Горячее
Лучшее
Свежее
Подписки
Сообщества
Блоги
Курсы
Войти
Войти
Забыли пароль?
Создать аккаунт
Создавая аккаунт, я соглашаюсь с правилами Пикабу и даю согласие на обработку персональных данных.
Восстановление пароля
Восстановление пароля
Получить код в Telegram
или продолжите с
Google VK Facebook Twitter
Создать сообщество

Топ прошлой недели

Топ авторов

  • Ugin0242 Ugin0242 56 постов
  • Wildwildworld Wildwildworld 55 постов
  • VerhovniyMemolog VerhovniyMemolog 71 пост

Топ комментаторов

  • Aequitas21 Aequitas21 261 комментарий
  • PannonopT PannonopT 432 комментария
  • btwlines btwlines 69 комментариев
Посмотреть весь топ
Новости Пикабу Помощь Кодекс Пикабу Реклама
Верификации Награды Контакты О проекте
Промокоды Скидки
Курсы Блоги
Android iOS

Информационная безопасность

Теги
С этим тегом используют:
IT Интернет Безопасность Хакеры Негатив Взлом Политика
Все теги
Рейтинг
Автор
Сообщество
Тип постов
любые текстовые картинка видео [мое] NSFW
Период времени
за все время неделя месяц интервал
615 постов сначала свежее
47
sterblich
sterblich
Книжная лига

Так кончится этот мир (1)⁠⁠

9 часов

Многие говорят, мы находимся уже в стадии мировой войны. Если согласиться с этой точкой зрения, то стоит задать вопрос: с каких пор? Ответ на него будет зависеть о того, что считать военными действиями. Современность раздвинула горизонты войны на новые области, и кое-где мировая война уже давно идёт. Я имею в виду киберпространство.

Исследовать этот вопрос, окутанный завесом тайны, непросто. Но всё же некоторые берутся. Одной из таких расследовательниц является журналист «Нью-Йорк Таймс» Николь Перлрот.

Так кончится этот мир (1) Книги, Обзор книг, Кибератака, Информационная безопасность, Хакеры, IT, Нон-фикшн, Длиннопост

Одной из предполагаемых дат может быть 27 июня 2017 года. Не слыхали? Тогда, в канун Дня Конституции Украины, по всей стране начались сбои в корпоративных и государственных сетях. Глючили компьютеры в банках и на железной дороге, на почте и в Чернобыле. Зайдя под видом обновления программы документооборота, червь занялся вымогательством и уничтожением данных. Сначала думали, что это Petya, но потом выяснилось что нет. Так и назвали его – NotPetya. Несмотря на то, что вирус похож на вымогателя, главная его цель – саботаж. Кто его запустил? У автора нет сомнения: кому выгодно, тот и запустил. Русские. Русских обвинили и Трамп, и Евросоюз, навесивший в 2020 году санкции на ГРУ и китайских хакеров. Николь спешно приехала тогда написать репортаж по горячим следам в Киев. Там её сказали: «Вы – следующие!»

Глаза мировой публике на кибервойны стал открывать Сноуден. Когда он начал свои разоблачения, автор была приглашена своей редакцией разбираться с тем, что он дал в распоряжение «Гардиан» (любезно поделившимся информацией с NYT). Согласно материалам, АНБ (Агентство Национальной Безопасности США), хоть и не взломало криптографию, нашло обходные пути. Они «убедили» компании снизить стандарты шифрования, «уговорили» канадских бюрократов пользоваться «дырявыми» шифрами и даже заплатили RSA Security (и другим), чтобы те сделали формулу с ошибками стандартным методом шифрования. Когда и это не помогало, можно было сделать аппаратную закладку в чипе или просто залезть на сервер Yahoo или Google, чтобы слить данные ещё до шифрования.

Это было нетрудно, если учесть, что у них был доступ в любое значимое приложение, социальную сеть, сервер, рутер, антивирус и смартфон. Это доступ обеспечивался уязвимостями нулевого дня, или 0days: ещё не исправленными багами, которые можно использовать для расширения привилегий и прочих несанкционированных действий. Пользоваться ими удобно в том смысле, что это не требует содействия разработчика продукта.

С самого начала АНБ занималось поиском 0days. Не гнушаясь при этом и приобретениями со стороны. Возник серый рынок подобных вещей. Распространяться о котором его участники не стремились. Одной из попыток пролить свет на эти тёмные дела стала работа Николь.

Одним из пионером на рынке уязвимостей был техасский миллионер Джон Уоттерс, скупивший за десять баксов сидящую на мели компанию iDefence. Эта фирма предупреждала своих клиентов о проблемах в IT-системах. Тем же занимался и Symantec, который организовал нечто вроде Reddit для хакеров под названием BugTraq. На этом форуме выкладывались свежие баги в различных приложениях и операционных системах. По сути на бесплатном труде этих хакеров и паразитировали подобные фирмы. Программисты iDefence Эндлер и Джеймс занимались свободным поиском 0days, и главным их источником был тот самый BugTraq, принадлежащий конкуренту. Нехорошие предчувствия переполняли коллег. Вот тогда-то у Джеймса появилась идея: что если обратиться напрямую к хакерам и платить им за их баги? Босс оказался не против. Так ненавидимые производителями софта обитатели затемнённых подвалов получили возможность оплаты своего труда звонкой монетой. iDefence стал платить за баги деньги любому, кто их обнаружит. Начали с небольших сумм – 75 баксов получил один турецкий паренёк за дыру в одном из интернет-протоколов. Народ потянулся. Люди стали обращаться снова и снова. Суммы вознаграждений быстро перевалили за тысячу. Один новозеландский фермер по имени Грег Макманус настолько преуспел на этом поприще, что Уоттерс предложил ему рабочее место в комнате по соседству с собой.

Грег показал боссу, как он работает: сначала сканируешь цель на предмет наличия какого-нибудь удалённого доступа. Нашёл – хорошо. Не нашёл – терпи и жди, пока что-то подобное не появится. Точка доступа затем заливается данными в попытке обнаружить неадекватную реакцию. Лезешь на форумы и пытаешься узнать, как борются с подобными проблемами. Появилось обновление – скачиваешь его и декомпилируешь. Когда-нибудь тебе удастся обнаружить функции и переменные, за которые удастся зацепиться. И найти, быть может, исполнение произвольного кода.

Бизнес расцвёл. Стоимость подписки на iDefence выросла на два порядка. Кому это не пронравилось? Конечно тем, у кого находили баги. И у кого их было немеряно. В 2002 году Билл Гейтс объявил безопасность главным приоритетом Майкрософт. На того надавил главный клиент – Белый Дом, недовольный непрестанными вирусными атаками. С хакерами наладили контакт, сортируя их на заслуживающих доверия и бесполезных троллей. Каждый второй вторник месяца стали появляться обновления. Стали предлагаться бесплатные приложения безопасности.

Изменение политики Майкрософт привело к тому, что дыр стало меньше. Находить их стало труднее. И стоить они стали дороже. Уоттерсу стали поступать анонимные звонки с предложениями продать им обнаруженные баги без обнародования за шестизначные суммы. Он, конечно, отказался от предложений, ломавших его бизнес-модель. Но закрывать глаза на действительность он не мог: хакеры стали зажимать всё с большим трудом находимые уязвимости в свете появления на рынке неких более платёжеспособных клиентов. С ними iDefence, который не платил больше десятка тысяч долларов за баг, конкурировать не мог. Уоттерс продал бизнес. И правильно сделал.

Эти загадочные состоятельные клиенты имели на самом деле большой опыт на рынке. И уже давно предлагали по 150 тысяч за дыру в безопасности при условии, что первооткрыватель будет держать язык за зубами. Николь пришлось потратить два года, прежде чем она вышла на одного такого снабженца, уже давно покинувшего бизнес. Настоящее имя его она не раскрывает. Его команда включилась в поиск и сбыт уязвимостей ещё в середине девяностых. Львиную долю оборота обеспечивали Пентагон и прочие родственные ему правительственные агенства. Вот, кто были эти платёжеспособные клиенты.

Им нужен был доступ к цифровым системам предполагаемого противника, будь то российское посольство или пакистанское консульство. И не только доступ, конечно. Нужно было ещё долгое время, оставаясь незамеченным, собирать данные. Качественный эксплойт дорого стоил. И чем ближе он был к железу – тем лучше. Попробуй найди его, если он использует дефект в видеопамяти. Ещё труднее исправить подобный дефект. Доходило до того, что на одном принтерном баге HP «кормились» спецслужбы сразу нескольких государств. А также до того, что удавалось продать уязвимость несколько раз разным правительственным организациям. Но время шло, самому искать баги становилось труднее. Настала пора аутсорсинга. Появился чёрный рынок 0days. Собеседник Николь стал одним из посредников. Он искал хакеров по всему миру, платил им налом, а затем перепродавал эксплойты своим клиентам. Именно он стал предлагать Уоттерсу шестизначные суммы. Мы знаем, чем это кончилось. Рынок расширился, включив в себя новых покупателей. И новых дельцов. Расширилась и география.

Кому не нравился этот непрозрачный рынок – это самим хакерам, которые рассчитывали на более щедрое вознаграждение своего тяжёлого труда. Одним из них был Чарли Миллер. Когда-то он сидел на зарплате у АНБ, а затем пустился в одиночное плавание. Он ковырял дыры в устройствах Стива Джоббса, взламывал Джип Чероки и нажил себе таким образом многочисленных врагов в Эппл, Гугле, Убере или Твиттере. Хакерством он занимался сперва в свободное от админской работы время. Потом родился второй ребёнок, и Чарли ушёл в отпуск по уходу. Времени стал больше. Удалось ломануть Линукс. Этот ценный эксплойт хотелось продать подороже, чем за жалкие пару тысяч от iDefence. Но куда податься? Официальных покупателей не было. Всё из-под полы. Этим и пользовались полуподпольные дельцы. Настало время объявить о продаже публично. Одно агентство предложило 10 тысяч. Уже неплохо. В конце концов удалось выручить 50 тысяч, и всё равно он опасался, что продешевил. От коллег-хакеров он слышал разные цифры, в том числе шестизначные. В 2007 году Чарли опубликовал статью под названием «Легальный рынок уязвимостей: секретный мир торговли эксплойтами изнутри», несмотря на настойчивые предупреждения бывших коллег из АНБ. В ней он привёл некоторые платежи:

Так кончится этот мир (1) Книги, Обзор книг, Кибератака, Информационная безопасность, Хакеры, IT, Нон-фикшн, Длиннопост

Кто-то мог бы упрекнуть Чарли в том, что он льёт воду на мельницу кибертерроризма. Напрасно: он отдал Эпплу за бесплатно свои эксплойты от макбука и от айфона. Потом он ломанул Андроид и обратился в Гугль. И получил за это угрозы и давление на своего работодателя. И тогда он сказал, вместе с братьями-хакерами:

Так кончится этот мир (1) Книги, Обзор книг, Кибератака, Информационная безопасность, Хакеры, IT, Нон-фикшн, Длиннопост

Бесплатных багов больше не будет.

Отныне всё получило свою цену. И своего покупателя. С намерениями. Которые у каждого были свои.

--------------------------------------

Если вы захотите вникнуть в азы хакерского ремесла – эта книга не для вас. Николь не разбирается в IT. Она разбирается в людях. Имеет контакты и умеет ими пользоваться. Этим и ценна книга. Если Николь не рассказали – и вам не расскажут. Правда, не в каждый дом она была вхожа. Хоть и корреспонденту NYT открыты многие двери, но не все. Потому её история будет страдать однобокими трактовками и зациклена на любимых американских делах. Что ж, таков наш мир. У каждого своя правда.

Показать полностью 3
[моё] Книги Обзор книг Кибератака Информационная безопасность Хакеры IT Нон-фикшн Длиннопост
3
Эмоции
797
RVSblack
RVSblack
Reddit

Ответ на пост «Странная шутка»⁠⁠

7 дней

Почитав комментарии к посту, вспомнил свой опыт сотрудничества с серьёзными иностранными компаниями. Решил поделиться, вдруг кому интересно, как некоторые R&D компании охраняют свои данные. Дело было в 2010-х. Букв будет много, предупреждаю.

Во-первых, смартфоны. Если это личный смартфон постоянного сотрудника, то он либо на входе на работу оставляет его в спец камере хранения, либо устанавливает на него спец программу, которая мониторит всё: запущенные приложения, все активности. Например, эта программа определяет геопозицию, и если человек находится на работе, то на основе данных о местоположении смартфона программа блокируют возможность включения камеры. Передача файлов с пк - само собой невозможна. Блокировка мессенджеров на работе - по тому же принципу (кроме спец корпоративных мессенджеров, где не пообщаешься с внешним миром).

Если смартфон без программы, а пронести нужно, то при входе пишется заявление с указанием imei аппарата, а камеры и разъемы заклеиваются спец пленкой, которая при попытке отрывания проявляет водяные знаки, которые при выходе заметит проверяющий. И тогда телефон отправляется на досмотр (в лучшем случае), и на стирание данных - в худшем. Это касается всех гостей в том числе. Пронести смартфон незаметно (как и любую аппаратуру и флешки) невозможно, тк каждый человек проходит досмотр и сканирование (каждый вход и выход, каждый день и каждый человек). Сумки просвечиваются рентгеном, люди проходят через особо чувствительные рамки.

С ноутбуками та же история. Все порты, камеры, слоты доступа к жесткому диску - все заклеивается спец наклейками с водяным знаком. Оторвать аккуратно почти не реально.

У меня как-то оторвалась чуть пленка, пока в карман засовывал смартфон, так я чуть не поседел. Ко мне отнеслись мягко (как к тупому иностранцу), и всего лишь просмотрели все файлы и галерею при мне. Пронесло. И что нюдсов девушки в тот момент не было в галерее, тоже повезло, а то могли и конфисковать =) шучу.

Возможность копирования файлов на рабочих пк и ноутбуках блокируется вотерволом. Можно передавать файлы по внутренней сети только. Если нужно перенести на флешку, то при копировании файл шифруется, откроется только на пк с тем же вотерволлом (читать: пк этой компании).

Само собой, блокировка всех развлекательных сайтов, мессенджеров, возможности передачи данных в интернет. Исходящая почта мониторится автоматически. И регулярно делаются скриншоты рабочего стола (сотрудник не знает, в какой момент). Не дай бог там обнаружится что-то подозрительное.

Каждый сотрудник (и особенно гость) весь рабочий день носит бейдж на шее, где указаны его фото и должность. Гость - с особым цветом бейджа, без фото, но каждый будет видеть, что ты - потенциальный шпион. Если нет бейджа - штраф. Если случайно бейдж развернут не той стороной (фото скрыто) - первый же попавшийся начальник или охранник заставит показать нужную сторону и сильно поругает.

Доступ к каждому помещению только по ключу в бейдже - у каждого отдела закреплены свои доступные помещения.

При поступлении на работу подписывается соглашение, по которому в течении скольки-то лет после увольнения (в зависимости от должности и наравления работы) ты не имеешь права устраиваться в компанию, которая занимается той же темой, что и ты на этом месте работы. Уйти к конкуренту можно, но если будешь разрабатывать аналог того, чем занимался здесь, засудят. К сожалению, не помню, как это мониторится. Уход на другое место означает работу над другим продуктом, технологией, но никак иначе.

Во времена ковида, знаю, на входе на работу стояли камеры с распознаванием лица и дистанционным определением температуры (хотя это было и не только на работе, но и во всяких тц). Пока не прошел проверку, двери не откроются.

Но и в таких условиях кто-то умудряется сливать какие-то данные, хотя это происходит крайне редко, но человеческий фактор никто не отменял. Работал там инженером, страну и (тем более) названий компаний не назову, а то мало ли посчитают, что это разглашение важной информации.

Показать полностью
[моё] Работа Ответ на пост Информационная безопасность Работа за границей Большой брат Текст
171
Эмоции
28
elenkiv
elenkiv

Очередные мошенники типа ФССП⁠⁠

22 дня

Пришло сегодня на почту.

Очередные мошенники типа ФССП Интернет-мошенники, Истории из жизни, Информационная безопасность, Длиннопост

А вот вам адресок

Очередные мошенники типа ФССП Интернет-мошенники, Истории из жизни, Информационная безопасность, Длиннопост

Прям повеселились, когда открыла строку "кому", а там прям не хилый список адресатов, кому такие же "начисления" отправлены 😁 Придурки даже не воспользовались скрытой копией, чтоб никто не видел, что это массовая рассылка.

Показать полностью 2
[моё] Интернет-мошенники Истории из жизни Информационная безопасность Длиннопост
4
Эмоции
2012
SovaProject
SovaProject

Скрываемся от пробива через популярные сервисы⁠⁠

27 дней

Скрываемся от пробива через популярные сервисы

В моду вошёл OSINT (сбор информации по открытым источникам) и деанонимизация.
Хорошая новость - всяких маргиналов и хамов легко идентифицируют по фотографии, автомобильным номерам и номеру телефона.

Плохая новость - появился сталкинг, шантаж, слив личных данных.

Из приятного, что в 90% случаев те кто пробивают обладают поверхностными знаниями и весь пробив заключается в использовании известных сервисов.

А сервисы в свою очередь коммерчески востребованы и дабы сохранить доходы вынуждены соблюдать всякие GDPR, DMCA, 149-ФЗ, 152-ФЗ и прочие законы и локальные политики чтобы не нажить себе проблем.

Расскажу как удалить информацию о себе в большинстве популярных сервисах, которые так облюбовали школьники всей необъятной.

Не буду давать ссылки на сами ресурсы, тем более что найти их не так уж и сложно.

Google
Первым на очереди огромная корпорация, поисковая строка которой может многое о вас рассказать. Чтобы удалить свою персональную информацию следует написать заявление по ссылке.

Яндекс
Корпорация чуть по меньше, но принцип тот же. Нужно будет заполнить анкету здесь.

Глаз Бога
Для удаления информации о вас из выдачи бот, переходим по ссылке. Пишем что информации устарела.

Getcontact
Авторизуйтесь по ссылке с помощью вотсап. Скроллим вниз и отключаем видимость по номеру.

FindClone
feedback@findclone.ru пишем письмо в администрацию сервиса, прикрепив свои фото.

Quick Osint
Нужно написать в поддержку, заполнить заявление и отправить его фото. Данные удалят в в течение 7 дней.

VK
Чтобы ваш профиль не нашли по номеру, в настройках приватности отключаем возможность найти по импорту контактов.


#Информационнаябезопасность

Sova Project в телеграм

Показать полностью
Кросспостинг Pikabu Publish Bot Информационная безопасность Текст
154
Эмоции
108
KaDwn
KaDwn

В России запретили принудительный сбор биометрических данных⁠⁠

1 месяц

Президент РФ Владимир Путин подписал закон о единой системе обработки биометрических данных граждан. Документ опубликован 29 декабря на портале правовой информации.

Закон запрещает принудительный сбор биометрии и любую дискриминацию в отношении лиц, отказавшихся от ее сдачи, то есть им нельзя будет отказать в услугах, в том числе государственных и муниципальных. В Госдуме объясняли, что таким образом хотят лишить сомнительные компании возможности собирать и хранить биометрические данные.

Собирать можно будет только «образец голоса и изображение лица». Сбор геномной информации запрещен. Сбор биометрии несовершеннолетних можно будет проводить только с согласия родителей.

Новость: https://www.fontanka.ru/2022/12/29/71941259/

---

Теперь, я надеюсь, будет больше поводов "послать" различные банки и Авито, пытающиеся собрать видео верчения головой, отпечатки поп, и прочее.

Политика Закон Биометрия Информационная безопасность Текст
22
Эмоции
575
DoctorNowi

Ответ Konstatator в «Звонки от коллекторов»⁠⁠

1 месяц

У меня вот так работадатель, когда сверял номера телефонов, откуда-то взял номер, который я не понял даже сначала кому принадлежит. Оказалось, это номер моей мамы, который я давным-давно использовал для привязки в ВК, так как свой уже был к другому аккаунту привязан. БОЛЬШЕ НИГДЕ я не использовал её номер, это один единственный случай такой был, где он со мной пересекается.

ВК, какого хрена у работодателя номер, который со мной никак кроме ВК не связан?

[моё] Нежелательные звонки Текст Ответ на пост История Вконтакте Телефон Мобильные телефоны Информационная безопасность
58
Эмоции
42
DELETED
Информационная безопасность IT

Хакер шантажирует Илона Маска слитой базой данных 400 млн пользователей Twitter⁠⁠

1 месяц
Хакер шантажирует Илона Маска слитой базой данных 400 млн пользователей Twitter IT, Илон Маск, Информационная безопасность, Twitter, Хакеры, Взлом


Неизвестный хакер выложил на профильном форуме с утечками на продажу базу данных 400 млн пользователей Twitter. В качестве подтверждения продавец предоставил фрагмент данных 1000 пользователей, в котором есть данные создателя криптовалюты Ethereum Виталика Бутерина, основателя Apple Стива Возняка, миллиардера Марка Кьюбана, специалиста по кибербезопасности Брайана Кребса и других популярных личностей. Независимые ИБ-исследователи подтвердили подлинность данных в выложенном в открытом доступе файле.

Согласно описанию, хакер шантажирует Илона Маска слитой базой данных и предлагает владельцу Twitter срочно выкупить данные и избежать судебных исков и штрафов, пока информацию не купил кто-нибудь другой.

Пока не ясно, пытается ли продавец продать новую базу с утечкой данных, или это старая утечка Twitter с данными пользователей от прошлого года. В случае обнародования информации по утечке Twitter грозят многомиллионные штрафы от регуляторов в США и ЕС. В Евросоюзе с Twitter могут взыскать до 4% от годового оборота компании.

Пока что Маск и Twitter официально не отреагировали на угрозы хакера. Продавец не обозначил стоимость базы данных и ожидает предложений от заинтересованных сторон.

В конце ноября на хакерском форуме выложили в открытый доступ более 5,4 млн пользовательских записей Twitter, содержащих непубличную информацию. Эти данные были собраны в декабре 2021 года с использованием уязвимости Twitter API, раскрытой в программе вознаграждения за обнаружение ошибок HackerOne. Она позволяла отправлять номера телефонов и адреса электронной почты в API для получения связанных Twitter ID. Twitter повторно заявила, что ноябрьская публикация хакерами более 5,4 млн данных пользователей соцсети является прошлогодней утечкой.

5 августа Twitter подтвердила утечку данных аккаунтов более 5,4 млн пользователей соцсети. Компания начала рассылать пострадавшим пользователям уведомления, что их данные, включая Twitter ID, имя, фамилию или название организации, номер телефона и адрес электронной почты, стали общедоступны.

Twitter призналась, что из-за обновления кода платформы в июне 2021 года в работе API соцсети появилась ошибка, связанная с неправильной обработкой настроек конфиденциальности и возможностью спарсить без авторизации Twitter ID и данные аккаунтов пользователей.

Информацию по этой уязвимости Twitter получила в январе 2022 года. Разработчики сразу исправили ситуацию. В компании до этого времени не знали, использовали ли злоумышлении этот баг. Теперь, изучив выборку данных от хакеров, в компании подтвердили, что эта уязвимость за полгода была обнаружена злоумышленниками и активно использовалась. Twitter не может точно назвать количество пострадавших пользователей от этого взлома. Их может быть и больше 5,4 млн.

Twitter пояснила, что в результате этого взлома пароли аккаунтов не были раскрыты, но базы данных аккаунтов могут использоваться злоумышленниками для фишинговых рассылок. Соцсеть рекомендует пользователям поменять пароли и включить двухфакторную аутентификацию в своих учётных записях, чтобы предотвратить несанкционированный вход в систему в качестве меры безопасности.

Источник: Habr

Показать полностью
IT Илон Маск Информационная безопасность Twitter Хакеры Взлом
5
Эмоции
73
originsecurity
originsecurity
Информационная безопасность IT

Социальная инженерия глазами жертвы⁠⁠

1 месяц

Простые правила, которые помогут вовремя распознать фишинговые атаки и избежать их последствий, а также краткий обзор основных видов таких атак

Социальная инженерия глазами жертвы Информационная безопасность, Фишинг, Социальная инженерия, Хакеры, Кибер атаки, IT, Интернет, Полезное, Длиннопост

Большая часть компьютерных атак становятся успешными благодаря социальной инженерии. Ежедневная рутина сопровождается прочтением десятков писем, среди которых легко пропустить единственное «поддельное».
Мы провели более 20 успешных проверок, в которых использовалась социальная инженерия. Раз за разом один результат – удивление и фраза «мы знали о таком, но сами не видели». Банальные и базовые ошибки в работе сотрудников и недоумевающий взгляд администраторов.
Таким образом, получилось сформулировать задачу – наглядно указать, на что обратить внимание в ежедневной работе, чтобы не стать жертвой таких атак.

Кому и как это использовать?

  • Администраторам и специалистам по ИБ – пожалуйста, используйте материал как брошюру для обучения сотрудников. Информация для вас лично указана отдельной сноской.

  • Сотрудникам предприятий – ознакомьтесь и знайте врага в лицо. В статье только нужная в работе информация. Не обращайте внимания на заголовки-термины (названия атак), это технические детали. Сноски для администраторов и специалистов безопасности также смело пропускайте.

Общие правила при прочтении писем

Само по себе прочтение поддельного (фишингового) письма ничего опасного за собой не влечет. Но переход по ссылке в письме или открытие документа приведут к серьёзным последствиям.

Мы получили следующее письмо:

Социальная инженерия глазами жертвы Информационная безопасность, Фишинг, Социальная инженерия, Хакеры, Кибер атаки, IT, Интернет, Полезное, Длиннопост

Предупреждения на этапе прочтения письма

Предупреждения почтового клиента – это не нормально:

Социальная инженерия глазами жертвы Информационная безопасность, Фишинг, Социальная инженерия, Хакеры, Кибер атаки, IT, Интернет, Полезное, Длиннопост

Это еще не делает письмо фишинговым, но обязано насторожить.

Важно!

Такие предупреждения – один случай на сотню. В большинстве случаев никаких предупреждений не будет:

Социальная инженерия глазами жертвы Информационная безопасность, Фишинг, Социальная инженерия, Хакеры, Кибер атаки, IT, Интернет, Полезное, Длиннопост

Адрес отправителя

Мы знаем, что наш почтовый адрес — zubilin@originsecurity.ru.
Адрес отправителя — originsecurity@mailer.xyz.

Социальная инженерия глазами жертвы Информационная безопасность, Фишинг, Социальная инженерия, Хакеры, Кибер атаки, IT, Интернет, Полезное, Длиннопост

Первое правило:
ВСЕ, что написано ДО знака «@» – неважно!
Письмо отправили не ваши коллеги, если есть различие хоть в одном символе после знака «@».
Такое письмо необязательно фишинговое, но уже нельзя слепо верить написанному, сразу же открывать вложения и переходить по ссылкам.

Важно!

originsecurity.ru и 0riginsecurity.ru, например, являются разными именами. Злоумышленник использует такие способы маскировки, как: замена буквы «о» на цифру «0» или буквы «l» на цифру «1», две буквы «rn» на одну «m» и наоборот и т. д.

Как видно – письмо отправили не сотрудники финансового отдела, как написано в тексте. После «@» имя другого предприятия. Это уже повод обратиться в отдел информационной безопасности или к другому администратору, который подскажет куда обратиться и что сделать.

Для администраторов и специалистов ИБ:

В статье мы часто просим сотрудников общаться к вам за помощью. Создается иллюзия, что у вас прибавится сотня лишних звонков и обращений, попади инструкция к сотрудникам. Спешим обрадовать – инструкция освобождает вас от лишней работы.

Во-первых, описанные маркеры действительно стоят того, чтобы на них обратили внимание. Обращений много не будет. Во-вторых, проще отреагировать на обращение работника, чем устранять последствия заражения на предприятии.

Далее.

Да, как вы могли возразить, адрес отправителя можно подменить. В этом случае претензия к настройкам безопасности почтового сервера. Даже примитивные почтовые фильтры и антивирусы для почтового сервера видят по служебным заголовкам, что адрес отправителя подменили. Такие письма автоматически обязаны помещаться в спам.

Подпись отправителя

Взгляните на подпись. Злоумышленнику часто неизвестен формат внутренней переписки.
Подпись в фишинговом сообщении будет отличаться от общепринятой.
В случае несоответствия обратитесь к администраторам, высказав свои подозрения.

Социальная инженерия глазами жертвы Информационная безопасность, Фишинг, Социальная инженерия, Хакеры, Кибер атаки, IT, Интернет, Полезное, Длиннопост

В случае несоответствия обратитесь к администраторам, высказав свои подозрения.

Вложение в письме

Если на компьютере установлен антивирус – это ни в коем случае не защищает вас на 100%.
Внимательность – лучшее средство защиты.
Следующая задача – посмотреть на имя файла вложения:

Социальная инженерия глазами жертвы Информационная безопасность, Фишинг, Социальная инженерия, Хакеры, Кибер атаки, IT, Интернет, Полезное, Длиннопост

Формируем новое правило:
Важно только то, что написано после ПОСЛЕДНЕЙ точки.

Социальная инженерия глазами жертвы Информационная безопасность, Фишинг, Социальная инженерия, Хакеры, Кибер атаки, IT, Интернет, Полезное, Длиннопост

Мы указали только популярные форматы. Если файл вызывает подозрения, то лучше перестраховаться и получить рекомендацию администратора.

Для администраторов и специалистов ИБ:

Аналогично предыдущей заметке — если почтовый сервер пропускает потенциально опасные расширения во вложениях, то это вопрос администрирования почтового сервера. Настройте защиту так, чтобы такие вложения не доходили до сотрудников.

В подготовке правил фильтрации почтовых вложений помогут уже существующие наработки. Так, автор Oletools собрал в одном месте расширения исполняемых файлов (https://github.com/decalage2/oletools/blob/master/oletools/rtfobj.py, 280 строка).

В дополнение определите, нуждаются ли сотрудники в постоянном отображении расширения файлов. С одной стороны, безопасность предприятия, с другой – для некоторых это может стать проблемой при переименовании файлов.

В нашем случае формат вложения «.exe». Уже 2 серьезных триггера, смело обращаемся к специалистам по безопасности или администраторам. С вероятностью близкой к 100% письмо фишинговое.

Документы Microsoft Office

Если потенциальному злоумышленнику удалось убедить вас открыть документ Microsoft Office – запомните еще одно простое правило:
Если источник недоверенный, как бы вас не просили – НИКОГДА не нажимайте на кнопку
сверху. На любую кнопку сверху.

Ни «Разрешить редактирование», ни «Включить содержимое», ни что-либо еще.
Формулировка на таких кнопках не передает сути и масштаба угрозы. Равносильно кнопке «Заразить компьютер».

Социальная инженерия глазами жертвы Информационная безопасность, Фишинг, Социальная инженерия, Хакеры, Кибер атаки, IT, Интернет, Полезное, Длиннопост

Попытка убедить нажать на кнопку сигнализирует о вероятном фишинге. Сообщаем соответствующим людям.

Социальная инженерия глазами жертвы Информационная безопасность, Фишинг, Социальная инженерия, Хакеры, Кибер атаки, IT, Интернет, Полезное, Длиннопост

Для администраторов и специалистов ИБ

Мы не рассматриваем сценарии, когда атака направлена на эксплуатацию уязвимостей MS Office. Ведь у ваших сотрудников установлена актуальная версия ПО и автоматическим его обновлением занимается сервер WSUS.

Ссылки в тексте

Просьба перейти по ссылке и ввести свои данные – главное оружие в фишинге.

Социальная инженерия глазами жертвы Информационная безопасность, Фишинг, Социальная инженерия, Хакеры, Кибер атаки, IT, Интернет, Полезное, Длиннопост

Вы переходите по ссылке в письме и видите сайт вашего предприятия.

Социальная инженерия глазами жертвы Информационная безопасность, Фишинг, Социальная инженерия, Хакеры, Кибер атаки, IT, Интернет, Полезное, Длиннопост

Первое, что мы проверим – соответствие адреса сайта в адресной строке адресу сайта вашего предприятия:

Социальная инженерия глазами жертвы Информационная безопасность, Фишинг, Социальная инженерия, Хакеры, Кибер атаки, IT, Интернет, Полезное, Длиннопост

Внимание на строку, отмеченную красным. Строчка, отмеченная зеленым ничего не значит. Злоумышленник способен написать там что угодно!

Различие хоть в одном символе сигнализирует об опасности сайта (сайт-оригинал goSuslugi.ru, в примере же ссылка на goZuslugi.ru) – закрываем сайт и обращаемся к администратору.

Правило для обращения со ссылками:
Просьба ввести учетные данные (авторизоваться) на сайте по ссылке – признак фишинга. Не вводите свои данные на сайтах из писем, когда не уверены в отправителе.

Замочек возле сайта

Социальная инженерия глазами жертвы Информационная безопасность, Фишинг, Социальная инженерия, Хакеры, Кибер атаки, IT, Интернет, Полезное, Длиннопост

Иллюзию безопасности сайта создает замочек возле него (обычно зеленый или серый).
Запомните раз и навсегда:
Никакой замочек возле сайта не является гарантией безопасности!
Важен только адрес сайта. Ничего больше.


Мы рассмотрели общие правила чтения электронных писем, которые помогут распознать фишинг. Перейдем от общего к частному. Краткий обзор существующих угроз.

Виды почтовых атак. Фишинг целевой

Это случай, рассмотренный ранее:

Социальная инженерия глазами жертвы Информационная безопасность, Фишинг, Социальная инженерия, Хакеры, Кибер атаки, IT, Интернет, Полезное, Длиннопост

Атаки нацелены на сотрудников предприятия, имеют определенную идею и часто хорошо подготовленные вредоносные вложения и сайты.

Для администраторов и специалистов ИБ

При обнаружении таких писем собственноручно или при получении информации от сотрудника рекомендуется:

1. Выполнить почтовую рассылку сотрудникам предприятия с предупреждением о фишинге. Дать в письме инструкции и запретить открывать вложения или переходить по ссылкам, вводить учетные данные;

2. Определить получателей писем по фишинговому почтовому домену;

3. Если масштабы проблемы ограничены несколькими получателями, лично обсудить рассылку (кто что открыл, куда перешел и т.д.);

4. Заблокировать утекшие учетные данные при их наличии;

5. Добавить домен в черный список на почтовом сервере или средстве защиты;

6. Определить наличие заражения, локализовать зараженные компьютеры, произвести реагирование на компьютерный инцидент. При отсутствии компетенций обратиться к специалистам.

Виды почтовых атак. Фишинг массовый

Социальная инженерия глазами жертвы Информационная безопасность, Фишинг, Социальная инженерия, Хакеры, Кибер атаки, IT, Интернет, Полезное, Длиннопост

Такие атаки берут не качеством, а количеством. Рассылаются во множество предприятий и склоняют сотрудника к действию под давлением на страх, «халяву» и т.д.
Бесплатный сыр только в мышеловке. Поговорка точно описывает метод защиты от этого вида фишинга. Есть и дополнительное правило:
Запрещено даже вчитываться в такие письма. Злоумышленники умело управляют эмоциями жертв.

Виды почтовых атак. Вейлинг

Социальная инженерия глазами жертвы Информационная безопасность, Фишинг, Социальная инженерия, Хакеры, Кибер атаки, IT, Интернет, Полезное, Длиннопост

Фишинговые атаки на конкретного человека на предприятии. Крайне тщательно подготовленные вредоносные вложения и тематика. Злоумышленник изучает жертву, либо знает о деятельности жертвы (направляет фишинговое письмо на тему закупок по адресу zakupki@originsecurity.ru, например).

Для администраторов и специалистов ИБ

Если сотрудник вынужден работать с большим количеством входящей корреспонденции – следует ограничить компьютер сотрудника на уровне сети, чтобы избежать заражения сети предприятия.

Виды телефонных атак. Вишинг

Часто мы при проверках не ограничиваемся одной электронной почтой. На ваш мобильный или рабочий номер может поступить звонок. Сам факт ответа на неизвестный номер безопасен. Но…

Если неизвестный человек звонит на мобильный и интересуется рабочими вопросами (процедурой входа в здание предприятия, наличием охраны, рабочими программами, ФИО сотрудников, и чем-либо еще по работе) НЕ ВАЖНО кем он представился – спросите ЕГО рабочий телефон (свой не давайте) и сообщите, что готовы обсуждать рабочие вопросы только по рабочему телефону. Так же уточните как к нему обращаться и из какого собеседник отдела.

Злоумышленник может заговаривать зубы и даже угрожать (увольнением, лишением премии и т.д.). Кладите трубку с фразой: «Я не могу обсуждать это по телефону, всего доброго». И заявляете о своих подозрениях специалистам информационной безопасности или администраторам. Никаких претензий или штрафных санкций к вам после такого заявления не может быть применено.

Для администраторов и специалистов ИБ

При поступлении жалоб выясните, существует ли на предприятии человек, которым представился потенциальный злоумышленник и определите легитимность звонка. В случае атаки сделайте рассылку по всем сотрудникам вашего предприятия для уведомления о поступлении звонков данного характера и запретите обсуждать рабочие вопросы с неизвестными собеседниками.

Виды физических атак. Подбрасывание носителей информации

Подобранные (на территории предприятия или в домашнем подъезде, неважно) носители информации (флеш-карты памяти, диски и т.д.) запрещено подключать к компьютерам предприятия.
Популярная атака – раскидать флешки (или что проще – диски, подписанные «Зарплата кадры 2023») по периметру предприятия, в надежде на любопытство жертвы. Сразу при подключении такого носителя компьютер заражается, и злоумышленник проникает в сеть.

Если вы не удержались и решили, что информация просто не может пройти мимо вас, а после подключения носителя или запуска документа компьютер стал странно себя вести, например, на мгновение появилась командная строка (скриншот ниже), лучше перестраховаться и обратиться к администраторам.

Социальная инженерия глазами жертвы Информационная безопасность, Фишинг, Социальная инженерия, Хакеры, Кибер атаки, IT, Интернет, Полезное, Длиннопост

Для администраторов и специалистов ИБ

Исследование подобных устройств и носителей должно проходить на изолированных от сети компьютерах или виртуальных машинах.

Виды физических атак. Подключение носителей информации сторонними лицами

Пройти пост охраны дело техники. Находясь на территории предприятия злоумышленник просит случайного сотрудника распечатать документ с его компьютера. Сотрудник своими руками подключает флеш-карту памяти, открывает зараженный документ и заражает сеть.
Злоумышленник покидает место проникновения с напечатанными документами и довольной улыбкой.
Метод противодействия прост – ведем человека к администратору и если тот посчитает нужным, то распечатает документ. Или же правило:
Не позволяйте подключать неизвестные устройства и накопители информации к своему
рабочему компьютеру.

Заключение

В заключении сформулируем еще одно, последнее правило:
Не пересылайте потенциально опасный документ коллегам!
Обычно это происходит со словами: «У меня не открывается, попробуй ты». Мы сталкиваемся с такой инициативой на каждом третьем аудите. Будьте внимательней.

То, что на первый взгляд кажется объемным справочником – на деле перечень простых правил, которые помогут распознать большинство атак с использованием социальной инженерии.
Даже если вы попались на уловку злоумышленника, сообщили какую-либо информацию, открыли документ или ввели учетные данные – ОБЯЗАТЕЛЬНО сообщите об этом в отдел информационной безопасности или администраторам. Таким образом вы снимите с себя ответственность, а специалисты смогут быстро отреагировать и не дать злоумышленнику использовать полученную информацию.

Для администраторов и специалистов ИБ

Данная шпаргалка поможет сотрудникам вашего предприятия противостоять фишинговым атакам. Регулярно проводите тестовые фишинговые рассылки своими силами. Если сил, времени или компетенций не хватает – обратитесь к руководству с просьбой о привлечении специалистов в данном направлении.

Чтобы ничего не забыть, сделали для вас плакат-напоминание. Печатаем, вешаем на стену,
пользуемся. Оригинал по ссылке

Социальная инженерия глазами жертвы Информационная безопасность, Фишинг, Социальная инженерия, Хакеры, Кибер атаки, IT, Интернет, Полезное, Длиннопост

Ссылка на первоисточник

Показать полностью 18
[моё] Информационная безопасность Фишинг Социальная инженерия Хакеры Кибер атаки IT Интернет Полезное Длиннопост
21
Эмоции
Посты не найдены
12345677Далее
О Пикабу
О проекте
Контакты
Реклама
Сообщить об ошибке
Отзывы и предложения
Новости Пикабу
RSS
Информация
Помощь
Кодекс Пикабу
Награды
Верификации
Бан-лист
Конфиденциальность
Правила соцсети
Mobile
Android
iOS
Партнёры
Fornex.com
Промокоды