Особенности киберпреступлений: инструменты нападения и защита информации
Покупка
Издательство:
ДМК Пресс
Автор:
Масалков Андрей Сергеевич
Год издания: 2018
Кол-во страниц: 226
Дополнительно
Вид издания:
Практическое пособие
Уровень образования:
ВО - Бакалавриат
ISBN: 978-5-97060-651-3
Артикул: 795144.01.99
Доступ онлайн
В корзину
Материал книги помогает разобраться в том, что обычно скрывается за терминами и шаблонными фразами «взлом электронной почты», «кибершпионаж» и «фишинг».
Автор старался показать информационную безопасность как поле битвы с трех сторон: со стороны преступного сообщества, использующего информационные тех-
нологии, со стороны законодательства и правоохранительной системы и со стороны атакуемого.
Основная идея состоит в том, чтобы доступно представить картину сегодняшней киберпреступности на актуальных примерах, включая применение фишинг-атак, но
не ограничиваясь этим.
Приводимые методы атак подкрепляются примерами из реальной жизни. Углубленно разбираются механизмы получения незаконного доступа к учетным записям
информационных ресурсов, в частности электронной почты. Акцентируется внимание на методе проведения фишинг-атак как наиболее эффективном на сегодняшний
день инструменте получения паролей.
Фишинг рассматривается как универсальный инструмент, находящий свое проявление в различных мошеннических и хакерских комбинациях, как с технической,
так и с юридической стороны.
Книга включает практический взгляд на механизмы, используемые киберпреступниками, а также процесс формирования судебного производства и методов рас-
следования таких преступлений.
Материал дает возможность пересмотреть и адекватно оценивать риски, эффективность используемых систем защиты, выстроить политику безопасности
в соответствии с реальностью. Приводятся советы по предотвращению кибератак и алгоритм первоначальных действий, которые необходимо предпринимать при наступлении
инцидента и которые направлены на фиксацию следов, эффективное расследование и взаимодействие с правоохранительными органами.
- Полная коллекция по информатике и вычислительной технике
- Защита информации. Компьютерная безопасность
- Интермедиатор. Информационная безопасность (сводная)
- Интермедиатор. Информационные системы и технологии (сводная)
- Интермедиатор. ИТ-технологии для профессионалов (сводная)
- Интермедиатор. Обеспечение безопасности (сводная)
- Информационная безопасность
Тематика:
ББК:
УДК:
ОКСО:
- ВО - Бакалавриат
- 09.03.01: Информатика и вычислительная техника
- 09.03.02: Информационные системы и технологии
- 09.03.03: Прикладная информатика
- 10.03.01: Информационная безопасность
- ВО - Специалитет
- 10.05.01: Компьютерная безопасность
ГРНТИ:
Скопировать запись
Фрагмент текстового слоя документа размещен для индексирующих роботов.
Для полноценной работы с документом, пожалуйста, перейдите в
ридер.
ОсОбеннОсти киберпреступлений: инструменты нападения и защиты инфОрмации Масалков А. С. Москва, 2018
УДК 004.056 ББК 32.972.13 М31 Масалков А. С. М31 Особенности киберпреступлений: инструменты нападения и защиты информации. – М.: ДМК Пресс, 2018. – 226 с.: ил. ISBN 978-5-97060-651-3 Материал книги помогает разобраться в том, что обычно скрывается за терминами и шаблонными фразами «взлом электронной почты», «кибершпионаж» и «фишинг». Автор старался показать информационную безопас ность как поле битвы с трех сторон: со стороны преступного сообщества, использующего информационные технологии, со стороны законодательства и правоохранительной системы и со стороны атакуемого. Основная идея состоит в том, чтобы доступно представить картину сегодняшней киберпреступности на актуальных примерах, включая применение фишинг-атак, но не ограничиваясь этим. Приводимые методы атак подкрепляются примерами из реальной жизни. Углубленно разбираются механизмы получения незаконного доступа к учетным записям информационных ресурсов, в частности электронной почты. Акцентируется внимание на методе проведения фишинг-атак как наиболее эффективном на сегодняшний день инструменте получения паролей. Фишинг рассматривается как универсальный инструмент, находящий свое проявление в различных мошеннических и хакерских комбинациях, как с технической, так и с юридической стороны. Книга включает практический взгляд на механизмы, используемые киберпрес- тупниками, а также процесс формирования судебного производства и методов расследования таких преступлений. Материал дает возможность пересмотреть и адекватно оценивать риски, эффективность используемых систем защиты, выстроить политику безопас ности в соответствии с реальностью. Приводятся советы по предотвращению кибератак и алгоритм первоначальных действий, которые необходимо предпринимать при наступлении инцидента и которые направлены на фиксацию следов, эффективное расследование и взаимодействие с правоохранительными органами. УДК 004.056 ББК 32.972.13 Все права защищены. Любая часть этой книги не может быть воспроизведена в какой бы то ни было форме и какими бы то ни было средствами без письменного разрешения владельцев авторских прав. © Масалков А. С., 2018 ISBN 978-5-97060-651-3 © Оформление, издание, ДМК Пресс, 2018
Введение ..........................................................................................................................................................6 Глава 1. Хищение паролей методом фишинг-атак ............................................................ 20 Методы несанкционированного получения пароля.............................................................. 20 Особенности фишинга ........................................................................................................................ 25 Виды фишинговых атак ..................................................................................................................... 26 Слепой фишинг ...................................................................................................................................... 26 Целенаправленный фишинг ............................................................................................................. 28 1.1. Как это происходит? Фишинг-атака со стороны пользователя на примере электронного почтового ящика ................................................................................... 30 1.2. Роль социальной инженерии в фишинг-атаке ...................................................................... 41 1.3. Фишинг изнутри. Анализ используемых для атаки инструментов ............................... 49 Схема взаимодействия с почтовым сервером ........................................................................ 50 Три основные функции фишинг-движка .................................................................................... 51 Демонстрация механизма функционирования фишинг-движков на локальном сервере ........................................................................................................................ 52 Фишинг-движок изнутри. Пример 1 ............................................................................................. 55 Фишинг-движок изнутри. Пример 2 ............................................................................................. 61 Фишинг-движок изнутри. Пример 3 ............................................................................................. 64 Автоматическая проверка похищенного пароля .................................................................... 64 Фишинг-движок изнутри. Пример 4 ..............................................................................................67 Примеры интерфейсов ....................................................................................................................... 69 Доменные имена .................................................................................................................................. 73 Размещение фэйка на сервере .......................................................................................................77 Глава 2. Комбинированные атаки с использованием фишинга ................................ 79 2.1. Подготовка к персонализированной фишинговой атаке. Некоторые специфические способы сбора информации ........................................................ 80 Определение браузера и операционной системы атакуемого ........................................ 81 Определение IP-адресов атакуемого .......................................................................................... 85 Анализ служебных заголовков ....................................................................................................... 86 2.2. Атака с использованием «заброса» вредоносных программ ..........................................87 СОДЕРЖАНИЕ
2.3. Атака с использованием маскировки под легальное по программное обеспечение или файлы ........................................................................................................................100 Анализ зараженной системы .........................................................................................................113 2.4. Атака на мобильные телефоны ..................................................................................................115 Глава 3. Особенности киберпреступлений ............................................................................125 3.1. Мистика киберпреступности .......................................................................................................126 Незримое присутствие .....................................................................................................................128 Прочитанные и непрочитанные письма ...................................................................................129 Переписка с несуществующим адресатом ..............................................................................130 3.2. Характеристика киберпреступления, проблемы идентификации и трудности перевода .............................................................................................................................136 3.3. Доступность инструментов анонимной связи и управления ресурсами .................144 3.3.1. Доступность анонимной связи и управления ..........................................................146 3.3.2. Виртуальный хостинг, выделенный сервер, VPN ......................................................155 3.3.3. Инструменты управления финансами ..........................................................................163 Глава 4. Противодействие и защита..........................................................................................168 4.1. Правоохранительная система .....................................................................................................168 4.2. Некоторые национальные особенности борьбы с киберпреступлениями .............175 4.3. Традиционная защита и рыночные тенденции ...................................................................185 4.4. Дешевые правила дорогого спокойствия. Советы по защите информации ..........190 Защита личных данных ...................................................................................................................190 Защита корпоративной информации ........................................................................................191 4.4.1. Реакция на инциденты ........................................................................................................192 4.4.2. Обучение в форме учений, приближенных к реальности ...................................193 4.4.3. Учет и контроль .....................................................................................................................195 4.4.4. Аудит и разбор полетов ......................................................................................................196 4.4.5. Целесообразность автоматических операций ...........................................................197 4.4.6. «Отголоски пиратства» ........................................................................................................198 4.5. Что делать, если произошел инцидент ...................................................................................199 4.5.1. Изоляция системы .................................................................................................................201 4.5.2. Изготовление клонов носителей информации .........................................................201 4.5.3. Проведение исследований и компьютерно-технических экспертиз ...............202 4.5.4. Обращение в правоохранительные органы ..............................................................208 Глава 5. Никакой мистики, только бизнес. Обзор черного рынка информационных услуг в России ...............................................................................................210 Первый блок................................................................................................................................................211 Второй блок .................................................................................................................................................212 Третий блок..................................................................................................................................................213 Четвертый блок ..........................................................................................................................................214 Пятый блок ...................................................................................................................................................215 Заключение ...............................................................................................................................................217 Предметный указатель ......................................................................................................................221 4 СОДеРжАНИе
Своим родным и близким, с благодарностью. Отдельное спасибо за вдохновение дочерям – Марии и Дарье.
ВВЕДЕНИЕ Стремительное развитие технологий с большим воодушевлением было встречено лицами, склонными к различного рода аферам и другим преступным деяниям. Для хищения денежных средств мошенникам ранее приходилось подделывать бумажные платежные поручения и приходить с ними в банк, а для хищения важной информации требовалось проникать в помещения под покровом ночи и красть либо фотографировать документы из хитроумных сейфов. Все эти действия, безусловно, были сопряжены с высоким риском для жулика быть пойманным за руку и наказанным по всей строгости закона. Интернет-технологии и сети передачи данных способствовали росту электронных учетных записей, которые хранят секреты пользователей и позволяют обмениваться важной информацией, а внедрение систем дистанционного банковского обслуживания избавило владельцев счетов от необходимости частых посещений банков для совершения платежных операций. Стремление получить прибыль от новых технологий регулярно приводит к внедрению различных систем, протоколов и стандартов, которые при внимательном взгляде на них с другой точки зрения оказываются полны всевозможных уязвимостей. Так, посмотрев на достижения человечества под другим углом зрения, криминальный мир обогатился разнообразием методов преступлений, совершаемых с использованием информационных технологий и средств связи. Поэтому сегодня мы имеем массу но-
ВВеДеНИе вых видов преступлений и схем их совершения, требующих изучения и выработки алгоритмов противодействия. Мобильная связь, Интернет, платежные системы, средства дистанционного банковского обслуживания, электронные учетные запи си – все это хорошо продается потребителям и значительно упрощает бизнес-процессы. Все так называемые высокие технологии, формирующие информационное пространство, стали отдельным полем противостояния преступного сегмента и общества, при этом, если говорить прямо, ситуация больше напоминает охоту, чем противостояние. Бесчисленное количество кибермошенников и хакерских группировок, наводящих ужас на отдельных граждан, корпорации, государственные органы и даже целые страны, вызывают трепет возмущения от бессилия, подпитываемого регулярными выпусками средств массовой информации. Неуловимость и безнаказанность злоумышленников, их кажущаяся вездесущность, непостижимость методов и средств, которыми действуют злоумышленники, – все это создает не очень оптимистичную картину. Основная сложность для общества и государства в отношении киберпреступлений связана с тем, что сфера киберпреступлений обросла множеством мифов и стереотипов. Неправомерные доступы к компьютерной информации, «взломы» сайтов и почтовых ящиков, атаки на ресурсы и другие киберпреступления связывают с немыслимыми по сложности и гениальности техническими про- цессами, постичь которые может далеко не каждый. Тем не менее большинство самых известных киберпреступлений просто в ис- полнении и вполне поддается анализу любым образованным че- ловеком. Самым эффективным из методов, применяемых как серьезны- ми киберпреступниками, так и мелкими мошенниками, является фишинг1 во всем его разнообразии. Этот метод может использо- ваться в различных вариациях, но основная суть его заключается во введении человека в заблуждение с целью получения от жертвы требуемой для проникновения в защищенную среду информации либо совершения пользователем определенных действий. Основные виды фишинга осуществляются посредством средств связи – теле- 1 Фишинг, англ. phishing, от fishing – рыбная ловля, выуживание.
ВВеДеНИе фонных звонков, электронных сообщений и специально созданных сайтов (фишинг-движков). На сегодняшний день можно выделить несколько обособленных групп преступлений, так или иначе связанных с фишингом и его разновидностями, совершаемых с использованием телекоммуни- кационных сетей. К одной группе преступлений относятся «слепые звонки» по абонентским номерам, чаще всего от имени сотрудников службы безопас ности, колцентров банков или операторов связи. Мошенниками осуществляются телефонные звонки по номерным емкостям мобильных и стационарных телефонов. При осуществле- нии звонков мошенники подменяют номер вызывающего абонента таким образом, что у вызываемого абонента отображается номер телефона, принадлежащий соответствующему банку или другой официальной организации, от имени которой действует злоумыш- ленник. В процессе общения с клиентами банка злоумышленники с ис- пользованием методов социальной инженерии получают сведения о реквизитах, принадлежащих потерпевшим, банковских картах и иную информацию, необходимую для осуществления дистанцион- ных операций по переводу денежных средств. После чего с исполь- зованием системы удаленного банковского обслуживания злоумыш- ленники осуществляют хищение денежных средств с банковских счетов и платежных карт. Технология подмены абонентского номера и связанная с этим преступная деятельность будут еще затронуты далее (п. 3.3.1). К другой группе преступлений, использующих фишинг, можно отнести рассылки сообщений, содержащих ссылки на скачивание вредоносного программного обеспечения1. Сообщения рассылаются как в виде SMS на абонентские номера, так и в виде электронных сообщений на почтовые ящики, мессенджеры и аккаунты социаль- ных сетей. Один из простых примеров этой категории преступлений прак- тиковался в 2013–2014 годах, в некоторых регионах встречается 1 Вредоносным ПО в соответствии со ст. 273 УК РФ принято считать компьютер- ную программу, предназначенную для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты компьютерной информации.
ВВеДеНИе и по сей день. Применялась схема, целью которой было заражение мобильного телефона вредоносной программой, осуществляющей рассылки сообщений вида: «Имя контакта из записной книжки мо- бильного телефона, для Вас есть новое MMS-сообщение. Ссылка» или «Имя контакта из записной книжки мобильного телефона, по Вашему объявлению на сайте. Может, обменяемся? Ссылка». Общим признаком для всех аналогичных сообщений являлось наличие обращения к абоненту по имени либо имени-отчеству, в зависимости от того, как он был внесен в записную книжку ранее зараженного мобильного телефона, а также обязательное наличие ссылки на интернет-ресурс. При переходе по ссылке на мобильное устройство потерпевшего скачивается вредоносное программное обеспечение, которое полу- чает доступ к телефонной книге мобильного телефона для осуществ- ления дальнейших рассылок сообщений, содержащих ссылки на скачивание вредоносного программного обеспечения. В зависимо- сти от типа вредоносной программы могла также присутствовать функция, позволяющая скрыто от пользователя отправлять и полу- чать SMS-сообщения в целях совершения операций с привязанны- ми к абонентскому номеру потерпевшего банковскими картами и электронными кошельками. Частыми явлениями стали рассылки электронных писем от лица государственных органов с вложением файлов, содержащих вре- доносные алгоритмы, либо упомянутые выше ссылки на скачива- ние вредоносного программного обеспечения. Злоумышленниками осуществляется рассылка электронных писем от имени прокура- туры, налоговой службы, в теме которых указывается, например, «Предпи сание об устранении нарушений», «Штраф», «Сверка». В качестве примера подобной рассылки на электронные почто- вые адреса можно привести рассылку фишинговых писем от имени Банка России, так называемые «вакансии», отличительной чертой которых являлось наличие вложения с заголовком вида «вакансия_ NoХХ.doc». Согласно отчету FinCERT1 (Центра мониторинга и реа- гирования на компьютерные атаки в кредитно-финансовой сфере 1 Отчет Центра мониторинга и реагирования на компьютерные атаки в кредит- но-финансовой сфере Главного управления безопас ности и защиты информа- ции Банка России за период с 1 июня 2015 г. по 31 мая 2016 г. URL: http://www. cbr.ru/statichtml/file/14435/fincert_survey.pdf.
ВВеДеНИе Главного управления безопас ности и защиты информации Банка России), во вложении таких сообщений содержался макрос, выпол- няющий скачивание загрузчика вредоносного ПО. С целью придания достоверности данным письмам для рассылки используются электронные адреса и доменные имена, визуально схожие с доменными именами реальных сайтов государственных органов. При переходе по ссылке, содержащей такое доменное имя, может осуществляться перенаправление пользователя на официаль- ный сайт соответствующей государственной структуры. В тексте письма от имени должностных лиц, как правило, из- лагается важная причина, по которой незамедлительно требуется открыть вложенный файл, имеющий вид электронного документа, либо перейти по содержащейся в письме ссылке на интернет-ресурс. После открытия документа или совершения перехода по ссыл- ке компьютер пользователя заражается вредоносным программ- ным обеспечением, которое в зависимости от заложенного в него функционала может заблокировать доступ к имеющим значение для финансово-хозяйственной деятельности организации файлам (документам, базам данных бухгалтерских и складских программ) с последующим вымогательством денежных средств за их разблоки- ровку (расшифровку); либо может управлять программой удаленно- го банковского обслуживания и формировать платежные поручения с внесением в реквизиты получателя средств данных подконтроль- ных злоумышленникам счетов. Использование фишинговых сайтов составляет третью условную группу преступлений, связанных с фишингом. Эта группа включает в себя создание сайтов, оформленных в виде почтовых сервисов, банковских ресурсов, социальных сетей или ин- тернет-магазинов. Примером такой незаконной деятельности может быть интернет- магазин, торгующий популярными товарами, зачастую по снижен- ным ценам, по сравнению со среднерыночными. Злоумышленниками создается сайт, визуально схожий с уже су- ществующим, «раскрученным», либо совершенно новый интер- нет-магазин. При заказе товара осуществляется перенаправление пользователя на фишинговую страницу оплаты, практически не имеющую отличий от страницы официальной платежной системы. При вводе пользователем на данной странице учетных данных для
ВВеДеНИе входа в личный кабинет платежной системы они, естественно, попа- дают в распоряжение злоумышленникам, после чего используются для хищения денежных средств со счетов электронного кошелька. Наибольшую же популярность фишинг приобрел у охотников за чужими паролями. Этой группе киберпреступлений в книге уде- лено особое внимание, потому что автор считает это направление киберпреступлений наиболее опасным и, совершенно напрасно, недооцениваемым как пользователями, так и специалистами. Разнообразные онлайн-сервисы и гаджеты, программы и тех- нологии вошли в жизнь человека, внедрились в бизнес-процессы и государственные услуги, начали использоваться в политике и, за- кономерно, стали инструментами и мишенями преступной деятель- ности. Началом эры компьютерной киберпреступности автор склонен считать 2005–2006 годы. Многими специалистами 2007 год указы- вается как точка отсчета – начало широкомасштабных кибервойн (кибератаки на ресурсы Германии, Эстонии, затем Грузии, Ирана). С этим периодом связано начало профессионального использова- ния кибершпионажа для достижений определенных целей – финан- совой выгоды, кражи интеллектуальной собственности, пропаганды и прочего. И основным оружием для ведения кибервойн и реализа- ции кибершпионажа стал фишинг. Кибершпионаж застал врасплох консервативных управленцев всех мастей, считавших, что существующие правила и меры безопас- ности способны защитить информацию и финансы. Регулярно привлекает внимание появляющиеся в СМИ и на просто- рах Интернета отрывки личной переписки бизнесменов, политиков, различных корпоративных материалов, документов для служебного пользования, фотографий известных лиц, моделей, ведущих, актрис и других медийных личностей, которые похищаются из почтовых аккаунтов, облачных хранилищ, серверов и мобильных телефонов. Многие читатели слышали про интернет-площадку, которую свя- зывают с деятельностью нашумевшей в 2016–2017 годах хакерской группировки. На той площадке, несмотря на появившуюся в СМИ информацию о задержании членов данной хакерской группы1, и се- 1 СМИ узнали о задержании ФСБ создателя сайта «Шалтай-Болтай» // РБК. URL: https://www.rbc.ru/politics/28/01/2017/588c8ddf9a79475260f2e1da.
ВВеДеНИе годня предлагается всем желающим приобрести электронную пе- реписку чиновников и бизнесменов за криптовалюту. Сегодня кибершпионаж задевает всех, кто является носителем информации, за которую теоретически можно получить деньги, кто владеет или управляет финансами, кто принимает важные решения, и даже тех, кто просто кому-то интересен. В этой книге не будут затронуты международные отношения и про- тивостояние секретных специальных служб, это как-нибудь в следую- щий раз, лет через тридцать. Материал книги касается гражданского смыслового значения кибершпионажа, которое связано с несанкцио- нированным получением и использованием компьютерной инфор- мации врагом: конкурентами, хакерами, мошенниками, маньяками. Кибератаки стали массовым явлением, а их направления задева- ют все сферы общества. В столь широком распространении киберпреступлений некото- рые специалисты склонны винить пользователей, не всегда соблю- дающих обыкновенные правила компьютерной безопас ности, срав- нивая эти правила с соблюдением правил дорожного движения. Однако, по мнению автора, беда пришла с другой стороны. Проигрыш перед информационной угрозой был предначертан особенностями психологии человека. Именно психология стала основной уязвимостью, тем местом, где инструменты социальной инженерии успешно эксплуатировали эмоции, стереотипы и ассо- циативное мышление. Сложившееся впечатление об эффективности программно-ап- паратных средств защиты, вера в дорогостоящие решения и не- грамотные инструкции лишь усугубили проблему компьютерной безопас ности. Несмотря на серьезные затраты, вкладываемые в обеспечение безопас ности, количество и многообразие преступлений, совершаемых с использованием компьютерных технологий, возрастает с каждым годом. Все чаще юридические лица несут репутационные и финансовые потери от кражи информации, составляющей коммерческую тайну, и подвергаются кибератакам. Для демонстрации наиболее популярных ситуаций, связанных с применением фишинга, будет нелишним привести несколько типичных историй, своеобразных образцов актуального в сегодняшние дни гражданского кибершпионажа.
Доступ онлайн
В корзину