Рядовые пользователи редко становятся жертвами целевого фишинга, так как для него требуется много ресурсов (в том числе и финансовых) и времени, а выгода в таком случае сомнительна.
Как злоумышленники проникают в информационные системы
О семи шагах злоумышленника при проникновении в информационную систему вкратце рассказала компания Lockheed Martin в документе «Убийственная цепочка
[125],
[126]»:
1. Разведка. Исследование, идентификация и выбор жертвы, зачастую с использованием открытой информации, которую можно получить в социальных сетях, на новостных сайтах, на конференциях и т. п.
2. Вооружение. Оснащение вредоносным содержанием (эксплойтом
[127] с бэкдором
[128]) файла (например, PDF или Office), который должен быть открыт жертвой.
3. Доставка. Доставка жертве вредоносного контента посредством электронной почты, веб-ссылки, USB-устройств и т. п.
4. Заражение. Запуск вредоносного кода с использованием обнаруженных на компьютере жертвы уязвимостей.
5. Установка. Внедрение вредоносного кода в компьютер жертвы для обеспечения связи с оператором.
6. Управление. Организация канала для удаленного выполнения команд на компьютере жертвы.
7. Захват. Сбор и кража данных, шифрование файлов, перехват управления, подмена данных и выполнение других задач, стоящих перед нарушителем.
В других случаях помощь злоумышленникам может оказывать специально нанятый или подготовленный инсайдер
[129], в том числе и «злая горничная».
Опасность фишинговых сообщений в ближайшее время вряд ли исчезнет; напротив, скорее их доля в почтовом трафике возрастет – в том числе из-за распространения фишинговых наборов. Они представляют собой набор готовых фишинговых сайтов, для использования которых злоумышленнику нужно лишь разместить их на сервере (хостинговой компании) и подставить свои данные. Стоимость таких наборов, продающихся в интернете, от 20 до 300 долларов
[130]. Примечательно, что такие наборы в основном применяют скрипт-кидди – злоумышленники без квалификации (они используют их сами или являются работниками, нанятыми другими злоумышленниками (см. рис. 3.3 – в данном примере ведется набор спамеров для фишинга в сети «ВКонтакте»).
Рис. 3.3. Сообщение о найме на работу
Кроме того, размещаемые в интернете фейковые сайты из фишинговых наборов могут содержать бэкдоры, благодаря которым авторы таких наборов получают копию всех данных, которые собирает фишер
[131], т. е. серьезные хакеры нередко предпочитают извлекать деньги из фишеров, воруя уже украденные данные
[132].
Вредоносные сообщения
Хотя практически все пользователи слышали об опасности заражения устройства при открытии вложений электронной почты или ссылок, ведущих на зараженные сайты или сайты, предлагающие скачать зараженный файл, все еще остаются те, кто необдуманно открывает вложенные файлы, не проверяя отправителя. Впрочем, даже если отправитель вам известен, это не гарантирует подлинность письма. Злоумышленники способны подделать адрес отправителя, чтобы письмо выглядело как настоящее, и, применяя методы социальной инженерии, пытаться заставить получателя немедленно открыть вложение. Как и в случае фишинга, такие рассылки могут быть и массовыми, и целевыми, с предварительным анализом данных об адресатах.
Вредоносное ПО в виде вложений встречается
[133] не так часто, как раньше, потому что в большинстве случаев оперативно перехватывается антивирусными программами. Для обхода антивирусной защиты злоумышленники вкладывают безобидный файл, который проходит проверку на предмет отсутствия вирусов, но после запуска скачивает и исполняет вредоносный код либо перенаправляет получателя на фишинговый/вредоносный сайт. Хакеры используют и другие методы защиты своих атак, например встраивают в фишинговые страницы CAPTCHA-код, который надо ввести для загрузки вредоносного содержимого на устройство посетителя. Такие коды гарантируют, что доступ к вредоносному контенту получит живой человек, а не боты автоматических защитных механизмов, которые должны обнаруживать и блокировать подобные атаки
[134].