3. Перейдите на сайт https://howsecureismypassword.net и введите пароль от одного из ваших аккаунтов. Каков результат? Не забудьте после этого сменить скомпрометированный пароль.

4. Придумайте сложный, на ваш взгляд, пароль, который вам было бы относительно просто запомнить, и введите его на сайте https://howsecureismypassword.net. Устраивает ли вас результат?

○ Если да, то по схожей схеме создайте пароли для всех своих аккаунтов (но не используйте тот, который ввели на этом сайте). Для удобства можно использовать менеджер паролей.

○ Если нет – вернитесь к пункту 4 и выполните задание еще раз.

5. Вспомните, когда последний раз вы меняли пароли в своих аккаунтах. Если прошло много времени – сделайте это снова. Периодически возвращайтесь к этому вопросу (рекомендация специалистов – каждые 30 дней).

6. Проверьте сайты, на которых хранятся ваши персональные данные, и в случае поддержки дополнительного фактора аутентификации включить его!

Заключение

В этой главе вы узнали, что большинство пользователей не уделяют должного внимания защите своих персональных данных, по старинке используя наипростейшие пароли вроде 123456 или qwerty. Кроме того, многие включают в пароли названия сайтов, имена и различные словарные слова, упрощая хакерам взлом методом перебора. А другие, проявляя изобретательность, набирают слова на одном языке в раскладке на другом, мучаясь затем при использовании устройств с виртуальными клавиатурами. И самый главный враг безопасности – одинаковые пароли на нескольких сайтах. Преступнику достаточно узнать ваш пароль на одном сайте, чтобы похитить вашу цифровую личность целиком.

Вы научились придумывать надежные пароли и использовать для их запоминания не только мозг, но и специальную программу – менеджер паролей.

Помимо этого, вы узнали о преимуществах и недостатках систем многофакторной аутентификации; о том, какая из них самая безопасная и как ее правильно использовать.

Еще вы познакомились с основными способами биометрической аутентификации, которая, к сожалению, зачастую, наоборот, ослабляет защиту вашего устройства. Между тем на момент создания книги это одно из главных направлений развития информационной безопасности.

В следующей главе мы поговорим об электронной почте: вы научитесь отличать фишинговые письма от легитимных и выберете наиболее безопасный почтовый клиент, чтобы ваша переписка была доступна только вам и вашему собеседнику.

Глава 3
Электронная почта

Меня зовут Бакаре Тунде, я брат первого нигерийского космонавта, майора ВВС Нигерии Абака Тунде. Мой брат стал первым африканским космонавтом, который отправился с секретной миссией на советскую станцию в 1979 г. В 1990 г., когда СССР пал, он как раз находился на станции. Все русские члены команды сумели вернуться на Землю, однако моему брату не хватило в корабле места. С тех пор и до сегодняшнего дня он вынужден находиться на орбите, и лишь редкие грузовые корабли «Прогресс» снабжают его необходимым…

Из «нигерийского» письма^[94]. 2012 г.

То, что вы сейчас прочитали, не выдержка из фантастического романа и даже не сценарий очередного творения Голливуда, а фрагмент фишингового письма, из числа тех, что уже многие годы рассылаются по каналам электронной почты. К таким письмам, способным привести к утечке персональных данных, потере финансовых средств или даже жизни, мы вернемся чуть позже, а пока поговорим о том, чем же может быть опасна электронная почта.

Электронная почта, появившись более 50 лет назад^[95], в настоящее время практически заменила обычную, оставив последней лишь обмен бумажными документами и предметами. С помощью электронной почты люди общаются, пересылают электронные копии документов, фотографии и прочие данные, упростив и ускорив свои коммуникации. Электронная почта остается одним из основных каналов корпоративного и личного общения и при этом самым незащищенным каналом связи. Наряду с этим с помощью электронной почты осуществляется слежка за людьми, а также доставка вредоносного контента (92 % вредоносных объектов передается по электронной почте^[96]).

Далее рассмотрим основные опасности использования электронной почты.

Фишинговые сообщения

Первое, что приходит на ум в контексте «угрозы электронной почты», – фишинг. Это слово происходит от английского phishing (а phishing в свою очередь – слегка измененное fishing («рыбная ловля»)) и обозначает вид мошенничества, цель которого получение доступа к конфиденциальным данным пользователей, как правило, логинам и паролям. В большинстве случаев фишинговое письмо представляет собой поддельное сообщение якобы от банка, платежной системы или ритейлера^[97] с просьбой к адресату срочно передать какие-либо данные. Выдуманные причины запроса данных могут быть самыми разными – сбой системы, подтверждение личности, разблокировка счета или аккаунта, выплата вознаграждения или приза и пр. Согласно отчету ФБР, в 2019 г. это был наиболее распространенный вид киберпреступлений^[98].

Пример типичного фишингового письма показан на рис. 3.1.

Рис. 3.1. Фишинговое письмо якобы от компании Apple

В данном случае довольно легко определить, что на самом деле письмо получено не от компании Apple. Так, злоумышленники производили массовую (нецелевую) рассылку, поэтому вместо имени адресата указан электронный адрес (на рисунке размыт из соображений безопасности). Злоумышленники даже не потрудились разузнать имя владельца адреса электронной почты, хотя это довольно легко сделать. Рассылая такие письма, они рассчитывают на то, что потенциальная жертва испугается, поверив, что ее аккаунт заблокирован, сразу нажмет кнопку «Войти» и на открывшейся странице введет учетные данные своего аккаунта Apple ID. Но если посмотреть адрес, на который ведет кнопка-ссылка, то можно увидеть, что он принадлежит вовсе не серверу Apple. Кстати, если все-таки перейти по ней, откроется довольно похожая на оригинал копия сайта компании Apple с формой ввода адреса и пароля Apple ID. Причем в любые другие разделы сайта, например Support, перейти невозможно: ссылки никуда не ведут. Разумеется, при вводе данных авторизация не происходит, а информация передается злоумышленникам.

Мошенники становятся все более искусными и применяют методы социальной инженерии: от угроз («если вы не сообщите ваши данные в течение недели, ваш счет будет заблокирован») и личного обращения к жертве до шифрования ссылок или имитации реальных адресов. Фишеры стараются делать ссылки похожими на адреса реальных сайтов, поэтому только наблюдательный пользователь может обратить внимание на то, что адрес в строке браузера отличается от настоящего. Адреса могут включать в себя название реального домена, дополненное другими словами (например, вместо https://www.apple.com адрес https://www.login-apple.com). Популярный в последнее время фишинговый прием – рассылка писем, содержащих адрес с точками вместо косых черточек, внешне очень похожий на реальный (вместо https://www.apple.com/personal/login – https://www.apple.com.personal.login или, скажем, https://www.apple.com-personal.login). Применяется также многократное повторение слов в адресе сайта, что вводит в заблуждение невнимательных или неуверенно чувствующих себя в интернете людей (например, https://www.fcbk.com/www.facebook.com/facebook/login.facebook.com.php).

Есть и другие приемы, притупляющие бдительность пользователя. Так, ссылка может выглядеть как настоящая, но вести не на реальный сайт, а на ресурс мошенников. При этом различаются текст ссылки (если его скопировать именно как текст, вставить в адресную строку веб-браузера и нажать Enter, то откроется настоящий сайт) и значение элемента a в HTML-коде (это и есть ссылка на ресурс мошенников). Вот как может выглядеть HTML-код: <a href=«https://(невидимая ссылка на ресурс мошенников)»>https://(видимая ссылка на настоящий сайт)</a>. Некоторые сервисы электронной почты, если открывать их в веб-браузере (например, Safe-mail.net), при наведении указателя мыши на ссылку в письме показывают реальное значение элемента a в HTML-коде, а некоторые (например, почта «Яндекс») представляют его в зашифрованном виде. Либо, например, поддельная ссылка окружается второстепенными, позволяющими перейти на реальный сайт. На рис. 3.2 показан пример типичного фишингового сайта, передающего злоумышленникам логины/пароли аккаунтов Google. Обратите внимание на адрес сайта.

Примечание. Кстати, опасность фишинга существует при использовании не только электронной почты, но и любых других средств текстового общения, таких как мессенджеры и SMS (если вы размещали объявления на сайте Avito или «Авто.ру», то, вероятно, получали сообщения с предложением обмена товарами и перехода по ссылке). Кроме того, для фишинговых атак злоумышленники нередко используют и облачные сервисы, такие как «Google Календарь» и «Google Фото», размещая там документы с фишинговыми ссылками^[99].

Рис. 3.2. Пример фишингового сайта с формой Google

В редких случаях формы для ввода персональных данных могут содержаться в самом письме – тут важно помнить, что ни одна нормальная компания не будет поступать таким образом. Введенные в такую форму данные утекут на сервер злоумышленников.

КЕЙС Эксперт из Университета Эрлангена‒Нюрнберга провел среди студентов исследование^[100] с имитацией фишинговой атаки через электронную почту и Facebook. Было создано поддельное сообщение от имени организаторов форума по кибербезопасности со ссылкой для просмотра фотографий с мероприятия. Когда к адресату обращались по имени, по ссылке последовали 45 % людей, а когда без указания имени – 20 %. Большинство людей заявили, что щелкнули по ссылке из любопытства, доверяя своему компьютеру или университету. Кроме того, они посчитали, что компьютер заблокирует доступ к сайту, если тот окажется вредоносным. А один из студентов заявил, что не боится вирусов, так как пользуется macOS и Firefox.

Социальная инженерия

Вопреки мнению обывателей, большинство утечек данных и краж финансовых средств с личных счетов происходит не из-за взлома, а из-за несоблюдения жертвами элементарных правил цифровой гигиены. Грубо говоря, люди сами отдают преступникам сведения о себе и ключи для доступа к информации и банковским счетам. Для формирования доверительных отношений преступник представляется тем, кому жертва атаки может или должна доверять: сотрудником службы безопасности сервиса, банка или магазина, которым она пользуется; представителем органов власти или правоохранителем; родственником; человеком, попавшим в трудную ситуацию; ведущим шоу, в котором разыгрываются ценные призы, и т. п. В ходе атаки преступники часто применяют различные психологические уловки, например запугивая жертву (обвиняя в нарушении законодательства и даже в совершении преступления и т. п.) и пытаясь заставить быстро принять решение (заявляя, что срок действия предложения ограничен и т. д.). Псевдосотрудник службы безопасности может при разговоре включить запись звуков, характерных для работы в офисе; мошенник, говорящий с женщиной, может для создания напряженной обстановки включить запись голоса плачущего младенца. Нередко хакеры предварительно проводят разведку – анализируют сведения о жертве, доступные в социальных сетях. Они делают это с помощью инструментов для автоматизированного сбора данных (например, SimplyEmail^[101], ePochta Extractor^[102] или Foca^[103]) и прочих утилит (о средствах сбора информации рассказывается на сайте https://osintframework.com), а также утекших баз данных (например, https://weleakinfo.com с 10 млрд записей)^[104]. Собранная информация позволяет вести эффективные целенаправленные атаки.

Кейс В 2015 г. хакерами был взломан аккаунт PR-директора компании Acronis Екатерины Турцевой^[105]. Действуя от имени Турцевой, злоумышленники убедили ее друзей расстаться с более чем 250 000 рублей^[106].

В период пандемии COVID-19 злоумышленники (в том числе и продавцы фиктивных сертификатов) стали шантажировать покупателей фиктивных сертификатов о вакцинации, угрожая, что за хранение поддельного сертификата предусмотрена уголовная ответственность, и требуя с жертвы десятки тысяч рублей. Учитывая, что в России за покупку и хранение поддельного документа предусмотрено наказание до 1 года лишения свободы, многие жертвы отправляют деньги злоумышленникам. Аналогичные методы шантажа применяются к покупателям любых других нелегальных товаров^[107].

С поддельными сертификатами злоумышленники поступают двумя путями. Первый из них – генерируют поддельный сертификат с QR-кодом с внесением данных на государственные порталы. В этом случае сертификат неотличим от настоящего, но покупателю угрожает риск заражения и невозможность вакцинироваться, если он все же решится это сделать (по крайней мере, в государственных медучреждениях). Второй вариант – создают сертификат с QR-кодом, ведущим на фейковый сайт «Госуслуг». Такое предложение обходится покупателю дешевле, но и срабатывает не всегда, так как ориентировано на невнимательность людей, проверяющих QR-коды^[108]. В обоих случаях жертва передает продавцам фиктивных сертификатов внушительный объем персональных данных, которые те продают злоумышленникам или используют самостоятельно в шантаже покупателей как описано выше.

Все подобные способы атаки называются социальной инженерией – термин был введен Кевином Митником, известным хакером (ныне – специалистом по информационной безопасности (ИБ)). Преступники используют социальную инженерию, чтобы побудить (заставить) человека расстаться с деньгами или с ценной информацией (которую позже можно монетизировать с помощью шантажа). Это самый распространенный и успешный вид атаки^[109], наиболее неприятный для специалистов по информационной безопасности, поскольку такие преступления нельзя предотвратить с помощью технологий защиты. Здесь главную роль играет человеческий фактор – уязвимость потенциальной жертвы.

Современные методы социальной инженерии используются в основном для манипуляции пользователями интернет-сервисов (через сайты, вредоносное программное обеспечение, электронную почту, мессенджеры и пр.) и сотовых сетей (с помощью телефонии и SMS-сообщений). Но они могут применяться и при личной встрече (например, этим занимаются «представители пенсионных фондов», а также торговцы волшебных лекарств и «чудо-фильтрами для воды», ходящие по подъездам), при звонках на стационарные телефоны и даже в обычных почтовых отправлениях (например, в рассылках «с денежными призами»)^[110].

С особой любовью мошенники относятся к таким мероприятиям, как «черная пятница», во время которых на протяжении нескольких дней многие магазины продают товары по сниженным ценам. В этот период возникает много ресурсов типа https://blackfridayscom.tld, нацеленных на сбор личных и финансовых данных пользователей. Людей завлекают с помощью рекламных акций, таких как бесплатные подписки и реклама фейковых интернет-магазинов, якобы торгующих товарами мировых брендов с невообразимыми скидками. Аналогичные «акции» злоумышленники приурочивают к таким событиям, как выпуск новых флагманских устройств, предлагая раньше всех обзавестись «новейшим гаджетом», да еще и со скидкой. В реальности жертва получает реплику аппарата или вовсе лишается денег.

Примечание. Обратите внимание: на фишинговые сайты могут вести ссылки типа «Отписаться», какие обычно содержатся в рекламных электронных письмах и позволяют получателю отказаться от получения таких сообщений. Злоумышленники могут воспользоваться этим; когда получатель перейдет по такой ссылке, чтобы отписаться, он попадет на фишинговый сайт, крадущий данные. Поэтому всегда важно проверять адрес сайта в строке браузера, а еще лучше переходить на любые сайты, вручную набирая их адрес. Используя поисковые системы (в том числе и крупные – Google и «Яндекс») для поиска сайтов, также очень важно проверять появляющиеся в списке выдачи адреса ресурсов, на которые вы собираетесь перейти. Злоумышленники могут оплачивать рекламу поддельных сайтов с определенными ключевыми словами, стремясь попасть в топ поисковой выдачи.

В последнее время в России получили распространение фишинговые письма от имени сотрудников государственных организаций, в частности с ссылками на клоны сайта «Госуслуги» и банковских ресурсов с предложением оформить выплаты на ребенка, вакцинироваться от COVID-19 и т. п.^[111] После посещения подложного сайта пользователь вместо получения денег лишается их, перечислив злоумышленникам, а также предоставляет им свои персональные данные для дальнейших мошенничеств. Для проверки подлинности подобных предложений можно перейти на официальный сайт компании (в данном случае оператора сотовой связи) и проверить текущие акции там (либо позвонить на горячую линию компании).

Примечание. Согласно отчету^[112] компании Positive Technologies, в 2020‒2021 гг. чаще всего похищали учетные и персональные данные, а также информацию о платежных картах. Преобладали целевые атаки: 77 % всех киберпреступлений.

Важно отметить, что на фишинговых сайтах крайне опасно аутентифицироваться не только путем предоставления своих учетных данных, но и через аккаунты в социальных сетях (многим нравится этот быстрый способ авторизации на различных сайтах). Достаточно нажать кнопку (ссылку) для входа с аккаунтом Facebook, «ВКонтакте» и т. п., как на сайте автоматически создается профиль пользователя, и он получает доступ ко всем материалам ресурса. В случае если авторизация происходит на фишинговом сайте, личные данные пользователя утекают мошенникам. Если они получают логин и пароль, используемые вами в социальной сети, то могут осуществлять фишинг и рассылку спама уже от вашего имени, а также украсть ваши конфиденциальные данные и использовать их в целевых атаках против вас^[113].

«Нигерийские» письма

«Нигерийские» письма (по сути, это обычные фишинговые письма, но, так как название довольно известное, выделены в самостоятельный подраздел) получили свое название потому, что данный вид мошенничества весьма распространен в Нигерии (на самом деле подобные письма появились в XVI в. и в разные времена были известны как «испанские», «иерусалимские» и прочие письма). Суть их одна: заплатив автору письма некое вознаграждение, через некоторое время адресат якобы сможет получить сумму во много раз бóльшую (либо некие выгодные ему услуги). В одних случаях в письмах сообщается о выигрыше крупной суммы в лотерею или возможности приобрести дорогой товар с огромной скидкой, а в других письма рассылаются от имени богатого или известного человека, по каким-то причинам не имеющего доступа к своим деньгам, либо жертвы (сирийской летчицы, нигерийского космонавта или даже вдовы Мобуту Сесе Секо, бывшего диктатора Заира), которой необходима помощь, а в обмен на нее отправитель готов поделиться частью своих богатств. Встречаются письма, в которых получателю сообщается, что он – наследник почившего богатого родственника либо что он (получатель) может выдать себя за наследника. Мошенники также представляются одинокими несчастными людьми, на которых свалилось огромное наследство или выигрыш, но они застряли где-то в Африке или Южной Америке, брошенные недругами, и не могут оттуда выбраться, если им не перечислить некую сумму на перелет.

Рассылаемые сотнями тысяч, эти письма содержат настолько разнообразные и захватывающие сюжеты, что «нигерийские» спамеры даже получили в 2005 г. Игнобелевскую премию по литературе (в России ее часто называют Шнобелевской). Иногда в письмах содержатся якобы выгодные коммерческие или кредитные предложения. Или объявляется псевдолотерея, и адресату предлагается компенсировать расходы на пересылку, налоговые сборы и т. п., чтобы получить дорогой приз. В конечном итоге либо жертва не получает ничего, либо «приз» не окупает затрат: это может быть реплика или неработающее устройство. Чтобы заверить адресата в искренности своих намерений, мошенники могут просить не пересылать деньги непосредственно им, а открыть через интернет счет в определенном банке и внести деньги туда. В таких случаях они создают сайт несуществующего банка или имитируют сайт реального банка, а внесенные средства похищают.

Чаще всего в качестве помощи злоумышленники просят перечислить некую сумму – десятки, сотни и даже тысячи долларов, в обмен обещая прислать колоссальное количество денег через несколько дней или недель. Иногда жертве предлагают полулегально поехать в Нигерию или иную страну якобы для тайной встречи с высокопоставленным чиновником. По прибытии жертву похищают или арестовывают за незаконный (без визы) въезд в страну, и преступники вымогают выкуп за ее освобождение. Известны даже случаи убийства жертв махинаций.

Гротескность и причудливость историй в «нигерийских» письмах вовсе не свидетельствуют о глупости их создателей. Такой стиль писем – это тонкий психологический прием, позволяющий отсечь всех, кроме самых наивных. В противном случае мошенники бы утонули в переписке со скептиками. Практически все получатели просто удаляют такие письма, прочитав первые несколько строк и даже не задумываясь о том, чтобы вступить с отправителями в переписку. Но, согласно прогнозам, к концу 2022 г. число пользователей электронной почты превысит 4 млрд^[114]. Поэтому легковерных людей, которые станут жертвами такого мошенничества, может все же оказаться очень много. Только за 11 месяцев 2018 г. было зарегистрировано 760 обращений (большинство жертв обмана вовсе не сообщают об этом) по факту мошенничества с помощью «нигерийских» писем, а суммарно жертвы выплатили мошенникам свыше 1 млн долларов^[115]. Согласно статистике, одинаково уязвимы люди любого возраста, причем охотнее с деньгами расстаются женщины.

КЕЙС В 2006 г. «нигерийским» мошенникам с помощью фальшивого предложения о выгодной сделке с Нигерийской национальной нефтяной компанией на 600 000 долларов удалось обмануть Иржи Пасовски. Удивляет то, что в прошлом Пасовски был ни много ни мало сотрудником тайной полиции Чехословакии и, в свое время пройдя проверку на полиграфе, смог завербоваться в ЦРУ США, став двойным агентом^[116].

Еще один вид писем – с лживым предложением высокооплачиваемой работы. Обнаружив точные совпадения между своим резюме и требованиями мнимого работодателя, жертва обычно теряет бдительность и заполняет анкету, в которой, помимо прочего, требуется указать банковские реквизиты. Дальше такие данные (в зависимости от полноты) продают мошенникам, занимающимся кражей личных данных, либо используют для дальнейшей обработки жертвы, вплоть до кражи денег с ее банковского счета.

КЕЙС Украинцу Артему Геращенкову в ответ на «нигерийское» письмо удалось выманить у мошенников 600 долларов. Мошенники выдали себя за девушку из США и через социальную сеть начали общение с Артемом. «Девушка» просила выслать ей 50–60 долларов, чтобы познакомиться с ним ближе. В ответ Артем рассказал, что является экспортером продукции Apple и как раз собирается отправить партию из 200 смартфонов iPhone, из которых «девушка» сможет взять себе один, а остальные передать в салон связи. Свои слова Артем подкреплял фотографиями, взятыми из интернета. Взамен Артем попросил мошенников оплатить только один смартфон из якобы готовой к отправке партии. В конце концов те согласились и перевели Артему 600 долларов. Когда же мошенники попросили у своего собеседника номер грузовой декларации, тот отправил им фотографию чернокожего мужчины и «признался», что сам родом из Нигерии^[117].

Нередки письма с ложными извещениями о штрафах (и предложениями оформить страховку ОСАГО или КАСКО) от ГИБДД, Федеральной налоговой службы, управляющих компаний (ЖКХ), а также послания якобы от местных органов власти с предложением перевести деньги на оплату некоего мероприятия или на благотворительность.

Доверчивых граждан пытаются обмануть и люди, выдающие себя за бывших сотрудников компаний сотовой связи и прочих коммерческих организаций. Заявляя, что мстят предыдущим работодателям, они «раскрывают» легковерным людям некие «секретные номера»: якобы если перечислить на них деньги, можно удвоить (утроить и т. д.) свои вложения или получить копеечные тарифы с безлимитным трафиком. Среди мошенников на доверии также встречаются «обладатели волшебных кошельков», которые выманивают деньги, обещая последующее получение выгоды. Все «волшебство» заключается в магическом исчезновении вложенных пользователями денег.

К классике жанра также относятся романтические письма – послания от прекрасных незнакомок (незнакомцев), желающих общаться. То у мошенника якобы не хватает денег на телефоне, то происходят неприятности с карточкой, то еще что-то. Пока пользователь оплачивает все его прихоти, общение продолжается, причем жулик всегда выдает себя за другого человека.

Злоумышленники, рассылающие «нигерийские» письма, стараются реагировать на происходящие в мире события, будь то землетрясение в Мексике или наводнение в Сочи, беспорядки в США или пандемия COVID-19 – такие катаклизмы не остаются без их внимания. Они рассылают сообщения от имени людей, чьи родственники погибли во время катастроф, и просят оказать помощь в получении оставленного ими наследства^[118].

Фарминг

Фишеры постоянно совершенствуют свои приемы. Появилось понятие «фарминг». Оно также означает кражу персональных данных пользователей, но не через почту, а непосредственно через официальные сайты. Злоумышленники перехватывают и модифицируют DNS-запросы и меняют адреса оригинальных сайтов на поддельные, и пользователи перенаправляются на сайты хакеров. Такой способ еще более опасен, так как пользователь практически не способен обнаружить подделку.

Также мошенники берут на вооружение и технологии, разрабатываемые с целью повышения уровня безопасности. Так, протокол HTTPS, призванный гарантировать подлинность посещаемого ресурса, в последнее время используется и кибермошенниками. Согласно отчету^[119] компании Purplesec, уже в 2019 г. 50 % всех фишинговых сайтов были размещены на доменах HTTPS. В 2016 г. таких сайтов было менее 3 %, а в 2015-м – менее 1 %^[120]. Для использования протокола HTTPS злоумышленники приобретают в недобросовестных центрах SSL-сертификаты, необходимые для полного копирования легальных ресурсов, размещенных на «безопасных» HTTPS-доменах. Примечательно, что такие фишинговые копии и без SSL-сертификатов отлично привлекают жертв, но мошенники идут на этот дополнительный шаг, чтобы ловушка точно сработала.

Многие пользователи думают, что протокол HTTPS автоматически гарантирует подлинность ресурса, но это не так. Этот протокол, как и SSL-сертификат, оповещает лишь о шифровании канала связи между браузером и сайтом, который может быть как подлинным, так и поддельным. Поэтому в любом случае важно проверять доменное имя^[121].

Для мелких мошенников целевой фишинг слишком сложен, их задача – охватить как можно больше пользователей; самые легковерные из них откликнутся на вредоносные письма. Письма со ссылками на незнакомые сайты, как правило, сразу настораживают внимательных пользователей, и они не поддаются на обман. Максимум, на что способны мелкие фишеры, – захватывать и подставлять в письма имя и фамилию, используя для этого автоматические способы извлечения персональных данных из открытых источников (социальных сетей, профилей типа «Мой мир» и т. п.) и взломанных или утекших баз данных, где имена соседствуют с адресами электронной почты.

Другое дело – целевой фишинг, осуществляемый людьми с серьезными намерениями; об этом речь пойдет далее.

Целевой фишинг

Один из самых опасных видов фишинга – целевой: атака ведется с целью получить данные конкретного человека или определенной компании. Целевой фишинг намного опаснее, поскольку, как правило, совершается специально подготовленными людьми, предварительно собравшими некоторую информацию о жертве, чтобы их предложения выглядели как можно более убедительными. Качественное целевое фишинговое письмо крайне трудно отличить от настоящего, так как в нем указываются такие данные, как имя и фамилия человека; учитываются сведения из его биографии, родственные связи, его привычки, слабые места и другая информация. В большинстве своем при целевом фишинге, как, впрочем, и любом другом, злоумышленники преследуют одну из двух целей (или обе): украсть деньги или ценную информацию (с помощью которой опять же получить деньги или устранить жертву).

В октябре 2017 г. экспертами «Лаборатории Касперского» была выявлена целевая BEC-атака^[122], направленная на финансовые учреждения, прежде всего российские банки. Атакующие использовали очень эффективный метод – получили доступ к внутренней банковской сети и долгое время изучали ее инфраструктуру. Проникновение в сети происходило посредством целевого фишинга – с помощью содержащих вредоносные вложения электронных писем с принадлежащих сотрудникам реально существующих электронных адресов (они были элементами ранее зараженной сети), что существенно повысило шансы на заражение. Во вложении находился файл формата CHM (справочный файл компании Microsoft) – по сути, сжатый в единый документ набор HTML-страниц, допускающий выполнение JavaScript-сценариев для перехода на внешние URL-адреса. В случае открытия файла запускался скрипт, скачивающий файлы для загрузки и запуска троянской программы Silence, отвечающей в числе прочего за запись находящегося на экране изображения^[123]. Таким образом злоумышленники могли следить за сотрудниками банка и выбирать тех, кто обладает ценной информацией, а далее, досконально изучив принципы работы информационных систем банка, переводить финансовые средства на свои счета^[124]. Обычно целенаправленно атакуют крупные компании, банковские или государственные структуры, а также известных людей. В компаниях целями злоумышленников чаще всего становятся бухгалтеры и специалисты по набору персонала и связям с общественностью, а также топ-менеджеры и прочие сотрудники, вынужденные открывать множество документов из сторонних источников. Например, бухгалтерам и менеджменту компаний, участвующих в серых и черных финансовых схемах, рассылаются письма от имени руководства с требованием срочно и тайно перевести некий платеж на определенный счет. В них используются ранее похищенные данные реальных сотрудников, поэтому такие письма выглядят убедительно. В других случаях жертву вначале втягивают в некую серую схему, а затем шантажируют угрозами обратиться в полицию или к руководству. Мошенники могут представляться сотрудниками органов охраны правопорядка или налоговой службы и так же шантажировать адресата.

https://pikabu.ru/story/nigeriyskiy_kosmonavt_22_goda_v_kosmose_872076. https://www.white-windows.ru/history-created-email/. https://purplesec.us/resources/cyber-security-statistics/. https://securelist.ru/spam-and-phishing-in-q3-2017/87797/. https://pdf.ic3.gov/2019_IC3Report.pdf. https://www.kaspersky.ru/blog/spam-through-google-services/22834/. https://www.businessinsider.com/expert-phishing-emails-2016-8?IR=T. https://github.com/SimplySecurity/SimplyEmail. https://www.epochta.ru/extractor/. https://github.com/ElevenPaths/FOCA. https://xakep.ru/2018/05/17/social-engineering/.

105. https://twitter.com/Turtseva/status/577712245011939328.

https://sergeydolya.livejournal.com/938717.html. https://secretmag.ru/news/v-rossii-nachali-shantazhirovat-pokupatelei-poddelnykh-spravok-o-privivke-31-07-2021.htm. https://secretmag.ru/criminal/epidemiya-obmana-v-rossii-rynok-poddelnykh-qr-kodov-o-vakcinacii-rastyot-pugayushimi-tempami.htm. 98 % кибератак совершаются с применением методов социальной инженерии. https://purplesec.us/resources/cyber-security-statistics/.

110. Приемы атаки с применением социальной инженерии и методы защиты от них описываются в этой книге на многочисленных примерах. Кроме того, рекомендую прочитать книгу Кристофера Хэднеги «Искусство обмана: Социальная инженерия в мошеннических схемах» (М.: Альпина Паблишер, 2020).

https://securelist.ru/spam-and-phishing-in-q1-2021/101270/. https://www.ptsecurity.com/upload/corporate/ru-ru/analytics/Positive-Research-2019-rus.pdf. https://securelist.ru/battl-goda-moshenniki-protiv-zdravogo-smysla/80081/. https://www.radicati.com/wp/wp-content/uploads/2018/01/Email_Statistics_Report,_2018-2022_Executive_Summary.pdf. https://www.scamwatch.gov.au/about-scamwatch/scam-statistics?scamid=6&date=2018. https://www.radio.cz/en/section/curraffrs/freed-killer-of-nigerian-diplomat-reported-to-have-been-communist-spy. https://medium.com/russian/нигерийские-деньги-f319cda6fb15. https://securelist.ru/spam-and-phishing-in-q3-2017/87797/. https://purplesec.us/resources/cyber-security-statistics/. https://www.helpnetsecurity.com/2017/12/06/why-phishers-love-https/.

121. https://threatpost.ru/phishers-put-fake-ssl-to-their-sites-we-are-all-gonna-die/23649/.

BEC (Business email compromise) – вид киберпреступлений с использованием электронной почты. Атаке подвергаются коммерческие, государственные и некоммерческие организации. Подробности: https://www.fbi.gov/scams-and-safety/common-scams-and-crimes/business-email-compromise. https://securelist.ru/the-silence/87891/. https://www.kaspersky.ru/blog/silence-financial-apt/19121/.