ы данных, по которым только можно провести тестирование на выявление конфиденциальной информации в свободном доступе. Ведь мы же не хотим стать жертвой киберпреступников? Но вот что следует знать об автоматическом методе OSINT: нельзя просто так запустить процесс и оставить его на самотек. Весь процесс необходимо контролировать и время от времени направлять в нужное русло.
– Разведка в Сети вручную также входит в алгоритмы OSINT и, как уже сказано выше, может выполняться активным или пассивным методом. Разница между этими методами – во взаимодействии с целью разведки. В случае пассивной разведки информация о жертве собирается аккуратно, не затрагивая сам объект – через поисковые сервисы, в том числе и так называемые хакерские службы сбора данных, через извлечение необходимой информации из метаданных, а также контроль поведения объекта в социальной сфере (поиск вакансий или сотрудников, как пример). Активная разведка подразумевает прямую работу с конкретным доменом или обслуживающей его инфраструктурой, что может иметь серьезные последствия для атакуемого объекта. Именно поэтому активную разведку применяют реже, чем пассивную, что позволяет готовить атаку менее заметно.
Для понимания работы методики приведу вам один реальный кейс, где OSINT использовался для поиска причины неких финансовых неприятностей целой группы компаний.
В компанию, в списке услуг которой есть «цифровая разведка», обратился некий предприниматель, который решил проверить руководителя одного из направлений бизнеса. Причиной обращения было существенное увеличение объемов финансовых переводов. По бумагам получалось, что компания оплачивает консультационные услуги некоей организации. Однако организация-получатель работала в аграрном секторе, с которым никаких общих дел структура компании-плательщика иметь не могла.
Сотрудники компании, заключив соответствующие договоры, приступили к работе по методам OSINT. Первым делом «разведчики» начали сбор информации о подозрительном сотруднике и установили, что некогда он участвовал в аграрном проекте, который быстро «прогорел» и закрылся. Информации о нем в Сети не было – видимо, не настолько «громким» оказался, однако нашли одну любопытную деталь. Одним из участников проекта выступал однофамилец виновного в растратах сотрудника, который при проверке данных через социальные сети оказался на пару десятков лет старше подозреваемого. Когда стали проверять по различным базам конкретные персоны, выяснилось, что это отец и сын. Стали проверять уже отца – и выяснилось, что, согласно сайту Федеральной службы судебных приставов, отец имел целую папку исполнительных документов на общую сумму свыше 200 миллионов рублей! Во время глубокой «отработки» этой связи и выяснилось: отец подозреваемого сотрудника открыл новую компанию, куда переводились деньги с основных счетов обратившегося к «разведчикам» бизнесмена, а использовались они… для погашения долгов отца подозреваемого!
Конечно же, бизнесмен обратился в суд – закон встал на сторону истца, и нерадивый сотрудник вместе с отцом был осужден по статьям «мошенничество» и «хищение» на долгий срок, а все их имущество ушло с молотка в счет погашения задолженностей.
Самое удивительное в OSINT – это то, что процесс такого сбора доступен каждому пользователю Сети, в той или иной мере собрать необходимую информацию может даже дилетант. Ведь многие читатели сталкивались или хотя бы слышали про женщин, которые в пылу ревности (иногда и имевшей реальную основу) выискивали соперницу в социальных сетях своей второй половины.
Отдельного внимания заслуживает тема интернет-шантажа. Зачастую жертвами становятся лица, пытающиеся с помощью социальных сетей завести знакомство с целью налаживания личной жизни. В данном случае злоумышленники преимущественно используют поддельные аккаунты в соцсетях для получения интимных фото-, видеоизображений, с помощью которых затем шантажируют потерпевшего. Такое уже случалось в недалеком прошлом в Южной Корее: некий злоумышленник, пользуясь сайтами знакомств, располагал к себе своих будущих жертв и, собрав о них всю информацию (где живут, с кем, где работают или учатся), различными способами выманивал у них интимные фотографии. Затем, используя их в качестве материала для шантажа, заставлял своих жертв делать фотографии и видеозаписи немыслимых извращений, которые он выставлял на сайтах за финансовое вознаграждение. При этом действовал он не один – там орудовала целая банда, «карающая» непокорных жертв. Однако под суд пошел лишь основатель группы – подельников он не назвал, за что и получил 40 лет тюремного заключения.
Равным образом компрометирующая или важная финансовая информация может попасть к преступникам в результате взлома аккаунта, компрометации сети или устройств или из-за использования ненадежных сервисов, позволяющих обходить блокировку интернет-ресурсов (технологии VPN[1] – virtual private network). Чаще всего это становится возможным из-за «небрежного отношения к безопасности» учетной записи: один пароль от всего, отсутствие двухфакторной аутентификации, пароль «мне-нечего-скрывать», использование единого устройства для всего везде и сразу – удобно ведь!
Как с этим бороться? Только через развитие навыков ответственного поведения в публичном пространстве. Принципы цифровой гигиены позволяют нивелировать такие угрозы, как изготовление (умышленное или непредумышленное) и размещение противоправного контента, оскорбление различных социальных групп и категорий индивидов, разжигание конфликтов на личной, национальной и расовой или религиозной почве, а также устанавливают наступление ответственности за указанные действия по текущему законодательству.
При выборе конкретных средств для формирования умений и навыков, связанных с ответственным поведением в интернет-пространстве, акцент следует делать на нескольких пунктах.
1. Пользователи в Сети являются не только активными потребителями, но и распространителями и производителями информации, что накладывает на них определенную персональную ответственность за эти процессы.
2. Законодательство в данной сфере весьма развито, а правоприменительная практика довольно интенсивна. Кроме того, важно понять – уровень анонимности в интернете сегодня гораздо ниже, чем это было 10 лет назад, и сегодня проще определить распространителя противоправного контента, чем раньше. Поэтому следует ответственно относиться к контенту на своих страницах – как созданному собственноручно, так и репостам.
Следует понимать: предсказать, какие в ближайшем будущем возникнут новые угрозы в сфере взаимодействия индивида и информационной среды, практически невозможно. Так, каждый день появляются новые виды угроз, сочетающих в себе использование специализированного программного обеспечения, современных технических средств и последних разработок в области психологии. Даже сейчас, когда вы читаете книгу, формируются новые комплексные угрозы, связанные с цифровой сферой – работают буквально «фермы» по производству и распространению контента, созданного злоумышленниками и позволяющего с помощью психологических и технических алгоритмов доносить до пользователя опасную информацию. Используя данные, собираемые о поведении индивидов в сети Интернет (big data), злоумышленники максимально незаметно до пользователя «подсовывают» отвечающую запросам пользователя информацию, в том числе рекламного характера, рассчитывая на минимальное сопротивление. Это новый уровень развития технологий манипуляции сознанием, которые за счет больших вычислительных мощностей и быстро эволюционирующих систем искусственного интеллекта позволяют создавать предельно индивидуализированный информационный продукт – следовательно, привлечение нейросетей позволяет делать угрозы все изощреннее.
Понятие и методы социальной инженерии
Теперь пора перейти к самой опасной угрозе в киберпространстве – социальной инженерии. Без ее грамотного применения не сработает ни одна мало-мальски грамотная операция цифровых злоумышленников. Ведь именно на методах социальной инженерии строится вся база взломщиков – от подбора паролей до методов внедрения шпионского программного обеспечения на компьютер или в Сеть. Социальная инженерия есть не что иное, как искусство манипулирования людьми с целью получения от них некоей выгоды – с помощью техник этой науки можно заставить человека выполнить какую-то задачу, что-либо купить, оплатить или же просто использовать его для доступа к конфиденциальной информации.
В список конфиденциальной информации, за которой охотятся злоумышленники, можно внести следующее:
– личные данные пользователей локальной или Всемирной сети;
– логины и пароли учетных записей;
– финансовая информация;
– личные фотографии, видеозаписи – это можно использовать для шантажа.
Согласно мировой статистике, чаще всего мошенников интересуют именно логины и пароли от учетных записей и финансовые данные (номера платежных карт, счетов и т. д.). Чтобы заполучить эти сведения (равно как и в других случаях), злоумышленники не брезгуют никакими способами – от банального общения (в ходе которого, завоевав доверие, легко попросить человека сделать что-либо) до подбрасывания вредоносной информации на компьютер. Причем даже подбросить вредоносный код на компьютер можно, используя методы социальной инженерии – войдя в доверие к нужному пользователю либо сыграв на банальном любопытстве (например, «обронив» флешку с вирусом на пути следования объекта на работу). При этом социальная инженерия значительно облегчает задачу взломщика – чем использовать брутфорс для взлома паролей, гораздо легче под тем или иным предлогом загрузить на компьютер жертвы вирус, который передает злоумышленнику всю необходимую информацию небольшими пакетами данных, или же вовсе выведать необходимую для взлома информацию, войдя в доверие – такой вариант тоже нельзя сбрасывать со счетов.
Как правило, атаки с применением социальной инженерии можно разделить на два этапа – изучение жертвы и применение уловок, облегчающих доступ к конфиденциальному. Позвольте рассказать на довольно простом примере, как это происходит. К примеру, некоему хакеру понадобилась информация о состоянии банковских счетов в какой-либо компании. Но доступ к информации нельзя получить извне – банк, что естественно, такой информации направо и налево не раздает, а на сервера компании попасть невозможно по причине отсутствия учетной записи для доступа к закрытым данным. Тогда, чтобы не мучаться с поиском уязвимостей операционной системы и подбором логинов и паролей, он решает найти жертву – сотрудника компании, которого можно использовать для получения доступа. Исследуя социальные сети, он выискивает потенциальных жертв, составляет их первичные психологические портреты – как относятся к работе, довольны ли условиями труда, возможно, есть какие-то шероховато