Skip to main content

Методы социального взлома. Как защититься

В рубрике
4 votes

Перед началом разговора предлагаю разобраться в определении социальных сетей. Социальная сеть (Интернет) — платформа, онлайн сервис или веб-сайт, предназначенные для построения, отражения и организации социальных взаимоотношений (по материалам Википедии). В социальных сетях пользователи вносят свои данные, которые, кстати говоря, зачастую являются целью злоумышленников. Большая часть пользовательских данных настоящая, потому что мы ищем друзей, соседей и просто людей, с которыми было бы приятно общаться. К данным, вносимым пользователями чаще всего, можно отнести имя, фамилию, отчество, адрес, интересы, места отдыха или работы. Примеры социальных сетей вам всем известны:

Facebook
Facebook
В Контакте
Вконтакте
Мой Мир
Мой мир
Twitter
Twitter
Google+
Google+

Итак, каким же образом можно получить данные, которые каждый пользователь хранит как зеницу ока? Я не буду составлять хит-парад самых изощренных способов взлома, потому что самого неопытного могут поймать и способом, занимающим последнюю строку в данном хит-параде, а лишь расскажу о некоторых наиболее распространенных методах социального взлома.


Хороший и плохой пароль

То, что может сделать практически каждый – подбор пароля доступа. Когда я работал в школе, то отвечал в том числе за компьютерную безопасность (в самом примитивном смысле этого понятия), и поверьте мне, что почти все преподаватели на вопрос «Какой бы Вы пароль хотели на свой компьютер?», отвечали что-нибудь в духе «123». Думаю, вполне очевидно, что такие пароли с легкостью подбираются без использования специализированных программ, поэтому настоятельно не советую ставить настолько элементарные пароли к своим учетным записям. Но вот вы поставили очень сложный пароль. Это гарантия того, что ваши персональные данные в безопасности? Вообще-то нет. Сложные же пароли взламываются при помощи специальных программ-взломщиков. Эти программы содержат словари с паролями. Остается только подобрать пароль. Подобные словари используют и некоторые вредоносные программы, например кидо или червь Морриса.

Также не надо ставить один пароль на все свои аккаунты, даже если он очень сложный, потому что, получив доступ к одному аккаунту, будет очень просто получить доступ к другому.

Как противостоять взлому пароля?

1) Пароль должен быть достаточно сложен, то есть содержать цифры, буквы разного регистра (строчные и заглавные) и специальные знаки (точки и тому подобное).

2) Пароль не должен быть слишком коротким, скажем, шесть символов это маловато. На мой взгляд, оптимальная длина пароля не меньше десяти символов. Можно пойти еще дальше и поставить пароль длиной в 64 символа (как один мой знакомый на свой wi-fi), но это явный перебор.

3) Во многих сетях есть возможность восстановления пароля через ответ на секретный вопрос. Так вот, ответ должен быть тоже достаточно сложен (чтоб его не запоминать, можно поставить тот же самый пароль), да и вопрос выбирать не из списка стандартных, желательно. Возникает справедливый вопрос: почему? Отвечаю: потому что через этот пароль тоже можно получить доступ к Вашему аккаунту. На моей памяти взломов паролей пользователей на Мой Мир происходит больше через секретный вопрос (субъективное суждение).

4) Есть возможность восстановления пароля путем высылки его на указанный почтовый ящик. Адрес лучше не указывать, потому что его могут взломать, а там (я более чем уверен) будет письмо от администрации социальной сети. Останется только перейти на сайт и нажать кнопку «забыл пароль».

Плюсы такой защиты: довольно трудно будет подобрать пароль к вашему аккаунту.
Минусы: большое количество сложных паролей (не дай бог забыть)

Замечание: для создания большого числа паролей очень удобно использовать определенные алгоритмы, которые можете определить вы сами. Например, можно составить пароль из 15 знаков, в котором первые два это день недели, в который вы родились, потом идет половина вашего ник-нейма, написанного в обратом порядке, затем название сайта с чередованием строчных и заглавных букв, а завершает все это дело ваше любимое число. Если запомните алгоритм создания пароля, то вы запомните все пароли разом, правда, если забудете алгоритм создания пароля, то, скорее всего, забудете все пароли сразу.


Важно: куки

В отдельную главку вынесу разговор о тех настройках, которые остаются после того, как Вы поработали с браузером.

Что такое куки? Следуя традиции, обратимся к Википедии. Цитата: «куки, кукисы (от англ. cookies) — небольшой фрагмент данных, отправленный веб-сервером и хранимый на компьютере пользователя. Веб-клиент (обычно веб-браузер) всякий раз при попытке открыть страницу соответствующего сайта пересылает этот фрагмент данных веб-серверу в виде HTTP-запроса».

Какие данные могут сохранять куки? Они могут сохранять любые пользовательские настройки, например, ключ сессии (без пароля), зашифрованный пароль, комбинацию из зашифрованного пароля и логина. Именно поэтому они могут представлять определенную ценность для злоумышленников. Каким образом куки могут достаться плохим ребятам по ту сторону монитора?

1. Куки можно украсть. Проще всего это сделать, имея доступ к пользовательскому компьютеру. Через Интернет-соединение уже сложнее. Кража куки через Интернет-соединение называется взломом сессии. Хакер, произведший взлом сессии и перехвативший куки, легко сможет ими воспользоваться, даже не сомневайтесь в этом.

2. Куки можно подменить. Подменой куки называется изменение его содержимого (например, количества пересылаемых в Интернет-магазин средств). Подмена куки происходит непосредственно перед отправкой их на сервер.

Несомненно, из рассмотренных вариантов нас интересует первый, когда наши пользовательские настройки украли. В этом случае злоумышленник сможет получить доступ к Вашему аккаунту, пароль от него, а также много другой информации. Хотя бы поэтому cookies не надо разбрасываться направо и налево. Проще всего куки украсть в местах, наименее защищенных и наиболее массовых (например, кафешках с доступом к wi-fi). Самую серьезную защиту Ваших куки предоставляют защищенные каналы (HTTPS-сессия плюс атрибут «SECURE» у самих куки).


Фишинг

Третий метод – так называемый, фишинг. Сразу предлагаю определиться, что это такое и с чем его едят.

Фишинг (англ. phishing, от fishing — рыбная ловля, выуживание) — вид интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей — логинам и паролям. Это достигается путём проведения массовых рассылок электронных писем от имени популярных брендов, а также личных сообщений внутри различных сервисов (копипаст из Википедии).

Итак, мы знаем, что с английского fishing – рыбная ловля. Не надо быть заядлым рыбаком, чтобы понять, что на голый крючок окуня не поймаешь – нужна наживка. Так же и в социальных сетях. Никто просто так не пойдет на фишинговый сайт и не отдаст письмо со своими паролями с пометкой «лично в руки». Обычно приманкой служит письмо или личное сообщение от администрации какого-либо очень популярного сервиса (скажем, банки, такие сервисы, как Rambler и подобные, социальные сети и т.д.), в котором предлагается проголосовать за фотографию (это если от простых пользователей), внести плату за какие-то непонятные (а порой и понятные) услуги. В примере приведено письмо с просьбой ввести пароль поле «ответ».

Пример письма от плохих парней

Чаще всего письмо содержит ссылку на фишинговый сайт (как правило, этот сайт внешне не отличить от оригинала, а различие, которое однозначно будет присутствовать в данном случае – адрес сайта, например, вместо google.ru googile.ru). После захода на него пользователь, как правило, вводит свои персональные данные, которые достаются злоумышленникам.

Возможен иной вариант развития событий, если Вы зашли на фишинговый сайт. Предположим, Вы зашли на него и (не важно по каким причинам) сразу ушли с него. При заходе на нехороший сайт, специальный скрипт (скрипт - программа, автоматизирующая определенную задачу) определяет версию Вашей операционной системы и используемого браузера. Исходя из полученных данных, определяется эксплойт (эксплойт – фрагмент программного кода, использующий уязвимости в программном обеспечении и применяемые для проведения атаки на вычислительную систему), с помощью которого происходит правка файла HOSTS, загружается и активизируется троян, который может умыкнуть у Вас все пользовательские данные, к которым относятся пароли и прочая информация. Правда, есть еще и третий вариант. Он включает первые два.

Как противостоять фишингу? Во-первых, письма, которые пришли от неизвестных Вам пользователей даже читать не надо, а смело отправлять в папку «Спам» и сообщать администрации (этим Вы ей очень поможете). Но не надо лихорадочно всю почту помещать в вышеуказанную папку. Если Вы принимали участие в каком-либо конкурсе, получаете письмо от организаторов данного мероприятия, то лучше прочитать, но соблюдать осторожность (конечно, в пределах разумного). Во-вторых, надо помнить, что никакая администрация не попросит у вас пароль от Вашего аккаунта, который у нее и так есть (в лучшем случае, не в одном экземпляре). Администрация не будет просить выслать смс-сообщение такой-то стоимости по такому-то номеру. Если Вас пытались взломать (это пример одного из писем, пришедшего мне), а потом администрация просит отправить смс, то на это сообщение реагировать тоже не надо.

Иногда Вам просто в письме могут закинуть троянца. Самые лучшие методы защиты в этом случае:

1. Хороший firewall (программа, основной задачей которой является защита компьютерных сетей или отдельных узлов от несанкционированного доступа),

2. Антивирус,

3. Умная голова.

Собственно говоря, эти средства – гарантия вашей практически полной безопасности в Интернете.

Также следует отметить, что некоторые владельцы сайтов стараются обезопасить своих пользователей от различных видов мошенничества, в том числе и от фишинга. В качестве примера приведу небезызвестный сайт Вконтакте, который с длинного и неудобного адреса vkontakte.ru переехал на короткий и удобный адрес vk.com.


Фарминг

Мы поговорили о «рыбалке», теперь предлагаю поговорить о «сельском хозяйстве». Фарминг более опасен, чем фишинг.

Небольшое лирическое отступление. Сначала человечество научилось собирать плоды, потом охотиться, рыбачить и только потом оно научилось сеять. Примерно такая же схема здесь. Сначала появился фишинг, а потом (в результате эволюции) – фарминг.

Фарминг (от англ. pharming, farming – сельское хозяйство) – это процедура скрытного перенаправления жертвы на ложный IP-адрес. Для этого может использоваться навигационная структура (файл hosts, система доменных имен (DNS)) (цитата, опять-таки, с Википедии).

В чем отличие фарминга от фишинга? В обоих случаях Вашему положению не позавидуешь, это раз. И в том и в другом случае Вас просто уводят с настоящего красивого сайта и перенаправляют на ненастоящий красивый сайт. Но если в случае с фишингом Вы попадаете на сайт с другим именем, то в случае с фармингом, имя остается неизменным, меняется только IP-адрес сервера. То есть, если знаменитый сайт Odnoklassniki.ru находится в России, то один из его двойников – в Китае. Даже очень внимательный пользователь не сможет определить, когда попадет на фарминг-сайт, если у него нет возможности просматривать IP-адреса сайтов и сравнивать их.

В случае применения фарминга чаще всего изменяется файл HOSTS. Давайте разберемся, при чтении какого HOST’a надо кричать «Аларм» и звонить шаману.
Примерно так выглядит обыкновенный файл HOSTS.

Обычный файл HOSTS

А так выглядит необычный файл HOSTS.

Необычный файл HOSTS

Не надо быть слишком внимательным, чтобы увидеть, что все IP-адреса абсолютно идентичны (211. . .99). Это значит, что что-то не так… собственно говоря, все не так.

Помочь защититься от фарминга смогут различные плагины к браузерам, например, у FireFox есть плагин, отображающий страну, в которой расположен сервер, или если вы помешаны на безопасности до такой степени, что выучили все ip-адреса сайтов, которые посещаете, то можно использовать плагины, которые показывают ip-адрес сайта, на котором вы сейчас находитесь.


И еще немного о паролях

Вопрос, интересующий многих – чем же грозит утеря пароля от аккаунта?

1. Это почти стопроцентная рассылка спама Вашим друзьям и близким (плюс еще дивизия знакомых и незнакомых Вам людей).

2. Если Ваш аккаунт взломали, и Вы потеряли над ним контроль, есть определенная вероятность, что взломают все почтовые ящики, которые будут там указаны.

3. Скорее, психологическая проблема - очень неприятно осознавать, что твои данные теперь достались неизвестному «плохому парню» по ту сторону монитора, также Вы потратите время (возможно, но не обязательно) на создание нового аккаунта, создание нового пароля (конечно, более сложного и продвинутого, по сравнению с прошлым), смену паролей на свои оставшиеся аккаунты и почтовые ящики.

Несомненно, нет универсального средства защиты ваших персональных данных в Интернете. Каждый год появляются новые и совершенствуются старые методы кражи пользовательских данных. И для каждого метода атаки есть свой метод защиты. Самое главное средство, которое есть у нас – наш ум и опыт, которые должны говорить нам, как поступать в различных ситуациях, но, к сожалению, и они не всесильны. Известно, что весной-летом позапрошлого года хакеры получили доступ ко многим учетным данным пользователей сервисов компании Sony, Sega и прочих компаний, но это уже совсем другая история.

В данной статье не был рассмотрен еще один распространенный вид интернет-мошенничества – социальная инженерия. Об этом явлении я планирую рассказать в одной из следующих статей.

При написании статьи были использованы определения из Википедии, а также картинки с просторов интернета

Аватар пользователя Бакина Маргарита

Дима, привет!
Очень рада, что ты снова в авторах сайта Smile)
Спасибо за понятные даже мне, не технарю, разъяснения и предостережения, и конструктивные советы Smile
Жду обещанного продолжения. Тем более, что социальная инженерия интересная мне с профессиональной точки зрения.

Аватар пользователя GoodWin

Социальная инженерия сложнее для описания, потому что если вышеописанные методы имеют примерно одну схему, то социальная инженерия может иметь невероятное множество различных подходов (способов, методов), разительным образом отличающихся друг от друга, поправь меня, если я ошибаюсь Smile

Аватар пользователя Бакина Маргарита

Думаю, не ошибаешься.

Аватар пользователя kirill_zhelyabin

Очень хороший пост. Это как раз, то что не хватало мне, чтобы объяснить знакомым, друзьям и родственникам что нельзя пренебрегать безопасностью в интернете.

Аватар пользователя Бакина Маргарита

Друзья, если пост понравился - плюсуйте, не стесняйтесь! Авторам нужна обратная связь от вас, пусть даже в виде маленького лайка Smile)
Попробуйте стать автором - и вы это будете знать точно! Smile

Аватар пользователя GoodWin

Это как раз то, что мне пришлось особенно сильно и долго объяснять некоторым моим знакомым, друзьям и родственникам Smile