Читаем Особенности киберпреступлений в России: инструменты нападения и защиты информации полностью

В результате исследования компьютерного оборудования, носителей информации и программного обеспечения зачастую можно восстановить полную картину произошедшего. Исследование позволяет правильно квалифицировать инцидент, установить его причины и используемые злоумышленниками методы.

Поэтому предлагается провести рассмотрение некоторых типичных случаев комбинированных атак, включающих в себя применение фишинга, опираясь на анализ атакованной компьютерной техники.

Технические данные, обсуждаемые в следующих двух частях, наверное, не будут интересны всем, однако в наше время очень желательно каждому человеку иметь представление о возможностях обнаружения следов киберпреступления, чтобы не быть рабом иллюзий и мифов. За скоростью интеграции высоких технологий во все сферы жизни человека нельзя забывать о пополнении базовых знаний, тем более если это касается безопасности.

Одной из основных идей, которых придерживался автор при создании этой книги, является попытка развенчать миф о невероятной сложности для понимания неспециалистом механизмов, используемых при киберпреступлениях.

В этой главе предлагается рассмотреть и проанализировать типичные случаи комбинированной атаки на реально произошедших случаях.

Но перед началом атаки злоумышленникам требуется получить некоторую информацию об атакуемой системе пользователя.

Вообще говоря, способов легального получения технической информации об атакуемой персоне или используемой системе достаточно много. Не углубляясь здесь в эту бездну многообразия, хорошо бы обратить внимание на самые простые, но довольно интересные способы получения важной информации, используемые при подготовке к кибератаке, тем более с использованием персонализированного фишинга.

В ходе подготовки к целенаправленной атаке осуществляются изучение круга общения персоны, интересов, сфера деятельности атакуемого. Кроме этого, злоумышленникам необходимо понимать, каким программным обеспечением и устройствами пользуется жертва.

В зависимости от используемых методов авторизации, просмотра писем необходимо готовить интерфейс фишинг-движка или тип засылаемой вредоносной программы.

В частности, большое значение имеют операционная система и браузер, а также информация о способах обращения пользователя к аккаунту: посредством веб-интерфейса или почтового клиента.

Важно для злоумышленников знать, в какие периоды времени пользователь осуществляет обработку почты, а также периоды, когда обращение к почтовому адресу не производится. Электронная почта может быть синхронизирована с мобильным телефоном, и оповещения о входящих сообщениях поступают незамедлительно.

Кроме этого, собирается информация об используемых провайдерах и местах, где осуществляет подключение к сети Интернет потенциальная жертва атаки.

Все эти сведения необходимы злоумышленнику для подготовки индивидуального фишинг-движка, подходящего для используемого жертвой компьютерного устройства, а также планирования дальнейших действий. Например, внедрения в переписку, о чем мы поговорим позже.

Рассматривать все тривиальные способы сбора информации о пользователе, которые могут быть доступны злоумышленникам, в данной книге нецелесообразно. Укажем только, что берется в расчет вся общедоступная информация: размещаемые ранее резюме, профили на разнообразных ресурсах, социальные сети, анализ фотографий и документов, сайты объявлений, знакомые и родные. Большой пласт информации может дать злоумышленникам прогон персоны по базам данных, добытых на черном рынке информационных услуг, о котором речь пойдет в заключении книги.

Необходимо особо указать несколько специфических способов, о существовании которых мало кто догадывается.

Определение браузера и операционной системы атакуемого

Допустим, злоумышленникам известен номер мобильного телефона или электронный адрес выбранной жертвы. Атакующий для подготовки атаки и сбора информации создает на совершенно любом сервере сайт (или одну страницу) с содержимым, так или иначе интересным жертве. Это не фишинг-движок, это нечто другое.

Данный ресурс создается только для сбора информации о посетителе в пассивном формате, то есть без принуждения пользователя к вводу каких-либо данных. Все необходимые данные собираются из переменных, содержащих данные об окружении.

Подобную информацию собирают счетчики посещаемости, устанавливаемые администраторами ресурсов для анализа посетителей сайта, но собираемая информация не имеет привязки к определенному лицу.

Немного теории.

User-Agent — это клиентское приложение, использующее определенный сетевой протокол. При посещении веб-сайта клиентское приложение обычно посылает веб-серверу информацию о себе. Это текстовая строка, являющаяся частью HTTP-запроса.