Кто из нас не создавал себе профили хотя бы на одном из популярных нынче сайтов: MySpace, Facebook, LinkedIn, «Вконтакте», «Одноклассники»? Взрыв интереса к социальным сетям породил новые возможности для общения, дружбы, романов и деловых отношений во всем мире — факт, который не прошел не замеченным авторами вредоносного программного обеспечения и организованной киберпреступности.
Сейчас социальные сети стали кошмаром для специалистов в области защиты информации. Пользователи проводят все больше и больше времени в общении, причем не только дома, но и на рабочем месте. При этом многие из них не знают или забывают об элементарных мерах предосторожности, открывая тем самым доступ на свои компьютеры всевозможным вредоносным программам.
Спам-атаки, фальшивые антивирусы, «черви» и саморазмножающиеся вирусы — вот наиболее известные угрозы, поджидающие любого интернет-пользователя. С развитием социальных сетей появились и новые опасности, использующие характерные для Web 2.0 технологии, например Adobe AIR и Silverlight. Да и популярные нынче приложения (всевозможные игры, тесты и проч.), предлагаемые создателями социальных сетей, могут способствовать проникновению заразы на компьютер пользователя.
Но помимо чисто технических угроз, реализуемых программными средствами, стали появляться и другие опасности, напрямую связанные с поведением человека. Они подчас куда более вредны и чреваты гораздо более серьезными последствиями, чем зараженный вирусом компьютер. Некоторые из таких угроз здесь и будут рассмотрены.
Spearphishing
В социальных сетях отмечено появление нового вида фишинговых атак — spearphishing (в пер. с англ. — ловля рыбы с помощью копья/дротика). Это узконаправленные координированные нападения на организацию или конкретного пользователя с целью получения критически важных данных. В этом случае злоумышленник осуществляет более правдоподобный обман, максимально приближаясь к целевой группе и используя для маскировки внутреннюю информацию компании. Такая атака требует лучшего знания адресата, но она может оказаться и более успешной.
Проведение таких атак в социальной сети облегчается самим характером общения пользователей, доверяющих своим друзьям и собеседникам. Тем более что весьма часто нападающие создают правдоподобные профили, которые внешне имеют вполне законный вид.
Вспомним классический пример подобного обмана.
Осенью 2009 г. Удмуртское управление Федеральной службы судебных приставов (УФССП) разработало и запустило операцию «Блондинка»: под видом миловидной барышни в социальных сетях с должниками знакомились судебные приставы. Все происходило в лучших традициях подобных ресурсов: «блондинка» ставила мужчине-должнику высший балл за его фотографию, завязывалась беседа, слово за слово — и барышню уже пригласили на свидание. Когда горе-Ромео приходил на место встречи, то вместо симпатичной девушки его встречал судебный пристав.
Причины успеха операции очевидны: пользователи не хотят думать, как может быть использована та или иная опубликованная в Сети информация.
Подмена лица в социальных сетях
Цель такого мошенничества — представиться другом и выудить из пользователей приватную информацию. Злоумышленник должен выполнить следующие действия.
- Зарегистрироваться в социальных сетях, например в Facebook или MySpace. В принципе все равно, какие это будут сети, лучше более широко распространенные.
- Пригласить в друзья дюжину-другую незнакомых людей на MySpace. Скажем, половина из них примет его приглашение. После этого злоумышленник должен собрать список всех их друзей.
- Войти в Facebook и найти там всех откликнувшихся «друзей» из MySpace. Пусть злоумышленник обнаружит там, предположим, четырех из них. Далее он должен предложить им дружбу на Facebook. Все жертвы примут это предложение, потому что он стал уже их установленным другом.
- Теперь злоумышленник должен сравнить друзей друзей MySpace с друзьями друзей Facebook и выделить список людей, имеющих аккаунт в первой сети, но не пользующихся второй. После этого он должен скачать фотографии и данные найденных людей и использовать их, чтобы создать ложные, но убедительные профили на Facebook. А затем от имени созданных личностей он посылает запросы на дружбу своим жертвам в этой сети.
В качестве награды другие пользователи, являющиеся друзьями и жертв злоумышленника, и созданных им фальшивок, сами свяжутся с ним и предложат дружбу. Конечно, он это примет. Подумайте о факторе доверия. Эти вторичные жертвы не только чувствуют, что знают преступника, но и фактически просят статус друга. Они сами ищут злоумышленника.
- Теперь ему доверяют, он может задавать вопросы, которые задают только друзья: Когда вы выезжаете из города? Когда едете отдыхать? Как надолго? И т.д.
Несложно представить, чем это может обернуться для излишне доверчивых и общительных пользователей.
Зная номер мобильного телефона, сегодня можно, воспользовавшись услугами мобильных операторов, отслеживать местоположение человека — услуга официально продается некоторыми мобильными операторами. Формально на это нужно согласие владельца номера, но, по мнению автора статьи, это просто увеличит цену подобной услуги. А через три-четыре месяца можно будет с 80%-ной вероятностью предсказать, в какой момент времени и в каком месте маршрута абонент будет находиться. Не страшно? А ведь это всего лишь номер телефона, который кто-то по доброте душевной оставил в социальной сети. Да, такое отслеживание маловероятно, однако это не означает, что данной угрозой можно пренебречь!
Фишинг в социальных сетях
Использование фишинга и его разновидностей стало весьма распространенным явлением. Его обсуждают, пытаются делать антифишинговые фильтры, встраивать их в браузеры и в антивирусное ПО, однако атак меньше не становится. Более того, они делаются все изощреннее.
Миллионы пользователей увлекаются играми типа Farmville и Mobsters. В них используется собственная виртуальная валюта, помогающая разными способами улучшать игровой статус. Причем ее можно купить, расплатившись реальной кредиткой, но существуют и «бесплатные» способы увеличения игрового капитала, которые приносят компаниям еще больше прибыли. К счастью, пока они не дошли до России, но уже распространены на Западе. Суть выманивания денег заключается в следующем. Пользователям предлагают пройти тест на IQ или скачать пробную версию какой-то программы, получив взамен определенное количество виртуальных денег. Нигде в этих предложениях не говорится, что пользователь, даже не имея кредитной карты, в обоих случаях потеряет реальные деньги.
Монетизация производится различными способами: например, деньги могут сниматься с мобильного телефона (для прохождения теста на IQ) или взиматься наличными за доставку «бесплатного» CD с программой.
Более того, разработчики игр для Facebook получают доступ к персональным данным пользователей и их социальным связям. Это позволяет персонализировать спам («ваш друг такой-то приглашает вас сыграть с ним»), что вводит в заблуждение, особенно если реклама визуально напоминает стиль Facebook.
На самом же деле нужно смотреть внимательно на то, что предлагают, и пытаться понять, что уже давно никто ничего «за спасибо» не делает!
Дети в Интернете
В связи с изложенным следует еще раз обратить внимание на то, что необходимо контролировать, чем заняты дети. Они не имеют жизненного опыта, а следовательно, окажутся первым объектом для удара!
Проведенные в США исследования показали, что подростки ведут около половины всех блогов, причем двое из трех указывают в них свой возраст, а трое из пяти — свое местожительство и возможные способы контактов (телефон, номер ICQ, электронный адрес и т.д.), а один из пяти сообщает свое реальное имя. Стоит помнить, что в таком случае резко возрастает риск использования персональной информации вашего ребенка.
В чем же состоит риск публикации персональных сведений? Подумайте о том, что через ребенка очень легко воздействовать на вас. Опираясь на раскрытые сведения, нетрудно узнать маршрут движения, привычки, фамилии и имена друзей, школьных учителей. А наличие этого делает вашего ребенка весьма простой целью для атак социотехники, которую преступники используют для получения доступа к компьютерам. Атаки, основанные на социотехнике, обычно проводят с целью тайно установить программы-шпионы (или другие вредоносные программы) или обманным путем узнать пароли, важные личные или финансовые сведения.
Обратимся к фактам. По результатам опроса, примерно две тысячи жителей Великобритании в возрасте от 11 до 18 лет, треть опрошенных подростков, оказались жертвами киберхулиганов. К киберхулиганству исследователи, в частности, отнесли оскорбительные SMS, звонки на мобильный и поведение в социальных сетях. Как показал опрос, девушки становятся жертвами киберхулиганов в 4 раза чаще, чем юноши.
В феврале 2009 г. Еврокомиссия и представители 17 социальных сетей подписали пакт, обязывающий сайты не публиковать в поисковой выдаче персональные данные несовершеннолетних пользователей. В Великобритании подобные меры были приняты еще в апреле 2008 г. А как дело обстоит в США? Согласно результатам исследования, проведенного психологами из Университета Калифорнии в Лос-Анджелесе, трое из четырех подростков подвергались запугиванию в Сети в течение последнего года. И только один ребенок из десяти рассказал об онлайновых угрозах родителям или другим взрослым людям.
Исследователи также отмечают, что многие отцы и матери очень мало знают о том, как их чада используют Сеть, и не понимают, насколько Интернет важен в социальной жизни детей. Родители считают, что лучше всего защитить отпрысков способен полный запрет на доступ в Сеть. Однако такой способ может навредить отношениям с ребенком и помешать нормальной социальной жизни тинейджеров.
Возможно, кто-то, прочитав данную статью, сделает вывод, что просто еще один противник социальных сетей решил высказать свое мнение. Однако я не призываю вас не общаться в Интернете. К сожалению, отсутствие информации о вас в популярных социальных сетях может сыграть с вами плохую шутку. Не секрет, что сейчас при приеме человека на работу стараются собрать всю возможную информацию о нем, обращаясь в том числе и в Интернет, и в социальные сети. Обычно блоги и социальные сети просматриваются при составлении списка на собеседование. И если человек вообще не присутствует ни в блогах, ни в социальных сетях, то такое его поведение будет как минимум внушать подозрение.
Выход в том, чтобы, естественно, пользоваться социальными сетями, но при этом понимать, что записи будут доступны третьим лицам, которые вполне могут использовать их против вас. Нравится нам с вами или не нравится, но «Большой Брат смотрит за нами». И к этому пора привыкать!