Масштабные социальные сети стали чрезвычайно популярны благодаря стремительному развитию сетевых и мобильных технологий [1, 2], однако эта популярность неизбежно притягивает злоумышленников, стремящихся использовать обширную пользовательскую аудиторию для распространения вредоносных программ и кражи персональных данных. Помогая поддерживать связь с близкими, друзьями и коллегами, социальные сети одновременно создают риски безопасности. Некоторые социальные сети, например Facebook, LinkedIn и Google+, требуют, чтобы пользователи указывали о себе реальные сведения, и могут сохранять большой объем персональной информации, в том числе данные по кредитным картам.
Атаки в социальных сетях организуются путем использования брешей безопасности и злоупотребления доверием пользователей. Атаки второго типа иногда осуществить проще, поскольку люди не всегда осторожны. Рассмотрим этот вид атак и разберем «ловушки» механизмов безопасности социальных сетей, а также распространенные способы эксплуатации пользовательского доверия. Для иллюстрации опишем исследовательское приложение для Facebook, демонстрирующее риски в социальных сетях.
Ловушки механизмов безопасности
Социальные сети предоставляют массу сервисов множеству пользователей с различными типами поведения, пытаясь извлечь максимальную выгоду для бизнеса. Все это сопровождается сложной системой обеспечения безопасности, имеющей определенные подводные камни.
Сложные, сбивающие с толку настройки
Операторы социальных сетей ищут способы заработать, создавая для этого новые продукты и услуги — например, по размещению рекламы в видеороликах, доставке мультимедиапотоков, автоматизированной разметке снимков и приему платежей. С помощью соответствующих приложений осваивается быстрорастущий мобильный рынок, а социальная сеть становится все более многофункциональной и развитой, но с ее усложнением все труднее управлять разнообразными функциями обеспечения приватности и безопасности.
Удобство превыше безопасности
Принудительная активация средств безопасности может привести к росту операционных расходов и снижению производительности, но операторов социальных сетей больше беспокоят помехи на пути обмена контентом между пользователями и распространения приложений, возникающие из-за защитных мер, а безопасность мешает увеличению доли рынка. Соответственно, по умолчанию настройки приватности в социальных сетях обычно установлены по минимуму, чтобы пользователи активнее делились информацией.
Слабое звено безопасности
Защищенность персональных данных зависит от настроек безопасности, установленных друзьями по социальной сети, с которыми пользователь делится контентом. Иначе говоря, даже когда эти настройки дают высокую степень защиты, если какая-то пользовательская страница будет взломана, атакующий получит доступ к данным всех друзей. Получается, что уровень защищенности вашей страницы такой же, как у друга с самой низкой степенью защиты.
Информация, получаемая косвенно
Даже если вы не раскрываете какие-то сведения о себе, их можно получить путем анализа контента, которым делитесь вы и ваши друзья. Предположим, к примеру, что вы не указали личной информации в профиле, но ваши друзья сообщают Facebook, что они учатся в таком-то институте, а на многих групповых снимках студентов присутствуете вы, — скорее всего, вы там учитесь тоже. Поэтому чисто технических решений для защиты приватности в соцсетях иногда недостаточно.
Магнит для атакующих
Профили, публичные посты, снимки и «лайки» пользователей помогают рекламодателям, поэтому данные пользователей социальных сетей являются ценным активом, за которым охотятся злоумышленники. Люди и приложения прибегают ко всевозможным ухищрениям, стараясь узнать о вас как можно больше, и один из легальных способов для этого — получить ваше официальное разрешение. Кажущаяся, на первый взгляд, заманчивой игра может быть специально создана только ради того, чтобы собирать о вас информацию: при ее установке вы, возможно, намеренно или по недосмотру дали ей разрешение на доступ к профилю, альбомам и спискам друзей.
Типичные методы атак
Перечислим возможные способы совершения атак в социальных сетях вообще и в Facebook в частности.
Вредоносные программы
Вредоносными могут быть скрипты и другие программы, собирающие личные сведения о пользователях. Распространяться в социальных сетях они могут по ссылкам, ведущим на посторонние сайты, где пользователю предлагают скачать вредоносный файл. Если пользователь согласится, то заразит компьютер и разошлет ссылки друзьям. Вирус Ice IX, к примеру, украл подобным способом данные по кредитным картам многих пользователей Facebook [3].
Спам, жульничество, фишинг
Доверительные отношения между пользователями социальных сетей открывают широкие возможности для рекламы, фишинга и мошеннического спама. Социальный спам может вызвать перегрузку трафиком, провоцирующую утрату доверия пользователей друг к другу и к социальной сети. Фишеры также могут пользоваться недоработками в системах обеспечения приватности социальных сетей. Больше 70% спама на Facebook содержит рекламу фишинговых сайтов.
Ботнеты
Ботнет создается путем компрометации некоторого количества компьютеров, соединенных с Интернетом. Атакующие могут контролировать ботнет с помощью сообщений, отправляемых через социальные сети. Был проведен эксперимент по превращению Facebook в ботнет: специальное приложение передавало http-запросы на скомпрометированный хост, и оказалось, что если бы атакующий разослал вирус нескольким миллионам пользователей, то атакованный хост ежедневно раздавал бы по Сети сотни гигабайт вредоносных файлов.
Подделка личности
Атакующий получает доступ к чьей-либо персональной информации и с ее помощью выдает себя за другого, что, кстати, происходит как в физическом мире, так и в социальных сетях.
Лишние привилегии
В социальные сети можно заходить через мобильные приложения, которые перед инсталляцией просят у пользователя определенные привилегии, в том числе доступ к контактам и снимкам на смартфоне, но некоторые из этих полномочий для нормальной работы таких приложений не нужны. Лишние привилегии также могут запрашиваться сторонними приложениями для социальных сетей — например, играми или программами, помогающими делиться снимками и видеозаписями. Некоторые приложения требуют доступ к личным данным друзей пользователя или от его имени просят разрешения на публикацию сообщений. В результате возможны утечки личных сведений и использование персональных данных для незаконных целей.
Проверка возможностей Facebook
Для проверки безопасности устойчивости Facebook было разработано приложение, не наносящее ущерба, но ведущее себя так же, как и вредоносное. Его легенда — программа для автоматического сбора статистики по игровым бонусам, которыми делятся друзья пользователя. По умолчанию после установки приложение знает имя и пол пользователя и имеет доступ к его списку друзей. «Сборщик бонусов» запрашивает у пользователя еще ряд привилегий: доступ к адресу электронной почты, разрешение на чтение постов в его ленте, включая обновления статусов, снимки, ссылки и т. д., а также разрешение на публикацию постов от имени пользователя, комментариев к чужим постам и размещение на них отметки «нравится».
Приложение якобы предоставляло две основные функции: анализ ленты и отображение видеоурока. Просматривая ленту пользователя, оно автоматически отфильтровывает посты об игровых бонусах и извлекает из них ссылки. Подведя итоги по бонусам, приложение публикует на стене пользователя саморекламу. При выборе обучающего режима происходит переадресация на сайт видеохостинга с роликом, показывающим, как пользоваться приложением. Однако в реальности только этим деятельность приложения не ограничивалась — считывая список друзей пользователя, оно строило социальный граф и анализировало связи. Кроме того, из ленты извлекались не только посты самого пользователя, но и действия его друзей. А кнопка обучения отсылала на фальшивый сайт, выглядящий похоже на хорошо известный и предлагающий пользователю перед просмотром обновить плагин браузера, ссылка на который вела на вредоносный файл.
Рис. 1. Экспериментальное приложение, позволяющее организовать раздачу вредоносов, фишинг, формирование ботнета, подделку личности и получение лишних привилегий |
На рис. 1 показана архитектура экспериментального вредоноса. Сервер атакующего содержит фальшивый видеосайт, занимающийся фишингом и распространением вредоносов, а также собственно «Сборщика бонусов» для Facebook.
Схема работы
Вначале ссылка на приложение с рекомендацией размещалась на «стене» страниц Facebook атакующих (рис. 2, а), и когда на ссылку нажимали, начиналась установка, при которой запрашивались некоторые разрешения (рис 2, б). В приложении можно было выбрать функцию «анализ ленты» (рис. 2, в), которая заодно читала все пользовательские посты и сохраняла их на сервере атакующего. Если пользователь выбирал функцию «просмотреть урок», то его переадресовывали на копию сайта YouTube, где перед просмотром видео предлагалось обновить плагин браузера (рис. 2, г). При нажатии на ссылку может загружаться вредоносная программа — в исследовательском приложении вместо этого просто происходил переход на страницу загрузки Adobe Flash.
Данное приложение потенциально позволяет организовать все пять перечисленных видов атак. После того как пользователь предоставил затребованные лишние привилегии, можно: получить адреса электронной почты для отправки на них спама; публиковать посты на стене пользователя, чтобы заинтересовать других; читать все посты в ленте пользователя и анализировать их. Кроме того, с помощью фальшивой копии YouTube можно устраивать фишинг и строить ботнеты.
Результаты эксперимента
Проведенный эксперимент показал, что можно легко нарушить приватность в Facebook:
- считывать и обрабатывать пользовательские ленты;
- получать списки друзей для анализа связей и выхода на новых жертв;
- проводить фишинг путем переадресации на фальшивый сайт;
- загружать вредоносные программы на компьютеры пользователей.
На момент написания статьи тестовое приложение установили 276 человек. Из них 97,1% выбрали функцию «анализ ленты», а 27,2% перешли по ссылке, которая могла вести на вредоносный файл. Более того, руководствуясь списками друзей, тайно полученными приложением, можно было построить социальный граф из 19 763 человек, получив обширный пул потенциальных жертв. Что более важно, появилась возможность анализа сети для идентификации ее самых влиятельных участников — эту информацию можно использовать для маркетинговых нужд или для организации эффективных адресных атак.
***
Люди дают разрешения приложению, часто не понимая, что оно может с ними делать дальше. Пользователи предоставляли полномочия экспериментальному приложению, поскольку полагали, что ему можно доверять как рекомендованному их друзьями. Естественно, подобным доверием могут злоупотреблять и атакующие: кто-то может, похитив ваши личные сведения, притвориться вами и разместить на вашей стене вредонос. Приняв некоторые контрмеры, пользователи могут избежать атак — в частности, перед установкой приложения им следует подумать, какие именно привилегии ему действительно нужны. Если запрашиваются явно лишние, то устанавливать такое приложение не стоит.
Будьте внимательны, если приложение пытается переадресовывать вас на другой сайт — вредоносные сайты могут быть очень похожими на легитимные. Проверяйте адрес, чтобы не стать жертвой фишинга. Периодически проводите ревизию настроек защиты и приватности — в социальных сетях часто появляются новые функции и сервисы, создающие лазейки для атакующих. Кроме того, время от времени проверяйте, к какой вашей информации имеется доступ у третьих сторон.
Пользователи обычно доверяют постам своих друзей в социальных сетях, но стоит иметь в виду, что этим доверием могут легко воспользоваться злоумышленники, даже если у вас самые строгие настройки безопасности.
Литература
- K.Y. Wong. Cell Phones as Mobile Computing Devices, IT Professional, vol. 12, no. 3, 2010, P. 40–45.
- K.Y. Wong. The Near-Me Area Network, IEEE Internet Computing, vol. 14, no. 2, 2010, P. 74–77.
- E. Protalinski. Ice IX Malware Tricks Facebook Users to Enter Credit Cards Details, ZDNet, 3 Apr. 2012. URL: http://www.zdnet.com/blog/security/malware-tricksfacebook-users-into-exposing-credit-cards/11297 (дата обращения 12.11.2014).
Казе Вонг (kazec.y.wong@gmail.com) — научный сотрудник, Су-Кит Танг (sktang@ipm.edu.mo) — преподаватель, Политехнический институт Макао; Ангус Вонг (kywong@ouhk.edu.hk) — руководитель исследований, Открытый университет Гонконга; Алан Енг (eeayeung@cityu.edu.hk) — доцент, Вей Фан (anwei.fw@gmail.com) — аспирант, Городской университет Гонконга.