Социальная инженерия виды, принципы, защита
2
Конечно, путь денег (кто именно перевел их жертве) проследить вполне возможно (особенно, если это крупная сумма), но, во-первых, злоумышленник может переводить деньги через подставное лицо. А, во-вторых, даже будучи пойманным, он сможет заявить, что он не главарь, а пешка и вообще не знал, что деньги ворованные. При условии, что злоумышленник оставит себе меньшую часть награбленного, такая легенда будет звучать весьма убедительно. Поэтому, при "разборе полетов" ни в коем случае не хватайте первого попавшегося под руку обвиняемого – в большинстве случаев он действительно ни в чем не виновен.
Другой способ "перевода стрелок" заключается в психологической обработке лиц, "помешанных" на подражательстве хакерам, но хакерами не являющимися. Сначала их убеждают, что пребывание в тюрьме – явление вполне нормальное для хакера, затем демонстрируют целую серию эффективных "взломов", чем вызывают глубокое уважение к себе. Наконец, когда "клиент" готов, мошенник предлагает ему стать своим учеником, после чего руками ученика осуществляет реальный взлом. В случае раскрытия преступления ученик может и не выдать своего "наставника" (а при правильной психологической обработке и не выдаст, хоть режь его на куски). А, если даже и выдаст, следствию будет не так-то легко уличить злоумышленника, ведь все предыдущие атаки – фикция! "Наставник" без больших трудов сможет представить все это невинной игрой. Он де, просто забавлялся, не причиняя никому никакого вреда. А о том, кто руководил "учеником" в настоящей атаке, – не имеет ни малейшего представления.
Несанкционированный доступ.
Приемы хищения паролей. Вероятно, самый известный прием похищения пароля – это звонок жертве от имени администратора системы или, напротив, администратору – от имени некоторого пользователя. Просьба в обоих случаях одна, – под каким бы то ни было предлогом сообщить пароль на некоторый ресурс. К счастью, актуальность атак этого типа за последний год значительно. Однако не стоить питать иллюзий по поводу своей защищенности. Она в большинстве случаев мнимая. Лучший способ выведать пароль – не спрашивать его. Напротив, строго настрого запретить говорить! Это может выглядеть, например, так: «Алло, здравствуйте! С Вами проводит разъяснительную беседу эксперт по безопасности Вася Пупкин. Помните ли Вы, что никогда, ни при каких обстоятельствах, никому не должны сообщать свой пароль? А помните, что пароль должен состоять из комбинации букв и цифр? Кстати, какой он у Вас?» Поразительно, но многие, пропуская «разъяснительную беседу» мимо ушей, называют свой действительный пароль! Причем, атакующий в случае провала ничем не рискует, т.к. вопрос «какой у Вас пароль» можно понимать двояко – какой именно пароль, и какой пароль вообще (длиннее восьми символов, является ли словарным словом или нет и т.д.).
Для низко квалифицированных пользователей припасена и другая тактика. О том, что свой пароль разглашать ни в коем случае нельзя, их, вероятнее всего, уже предупредили. Но сказали ли им: где этот пароль хранится и как его можно обойти? Злоумышленник может попросить (а от имени начальника и приказать) выполнить некоторые, вполне безобидные с точки зрения жертвы действия, например, переслать PWL файл по такому то адресу или создать нового пользователя с пустым паролем. (Причем, выполняя по шагам расписанные действия, жертва, возможно, даже не осознает, что она вообще делает).
Спам
Спам (англ. spam) — рассылка коммерческой, политической и иной рекламы или иного вида сообщений лицам, не выражавшим желания их получать. Легальность массовой рассылки некоторых видов сообщений, для которых не требуется согласие получателей, может быть закреплена в законодательстве страны. Например, это может касаться сообщений о надвигающихся стихийных бедствиях, массовой мобилизации граждан и т. п. В общепринятом значении термин «спам» в русском языке впервые стал употребляться применительно к рассылке электронных писем. Незапрошенные сообщения в системах мгновенного обмена сообщениями (например, ICQ) носят название SPIM (англ. Spam over IM).
Наиболее распространенные виды спама
Реклама.
Некоторые компании, занимающиеся легальным бизнесом, рекламируют свои товары или услуги с помощью спама. Они могут осуществлять его рассылку самостоятельно, но чаще заказывают её тем компаниям (или лицам), которые на этом специализируются. Привлекательность такой рекламы заключается в её сравнительно низкой стоимости и (предположительно) большом охвате потенциальных клиентов. Такая незапрошенная реклама может иметь и обратный эффект, вызывая отторжение у получателей, и даже может стать синонимом навязчивой рекламы, как это случилось с ветчиной SPAM.
В связи с резким неприятием спама получателями и ужесточением антиспамового законодательства доля легальных товаров и услуг в общем объёме спама сокращается.
Существует мнение, что, при правильной организации рекламных рассылок, они действительно могут увеличить продажи, не доставляя получателям особого беспокойства. Основными условиями взаимовыгодности для получателя и организатора рассылки являются:
совмещение ролей организатора рассылок и провайдера услуг электронной почты;
повышение качества целевой аудитории каждого конкретного рекламного письма рассылки;
предупреждение клиентов провайдером о том, что он будет рассылать рекламные письма;
предоставление удобных средств для блокировки нежелательных писем.
Следует отметить, однако, что рекламные письма, рассылаемые пользователям с их согласия, по определению не являются спамом.
Реклама незаконной продукции.
С помощью спама часто рекламируют продукцию, о которой нельзя сообщить другими способами — например, порнографию, контрафактные (поддельные) товары, лекарственные средства с ограничениями по обороту, незаконно полученную закрытую информацию (базы данных), контрафактное программное обеспечение.
Антиреклама
Запрещенная законодательством о рекламе информация — например, порочащая конкурентов и их продукцию, — также может распространяться с помощью спама.
«Нигерийские письма»
Иногда спам используется для того, чтобы выманить деньги у получателя письма. Наиболее распространенный способ получил название «нигерийские письма», потому что большое количество таких писем приходило из Нигерии. Такое письмо содержит сообщение о том, что получатель письма может получить каким-либо образом большую сумму денег, а отправитель может ему в этом помочь. Затем отправитель письма просит перевести ему немного денег под предлогом, например, оформления документов или открытия счета. Выманивание этой суммы и является целью мошенников.
Другие виды спама
а. Письма счастья
б. Распространение политической пропаганды.
в. Массовая рассылка для вывода почтовой системы из строя (DoS-атака).
Скачать реферат