Знание операционной системы, браузера и IP-адреса уже позволяет злоумышленнику определиться с типом вредоносной программы, которую можно закинуть жертве, или какие уязвимости использовать в продолжение атаки.
Как может еще использоваться полученная информация, будет рассмотрено в следующих частях книги.
А пока можно рассмотреть еще один интересный способ получения информации о потенциальной жертве, которая очень важна для злобных кибершпионов.
Анализ служебных заголовков
В основе этого способа получения информации лежит анализ служебных заголовков (свойств) электронного сообщения, которые имеются у любого сообщения и определены в документе RFC-822 (Standard for ARPA Internet Text Message)[30].
Этот метод сводится к навязанной пользователю, в отношении которого осуществляется сбор информации, переписке с использованием принадлежащего ему электронного почтового адреса. Цель — под каким-либо предлогом от пользователя нужно получить электронное письмо.
В самом простом варианте это может выглядеть примерно так. Пользователю на электронный ящик приходит письмо: «Привет, Серега, когда долг вернешь? Да и вообще, давно не виделись, как там дела на работе?» В ответ пользователь, скорее всего, напишет: «Ты кто вообще?»
Навязать переписку можно также с использованием фишинга, то есть используя похожий на известный жертве электронный адрес. В зависимости от личности жертвы злоумышленники могут представиться рекламным агентом, продюсерским центром, режиссером, фондом помощи, представителем СМИ, поставщиком товаров или услуг, клиентом и т. д.
Получив ответное письмо от потенциальной жертвы и проведя его анализ, злоумышленники могут почерпнуть из него весьма ценную для себя информацию. Эта информация никак не связана с тем, что напишет пользователь, даже если это будет пара нецензурных выражений.
Интересующая информация кроется в служебных заголовках электронного письма, которые в обычном режиме просмотра не отображаются ни в почтовом клиенте, ни в интерфейсе почтового сервиса. Но они все-таки есть.
К примеру, служебные заголовки могут содержать информацию о почтовом клиенте, посредством которого пользователь отправил сообщение:
X-Mailer: Apple Mail (2.3273)
В данном случае служебные заголовки содержат информацию об использовании отправителем Apple Mail — почтового клиента от
Apple Inc., который входит в стандартную поставку Mac OS X и iOS. Ну совершенно очевидно, что нет никакого смысла подкидывать такому пользователю вредоносную программу — бэкдор или троян, написанную под операционные системы Windows или Android.