ифыафыв. Максим Кузнецов Игорь Симдянов СанктПетербург бхвпетербург 2007

Ãëàâà 2. Ïðèìåðû âçëîìîâ ñ ïîìîùüþ ñîöèàëüíîé èíæåíåðèè
51
 Правило первое. Ни один из сотрудников предприятия не должен знать больше, чем ему полагается знать по должности. К сожалению, нередко это правило не соблюдается, и часто бывает так, что любой сотрудник знает не меньше генерального директора. Что, конечно жене просто неверно, а очень опасно.
Áîëüøèíñòâî ëþäåé íå óìåþò õðàíèòü ñåêðåòû Если вы руководитель какого угодно масштаба и ранга, запомните одно из самых важных правил, выполнение которого намного процентов обезопасит вас от многих социоинженерных атак. Правило такое подавляющее большинство людей не могут хранить даже свои сокровенные секреты, не говоря уже о чужих. Если вы наедине поделитесь какой-либо информацией с сотней лучших сотрудников, предупредив каждого, что информация сугубо секретна, можете быть уверены, что 90 человек ее непременно "сольют на сторону. По самым разным причинам. Кто-то по глупости житейской, кто-то жене за вечерним чаем, кто-то "по пьяни", кого-то будет переполнять чувство собственной значимости, потому что "сам генеральный доверился и рассказали об этом, конечно же, нужно рассказать друзьям, которым никто никогда такой важной информации не доверял Причин тут много. И они не главное — важен результат большинство не могут хранить секреты. И, конечно, одно из качеств хорошего руководителя, — это умение разбираться в людях, которое полезно хотя бы для того, чтобы из этой сотки выделить те пять-десять человек, которым действительно нестрашно довериться.
 Правило второе. Применяемое в том случае, если у кого-то из сотрудников возникнет желание с кем-то поделиться той информацией, которую ему положено знать по должности. В трудовом контракте с сотрудником обязательно должен быть прописан пункт о том, что за разглашение коммерческой информации сотрудника ждет ответственность вплоть до уголовной. Именно так — "ответственность вплоть до уголовной, так как все другие виды наказания (взыскания, штрафы и пр) легко обходимы. Подумаешь, штраф какой-то. Его жене сотрудник будет платить, а та организация, которая, скажем, заказала ему вашу клиентскую базу данных, потому что к сумме счета за свои "услуги" ваш "сотрудник" просто добавит сумму штрафа.

×àñòü I. ×òî òàêîå ñîöèàëüíàÿ èíæåíåðèÿ è ñîöèàëüíûå õàêåðû
52
Ïðèìå÷àíèå И еще. Небольшое добавление ко второму правилу. Вы можете себя не ограничивать в средствах запугивания своих сотрудников на предмет того, что сними будет после того, как они что-то своруют в вашей организации. Потому что некоторых работников удержать от дурных поступков может только страх. Так как страх за свое дальнейшее будущее для многих это именно то единственное чувство, которое сильнее страсти к деньгам.
Âîðîâñòâî êëèåíòñêèõ áàç äàííûõ Продолжим начатый в главе 1 разговор о воровстве клиентских баз данных. Несмотря на то, что достоянием гласности являются только единичные факты воровства клиентских баз данных, количество даже известных широкой публике случаев за последнее время значительно выросло. Для нас наиболее интересно то, что большинство хищений информации связано с использованием методов социальной инженерии.
Ïðèìå÷àíèå Причина того, что достоянием гласности становится лишь малый процент таких хищений в том, что фирмы, естественно, не желают портить свою репутацию, признаваясь в собственной беспечности. Наиболее просто добыть клиентские базы данных — это воспользоваться беспечностью сотрудников, работающих на предприятии. Нередко счета фактуры и прочие документы валяются на столах у сотрудников, которые еще имеют привычку выходить из своего кабинета минут на 10—30, так что, если и не надо, соску- ки все пересмотришь. В некоторых магазинах, допустим по продаже офисной техники, мебели и т. д, многие продавцы оформляют счета, отвернувшись к своему компьютеру, а то, что як примеру, могу быть сотрудником конкурирующей фирмы, и мне ничто не мешает постоять за спиной и посмотреть список клиентов, это никого не волнует. Однажды одной даме, которая слишком долго оформляла мою покупку (в компьютерном магазине, я сказал "Девушка, я вижу, что вы еще не очень освоились с С- предприятием, давайте, я вам помогу. Девушка с удовольствием приняла мою просьбу, встала из-за компьютера и вообще ушла на 15 минут. Вероятно, пить чай. Что еще интереснее, ни один из

Ãëàâà 2. Ïðèìåðû âçëîìîâ ñ ïîìîùüþ ñîöèàëüíîé èíæåíåðèè
53 сотрудников, которые туда-сюда сновали мимо меня (ее компьютер стоял в центре магазина, не поинтересовался, чего это собственно я (посторонний человек) за ним сижу. Случаи, когда похищаются клиентские базы данных, пользуясь беспечностью работающих на предприятии кадров, очень нередки. К примеру, для начала можно представиться сотрудником фирмы, которая устанавливает базы данных, и, проникнув таким образом за компьютер, или просто спросив у сотрудников, узнать, какие базы данных уже установлены на пользовательских машинах. А если повезет, то заодно их и скачать. Можно поступить так, как было водной энергетической компании Санкт-Петербурга (этот случай мы описывали в главе 1), когда человек, представившись другом заболевшего сотрудника системного администратора, сказал, что друг попросил его сегодня заменить. Хотя выяснить, друг попросил или кто-то еще, можно очень просто позвонив своему сотруднику и перепроверив информацию. Правда, можно поступить хитрее и действительно сделать так, что друг подтвердит эту информацию. Можно ведь просто стать на некоторое время другом системного администратора. Пусть и не лучшим. Главное, чтобы этой дружбы было достаточно для того, что когда он действительно заболеет (или просто по каким-то причинам не сможет прийти на работу, он обратился за помощью к кому нужно. К другу, то есть, который только этого и ждет. Или непросто ждет, а пытается форсировать ситуацию. К примеру, вам вдруг неожиданно пришла повестка в военкомат, и, надо же какое совпадение, в тот вечер, когда вы обнаружили ее в своем ящике, вы как раз шли к себе домой вместе с другом попить пивка.
— Ой, е, — говорите вы "другу, — мне же завтра обязательно нужно быть на работе. Чего же делать то А друг он на то и друг, чтобы подстраховать товарища в нужную минуту.
— Да ерунда, — говорит он вам, — дел-то натри копейки. Давай я завтра вместо тебя схожу и все сделаю. Позвони своему боссу, предупреди, что, так, моли так, у меня такая ситуация и вместо меня придет мой хороший товарищ.

×àñòü I. ×òî òàêîå ñîöèàëüíàÿ èíæåíåðèÿ è ñîöèàëüíûå õàêåðû
54 И, радуясь, как удачно все разрешилось, вы вместе с "другом" со спокойной душой идете пить пиво. Можно на месяц устроиться в фирму, у которой надо украсть базы, менеджером по продажам. И уйти из нее на второй день, сказав, что не устроил коллектив вообще и директор в частности.
Ïðèìå÷àíèå Один из самых простых способов своровать нужную базу данных. Таким образом одна московская часовая мастерская своровала клиентскую базу данных у своего конкурента. Цена вопроса составила около $1500. Ну и, наконец, самый распространенный тип кражи баз данных, это их "уход" с предприятия вместе с сотрудниками, как это произошло некоторое время назад с одной московской фирмой по продаже мебели, когда все ключевые менеджеры ушли и открыли свое дело. Аналогичная ситуация случилась недавно в Санкт-
Петербурге у крупной компании, занимающейся продажей сотовых телефонов. В обоих случаях только умение директоров договариваться с партнерами, которым они объяснили ситуацию, помогло спасти дело. Известен случай в Новосибирске, когда из компании, занимающейся корпоративной поставкой компьютеров, ушли ключевые менеджеры и создали собственную фирму, естественно, под работу с теми клиентами, которых они обслуживали, трудясь в прежней организации. Примеры приводить можно долго. Как же защититься от воровства клиентских баз Самое простое соблюдать те правила защиты, о которых мы говорили в предыдущем разделе, дополнив их еще несколькими. Итак.
 Ни один из сотрудников предприятия не должен знать больше, чем ему полагается знать по должности.
 В трудовом контракте с сотрудником обязательно должен быть прописан пункт о том, что за разглашение коммерческой информации сотрудника ждет ответственность вплоть до уголовной Еще раз повторимся, что этот пункт является одним из самых важных в защите компании от подобных случаев. В трудовом договоре с сотрудником должно быть четко прописано, во-первых, что является предметом коммерческой тайны, и, во-вторых, какие неприятности ожидают сотрудника, в том числе и уволившегося после разглашения предмета коммерческой тайны этим сотрудником. Сотруднику нужно четко разъяснить, что согласности Федерального закона "О коммерческой тайне" работодатель имеет право подписать с сотрудником документ о неразглашении сведений, которые по мнению работодателя составляют предмет коммерческой тайны предприятия, и за разглашение которых он может применить к сотруднику те или иные меры, вплоть до судебного преследования, а согласно ст. 4 этого закона сотрудник обязан будет возместить причиненные фирме убытки, возникшие в результате разглашения им конфиденциальной информации размер убытков устанавливает суд. Известно, что после такого инструктажа у большинства сотрудников мысль разгласить чего- либо пропадает в момент появления. Специально же для тех, кому этого мало, можно влезть в юридическую казуистику и пояснить, что клиентскую базу данных, вообще-то, можно рассматривать как средство производства, которое является собственностью работодателя. Из чего следует, что воровство этой базы можно уже рассматривать как воровство чужого имущества, что является предметом соответствующей статьи уже Уголовного кодекса (ст. 159 УК РФ. Кроме того, можно сообщить сотруднику, что при большом желании за хищение базы данных вы можете инициировать его судебное преследование аж по четырем статьям Уголовного кодекса уже упомянутой ст. 159 (Кража, ст. 272 Несанкционированный доступ к компьютерной информации, ст. 183 (Незаконное разглашение и получение сведений, составляющих коммерческую, банковскую или налоговую тайну) ист (Нарушение авторских и смежных прав. Практика показывает, что когда перед людьми появляется возможность за кражу информации получить уголовное преследование, они становятся намного осмотрительнее в своих действиях.
 Посторонние люди не должны иметь простого доступа в офис.
 Если в комнате находятся посторонние, сотрудники ни при каких условиях не должны выходить из комнаты.
 Нередко бывает так, что доступ к клиентской базе имеет практически любой сотрудник, так как база лежит на общем Doc- сервере, к которому не имеет доступа разве что уборщица. Конечно, такого быть не должно. Доступ к клиентской базе данных должны иметь только те служащие, которым это положено по должности. Это всем известное правило, согласно

×àñòü I. ×òî òàêîå ñîöèàëüíàÿ èíæåíåðèÿ è ñîöèàëüíûå õàêåðû
56 которому, чем меньше лиц имеет доступ к конфиденциальной информации, тем меньше вероятность, что эта самая информация "уйдет на сторону.
Çàìå÷àíèå Многие эксперты в области конкурентной разведки приводят еще правило, согласно которому все компьютеры, которые имеют доступ к клиентской базе, не должны иметь выхода в Интернет, быть без дисководов, приводов Си, входов, с них нельзя ничего распечатать и т. д. На наш взгляд, это правило, во- первых, нереальное, так как подобные меры просто очень сильно затруднят работу, а, во-вторых, ник чему не приводящее, поскольку в этом случае компьютеры тогда должны быть еще и без мониторов, чтобы нельзя было перефотографировать информацию с экрана монитора. В настоящее время некоторые эксперты склоняются к тому, что уменьшить потери от воровства клиентских баз с компьютеров поможет внедрение систем
CRM (систем управления и учета взаимоотношений с клиентами.
Ôèøèíã
Фишинг на сегодняшний день является одним из самых распространенных видов социальной инженерии. По сути фишинг это выведывание информации для доступа к банковским счетам доверчивых пользователей. Он распространен в тех странах, где пользуются популярностью услуги интернет-банкинга. Чаще всего "фишеры" используют поддельные электронные письма, якобы присылаемые банком, с просьбой подтвердить пароль или уведомление о переводе крупной суммы денег.
Ïðèìå÷àíèå Само слово "фишинг" происходит от английского fishing, что, в свою очередь, переводится как рыбалка. Такое название этому виду мошенничества дали потому, что он на самом деле очень напоминает рыбалку, так как фишер по сути забрасывает наживку вернее, несколько сотен наживок) и ждет, пока на нее кто-то "клюнет. Суть фишинга сводится к следующему. Злоумышленник заставляет пользователя предоставить ему какую-либо секретную информацию информацию о банковских счетах, кредитных картах и т. д. Самое важное в том, что жертва совершает все эти действия абсолютно добровольно, — фишеры хорошие психологии действуют четко. Выделяют три основных вида фишинга:
 почтовый
 онлайновый;
 комбинированный. Почтовый фишинг появился первым, — об этом виде мошенничества общественность узнала еще в 1996 году.
Ïðèìå÷àíèå Тогда сразу несколько тысяч клиентов провайдера America Online получили электронные письма от "представителя компании" с просьбой выслать логин и пароль для входа в систему. И многие выслали. Суть почтового фишинга в том, что жертве отправляется электронное письмо, в котором содержится просьба выслать те или иные конфиденциальные данные. К примеру, от имени интернет- провайдера с похожего (или идентичного) почтового адреса отправляется письмо, в котором написано, что по провайдеру нужно узнать логин и пароль для доступа в Интернет указанного пользователя, так как сам провайдер по тем или иным техническим причинам (база "рухнула) этого сделать не может. Более интересный пример связан с одним известным американским банком, клиенты которого однажды получили сообщения о том, что на их счет пришло большое перечисление (допустим несколько десятков тысяч долларов, ив соответствии с договором, так как сумма перечисления превышает сумму в $1000, им для подтверждения получения перевода необходимо пройти по ссылке, приведенной в конце письма, и ввести всю необходимую информацию для подтверждения перевода. В противном случае перевод будет отправлен назад. Мало кто смог побороть свою жадность, и несколько тысяч клиентов банка стали объектом фи- шинг-атаки.
Ïðèìå÷àíèå Это как раз тот случай, когда социальные хакеры блестяще сыграли на одном из людских пороков — жадности.

×àñòü I. ×òî òàêîå ñîöèàëüíàÿ èíæåíåðèÿ è ñîöèàëüíûå õàêåðû
58
Онлайновый фишинг заключается в том, что мошенники один в один копируют какой-либо из известных сайтов, причем для него выбирается очень похожее доменное имя (или тоже самое, только в другой зоне, и создается идентичный дизайн.
Ïðèìå÷àíèå В качестве приманки (аттракции) товары в этих поддельных ин- тернет-магазинах продаются практически по демпинговым ценам, что неудивительно, ведь никто ничего на самом деле реально не продает. Дальше происходит примерно следующее. Решив совершить в магазине покупку, пользователь вводит свои логин, пароль и номер пластиковой карты, после чего все эти данные становятся известными злоумышленнику. После чего мошенник незамедлительно "обнуляет" кредитную карточку жертвы.
Ïðèìå÷àíèå Данный вид фишинга иногда еще называют имитацией бренда
(brand spoofing). Комбинированный фишинг является объединением двух предыдущих видов фишинга. Его появление вызвано тем, что почтовый и онлайновый фишинг уже достаточно устарели, да и пользователи стали грамотнее в части информационной безопасности. Поэтому фишеры придумали другую тактику. Также как в онлайно- вом фишинге создается поддельный сайта потом как в почтовом фишинге пользователям отсылаются письма с просьбой зайти на этот сайт.
Ïðèìå÷àíèå Это достаточно сильный психологический ход, благодаря которому комбинированный фишинг сразу же получил огромное распространение. Дело в том, что посетители стали настороженнее, и уже немногие просто так скажут свои пароли (хотя и такие встречаются. А в комбинированном фишинге эта настороженность как рази снимается, благодаря тому, что в письме пользователя не просят сообщать какие-либо конфиденциальные данные, а просто просят зайти на сайт. Всего то. Пользователю просто предлагается зайти на какой-либо сайт, и самому проделать все необходимые операции.

Ãëàâà 2. Ïðèìåðû âçëîìîâ ñ ïîìîùüþ ñîöèàëüíîé èíæåíåðèè Сейчас происходит самый настоящий бум фишинга. Об этом, в частности, могут свидетельствовать следующие цифры всего с октября по январь 2005 года Федеральная комиссия США по торговле зарегистрировала более 10 млн (!) жалоб от пользователей, ставшими жертвами фишинг-атак. Общая же сумма убытков поданным этой же организации составила около $15 млрд за
2005 год.
Ïðèìå÷àíèå Естественно, законодательства всех стран оказались неприспособленными к этому новому виду мошенничества.
Èç èñòîðèè Ðîññèéñêîãî ôèøèíãà В России первый зарегистрированный случай фишинга датируется маем 2004 года, когда клиенты Сити-банка получили по электронной почте письма с просьбой зайти на сайт банка (лжесайт, естественно) и подтвердить номер своей карты и ПИН-код.
Фишеры в своей деятельности прекрасно используют связь с теми или иными событиями. К примеру, человеку точно в его день рождения приходит поздравительная открытка, в которой написано, что ему ко дню рождения банк, клиентом которого он является, в рамках проводимой акции "День Рождения" перечислил насчет. Для того чтобы их получить, нужно зайти на сайт банка (поддельный, естественно) и ввести необходимую информацию. Многие не чураются использовать и такие горестные для всех события, как крупные теракты или стихийные бедствия, когда различные организации просят людей перечислять деньги в фонд помощи пострадавшим. Просят и фишеры. По тем же схемам, что мы рассматривали зайдите на сайт, зарегистрируйтесь испишите какую-то сумму со своего счета.