Методы социальной инженерии, используемые для распространения вредоносного ПО
В последнее время одним из самых эффективных способов распространения вредоносного ПО является социальная инженерия. Как показывает практика, дыры в ПО рано или поздно закрываются, а в мозгу пользователей все обстоит не так радужно…
К примеру, не так давно Microsoft выпустила патч наглухо отключающие авторан с флэш-накопителей. Да и многие антивирусные продукты взяли на вооружение запрет файла autorun.inf. Казалось бы это должно подкосить волну малвари, использующей для распространения съемные диски. Ан нет! Почему..? Врожденное любопытство толкает людей на многие необдуманные поступки. Раз нельзя автоматически запустить, надо заставить пользователя сделать это!
Я попытался сгруппировать самые распространенные методы социальной инженерии, которые используют злоумышленники для распространения вредоносного ПО и дать некоторые советы по защите.
- Подмена иконки файла
Исполняемый файл маскируется под папку, легитимное приложение, либо тип файла с помощью соответствующей иконки. Вечно спешащий пользователь тычет мышкой и запускает файл на исполнение.
image
Защита:
Приучите себя использовать файловые менеджеры типа Total Commander и т.п.
Если вы все-таки используете проводник Windows, старайтесь работать с табличным отображением файлов и обращать внимание на типа файла, прежде чем щелкать по нему мышью (особенно при работе с файлами со съемных и сетевых дисков).
- Интригующее название файла
Интригующее название исполняемого файла, подбивающее пользователя запустить его (например, «Не открывать.scr»).
Защита:
У грамотного пользователя подобные названия сразу должны вызывать подозрения. Проверьте тип файла в файловом менеджере, если это *.exe, *.scr, *.bat, *.vbs, то лучше не надо его трогать.
Если это исполняемый файл, а руки так и чешутся запустить, хотя бы проверьте его на virustotal, правда первые несколько дней свежая малварь практически не детектится антвирусами.
- Игра на стремлении пользователя получить доступ к вожделенному контенту
Пользователь завлекается на сайт злоумышленника, под предлогом доступа к контенту (видео, например) ему предлагается скачать кодек\драйвер\распаковщик. Любопытство в очередной раз берет верх над разумом…
Защита:
Никогда не переходите по таким ссылкам и тем более не запускайте если все-таки скачали. Да, установка специального кодека для просмотра видео, например, необходима на некоторых легальных сайтах встраивающих рекламу в ролик. Оно вам надо? Лучше найти тоже самое в другом месте.
Используйте антифишинговые фильтры встроенные в современные браузеры и антивирусы, не игнорируйте их предупреждения.
- Имитация живого общения
То, что на электронную почту и в различные мессенджеры сыпятся сообщения с мольбами отправить SMS или ткнуть в ссылку уже никого не удивляет, к счастью большинство пользователей научились не обращать на это внимание. Поэтому злодеи осваивают новые способы.
В январе этого года пользователи ICQ подверглись атаке малвари «Piggy.zip» или "H1N1", которая заражая компьютер пользователя, рассылалась всем его контактам, мало того, в ответ на фразы вроде «что за вирус на...???» и «ты бот?», вполне впопад отвечала «нет, это флешка про свинью, глянь :)» или «сам ты бот =».
Как показал анализ кода, вирус просто ищет в сообщении ключевые слова (спамер, вирус, бот и т.п.) и выкидывает фразу как-то коррелирующую со смыслом ключевого слова. При всей простоте реализации «интеллекта» такой подход оказался чрезвычайно эффективным! Очень многие пользователи, считавшие себя относительно продвинутыми в области компьютерной безопасности попались на крючок. Страшно подумать, что будет если встроить нормальный чат-бот в подобного трояна… Справедливости ради стоит отметить, что первый подобный случай был аж в 2005.
Защита:
Не принимайте файлы и не переходите по ссылкам, полученным от незнакомых контактов.
При приеме файлов, даже от лучших друзей, обращайте внимание на подозрительную смену стиля и манеры общения, лучше еще несколько раз попросить описать содержимое файла.
- «Дорожное яблоко»
Благодаря тотальному удешевлению различных носителей информации, в частности флэш, злоумышленник может не пожалеть подбросить диск или флэшку с трояном прямо вам на порог. Жгучее желание посмотреть что же там такое, скорее всего, возьмет верх, пользователь подключит диск и активирует малварь (вполне возможно одним из вышеперечисленных способов), чего и добивался злоумышленник! Sicness уже рассказывал про свой опыт подкидывания «яблока».
Защита:
Проверять на отдельной изолированной машине все поступающие в компанию из непроверенных источников носители информации.
Если вы работаете в серьезной компании и «вдруг» что-то нашли по дороге на работу следует воздержаться от самостоятельных экспериментов и передать носитель в службу IT-безопасности для проверки.
С другой стороны, если вы обычный студент или водопроводчик, вряд ли кто-то будет специально разбрасывать перед вами флэшки:). Тем не менее, лучше проверять находки на содержимое в виртуальной машине.
По наводке Antelle еще один метод.
- Эксплуатация страхов пользователя
Как правило, человека пытаются убедить в том, что его компьютер кишит вирусами, личные данные и пароли утекают хакерам, с его IP якобы рассылается спам и т.д. Для решения всех проблем предлагается незамедлительно скачать и установить некий «антивирус» (будьте внимательны, многие из этих «решений» полностью копируют интерфейс широко известных продуктов). После установки происходит либо блокировка системы, с требованием оплатить «лицензию продукта», либо просто на компьютер пользователя пачками скачивается другая малварь, с каким угодно функционалом.
Защита
Никогда не реагируйте на предупреждения, всплывающие на разных сомнительных сайтах о том, что ваш компьютер заражен, вам угрожает опасность и т.п.
Пользуйтесь только известными марками антивирусов, всегда скачивайте дистрибутивы исключительно с официального сайта компании.