`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Как изменилось финансирование ИТ-направления в вашей организации?

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Николай Луцкевич

Бизнес-ланч: спам – на первое, фишинг – на второе

+66
голосов

Каждый специалист по информационной безопасности знает, что такое спам и что такое фишинг. Но задумывались ли вы когда-нибудь над тем, почему люди продолжают попадаться на одну и ту же удочку? По-моему, дело не только в технической реализации, но и в психологии. Об этом и поговорим.

Что было?

Если исключить целенаправленный инсайд в компании, то пальму первенства среди причин утечек клиентских баз можно присудить человеческому фактору. Он может проявляться как в банальной невнимательности, так и в недостаточном профессионализме работника.

В качестве примера к первому варианту можно привести компанию «Беспроводные информационные технологии», работающую на острове Сахалин. Как раз по неосторожности\ невнимательности\ халатности ее сотрудников весной этого года была допущена крупная утечка служебной информации организации: в открытый доступ попали конфиденциальные данные 11 тысяч клиентов компании. Причины могут быть самые разные: от перепутанного адреса в электронном письме, до «случайного» нажатия мышкой в каком-нибудь cheсk-box'е, отвечающем за публикацию в открытом доступе.

Иллюстрацией второго варианта может послужить недавняя шумиха вокруг «Яндекса». Сеть наполнилась слухами о свободном доступе к секретным документам правительства РФ и различным документам «для служебного пользования» посредством вышеупомянутой поисковой системы. На мой взгляд, касательно данных инцидентов в первую очередь стоит обратить внимание на профессионализм вебмастера, которому следовало бы уделять пристальное внимание файлу robots.txt. Как легко догадаться, это текстовый файл, предназначенный для роботов поисковых систем. Вебмастер может указать в этом файле параметры индексирования своего сайта как для всех роботов сразу, так и для каждой поисковой системы в отдельности. То есть владелец сайта или вебмастер всегда может позаботиться о том, чтобы поисковые роботы обходили стороной страницы, содержимое которых не должно попасть в общий доступ через поисковые системы.

В противном случае конфиденциальная информация о клиентах пускается в свободное и рискованное плавание по Сети.

Что будет?

Даже если третьим лицам известен лишь электронный адрес вашего почтового ящика, это уже создает определенный дискомфорт в виде спама. Многие люди почему-то уверены, что спам с предложением купить виагру со скидкой приходит лишь тем, кто любит проводить время на сайтах «для взрослых». Но мало кто задумывается, что, может быть, на том же «взрослом» ресурсе никаких данных человек не оставлял, а адрес его почтового ящика попал в руки спамеров, к примеру, через непрофессионально сделанную форму заказа в интернет-магазине. Вебмастер мог просто забыть запретить индексировать эту страницу поисковиком.

Тем временем, если в руках у злоумышленника оказалось чуть больше информации, чем адрес электронного ящика, есть вероятность, что спамом дело не ограничится, и на сцену выйдет фишинг-атака. Главной целью подобной атаки является сбор конфиденциальной информации о пользователе: его логины и пароли, данные по кредитным картам. Как правило, жертве фишинга высылается правдоподобное на вид письмо от организации, с которой пользователь ведет дела в реальной жизни. В письме обычно предлагается перейти по ссылке и ввести там свои данные. После ввода пароля ничего, разумеется, не происходит, но данные уже отправлены мошенникам.

Опасно быть уверенным в том, что подобная проблема вас не коснется. Практика убеждает в обратном. В октябре 2008 г. правительство Франции официально подтвердило, что с банковского счета президента были украдены «небольшие суммы денег» вследствие того, что воры получили доступ к его персональным данным и кодам доступа.

Скорее всего, Николя Саркози просто открыл фишинговое письмо. Но почему он решил открыть именно его?

Верю-не верю

Профессиональные мошенники охотно пользуются различными психологическими приемами, провоцирующими жертву на открытие и прочтение заветного письма. Не спорю, от верстки e-mail-рассылки зависит многое, но чтобы ее оценить, нужно сначала захотеть открыть письмо. И тут уже необходим действительно «вкусный» заголовок, после прочтения которого пользователь, собственно, и решает: читать дальше или отправить письмо в корзину. В создании заголовка существуют свои нюансы. Остановлюсь лишь на тех, которые показались мне наиболее значимыми:

  1. Содержательность. Читатель должен понять, о чем письмо. Иначе все остальные уловки не будут иметь смысла.
  2. Краткость. Получателю должно быть сразу понятно, интересно ли ему это письмо.
  3. Персональность. Личное обращение может вызвать больше доверия к письму.

Это не все приемы, которые могут быть использованы при составлении поддельного письма. Чтобы осуществить действенную фишинг-атаку, преступник должен не только располагать определенной информацией о жертве, но и обладать некоторыми знаниями в области психологии и маркетинга.

«Возвращайся, сделав круг»

Человеческий фактор, как причина случайных утечек – пожалуй, главная причина бед конечных пользователей, попавшихся на удочку фишера. Придется смириться, ведь «все мы – люди»?.. Очевидно, если мы хотим защитить себя и своих, положим, клиентов от подобных неприятностей, можно постараться исключить «случайные» утечки как вид. Помочь в этом может грамотно настроенная DLP-система.

Напоследок хотелось бы еще раз вспомнить прописную истину, которую должен знать каждый пользователь: помните, серьезные ресурсы не рассылают письма с просьбой выслать им ваши логин-пароль. И вопрос «почему?» здесь неуместен.

+66
голосов

Напечатать Отправить другу

Читайте также

вы шутите? какие robots.txt?!
конфиденциальная информация просто не должна появляться на публичных ресурсах. раз до нее может добраться спайдер, значит - и любой желающий, который уж точно не станет заглядывать в robots.txt.

упоминание robots.txt как раз понятно. думаю, оно идёт в развитие темы о Яндексе. они чуть ли не ликбез устраивали по этому поводу.

согласен по поводу конфиденциальной информации. как минимум глупо хранить важные сведения там, куда могут добраться поисковые роботы.

только непонятна сама позиция Яндекса по этому поводу. Скинули сегодня мне их мультик по настройке этого файла. Позабавило. Такое ощущение складывается, что это панацея. А ведь ни разу не так.

Согласен со всем, что написано выше. Только люди, пардон за мой французский, ни хрена не думают о собственной защищенности в киберпространстве, из-за чего закономерно и получают по заслугам. Может, хоть Ваши статьи, уважаемый Николай, немного заставят их призадуматься.

сарказм detected?

 
 
IDC
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT