Украсть жизнь за 60 минут

Рубрика #hackandsecure

В наше время в силу постоянно развивающихся технологий стали очень популярны и массовы преступления, основанные на краже наших персональных данных. Обычно такого рода преступления на сленге называют кражей личности. Формат данной статьи будет кейсовый. Я расскажу несколько примеров мошеннических схем (в основном по кражам биометрических данных) для того, чтобы вы никогда не попадались на крючок и, хотя бы примерно представляли себе возможные варианты защиты от кибер мошенников. Заранее оговорюсь, что данная статья ни в коем случае не является инструкцией для мошенников. Основная цель — показать какие бывают типы преступных схем для того, чтобы обезопасить себя и своих близких.


Кража личности — это не совсем верное определение, так как первоначальный термин называется Identity theft. Более правильный перевод по смыслу будет сводиться к краже идентификационных (“удостоверительных”) признаков человека. То есть речь идет о тех преступлениях, где мошенник выдает себя за вас, с целью получения какой-то выгоды, обычно финансовой.

Под персональными данными подразумеваются два блока информации: общие данные (контакты, семейное положение, место работы, факты биографии, адрес проживания, зарегистрированная собственность и прочее) и биометрические данные (отпечатки пальцев, образец голоса, рисунок сетчатки глаза, особенности строения лица и прочее). Кража “биометрики” намного страшнее и серьезнее кражи обычных данных, так как отпечатки пальцев, сетчатку глаза и другое нельзя поменять, а блокировка и поиск утечек, связанных с использованием ваших биометрических данных, займет очень много времени, сил, нервов и, иногда, денег. Поэтому, именно о биометрике мы и поговорим в данной статье.

PS: Перед просмотром данной статьи рекомендую почитать про конкурентную разведку (смотрим тут) и социальную инженерию (смотрим тут). Все эти темы взаимосвязаны и в данной статье я буду не раз ссылаться на приемы, которые используют две данные сферы деятельности.


“Мама, меня забрали в полицию!”

Я уверен, что многие из вас сталкивались с ситуацией, когда вам, к примеру, вечером звонят с незнакомого номера и странный голос говорит: “Мам/пап, я попал в аварию/полицию/сбил велосипедист. Не мог(а) бы ты скинуть денег на эту карту (номер), так как свою я оставил дома, а мне на лечение/освобождение нужно прямо сейчас”. Вариаций таких звонков очень много и, к счастью, сейчас мы уже научились понимать, что есть такая форма мошенничества и попадаться на такое стали реже, но технологии не стоят на месте.

Одним из важнейших биометрических данных человека является образец голоса. В последнее время мошенники начали работать по сценарию, описанному выше, только звонящий действительно говорит голосом сына/дочери/друга и т.д. Один из самых частых сценариев — якобы звонок полицейского, который говорит, что ваш сын/дочь совершили какое-то правонарушение, но он же человек хороший и поэтому дает провинившемуся шанс. Нужны деньги, чтобы дело “замять”. После этого трубка передается второму мошеннику, который якобы ваш сын/дочь и он знакомым вам голосом действительно подтверждает все сказанное, после чего просит скинуть денег на карту.

По шагам опишем схему.

  1. Ищется номер человека, чей голос необходимо записать, используя инструменты корпоративной разведки (подробнее о ней читаем тут). Обычно — это простые телефонные базы и сопоставление ФИО и дат рождения, чтобы установить родство между объектами. Далее звонят с какой-то легендой (соц.опрос, интервью, что угодно) и записывают образец голоса. Чем больше времени записи, тем лучше. Альтернативный вариант получения образца голоса — легендированная встреча с человеком и запись под скрытый диктофон, но это намного сложнее и не всегда целесообразно. Записать телефонный разговор проще.
  2. Далее записанный голос заносят в специальные программы по обработке голоса. Теперь мошенник может просто говорить в микрофон, а программа будет переделывать его голос в очень похожий на тот, который записывался. Огрехи будут минимальные и не значительные и их можно скинуть на «плохую связь»
  3. На последней стадии, исходя из придуманной легенды, звонят родителям, жене, друзьям и т.д.

Программы, которые могут заменить голос на необходимый, крайне сложно найти в интернете, поэтому такого рода аферы все-таки требуют определенных технических навыков от мошенников.


“Официант, принесите мне минералки!”

Представим ситуацию, что есть один высокопоставленный человек и, к примеру, его хотят подставить. Не так давно (в контексте мировой истории) криминалисты поняли, что один из уникальных идентификаторов личности человека — это отпечатки пальцев. Естественно, преступники поняли это в тот же момент и начали использовать в своих целях.

Перенесемся в ресторан, в котором ужинает наш вымышленный герой. Используя навыки в социальной инженерии (подробнее об этом читаем тут) и обычной игре на жадности людей, злоумышленник подкупил официанта, который обслуживает столик нашего героя. Официант, унося грязную посуду, аккуратно положит бокал/стакан, из которого пил наш герой, к себе в сумку, и спокойно передаст его заказчику. Думаю, дальнейший ход мыслей понятен. Схема очень простая и работает по сей день довольно часто. И уверен, не стоит объяснять, что такого рода действия совершаются очень обдуманно и через большое количество посредников, чтобы в крайней ситуации след не вывел на заказчика.

Это пример старых способов, но также существует цифровой вариант. Современные камеры с высоким разрешением позволяют сделать фото отпечатка с того же стакана на расстоянии 5–6 м. Да и большинству хакеров даже не нужен физический доступ. Существует масса уязвимостей в некоторых электронных гаджетах с функцией отпечатка пальца. Для примера, это Android-смартфоны HTC One Max, Samsung Galaxy Note 4, Galaxy S6 и другие. С определенными техническими навыками украсть отпечатки владельцев не так уж и сложно.

Кража отпечатков пальцев может быть использована злоумышленниками в разных целях, начиная от подбрасывания улик в криминальных вопросах, заканчивая обходом паролей.


“Улыбнитесь, вас снимает скрытая камера!”

Перед тем, как рассказать следующую историю, напомню вам, что такое “фишинг”. Это вид интернет-мошенничества, цель которого — получить идентификационные данные человека (кражи паролей, номеров кредитных карт, банковских счетов и другой конфиденциальной информации). Более подробно об этом можно найти у меня в статье по социальной инженерии тут в главе под названием “фишинг”.

Зачем я вспомнил данный вид мошенничества? Дело в том, что фишинг бывает двух типов: просевочный и целевой. Просевочный — это ориентация на массовость. Отправляется очень много писем на электронную почту большому количеству человек с ссылками на вредоносные сайты. Как говорится, мошенники пытаются взять числом. Авось кто и откроет, так как отослали много писем. В таком подходе плюс заключается в том, что по теории вероятности кто-то откроет в любом случае, так как количество отправленных писем очень большое, а минус в том, что такие письма могут быть составлены более халтурно с точки зрения психологии влияния и внешней составляющей. Второй вариант — целевой, несколько сложнее технически. Как ясно из названия, такого типа фишинговые атаки предназначены для конкретных людей. Поэтому грамотные мошенники сначала собирают информацию об этих людях, чтобы понимать их примерный портрет, и уже после этого делается индивидуальная атака под конкретного человека. Минус подхода в том, что такая рассылка не ориентирована на массу, а плюс в том, что такие письма почти всегда открывает конкретный человек, так как они намного лучше просевочного варианта.

Теперь кейс. Под одного человека долго копали хакеры, и им в один момент очень сильно понадобился рисунок его сетчатки глаза. Получить такой идентификатор сложнее всего, но, как оказалось, иногда возможно. Хакеры составили очень грамотную фишинговую атаку под нашу жертву. В двух словах: потерпевший работал в крупной IT-фирме, и у них все всегда очень строго было со службой ИБ (информационная безопасность). По этой причине каждый сотрудник уже привык получать по 2–3 письма от них каждый день, постоянно менять пароли и прочее. Хакеры узнали об этом и решили сделать письмо от имени службы ИБ компании. Наша жертва открыла его и прочитала, что специалист просил перейти по такой-то ссылке для усиления безопасности каждого PC на фирме. На сайте была форма заполнения с разными данными и в конце нужно было разрешить своему PC доступ к камере для того, чтобы она сфотографировала его сетчатку глаза, как очередную меру безопасности. Естественно, у нашей жертвы все эти действия не вызвали никаких подозрения, и рисунок его сетчатки ушел мошенникам.

Надо отметить, что хакеры изначально знали модель PC и понимали, что там есть функция, когда веб-камера считывает сетчатку глаза пользователя. Если бы на PC такой функции не было, сделать эти действия было бы не так просто.

Помимо PC существуют некоторые уязвимости на смартфонах, в которых есть функция разблокирования телефона по сетчатке глаза, если пользователь уже вносил туда эти данные. Пример массового взлома был на Samsung Galaxy Note 7.


“Я не фейк!”

Про кражу некоторых биометрических идентификаторов личности мы поговорили, поэтому теперь уделим внимание такому мошенническому явлению как «клонирование». Преступник находит всю возможную информацию о жертве (паспортные данные, номера телефонов, странички в социальных сетях и прочее) и после этого создаёт двойника, от имени которого начинает совершать различного рода пакости. Яркий пример — создание фейкового аккаунта-двойника в социальных сетях. Самая частая причина «клонирования» — желание снизить репутацию жертвы. Многие преступники работают по заказу, так как такого рода услуги чёрного пиара довольно востребованы в бизнесе при работе с конкурентами.

Несколько примеров пакостей, которые мошенники могут сделать от вашего имени.

· Можно узнать ваш номер телефона и слить его в различные базы, по которым компании обзванивают людей с целью продажи своих продуктов или услуг.

· Регистрироваться на различные мероприятия от вашего имени.

· Звонить партнерам по бизнесу и от вашего имени поливать их грязью.

· Под вашей фейковой страницей (очень похожей на оригинал) рассылать гадости и писать плохие вещи разным бизнес-партнерам.

В общем вариантов очень много, и, когда это все одновременно сваливается на вашу голову (гневные звонки коллег, сотни звонков из разных компаний, которые не дают вам работать и и.д.), хорошего будет мало.

Заканчивая данную главу, расскажу вам одну страшную штуку. Надеюсь, все понимают, что может случиться, если к злоумышленнику в руки попадут ваши паспортные данные. Речь пойдёт уже не просто о шалостях, а о вещах посерьёзнее. Казалось бы, откуда можно получить паспортные данные? Есть прекрасная социальная сеть «Вконтакте», и у неё существует одна очень серьёзная уязвимость — открытые документы. Если в настройках документа не поставить «личный», то его может найти и скачать любой человек. Документы — это кладезь книг, разных статей, рефератов, интимных фото, сканов паспортов, водительских прав, конфиденциальных презентаций и прочего. Все потому, что многие люди не знают об этой «дырке». Не всегда на каждом документе по умолчанию стоит галочка «личный». Вбейте в поиске по документам разные формулировки типа: “скан паспорта”, “скан”, “scan”, “pasport”, “scan 01” и прочее». За час можно собрать не менее 50 разных документов тех бедняг, которые не знают, что у них открытые документы. Естественно, если вы никогда не отправляли таким образом свои фото или сканы, то ничего там и не найдете. И мой совет — если отправляете файлы таким образом кому-то, измените настройки приватности, и, когда человек скачает то, что вы скинули, лучше сразу удаляйте это из своих документов на всякий случай.


Мы рассмотрели далеко не все возможные варианты. Основной посыл данной статьи заключается в очень простой идее: относитесь внимательнее к своим персональным данным и развивайте бдительность и наблюдательность, так как мошенники почти всегда будут влиять на вашу эмоциональную сторону, но никак не на логическую.


Меня можно найти в Вконтакте и в LinkedIn

One clap, two clap, three clap, forty?

By clapping more or less, you can signal to us which stories really stand out.