Особенности киберпреступлений в России: инструменты нападения и защиты информации (Масалков) - страница 22

Письмо может выглядеть по-разному, но цель всегда одна и та же. В качестве примера можно привести довольно старый образец фишингового письма (рис. 1.10) из разряда слепой атаки, стилизованного под работу автоматической службы почтового сервиса:

Рис. 1.10.Фишинг под видом службы почтового сервиса

Или пример фишингового письма, замаскированного под официальные сообщения банка (рис. 1.11).

Рис. 1.11.Пример фишингового письма, замаскированного под официальные сообщения банка

Переход по ссылке такого письма также может отправить пользователя в путешествие по фэйковым страницам для «обработки».

Приведенный в самом начале пример, с отправкой сообщения от пользователя ООО «Магнит», вот так может выглядеть на другом почтовом сервисе — см. рис. 1.12, 1.13.

Рис. 1.12.Пример фишингового письма

Рис. 1.13.Пример фишингового письма

Еще раз стоит отметить, что для подобного рода атак совершенно не важно, на каком сервисе располагается учетная запись потенциальной жертвы.

Социальная инженерия представляет собой наибольшую угрозу для любой системы безопасности, в том числе информационной. Об этом говорится повсеместно и довольно давно, еще до возникновения киберпреступности.

Социальную инженерию правильнее рассматривать как некое воздействие, которое оказывает влияние на человека, подталкивая (направляя) его к выполнению определенных действий, которые могут быть как в его интересах, так и иметь обратные последствия.

Не задаваясь целью глубокого изучения психологии человеческих поступков, но имея стремление показать фактическое положение вещей, которое наблюдалось автором в процессе работы, предлагается рассмотреть роль социальной инженерии при проведении фишинг-атак.

Социальная инженерия во всей красе наблюдается именно в целенаправленном фишинге, хотя ее шаблонно-базовые принципы есть и в массовых (слепых) атаках.

Кто-то скажет, может быть: «посмотрел я в Интернете примеры фишинг-писем, и отлично, меня теперь не обмануть». Однако социальная инженерия в руках злоумышленников — это больше искусство, чем наука. Неизвестно, можно ли этому искусству научить настолько, чтобы человек смог применять этот инструмент на практике, применяя повсюду, где это может пригодиться.

Человеческая психология всегда была уязвимостью, эксплуатируемой во все времена преступниками и аферистами различного толка. Настали времена использования социальной инженерии и в киберпреступлениях, в частности при получении неправомерного доступа к электронным почтовым адресам и другим аккаунтам: вместо того чтобы пытаться найти уязвимость программного обеспечения, взломщик может заставить жертву сообщить свой пароль самостоятельно.