Друк

Останнє оновлення (Неділя, 21 вересня 2008 18:43) Написав Сергій Клімович Неділя, 21 вересня 2008 14:23

Інтернет-нащадки лейтенанта Шмідта

Рівень комп'ютерної злочинності буде зростати. Фото gizmod.ru
З появою новітніх засобів масової комунікації народилася або отримала наступну реінкарнацію ціла низка способів шахрайства. Мережеві авантюристи всіх масштабів паразитують на нашій з вами легковажності.

Нещодавно один з віртуальних знайомих автора цього допису зробив в своєму ЖЖ симптоматичний в багатьох сенсах запис (із збереженням орфографії та пунктуації оригінала):

"Я сподіваюся ви не повелися на вчорашню провокацію і не попали на бабло. Вчора в мене ***бнули аську... моя зелена ***ня раптом стала червоною. Я спробував кілька разів увійти...

Виявляється панянці *** з моєї асі прийшло прохання перекинути гроші кудись-там і вона мало не повелася... ввечері прийшла смс від ***: "Поповнення ще актуальне?... Ти просив поповнити рахунок якійсь дівчинці"... Про номер нової аськи повідомлю додатково".

А за пару днів одразу від декількох своїх колежанок в одній з соціальних мереж автор отримав пропозицію на кшталт: "Надішли смс на номер телефону ХХХХ, проголосувавши за мій виграш новенького "Сітроен". А я згодом тебе покатаю столицею з вітерцем".

Наскільки відомо автору, махінація ледь не досягла своєї цілі - адже не я один отримав подібний мессидж. За день прийшло повідомлення іншого змісту: "Если придет сообщение об отправлении смс - не верь! Это спам!"

Для того щоб зрозуміти масштаби проблеми, достатньо "запиту" до інтернет-пошуковика: "вкрасти icq". В першій же п'ятірці результатів "вилізе" матеріал: "14 способів поцупити "аську".

Якщо ви втратили доступ до месенджера, то, цілком можливо, з таким ставленням до власної інформаційної безпеки можете попрощатися у майбутньому і з власною електронною скринькою.

А якщо уявити, скільки корисного "зав'язано" на ній ("відомість" адреси в діловому середовищі, масив корисних контактів, конфіденційна інформація, перелік всіх можливих логінів та паролів до мережевих сервісів тощо), то пропозиція викупу у зловмисника вашої скриньки зростає на порядки.

Ви, звісно, можете спробувати заблокувати її, але не факт, що крадій не "вичавив" з цього джерела все потрібне. Отже, якщо вам вся ця інформація все-таки потрібна, то легше просто домовитись.

Адже, навіть якщо зможете "виманити" його на приватну зустріч під виглядом звабливої Лоліти, ви отримаєте лише моральну сатисфакцію, набивши писка - тортури в Україні заборонені, та й довести факт махінації майже неможливо, адже смс не є речовим доказом.

Перелік методик мережевих шахраїв далеко не обмежується зламом профайлів та спам-розсилками вашим знайомим від вашого імені. Можливість для новацій тут необмежена.

І хоча Україна за рівнем такої високотехнологічної злочинності все ще трішки позаду США, Європи та Росії, але він росте пропорційно з поширенням Інтернету та інших новітніх комунікацій країною.

Одних лише сім-карт для мобілок на руках в українців більше півсотні мільйонів. Крім того, наразі статистика нараховує близько 8,5 користувачів Інтернету та не менше 50 мільйонів електронних банківських карток. Розкішний простір для діяльності, чи не так?

Наразі популярною технологією є так званий фішинг (phishing), термін співзвучний з англійським "риболовля". Це техніка, що направлена на шахрайське отримання конфіденційної інформації.

За допомогою фальшивого офіційного листа з банку чи платіжної системи, що має в собі лінк на підроблений веб-сайт установи, де "висить" анкета, злодії ловлять жертву на гачок. Автори анкети попросять ваші таємні дані починаючи від адреси і закінчуючи PIN-кодом картки.

Рай для махінаторів

Комп'ютерні махінації, втім як і будь-які інші, зав'язані на суто людських хибах та чеснотах - нерозважливості, легковірності, жадобі, жалості, чесності, недалекості та прагненні до шари.

І сучасні нечистоплотні прототипи для оповідань О'Генрі будуть мати своє стабільне куряче стегенце на хліб із маслом, доки людська натура не зміниться на краще, тобто завжди.

Махінації зав'язані на суто людських хибах та чеснотах - нерозважливості, легковірності, жадобі, жалості, чесності, недалекості та прагненні до шари. Фото vecherka.su 
Наразі в УаНеті квітнуть найрізноманітніші фінансові піраміди, "генератори електронних грошей", лотереї та інтернет-аукціони сумнівної репутації.

Головною їхньою цільовою аудиторією є літні люди та підлітки. І якщо виконавці таких старих як світ схем заробляють не так вже й багато, то їхні натхненники та винахідники "свіжої афери" отримують навари в сумах, що нараховують не одну трійку нулів в доларовому еквіваленті.

Після цього вони зазвичай легалізують ці гроші, засновуючи новий, на цей раз вже легальний бізнес.

Фактично єдиною зброєю, що може врятувати від того, аби стати об'єктом махінації, є здоровий глузд та елементарні навички щодо персональної інтернет-безпеки.

Що казати, коли лише чотири з десяти користувачів Мережі регулярно оновлюють своє програмне забезпечення для протидії несанкціонованому вторгненню?! Та й, чесно кажучи, жодна антивірусна програма на 100% не рятує від нього.

Наразі дуже частим є намагання підсадити у ваш комп'ютер так званого "троянця". Існує більше півдюжини різновидів цього недоброзичливого "коника".

Цілі, що переслідуються їхніми розповсюджувачами, бувають різними. Подібні програми багато чим можуть зашкодити користувачу.

Для початку такий "троян" допоможе зловмиснику вкрасти ваші персональні данні для зламу електронного гаманця (а потім поцупити електронні гроші), пошти, блогу, месенджера тощо для подальшого продажу.

"Троян" також може назбирати для хазяїна масу електронних адрес для подальшого формування спам-розсилки, дізнатися номер вашої дебетної картки для наступного її спустошення (через банкомат чи крамницю) або зателефонувати за океан (зиск отримає власник неприємної програмки).

Крім того, за його допомогою можна добратися до вашого жорсткого диску з потрібною інформацією або зробити з вашої ЕВМ зомбі, складову так званого ботнету.

Після цього комп'ютер без відома господаря буде використовуватися для різноманітних цілей: спам-розсилок, кластеризації (самовільного використання потужностей вашого комп'ютера), хакерських атак, несанкціонованого доступу до закритих мереж тощо.

Наразі ботнети є предметом активної комерційної діяльності на світовому чорному ринку. За деякими даними, кожний четвертий комп'ютер в світі є складовою мережі ботів.

Що стосується вірусів, іншого різновиду шкідливого ПЗ, то вони часто заробляють гроші своїм творцям, змушуючи, наприклад, браузер користувача заходити на певні сторінки, за що вірусолог, що привів "лоха", отримує певні грошові суми.

Ще одними фігурантами комп'ютерних махінацій є українські красуні - "напівнаречені". Але тут вже діє не технічний, а психологічний фактор.

Не секрет, що одним з елементів репутації нашої держави є краса українських жінок. І тут на сторожі мають бути обидві сторони - дуже часто чоловіки з-за кордону використовують свою візаві як безкоштовного секс-партнера та гіда по місту, а її оселю - як гідну альтернативу готелю.

Але вітчизняні панні в боргу не залишаються - далеко не поодинокими є випадки, коли вони примудрялися "розкручувати" потенційного судженого на гроші, аби "купити авіаквитка до коханого" чи "підлікуватися перед романтичним побаченням".

Не мідяки по кишенях тирити...

Жертвами високочолих махінаторів стають не лише фізичні особи, але й цілі організації. Наприклад, якщо говорити про мобільні телекомунікації, то, за даними тижневика "Контракти", споживацькі акції МТС "Приведи друга" та Life:) Леді-Лайф зазнали фіаско саме через махінаторів.

Цікавою і простою видається схема обдурювання операторів, коли відкривається безліч підставних контрактів на зв'язок (потрібні для цього ідентифікаційний код та копію паспорта можна купити в багатьох держустановах - вишах, лікарнях тощо), а нараховані в якості бонуса на них гроші "матеріалізуються" за допомогою фіктивних мобільних розваг.

Наприклад, зловмисник купив за безцінь дані по десятку громадян. Його співучасник-працівник компанії відкрив десять контрактів, на які оператор щомісяця протягом року кладе по 100 гривень.

Ці віртуальні "контрактники" грають в "мобільну вікторину", яка за це переводить з їх рахунків всю суму собі. В банку зловмисник отримує 6000 гривень, а мобільні оператори шлють ні в чому не винним громадянам запрошення до суду.

Коли мова заходить про махінації щодо компаній, то про банальне збагачення часто можна забути. В цих випадках часто потрібно говорити про такі категорії, як економічний та військовий шпіонаж, а також промислова розвідка та контррозвідка.

"Я видурю у вас останню копійку!!" Фото securitylab.ru 
Достатньо розповісти про деякі прийоми подібного типу шахрайств. Наприклад, так званий Qui pro Quo ("плутанина"). Нападник телефонує за випадковим номером до корпорації-жертви, і каже, що він - представник комп'ютерної технічної підтримки і для профілактики перевіряє технічні проблеми.

В процесі діалогу співрозмовник "сисадміна" під його чуйним керівництвом вводить до ЕВМ потрібні для зламу мережі компанії команди.

Або Road Apple: зловмисник може підкинути під ніс якомусь із працівників корпорації інфіковану "офіційну" флешку на парковці, в ліфті або туалеті компанії. На ній буде інтригуючий напис, наприклад, "Зарплата керівного складу 2001-2008".

Той, хто знайшов її, із задоволенням перевірить інформацію на корпоративному комп'ютері, заразивши всю локальну мережу шкідливим ПЗ, яке відкриває зловмисникові шлях до недешевої корпоративної інформації.

В сучасному квазіінформаційному суспільстві інформація набуває все більшої ваги. Як наслідок інформаційні війни також скоро можуть бути прирівняними до війн фізичних.

Так, DDoS-атаки, один з головних елементів нового типу війн якраз виконуються за допомогою ботнетів, а, отже, цілком можливо, вашим, таким рідним, домашнім комп'ютером.

Перспективи для кримінальних талантів

Рівень комп'ютерної злочинності рости буде пропорційно зацікавленості населення в віртуальному існуванні. Отже, до того, аби не втратити персональні фінанси та конфіденційну інформацію потрібно завжди бути напоготові (Див. нижче "Техніку кібергігієни").

Ще однією тенденцією є ускладнення технічних засобів протидії махінаторам. Тому все більшої ваги будуть набувати методи так званої соціальної інженерії, коли головним стане сумнозвісний людський фактор, а не технічний (Див. вище про Qui pro Quo).

Також не потрібно забувати про "міждициплінарність" - чим більше будуть між собою взаємодіяти ті ж гравці Інтернету, оператори мобільного зв'язку та банки, тим більше можливостей для "порівняно законних" способів заробітку буде у авантюристів.

Якщо ж говорити предметно, то "перспективними" видаються портативні мультимедійні гаджети, на кшталт смартфонів, ноутбуків тощо.

Вже існують мобільні "троянці", що потрапляють на ваш мобільник через bluetooth. Крім того, цікавою для злодіїв є ідея голосової ідентифікації в сфері банківських технологій, а також ще одне know-how - технологія мобільних платежів NFC.

Отже, не будьте нерозважливими та частіше перевіряйте свій комп'ютер за допомогою антивірусів, як автор в цей момент, наприклад.

Техніка Кібергігієни

1. Регулярно оновлюйте не тільки власну програму-антивірус, а й інше програмне забезпечення - розробники постійно працюють над "латанням дірок" в інформаційній безпеці.

2. Будьте вигадливим під час зміни старого паролю для "аськи", "мила", "ЛінкедІну" тощо, аби їх було важко зламати. Робіть зміни регулярно.

3. Не забувайте про так званий брандмауер або файрвол та шифруйте інформацію на своєму вінчестері.

4. Намагайтеся не заразити свій комп'ютер - не відкривайте вкладення до сумнівних листів.

5. Не починайте кар'єру дистанційної роботи з початкового грошового внеску роботодавцю.

6. Переконайтесь в автентичності щойно отриманого електронного листа щодо виграшу в лотерею.

7. Не станьте жертвою фішерів - банки та інші фінустанови НІКОЛИ не просять передати їм інформацію електронним листом.

8. Обачно користуйтеся кредитною або дебетною картками в Мережі, а краще заведіть для цих цілей окремий "пластик". Крім того, нікому не повідомляйте банківські паролі та реквізити.

9. Уникайте ресурсів з не надійних країн (Східна Європа, Балкани, Близький Схід, Південна Америка та Південно-Східна Азія)

10. Не довіряйте без перевірки маловідомим та сумнівним мережевим крамницям, аукціонам, продавцям-фізичним особам.

P.S. Мій антивірус таки знайшов "черв'яка"...

 

 Українська_правда _Життя