Read the book: «Цифровой иммунитет: защита от киберугроз. Практическое руководство по кибергигиене и устойчивости систем для специалистов по ИБ», page 5

Дисциплинирование цифровой гигиены

Работа, направленная непосредственно на формирование полезных сетевых привычек, должна начинаться с введения и, как следствие, четкого понимания понятий «субъект профилактики», «объект профилактики», «цель и средства профилактики» и в завершение «результат профилактики». По аналогии с грязными руками: руки нужно мыть, мыть нужно чистой водой с мылом и перед едой. Субъектом профилактики принято считать саму информацию, распространению которой вы хотели бы помешать. Объектом профилактики считают самого человека, обладающего информацией. Продолжая аналогию с «грязными руками», мыть их нужно, чтобы избежать проблем, ведь «профилактика есть лучшее лечение». Цель и средства профилактики – это выработка алгоритма защиты информации, а также программно-аппаратные средства. Результат, в свою очередь, – это выработанный алгоритм защиты данных. При самообучении следует понимать, что всего ассортимента цифровых угроз не предусмотреть, каждая угроза уникальна по-своему. Привычка ограждать себя от получения излишней информации и контролировать исходящий поток информации должна перейти на уровень автоматизма, какими бы жесткими методами ограничений этого ни пришлось добиваться. Также важно выработать привычку, уж простите за мой французский, «фильтровать базар» – следить за тем, что вы публикуете, как реагируете на новость или комментарии других пользователей. Простой способ – это поддержание определенного образа в Сети; старайтесь не отходить от него, как бы ни хотелось доказать «неразумным хазарам» свою правоту.

Согласно статистике, младшее поколение пользователей Сети предпочитает общение в виде аудио- и видеозвонков, коротких сообщений в мессенджерах или посредством других социальных сетей, ориентированных на фото- и видеоконтент. Старшее поколение более ориентировано на информацию, подаваемую в виде текстов – будь то мессенджеры, социальные сети (им они предпочитают различные форумы) или статьи в интернете. Соответственно, для разных возрастных категорий используются разные степени блокировки нежелательной информации и разные подходы к дисциплинированию.

Весь алгоритм обучения необходимо выстраивать по следующему принципу.

Развивать базовые навыки ограждения информации, как входящей, так и исходящей – здесь пригодятся техники не только преданализа, но и верификации. Под верификацией принято понимать сопоставление фактической информации с предлагаемой – отличать фейковые новости, понимать технологию «дипфейк» и дезинформации, розыгрышей и мошеннических действий. При выборе средств формирования умений и навыков верификации информации следует ориентироваться на методы, развивающие способность к критическому восприятию и анализу информации, а также дающие базовые навыки работы со специальными техническими средствами. В частности, при разоблачении фейк-ньюс могут использоваться обычные популярные поисковые системы – для поиска источника искаженной или ложной информации, первоисточников фото-, аудио- и видеоконтента, сопоставления информации об одних и тех же событиях из разных источников.

Кроме того, сегодня существуют специальные интернет-сообщества, занимающиеся разоблачением фейков, например, телеграм-канал «Война с фейками» или сайт «Лапша медиа», где есть даже форма анонимной обратной связи, через которую можно подать предположительно фейковую информацию для проверки специалистами. Кроме того, существует специальное программное обеспечение, работающее и онлайн, которое позволяет выявлять источники происхождения информации, проводить проверки текста на плагиат, фотографии на факт наличия ретуши, звука и видео на наличие монтажа или подделок, в том числе с использованием технологии «дипфейк».

Следует развивать навыки защиты персональных данных и технологий доступа – они позволяют существенно снизить угрозу кражи данных, их мошеннического применения, сбора компрометирующей информации, а также предотвратить кражу денежных средств, шпионаж и даже нивелировать возможность вербовки в различные (в том числе и незаконные) организации. При выборе конкретных средств для формирования умений и навыков защиты персональных данных и данных доступа следует ориентироваться на методы, развивающие ответственное отношение конкретного человека к персональной информации, которую выкладывают в открытый доступ или доступ к которой самостоятельно предоставляют третьим лицами или программному обеспечению, включая мобильные приложения. Акцент нужно делать на том, что пользователи занимают, как правило, пассивную позицию, согласно которой все, кому надо, и так все про нас знают. И утверждение типа «если какая-то ИТ-корпорация хочет собрать информацию о человеке, она это сделает» практически всегда ошибочно. В последние годы законодательство, в том числе международное, в сфере защиты прав на приватность получило очень мощное развитие, особенно в плане сетевой конфиденциальности. Это привело к тому, что крупнейшие ИТ-корпорации, включая разработчиков популярных сетевых сервисов, социальных сетей и мессенджеров, вынуждены были дать пользователям возможность самим решать, какие данные они считают нужным предоставить. Новые права позволяют и не предоставлять в Сеть никакой информации в угоду анонимности и конфиденциальности.

Кроме того, важно понимать: в утечках информации о себе экономического, юридического, социального, психологического характера, которую собирают и анализируют мошенники и вербовщики с целью использования в противоправной деятельности, в том числе и набирающим сегодня популярность методом OSINT (которому посвящена одноименная глава в этой книге), виноватым может быть только сам пользователь Сети.

OSINT

Про OSINT следует рассказать поподробнее. Сама расшифровка метода (open-source intelligence) уже намекает на технологию процесса – это методика сбора и классификации расположенных в открытом доступе данных об отдельном человеке или организации. Изначально применявшийся исследователями безопасности, OSINT быстро стал инструментом киберпреступников, ведь с ним можно собрать огромный массив данных о цели, нужно лишь немного поработать головой и руками. Однако не так все просто, даже этот метод имеет несколько приемов работы, которые можно разделить на две группы.

Первый – это использование краулеров (краулер – «сборщик» или «комбайн» – набор инструментов), которые делают большую часть работы в автоматическом режиме. Совместно с майнд-мапами (инструментами для визуального представления данных/идей и удобной работы с ними) это дает широкое представление о цели за очень короткое время.

Второй – это использование пассивной или активной разведки в Сети либо комбинирование этих методов. Рассмотрим оба типа подробнее.

– Использование майнд-мапов действительно упрощает работу над сокрытием информации, находящейся в свободном доступе. Как правило, майнд-мапы можно использовать либо ручным способом, когда из всех инструментов у пентестера (пентест – тестирование на проникновение, от Penetration Test; пентестер – ИБ-специалист, тестировщик приложений и систем на возможность проникновения) есть лишь поисковая строка, две руки и блокнот для пометок – раз за разом пентестер «пробивает» те или иные данные через популярные поисковые системы вручную, делая пометки для составления полного отчета по безопасности того или иного массива данных. Но ведь это утомительный и довольно нудный процесс. Для упрощения существует OSINT Framework (база для помощи в реализации), который работает в автоматическом режиме, выполняя всю нудную работу вместо пользователя. Инструмент вобрал в себя все базы данных, по которым только можно провести тестирование на выявление конфиденциальной информации в свободном доступе. Ведь мы же не хотим стать жертвой киберпреступников? Но вот что следует знать об автоматическом методе OSINT: нельзя просто так запустить процесс и оставить его на самотек. Весь процесс необходимо контролировать и время от времени направлять в нужное русло.

– Разведка в Сети вручную также входит в алгоритмы OSINT и, как уже сказано выше, может выполняться активным или пассивным методом. Разница между этими методами – во взаимодействии с целью разведки. В случае пассивной разведки информация о жертве собирается аккуратно, не затрагивая сам объект – через поисковые сервисы, в том числе и так называемые хакерские службы сбора данных, через извлечение необходимой информации из метаданных, а также контроль поведения объекта в социальной сфере (поиск вакансий или сотрудников, как пример). Активная разведка подразумевает прямую работу с конкретным доменом или обслуживающей его инфраструктурой, что может иметь серьезные последствия для атакуемого объекта. Именно поэтому активную разведку применяют реже, чем пассивную, что позволяет готовить атаку менее заметно.

Для понимания работы методики приведу вам один реальный кейс, где OSINT использовался для поиска причины неких финансовых неприятностей целой группы компаний.

В компанию, в списке услуг которой есть «цифровая разведка», обратился некий предприниматель, который решил проверить руководителя одного из направлений бизнеса. Причиной обращения было существенное увеличение объемов финансовых переводов. По бумагам получалось, что компания оплачивает консультационные услуги некоей организации. Однако организация-получатель работала в аграрном секторе, с которым никаких общих дел структура компании-плательщика иметь не могла.

Сотрудники компании, заключив соответствующие договоры, приступили к работе по методам OSINT. Первым делом «разведчики» начали сбор информации о подозрительном сотруднике и установили, что некогда он участвовал в аграрном проекте, который быстро «прогорел» и закрылся. Информации о нем в Сети не было – видимо, не настолько «громким» оказался, однако нашли одну любопытную деталь. Одним из участников проекта выступал однофамилец виновного в растратах сотрудника, который при проверке данных через социальные сети оказался на пару десятков лет старше подозреваемого. Когда стали проверять по различным базам конкретные персоны, выяснилось, что это отец и сын. Стали проверять уже отца – и выяснилось, что, согласно сайту Федеральной службы судебных приставов, отец имел целую папку исполнительных документов на общую сумму свыше 200 миллионов рублей! Во время глубокой «отработки» этой связи и выяснилось: отец подозреваемого сотрудника открыл новую компанию, куда переводились деньги с основных счетов обратившегося к «разведчикам» бизнесмена, а использовались они… для погашения долгов отца подозреваемого!

Конечно же, бизнесмен обратился в суд – закон встал на сторону истца, и нерадивый сотрудник вместе с отцом был осужден по статьям «мошенничество» и «хищение» на долгий срок, а все их имущество ушло с молотка в счет погашения задолженностей.

Самое удивительное в OSINT – это то, что процесс такого сбора доступен каждому пользователю Сети, в той или иной мере собрать необходимую информацию может даже дилетант. Ведь многие читатели сталкивались или хотя бы слышали про женщин, которые в пылу ревности (иногда и имевшей реальную основу) выискивали соперницу в социальных сетях своей второй половины.

Отдельного внимания заслуживает тема интернет-шантажа. Зачастую жертвами становятся лица, пытающиеся с помощью социальных сетей завести знакомство с целью налаживания личной жизни. В данном случае злоумышленники преимущественно используют поддельные аккаунты в соцсетях для получения интимных фото-, видеоизображений, с помощью которых затем шантажируют потерпевшего. Такое уже случалось в недалеком прошлом в Южной Корее: некий злоумышленник, пользуясь сайтами знакомств, располагал к себе своих будущих жертв и, собрав о них всю информацию (где живут, с кем, где работают или учатся), различными способами выманивал у них интимные фотографии. Затем, используя их в качестве материала для шантажа, заставлял своих жертв делать фотографии и видеозаписи немыслимых извращений, которые он выставлял на сайтах за финансовое вознаграждение. При этом действовал он не один – там орудовала целая банда, «карающая» непокорных жертв. Однако под суд пошел лишь основатель группы – подельников он не назвал, за что и получил 40 лет тюремного заключения.

Равным образом компрометирующая или важная финансовая информация может попасть к преступникам в результате взлома аккаунта, компрометации сети или устройств или из-за использования ненадежных сервисов, позволяющих обходить блокировку интернет-ресурсов (технологии VPN¹ – virtual private network). Чаще всего это становится возможным из-за «небрежного отношения к безопасности» учетной записи: один пароль от всего, отсутствие двухфакторной аутентификации, пароль «мне-нечего-скрывать», использование единого устройства для всего везде и сразу – удобно ведь!

Как с этим бороться? Только через развитие навыков ответственного поведения в публичном пространстве. Принципы цифровой гигиены позволяют нивелировать такие угрозы, как изготовление (умышленное или непредумышленное) и размещение противоправного контента, оскорбление различных социальных групп и категорий индивидов, разжигание конфликтов на личной, национальной и расовой или религиозной почве, а также устанавливают наступление ответственности за указанные действия по текущему законодательству.

При выборе конкретных средств для формирования умений и навыков, связанных с ответственным поведением в интернет-пространстве, акцент следует делать на нескольких пунктах.

1. Пользователи в Сети являются не только активными потребителями, но и распространителями и производителями информации, что накладывает на них определенную персональную ответственность за эти процессы.

2. Законодательство в данной сфере весьма развито, а правоприменительная практика довольно интенсивна. Кроме того, важно понять – уровень анонимности в интернете сегодня гораздо ниже, чем это было 10 лет назад, и сегодня проще определить распространителя противоправного контента, чем раньше. Поэтому следует ответственно относиться к контенту на своих страницах – как созданному собственноручно, так и репостам.

Следует понимать: предсказать, какие в ближайшем будущем возникнут новые угрозы в сфере взаимодействия индивида и информационной среды, практически невозможно. Так, каждый день появляются новые виды угроз, сочетающих в себе использование специализированного программного обеспечения, современных технических средств и последних разработок в области психологии. Даже сейчас, когда вы читаете книгу, формируются новые комплексные угрозы, связанные с цифровой сферой – работают буквально «фермы» по производству и распространению контента, созданного злоумышленниками и позволяющего с помощью психологических и технических алгоритмов доносить до пользователя опасную информацию. Используя данные, собираемые о поведении индивидов в сети Интернет (big data), злоумышленники максимально незаметно до пользователя «подсовывают» отвечающую запросам пользователя информацию, в том числе рекламного характера, рассчитывая на минимальное сопротивление. Это новый уровень развития технологий манипуляции сознанием, которые за счет больших вычислительных мощностей и быстро эволюционирующих систем искусственного интеллекта позволяют создавать предельно индивидуализированный информационный продукт – следовательно, привлечение нейросетей позволяет делать угрозы все изощреннее.

Понятие и методы социальной инженерии

Теперь пора перейти к самой опасной угрозе в киберпространстве – социальной инженерии. Без ее грамотного применения не сработает ни одна мало-мальски грамотная операция цифровых злоумышленников. Ведь именно на методах социальной инженерии строится вся база взломщиков – от подбора паролей до методов внедрения шпионского программного обеспечения на компьютер или в Сеть. Социальная инженерия есть не что иное, как искусство манипулирования людьми с целью получения от них некоей выгоды – с помощью техник этой науки можно заставить человека выполнить какую-то задачу, что-либо купить, оплатить или же просто использовать его для доступа к конфиденциальной информации.

В список конфиденциальной информации, за которой охотятся злоумышленники, можно внести следующее:

– личные данные пользователей локальной или Всемирной сети;

– логины и пароли учетных записей;

– финансовая информация;

– личные фотографии, видеозаписи – это можно использовать для шантажа.

Согласно мировой статистике, чаще всего мошенников интересуют именно логины и пароли от учетных записей и финансовые данные (номера платежных карт, счетов и т. д.). Чтобы заполучить эти сведения (равно как и в других случаях), злоумышленники не брезгуют никакими способами – от банального общения (в ходе которого, завоевав доверие, легко попросить человека сделать что-либо) до подбрасывания вредоносной информации на компьютер. Причем даже подбросить вредоносный код на компьютер можно, используя методы социальной инженерии – войдя в доверие к нужному пользователю либо сыграв на банальном любопытстве (например, «обронив» флешку с вирусом на пути следования объекта на работу). При этом социальная инженерия значительно облегчает задачу взломщика – чем использовать брутфорс для взлома паролей, гораздо легче под тем или иным предлогом загрузить на компьютер жертвы вирус, который передает злоумышленнику всю необходимую информацию небольшими пакетами данных, или же вовсе выведать необходимую для взлома информацию, войдя в доверие – такой вариант тоже нельзя сбрасывать со счетов.

Как правило, атаки с применением социальной инженерии можно разделить на два этапа – изучение жертвы и применение уловок, облегчающих доступ к конфиденциальному. Позвольте рассказать на довольно простом примере, как это происходит. К примеру, некоему хакеру понадобилась информация о состоянии банковских счетов в какой-либо компании. Но доступ к информации нельзя получить извне – банк, что естественно, такой информации направо и налево не раздает, а на сервера компании попасть невозможно по причине отсутствия учетной записи для доступа к закрытым данным. Тогда, чтобы не мучаться с поиском уязвимостей операционной системы и подбором логинов и паролей, он решает найти жертву – сотрудника компании, которого можно использовать для получения доступа. Исследуя социальные сети, он выискивает потенциальных жертв, составляет их первичные психологические портреты – как относятся к работе, довольны ли условиями труда, возможно, есть какие-то шероховатости в отношениях с коллегами. Как правило, сотрудники могут выкладывать в Сеть косвенные данные, подтверждающие тот или иной пункт, например, из всех сотрудников компании в друзья не добавлен лишь один. Это может служить как признаком неприязни к конкретной персоне, так и знаком, что в крупной компании существует изоляция отделов (весьма вредное условие для жизни компании). Допустим, выбрана жертва – чаще всего это лицо женского пола (дамы, простите, но статистика жестока), как правило, типичный представитель офисного планктона. Злоумышленник начинает входить в доверие любыми способами – от банального знакомства в интернете до многоходовой тактической операции (к примеру, узнав, что жертва иногда работает из дома, может совершить вирусную атаку на ее компьютер и, представившись мастером, похитить имеющуюся информацию во время работы с компьютером).

Отходя от темы: ситуация, описанная выше, вполне реальна. Это было в Санкт-Петербурге несколько лет назад. Некий «умелец», стремясь получить доступ к компьютерам, расклеил в районе объявления «компьютерный мастер». Цены поставил приемлемые, люди начали обращаться за услугами – как вскоре оказалось, был подвох. «Мастер» намеренно заражал компьютеры вирусами, которые потихоньку «сливали» информацию на неизвестный сетевой адрес. Конечно, люди бросились вызванивать «мастера», обратились в правоохранительные органы, но все тщетно. Сим-карта оказалась одноразовой, выйти на след преступника не удалось.

Вторым и финальным этапом является хищение информации – оно может осуществляться как через блокчейн-сети, так и напрямую с компьютера жертвы (разумеется, это жестко подставит жертву). А потом информацию можно использовать в свою пользу – шантажировать жертву, продать информацию на сторону или вовсе закрыть компанию, такие варианты нельзя сбрасывать со счетов. А теперь давайте рассмотрим основные техники социальной инженерии. Это необходимо сделать, чтобы адекватно реагировать на проявления манипулятивных техник – нельзя победить врага, если не изучать его поведения. Адепты социальной инженерии часто используют техники фишинга или аналогичные для получения контроля над человеком.

Фишинг – это атаки, использующие техники влияния на личность для сбора учетных данных или распространения вредоносных программ. Фишингом можно назвать неправомерное использование Всемирной сети в мошеннических и/или вымогательских целях. Чаще всего с помощью фишинговых атак злоумышленники пытаются получить такую конфиденциальную информацию, как логины и пароли, данные кредитных карт, сетевые учетные данные. Как правило, фишинговая атака планируется с переходом на поддельный сайт, после посещения которого у жертвы возникнут неприятности с компьютером, например, на компьютер установится «блокировка» системы с требованием оплатить код разблокировки. Встречается и такой вид фишинга, когда пользователю приходит сообщение о положенной ему выплате (чаще всего связанной с новым указом президента и т. д.), а при переходе по ссылке открывается якобы главная страница банка, где от пользователя требуют ввести данные карты для начисления положенного. Наивный пользователь вводит данные своей карты, садится в ожидании перевода, но вместо этого теряет все деньги, что были на счету. И даже если на карту вновь положат деньги, они вновь исчезнут, о такой карте можно забыть, на ней хранить уже ничего нельзя. Фишинговую атаку можно подвести под любые цели – хищение финансов, получение паспортных или учетных данных.

Рассмотрим самые распространенные техники фишинговых атак в Сети.

– Целевой фишинг (Spear Phishing) похож на обычный фишинг, однако нацелена такая атака на конкретного человека или организацию. В ходе этой атаки взломщики собирают подробные данные о своей цели, чтобы максимально мимикрировать под делового партнера или сотрудника компании. У жертв даже не возникает мысли, что вредоносное письмо отправлено злоумышленником. Целевой фишинг можно назвать логическим продолжением обычного, ибо он требует гораздо тонкой подготовки. Именно за свою «проработку» объекта атаки целевой фишинг и считается практически идеальным – защититься обычными средствами от него нереально. А учитывая, что лицо, подвергающееся целевому фишингу, в большинстве случаев является лишь первой ступенью атаки (конечной целью злоумышленников обычно становится корпоративная сетевая инфраструктура, получив контроль над которой мошенники извлекут свою выгоду), то жертва такой атаки будет атакована с двух сторон – злоумышленниками и отделом безопасности компании.

– Голосовой фишинг (Vishing, Voice Phishing) характеризуется использованием телефона для сбора личной и финансовой информации жертвы. Чаще всего злоумышленники представляются сотрудником банка или страховой компании, входя в доверие и выманивая личные данные жертвы под предлогом рекламы новых услуг. Таким образом, мошенники могут заинтриговать жертву, навязывая кредит на заманчивых условиях. «Услуги» такого рода часто приводят к распространению личной и/или финансовой информации, что может нанести репутационный или финансовый ущерб.

Пример, который можно отнести и к вишингу, и к «китобойному» фишингу: в марте 2019 года генеральному директору британской энергетической компании позвонил человек, который говорил точно таким же голосом, как и CEO страховой компании, клиентом которой являлась энергетическая компания. Мошенник сумел настолько точно воспроизвести интонацию и акцент СЕО Euler Hermes Group, что генеральный директор, практически не задумываясь, перевел 243 тыс. долларов «венгерскому поставщику» на банковский счет, который на самом деле принадлежал мошеннику.

Некоторые злоумышленники без зазрения совести «работают» с больными или пожилыми людьми. Используя нестабильное физическое и/или психическое состояние жертвы, легко убедить человека в наличии каких-то «проблем» – внук попал в ДТП, положена социальная выплата от государства, новый законодательный пакет для лиц с инвалидностью и т. д. Как правило, злоумышленники используют этот метод для получения денежных средств, причем неважно – наличными или переводом на банковский счет. Злоумышленники бывают порой настолько убедительными, что жертва даже забывает, что читает обо всех законодательных актах, не имеет внуков и т. д.

– Смишинг (Smishing, СМС-фишинг) использует специальные устройства (SIM-бокс) для массовой рассылки СМС-сообщений на мобильные устройства. Такие устройства позволяют программно подменять номер отправителя, что часто используется мошенниками различного уровня (именно поэтому их свободная продажа запрещена). Алгоритм действий при такой атаке следующий – жертве злоумышленников приходит СМС-сообщение якобы с номера банка, в котором обычно содержится некоторая пугающая информация (нечто подобное используют в технике Scareware («Лжеантивирус»), после чего описывается решение проблемы. Классический пример: в СМС указывается списание с лицевого счета некоей суммы в адрес запрещенной организации (а их список в наши дни довольно обширен). Чтобы это отменить, нужно срочно перейти на веб-страницу банка (разумеется, поддельную) или перезвонить по указанному номеру (тоже контролируемому мошенниками), чтобы подтвердить, что вы владелец банковской карты. Жертва мошенников, испугавшись уголовного преследования, а также утери средств, даже не понимает, что переходит по поддельной ссылке (все ведь выглядит как страница банка, со всеми логотипами и т. д.), где вводит свои паспортные данные и данные карты. В некоторых случаях людям приходят сообщения с просьбой помочь пострадавшим от какого-либо стихийного бедствия, но чтобы помочь, нужно оставить свои личные данные – как правило, в таких случаях снимают небольшие суммы, чтобы не настораживать своих жертв.

– «Китобойный» фишинг (Whale Phishing) – это фишинговая атака, нацеленная конкретно на руководство крупных компаний. Поэтому она и получила название «китобойная», ведь жертва оценивается высоко, а украденная информация будет куда более ценной в сравнении с той, что можно получить от рядовых сотрудников компании. Как правило, такими атаками занимаются преступники высокого уровня – перед аферой предстоит глубокая проработка объекта. Учитывая, что жертвами в данном случае выбираются высокопоставленные люди, преступники начинают свои действия от лица представителей не менее крупных компаний или деловых партнеров: начинают «работать» через письма юридического или финансового характера. Целью таких атак, как правило, являются деньги, в редких случаях – закрытая для всех информация.

Самая крупная атака подобного типа, причем не только фишинговая, а и вообще с использованием средств социальной инженерии, была совершена гражданином Литвы Эвалдасом Римасаускасом против двух крупнейших веб-корпораций мира: Google и Facebook. Римасаускас и его команда создали фальшивую компанию и выдавали себя за производителя компьютеров, который работал с Google и Facebook*. Он и Co. также открыли банковские счета на имя компании. Таким образом, рассылая множество сообщений в адрес сотрудников вышеуказанных компаний, предприимчивый «товарищ» вымогал у них денежные суммы якобы в счет оплаты за поставку компьютеров. В результате веб-гиганты понесли суммарный ущерб на сумму более 120 млн долларов. А вот еще один нашумевший случай: китайский производитель запчастей для самолетов FACC потерял почти 60 млн долларов в результате аферы, когда мошенники выдавали себя за высокопоставленных руководителей и обманом заставляли сотрудников переводить им средства. После инцидента FACC потратила еще несколько миллионов, пытаясь в суде выбить компенсацию со своего генерального директора и финансового директора. Представители компании утверждали, что руководители не внедрили надлежащую систему контроля внутренней безопасности, однако в иске FACC было отказано.²

Таким образом, от техник социальной инженерии не застрахован практически никто – я уверен, что злоумышленники при желании могут выйти на прямой разговор и с руководителями государств, разумеется, при наличии соответствующих технических средств и наглости. Моя вера подкреплена фактами, ведь и такие случаи были – если вы не смотрите новости, то поищите в интернете, там описан не один подобный случай.

– Клон-фишинг – это вид фишинга, при котором злоумышленник копирует реальное электронное письмо от легитимного отправителя и заменяет в нем безопасные ссылки или вложения на вредоносные. Целью клон-фишинга является обман жертвы, чтобы она перешла по поддельной ссылке или открыла зараженный файл и тем самым раскрыла свои личные данные или заразила свой компьютер вирусом. Клон-фишинг отличается от обычного тем, что имитирует уже существующее письмо, которое жертва получила ранее от доверенного источника. Это делает его более правдоподобным и убедительным. Примером клон-фишинга может быть письмо от вашего банка, которое выглядит точно так же, как предыдущее письмо, которое вы получали от него, но содержит ссылку на фальшивый сайт, где вас просят ввести свой номер счета и пароль. Другим примером может быть письмо от вашего коллеги по работе, которое копирует его стиль общения и подпись, но прикрепляет вредоносный файл, который может зашифровать все ваши данные. Для защиты себя от клон-фишинга вам нужно быть очень внимательными к деталям электронных писем, которые вы получаете. Вот некоторые признаки клон-фишинга:

• отправитель письма имеет незнакомый или подозрительный адрес электронной почты, который не соответствует адресу оригинального отправителя;

• письмо содержит грамматические или орфографические ошибки, которые не характерны для оригинального отправителя;

• письмо требует срочного действия или угрожает негативными последствиями, если вы не выполните его инструкции;

• ссылки или вложения в письме имеют странный или несоответствующий формат или расширение: например, ссылка может содержать много случайных символов или оканчиваться на. exe,zip или. scr.;