Рубрика#hackandsecure
Внашевремявсилупостоянноразвивающихсятехнологийсталиоченьпопулярныимасссовыпене Обычнотакогородапреступлениянасленгеназываюткражейличности。 Форматданнойстатьибудеткейсовый。 Ярасскажунесколькопримеровмошенническихсхем(восновномпокражамбиометрическихданных)длятого,чтобывыникогданепопадалисьнакрючоки,хотябыпримернопредставлялисебевозможныевариантызащитыоткибермошенников。 Заранееоговорюсь,чтоданнаястатьянивккемслучаенеявляетсяинструкциейдлямошенников。 Основнаяцель—показатькакиебываюттипыпреступныхсхемдлятого,чтобыобезопаситьсебяисвоих。
Кражаличности— 身份盗窃,身份不明身份。 Болееправильныйпесмыслубудетсводитьсяккражеидентификационных(“удостовекиекуления”) Тоестьречьидетотехпреступлениях,
Подперсональнымиданнымиподразумеваютсядваблокаинформации:общиеданные(контакты,семейноеположение,местоработы,фактыбиографии,адреспроживания,зарегистрированнаясобственностьипрочее)ибиометрическиеданные(отпечаткипальцев,образецголоса,рисуноксетчаткиглаза,особенностистроениялицаипрочее) 。 Кража“биометрики”намногострашнееисерьезнеекражиобычныхданных,таккакотпечаткипальцев,сетчаткуглазаидругоенельзяпоменять,аблокировкаипоискутечек,связанныхсиспользованиемвашихбиометрическихданных,займеточеньмноговремени,сил,нервови,иногда,денег 。 Поэтому,именнообиометрикемыипоговоримвданнойстатье。
PS:Передпросмотромданнойстатьирекомендуюпочитатьпроконкурентнуюразведку(ссоотримтутисередненийисеред)。 Всеэтитемывзаимосвязаныивданнойстатьеябудунеразссылатьсянаприемы,которыеиспользу
Яуверен,чтомногиеизвассталкивалисьсситуацией,когдавам,кпримеру,вечеромзвонятснезнакомогономераистранныйголос говорит :“Мам/пап,япопалваварию/полицию/сбилвелосипедист。 Немог(а)бытыскинутьденегнаэтукарту(номер),таккаксвоюяоставилдома,анненалечени Вариацийтакихзвонковоченьмногои,ксчастью,сейчасмыуженаучилисьпонимать,чтоестьтакаяформамошенничестваипопадатьсянатакоесталиреже,нотехнологиинестоятнаместе。
Однимизважнейшихбиометрическихданныхчеловекаявляетсяобразецголоса。 Впоследнеевремямошенникиначалиработатьпосценарию,описанномувыше, Одинизсамыхчастыхсценариев – якобызвонокполицейского,которыйговорит,чтовашсын/дочьсовершиликакое-топравонарушение,ноонжечеловекхорошийипоэтомудаетпровинившемусяшанс。 Нужныденьги,чтобыдело“замять”。 Послеэтоготрубкапередаетсявторомумошеннику,которыйякобывашсын/дочьионзнакомымвамголосомдействительноподтверждаетвсесказанное,послечегопроситскинутьденегнакарту。
Пошагамопишемсхему。
- Ищетсяномерчеловека,чейголоснеобходимозаписать,используяинструментыкорпоратиооразед Обычно—этопростыеталефонныебазыисопоставлениеФИОидатрождения,чтобыустановиттородствомеж。 Далеезвонятскакой-толегендой(соц.опрос,интервью,чтоугодно)изаписываютобразецголоса。 Чембольшевременизаписи,темлучше。 Альтернативныйвариантполученияобразцаголоса – легендированнаявстречасчеловекомизаписьподскрытыйдиктофон,ноэтонамногосложнееиневсегдацелесообразно。 Записатьтелефонныйразговорпроще。
- Далеезаписанныйголосзаносятвспециальныепрограммыпообработкеголоса。 Теперьмошенникможетповоритьвмикрофон,以及программабудетпеределыватьегооое Огрехибудутминимальныеинезначительныеиихможноскинутьна«плохуюсвязь»
- Напоследнейстадии,исходяизпридуманнойлегенды,звонятродителям,жене,друзьямит.д。
Программы,которыемогутзаменитьголоснанеобходимый,крайнесложнонайтивинтернете,поэтомутакогородааферывсе-такитребуютопределенныхтехническихнавыковотмошенников。
Представимситуацию,чтоестьодинвысокопоставленныйчеловеки,кпримеру,егохотятподставить。 Нетакдавно(вконтекстемировойистории)криминалистыпоняли,чтоодинизуникальныхинентитикате Естественно,преступникипонялиэтовтотжемоментиначалииспользоватьвсвоихцелях。
Перенесемсявресторан,вкоторомужинаетнашвымышленныйгерой。 Используянавыкивсоциальнойинженерии(подробнееобэтомчитаемтут)иобычнойигренажадностилюдей,злоумышленникподкупилофицианта,которыйобслуживаетстоликнашегогероя。 Официант,уносягрязнуюпосуду,аккуратноположитбокал/стакан,изкоторогопилнашгерой,ксее Думаю,дальнейшийходмыслейпонятен。 Схемаоченьпростаяиработаетпосейденьдовольночасто。 Иуверен,нестоитобъяснять,чтотакогородадействиясовершаютсяоченьобдуманноичерезбольшоеколичествопосредников,чтобывкрайнейситуацииследневывелназаказчика。
,топримерстарыхспособов,нотакжесуществуетцифровойвариант。 Современныекамерысвысокимразрешениемпозволяютсделатьфотоотпечаткастогожастаиииииресаиирасиирасиирасирасииирасииирасииирасиираснари6。 Даибольшинствухакеровдажененуженфизическийдоступ。 Существуетмассауязвимостейвнекоторыхэлектронныхгаджетахсфункциейотпечаткапальца。 Дляпримера,Android HTC One Max,三星Galaxy Note 4,Galaxy S6。 Сопределеннымитехническиминавыкамиукрастьотпечаткивладельцевнетакужисложно。
Кражаотпечатковпальцевможетбытьиспользованазлоумышленникамивразныхцелях,начинаяотподбрасыванияуликвкриминальныхвопросах,заканчиваяобходомпаролей。
Передтем,какрассказатьследующуюисторию,напомнювам,чтотакое“ фишинг ”。 Этовидинтернет-мошенничества,целькоторого – получитьидентификационныеданныечеловека(кражипаролей,номеровкредитныхкарт,банковскихсчетовидругойконфиденциальнойинформации)。 Болееподробнообэтомможневстатьепосоциальнойинженериитутвглавеподназваи。
Зачемявспомнилданныйвидмошенничества? Деловтом,чтофишингбываетдвухтипов:просевочныйицелевой。 Просевочный —этоориентациянамассовость。 Отправляетсяоченьмногописемнаэлектроннуупочтубольшомуколичествучеловексссссылкаминавред。 Какговорится,мошенникипытаютсявзятьчислом。 Авоськтоиоткроет,таккакотослалимногописем。 Втакомподходеплюсзаключаетсявтом,чтопотеориивероятностикто-тооткроетвлюбомслучае,таккакколичествоотправленныхписемоченьбольшое,аминусвтом,чтотакиеписьмамогутбытьсоставленыболеехалтурносточкизренияпсихологиивлиянияивнешнейсоставляющей。 Второйвариант—图库照片 ,несколькосложнеетехнически。 Какясноизназвания,такоготипафишинговыеатакипредназначеныдляконкретныхлюдей。 Поэтомуграмотныемошенникисначаласобираютинформациюобэтихлюдях,чтобыпониматьихпримерныйпортрет,иужепослеэтогоделаетсяиндивидуальнаяатакаподконкретногочеловека。 Минусподходавтом,чтотакаярассылканеориентировананамассу,аплюсвтом,чтотакиеписьмапочтивсегдаоткрываетконкретныйчеловек,таккаконинамноголучшепросевочноговарианта。
Теперькейс。 Пододногочеловекадолгокопалихакеры,иимводинмоменточеньсильнопонадобилсерисунокего。 Получитьтакойидентификаторсложнеевсего,но,какоказалось,иногдавозможно。 Хакерысоставилиоремьграмотнуюфишинговуюатакуподнашужертву。 Вдвухсловах:потерпевшийработалвкрупнойIT-фирме,инихвсевсегдаоченьстрооооооооооооооо Поэтойпричинекаждыйсотрудникужепривыкполучатьпо2–3письмаотнихкаждыйдень,постоянно。 ХакерыузналиобэтомирешилисделатьписьмоотименислужбыИБкомпании。 Нашажертваоткрылаегоипрочитала,чтоспециалистпросилперейтипотакой-тоссылоеслани НасайтебылаформазаполнениясразнымиданнымиивконценужнобылоразрешитьсвоемуPCдоступккамередлятого,чтобыонасфотографировалаегосетчаткуглаза,какочереднуюмерубезопасности。 Естественно,您在нашейжерствывсеэтидействияневызвалиникакихподозрения,以及ирисунокегосетчатки。
Надоотметить,чтохакерыизначальнозналимодельPCипонимали,чтотаместьфункциякеаевеб-ка ЕслибынаPCтакойфункциинебыло,сделатьэтидействиябылобынетакпросто。
ПомимоPCсуществуютнекоторыеуязвимостинасмартфонах,вкоторыхестьфункцияразблокированиятелефонапосетчаткеглаза,еслипользовательужевносилтудаэтиданные。 三星Galaxy Note 7的建议零售价。
Прокражунекоторыхбиометрическихидентификаторовличностимыпоговорили,поэтомутеперьуделимвниманиетакомумошенническомуявлениюкак«клонирование»。 Преступникнаходитвсювозможнуюинформациюожертве(паспортныеданные,номерателефонов,страничкивсоциальныхсетяхипрочее)ипослеэтогосоздаётдвойника,отименикоторогоначинаетсовершатьразличногородапакости。 —ркийпример—созданиефейковогоаккаунта-двойникавсоциальныхсетях。 Самаячастаяпричина«клонирования»—желаниеснизитьрепутациюжертвы。 Многиепреступникиработаютпазаказу,
Несколькопримеровпакостей,которыемошенникимогутсделатьотвашегоимени。
·Можноузнатьвашномерислитьеговразличныебазы,покоторымкомпанииобзвеюле
·Регистрироватьсянаразличныемероприятияотвашегоимени。
·Звонитьпартнерампобизнесуиотвашегоимениполиватьихгрязью。
·Подвашейфейковойстраницей(оченьпохожейнаоригинал)рассылатьгадостииписатьплотиевещираз。
Вобщемвариантовоченьмного,и,когдаэтовсеодновременносваливаетсянавашуголову(гневныезвонкиколлег,сотнизвонковизразныхкомпаний,которыенедаютвамработатьии.д.),хорошегобудетмало。
Заканчиваяданнуюглаву,расскажувамоднустрашнуюштуку。 Надеюсь,всепонимают,чтоможетслучиться,есликзлоумышленникуврукипопадутвашипаспортны。 Речьпойдётуженепростоошалостях,以及овещахпосеерьёзнее。 Казалосьбы,откудаможнополучитьпаспортныеданные? Естьпрекраснаясоциальнаясеть«Вконтакте»,然后在неёсуществуетоднаоченьсерьёзнаяуязвимость-откр。 Есливнанаройкахдокументанепоставить«личный»,тоегоможетнайтиискачатьлюбойчеловек。 Документы—照片 Всепотому,чтомногиелюдинезнаютобэтой«дырке»。 Невсегданакаждомдокументепоумолчаниюстоитгалочка«личный»。 Вбейтевпоискеподокументамразныеформулировкитипа:“сканпаспорта”,“скан”,“ scan”,“ pasport”,“ scan 01”ипорат。 Зачасможнособратьнеменее50разныхдокументовтехбедняг,которыенезнают,чтоунихоткрыты。 Естественно,есливыникогданеотправлялитакимобразомсвоифотоилисканы,тоничеготамин。 Имойсовет – еслиотправляетефайлытакимобразомкому-то,изменитенастройкиприватности,и,когдачеловекскачаетто,чтовыскинули,лучшесразуудаляйтеэтоизсвоихдокументовнавсякийслучай。
Мырассмотрелидалеконевсевозможныеварианты。 Основнойпосылданнойстатьизаключаетсявоченьпростойидее:относитесьвнимательнеексвоимперсональнымданнымиразвивайтебдительностьинаблюдательность,таккакмошенникипочтивсегдабудутвлиятьнавашуэмоциональнуюсторону,ноникакненалогическую。
МеняможнонайтивВконтактеивLinkedIn
