Читаем Особенности киберпреступлений в России: инструменты нападения и защиты информации полностью

Созданный злоумышленниками простенький ресурс может поведать необходимую информацию о пользователе, и все это выглядит совершенно безобидно и законно. Такой ресурс может быть заброшен жертве в социальной сети или любым другим способом, как от имени незнакомого пользователя, так и при использовании одного из аккаунтов «друзей».

Знание операционной системы, браузера и IP-адреса уже позволяет злоумышленнику определиться с типом вредоносной программы, которую можно закинуть жертве, или какие уязвимости использовать в продолжение атаки.

Как может еще использоваться полученная информация, будет рассмотрено в следующих частях книги.

А пока можно рассмотреть еще один интересный способ получения информации о потенциальной жертве, которая очень важна для злобных кибершпионов.

Анализ служебных заголовков

В основе этого способа получения информации лежит анализ служебных заголовков (свойств) электронного сообщения, которые имеются у любого сообщения и определены в документе RFC-822 (Standard for ARPA Internet Text Message)[30].

Этот метод сводится к навязанной пользователю, в отношении которого осуществляется сбор информации, переписке с использованием принадлежащего ему электронного почтового адреса. Цель — под каким-либо предлогом от пользователя нужно получить электронное письмо.

В самом простом варианте это может выглядеть примерно так. Пользователю на электронный ящик приходит письмо: «Привет, Серега, когда долг вернешь? Да и вообще, давно не виделись, как там дела на работе?» В ответ пользователь, скорее всего, напишет: «Ты кто вообще?»

Навязать переписку можно также с использованием фишинга, то есть используя похожий на известный жертве электронный адрес. В зависимости от личности жертвы злоумышленники могут представиться рекламным агентом, продюсерским центром, режиссером, фондом помощи, представителем СМИ, поставщиком товаров или услуг, клиентом и т. д.

Получив ответное письмо от потенциальной жертвы и проведя его анализ, злоумышленники могут почерпнуть из него весьма ценную для себя информацию. Эта информация никак не связана с тем, что напишет пользователь, даже если это будет пара нецензурных выражений.

Интересующая информация кроется в служебных заголовках электронного письма, которые в обычном режиме просмотра не отображаются ни в почтовом клиенте, ни в интерфейсе почтового сервиса. Но они все-таки есть.

К примеру, служебные заголовки могут содержать информацию о почтовом клиенте, посредством которого пользователь отправил сообщение:

X-Mailer: Apple Mail (2.3273)

В данном случае служебные заголовки содержат информацию об использовании отправителем Apple Mail — почтового клиента от

Apple Inc., который входит в стандартную поставку Mac OS X и iOS. Ну совершенно очевидно, что нет никакого смысла подкидывать такому пользователю вредоносную программу — бэкдор или троян, написанную под операционные системы Windows или Android.

Если пользователь отправляет письмо непосредственно из браузера, допустим, сервиса mail.ru, то в служебном заголовке будет содержаться следующее значение:

X-Mailer: Mail.Ru Mailer 1.0

При отправке письма посредством почтового клиента Thunderbird:

User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:52.0) Gecko/20100101 Thunderbird/52.4.C

При отправке электронного письма через мобильное приложение «Яндекс Почта» служебные заголовки также будут содержать полез — ную информацию:

X-Mailer: Yamail [http://yandex.ru] 5.0

X-Yandex-Mobile-Caller: mobile

Из информации в служебных заголовках присланного письма также можно установить IP-адрес и наименование устройства, с которого было отправлено электронное письмо.

Полученная из служебных заголовков электронного письма информация поможет злодеям спланировать и провести дальнейшие атаки, спроектировав инструментарий нападения в соответствии с используемым жертвой устройством и программами для просмотра и отправки электронной почты.

Приведенные примеры должны продемонстрировать простоту добывания необходимой информации и лишний раз указать на то, что для проведения атаки и получения чужих паролей не всегда требуются невероятные технические знания, все намного проще, чем кажется.

Вспомним приведенную в начале книги первую типичную историю. В этом примере, получив в банке выписку по расчетному счету, бухгалтер обнаружил пропажу денежных средств. Как выяснилось, хищение денежных средств было осуществлено посредством проведения девятнадцати мошеннических платежей, совершенных через систему дистанционного банковского обслуживания, установленную на компьютере самого бухгалтера.