`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Как изменилось финансирование ИТ-направления в вашей организации?

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Алексей Дрозд

Сколько личность ни воруй, всё равно получишь... PROFIT!

+57
голосов

Поводом к написанию данного поста послужило определённое количество новостей, которое субъективно превысило определённый «порог игнорирования». Не секрет, что сегодня различные атаки всё больше социализируются. Так или иначе, но определённые приёмы социальной инженерии нет-нет да «засветятся» в новостной сводке. В частности, речь идёт о технике «кви про кво», которую проще и понятнее именовать «кража личности».

Кви про что?

Схема атаки проста: выдать себя за другую персону, которой «жертва» доверяет. Самый банальный пример – «страшилки», которыми родители запугивали в детстве, наверное, каждого из нас. «Не открывай никому дверь! Там маньяки, которые доверчивым детям, говорят, что они почтальоны\водопроводчики, а потом топят в ванной». Реальные же истории более прозаичны.

Цель №1

Чаще всего «кража личности», естественно, используется в мошеннических целях. Рассмотрим на конкретном примере. Тридцатилетний Брэндон Прайс – житель Питтсбурга связался по телефону с филиалом Citibank и, представившись Полом Алленом, сооснователем Microsoft, попросил сменить адрес счета с Сиэтла на Питтсбург. Помимо этого, к счету был добавлен новый телефонный номер. Позже он вновь связался с банком и сообщил от лица сооснователя Microsoft, что утерял свою дебетовую карту, однако о краже ее сообщать не хочет. Прайс попросил банковского сотрудника прислать ему на адрес в Питтсбурге новую карту. На следующий день мошеннику удалось получить карту, активировать ее и сразу же применить в целях платежа по ссуде в Банке вооруженных сил США в размере 658 тысяч долларов уже на собственное имя. В этот же день он с помощью карты попытался совершить денежный перевод посредством системы Western Union на сумму в $15 тыс. Помимо этого, Прайс при помощи карты оплачивал свои приобретения в ряде американских магазинов, что удалось запечатлеть камерам наблюдения. Арестовали Прайса второго марта 2012 года.

Этот случай очень хорошо иллюстрирует главную цель злоумышленников – деньги. Но «главная» не означает «единственная». На втором и третьем месте в приоритетах мошенников находятся распространение вирусов и управление общественным мнением. Разберём по порядку.

От мала до велика

Вирусы сегодня очень удобно распространять через социальные сети. Достаточно проделать определённую подготовительную работу по «залайкиванию» френдов. Соответственно, имея большую базу подписчиков, можно делиться с ними «приколами», «крутыми видео», «новыми сериями любимых сериалов» и прочим контентом, способным привлечь внимание людей. Как вы понимаете, главной задачей является заставить «жертву» перейти на скомпрометированный ресурс. Примечательно, что логика схемы сегодня усложняется. Поясню на примере отчёта Websense.

Мошенники создали поддельную учетную запись LinkedIn, которая на данный момент имеет более 400 контактов и используется как для просмотра профилей потенциальных жертв, так и для их перенаправления на некий сайт знакомств.

Для увеличения эффективности используется премиум-аккаунт LinkedIn – это позволяет выполнять поиск по рабочим функциям, размеру компании и уровню старшинства, а также слать сообщения напрямую, без необходимости быть в друзьях у «жертвы». Вся эта информация в дальнейшем используется для проведения атаки.

Специалисты компании полагают, что мошенники используют сайт знакомств в качестве приманки. Они отметили, что хоть сайт на данный момент не содержит вредоносного кода, но его IP-адрес, как и весь ASN, ранее был привязан к доменам, которые содержали списки ссылок на C&C серверы для нескольких наборов эксплоитов.

Теперь пройдёмся по общественному мнению. Здесь в качестве примера очень интересно связать некоторые исследования и тендеры.

В рамках исследования «Pew Research Centre» (проведено в марте-апреле 2013. Опрашивались по 1000 человек в каждой стране + вероятность ошибки до 7.7%),  опубликованного 3 сентября 2013, было изучено отношение к России в 38-ми странах мира, на основании чего был сделан вывод о негативном восприятии России в 36 странах. Позитивно к России относятся, якобы, только жители Греции (63%) и Ю. Кореи (53%).

Российский фонд Vox Populi провел «защитное» исследование: c 9 по 13 сентября было собрано и проанализировано свыше 770 тыс. сообщений о России в СМИ и соцмедиа от 440 тыс. авторов из 231 страны. Исследование показало, что в индивидуальном отношении людей к России преобладает позитив, в то время как в официальных источниках (СМИ, информагентства, официальные лица) — преобладает негатив. Ниже показана аналитика по данным (СМИ и соцмедиа) 74 тыс. жителей США, высказавшихся за 4 дня сентября по теме Россия:

Сколько личность ни воруй, всё равно получишь... PROFIT!

Под «официозом» в данном случае подразумеваются официальные СМИ, известные политологи и экс-чиновники.

Какие выводы можно сделать? То, что «ящику» доверять нельзя, адекватные люди поняли давно. Фокус доверия в этой связи сместился в сторону «открытых и свободных» соцсетей, где контент формируют независимые пользователи. Но здесь как раз-таки и выходит на сцену «кви про кво». Что мешает государству формировать общественное мнение силами обычных граждан? Много чего. Поэтому хорошо бы этот процесс сделать подешевле и понезависимее от тех самых граждан. Как? Да хотя бы вот так.

Служба внешней разведки (СВР) в начале 2012 года провела три закрытых тендера под кодовыми обозначениями «Шторм-12», «Монитор-3» и «Диспут» на сумму более 30 млн. рублей, целью которых является выработка новых правил мониторинга блогосферы. Главной задачей методики должно стать «массовое распространение информационных сообщений в заданных социальных сетях с целью формирования общественного мнения». Заказчиком выступила ФКУ "Войсковая часть N54939". В рамках тендера «Диспут» разработка программы для «исследования методов разведки интернет-центров и региональных сегментов социальных сетей» оценивалась в 4,41 млн. рублей. По тендеру «Монитор-3» (на сумму 4,99 млн. рублей) претенденты должны были предложить исследование методов негласного управления в интернете. По тендеру «Шторм-12» (на 22,8 млн. рублей) - провести научно-исследовательскую работу по разработке «средств продвижения специальной информации в социальных сетях». Логика работы всего комплекса такова: мониторить блогосферу будет система «Диспут», затем полученную информацию проанализирует система «Монитор-3». Вброс нужной информации в соцсети на основе полученных данных возложат на систему «Шторм-12». К слову, исполнителем по всем трем конкурсам стала компания «Итеранет».

Ложка мёда

Справедливости ради стоит отметить, что поддельные личности используются и «во благо». В частности, для аудита безопасности и отлова «нехороших дядей-педофилов».

К примеру, эксперимент «белых хакеров» показал: для того, чтобы выудить секретную информацию, достаточно прикинуться симпатичной девушкой и немного пофлиртовать с суровыми «агентами».

Спецслужбы США при помощи специалистов компании World Wide Technology создали поддельные аккаунты молодой привлекательной девушки в соцсетях Facebook и LinkedIn. В качестве модели для создания поддельных аккаунтов использовалась реальная девушка по имени Эмили Уильямс. Она работала официанткой в кафе неподалеку от офиса правительственного агентства. При этом никто из сотрудников организации ее не узнал.
После непродолжительного общения с «жертвой»-мужчиной «девушке» удалось выудить секретную информацию. Сотрудники организации были так увлечены новой знакомой, что не заметили явных несоответствий в ее анкете. Например, там было указано, что она обладает 10-летним опытом в IT-коммуникациях, при этом ей было всего 28 лет.

Ну а самое интересное, по словам исследователей, в том, что подобный эксперимент проводился и с мужчиной в главной роли. Вот только столь поразительных результатов поддельному «Казанове» добиться не удалось.

Что до педофилов, здесь результатами поделились голландцы. Голландские активисты из организации Terre des Hommes завершили эксперимент по идентификации педофилов в чат-комнатах. Для этого они применили метод ловли «на живца», причем в качестве приманки использовали компьютерную модель 10-летней филиппинской девочки под ником Sweetie. Непосредственно в чате работали активисты Terre des Hommes.

За десять недель операции на контакт со Sweetie в разных чатах вышло более 20 000 мужчин, из них около 1000 человек из 71 страны предложили ей деньги. Большинство преступников — из богатых западных стран: 254 из США, 110 из Великобритании. На третьем месте Индия (103 человека). Что характерно, не удалось обнаружить ни одного пользователя из России.

Выводы?

«Кража личности» в Сети – процедура весьма и весьма лёгкая в исполнении. Масштаб проблемы ширится, а журналисты время от времени любят «нагонять панику», не разобравшись в вопросе. Дело в том, что большинство приёмов, применяемых злоумышленниками, не выдерживают сколь-нибудь серьёзной проверки. Вспомните хотя бы описанный случай с «крутыми агентами» и симпатичной девушкой. Несоответствия были на поверхности, но агенты их просто проигнорировали. Поэтому лично для меня профилактика кражи личности сводится к простой поговорке: «доверяй, но проверяй».

Сколько личность ни воруй, всё равно получишь... PROFIT!

+57
голосов

Напечатать Отправить другу

Читайте также

@Что характерно, не удалось обнаружить ни одного пользователя из России.@

Когда русские педофилы будут знать английский, достаточный для того чтобы общаться в голландских чат-комнатах - Роисся остаточно поднимется с колен :)))

Это да, вот только это не главное, на что я хотел обратить внимание в посте :)

Согласен.

Кроме примера с Брэндон Прайсом, где еще Вы говорите о "краже личности"?

"Кража личности" и "выдуманная личность" это одно и то же?

А при чем здесь «кви про кво»?

Давайте снизу вверх попробую ответить.

3. Quiproquo, квипрокво́[1], кипроко[2] (от лат. qui pro quo — «кто вместо кого») — фразеологизм латинского происхождения, обычно используемый в испанском, итальянском, польском, португальском, французском и русском языках, обозначающий путаницу, связанную с тем, что кто-то или что-то принимается за кого-то или что-то другое. В английском языке используется другой, очень похожий по звучанию, но имеющий иное значение фразеологизм латинского происхождения — «Quid pro quo».

Отсюда и путуница.

2. "Кража личности" и "выдуманная личность" - не одно и то же. Вопрос сложнее, чем кажется на первый взгляд. Сколько должно быть "придумано", чтобы украденная личность превратилась в выдуманную?

К примеру, я взял информацию с чьего-то профиля в социальной сети и изменил лишь имя. Это уже выдуманная личность?

Мне это напоминает вопрос "несколько-много" (он же "несколько-куча"). Сколько нужно положить рядом камней, чтобы получившуюся конструкцию можно было назвать "куча камней"?

1. Действие мошенников в LinkedIn для меня не что иное, как кража личности. Думаете они сгенерировали уникальное изображение человека? Вряд ли. Грубо говоря, "спёрли первую попавшуюся фотку".

Различные массовые вбросы "общественного мнения" - аналогично. Откуда автоматизированный системы будут брать контент для наполнения своих профилей? С реальных людей.

Отлов педофилов не совсем кража личности, т.к. настоящую девочку там тоже привлекали к работе, чтобы сгенерированная модель выглядела больее правдоподобно.

А вот аудит спецслужб - вполне себе кража дичности. Взяли и выдали себя за грудастую официантку.

Делаю общий вывод: наши с вами разногласия скорее всего связаны с разным пониманием понятия "кража личности".

"Делаю общий вывод: наши с вами разногласия скорее всего связаны с разным пониманием понятия "кража личности"."

Это точно. Так, например, я не считаю "кражей личности", процесс создан "новой личности" из украденных ПД других реальных личностей.

"Кража личности" нужна для того, что бы преступник смог себя выдать за КОНКРЕТНУЮ другую личность. Другими словами: получить авторизацию в результате идентификации...

Тогда у меня вопрос: к чему отнести data scam? Когда мошенник выдаёт себя за вполне определённого человека, лезет на сайт знакомств, заводит дружбу с иностранцами и выманивает у них деньги под различными предлогами?

Это "афера", а вот с использованием "кражей личности" или нет, это определяется толкованием слова "определённого" в фразе "... мошенник выдаёт себя за вполне определённого человека..."

Кстати: существует ли факт "кражи личности" в отношениях Романа Идова и Алексея Дрозда?

Нет. Роман Идов и Алексей Дрозд - два разных человека. Физически разных.

ОК. Принято.

Вообще-то qui(d) pro quo в социальной инженерии, истории из которой приводятся в статье, имеет довольно понятное определение, из которого следует, что это НЕ кража личности.

В qui pro quo нет _личности_ как таковой - есть абстрактный сисадмин, который просит отписаться паролем, или еще какой душеприказчик нигерийского диктатора.

Кража личности - довольно частный случай, когда используется _конкретная_ реальная личность, как тот журналист, у которого отформатировали все его iИгрушки. Виртуальная личность - имперсонация - более общий случай.

Таким образом, от общего к частному: qui pro quo -> impersonation -> id theft.

Ну и конечно, это СЕЙЧАС атаки социализируются - а раньше таких мошенничеств просто ВООБЩЕ не было - никто себя за никого не выдавал, даже за ревизора... :-)

Но если называть вещи своими именами - получится скучная академичная статья для профессионалов, а для продажи ИБ пиплу надо побольше страхов и громких слов, так что претензий к материалу нет, кроме вбросов про Россию - многих посетителей этого сайта интересует статистика по вашим педофилам и "партнерам"? :-) Вот про "диспуты" было интересно!

 
 
IDC
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT