Jump to content
автогарант Депозитарий
  • Работа-design-power-name.gif

Sign in to follow this  
Шагоход

Методы социальной инженерии, используемые для распространения вредоносного ПО

Top Posters


Recommended Posts

Members

В последнее время одним из самых эффективных способов распространения вредоносного ПО является социальная инженерия. Как показывает практика, дыры в ПО рано или поздно закрываются, а в мозгу пользователей все обстоит не так радужно…

К примеру, не так давно Microsoft выпустила патч наглухо отключающие авторан с флэш-накопителей. Да и многие антивирусные продукты взяли на вооружение запрет файла autorun.inf. Казалось бы это должно подкосить волну малвари, использующей для распространения съемные диски. Ан нет! Почему..? Врожденное любопытство толкает людей на многие необдуманные поступки. Раз нельзя автоматически запустить, надо заставить пользователя сделать это!

Я попытался сгруппировать самые распространенные методы социальной инженерии, которые используют злоумышленники для распространения вредоносного ПО и дать некоторые советы по защите.



1. Подмена иконки файла

Исполняемый файл маскируется под папку, легитимное приложение, либо тип файла с помощью соответствующей иконки. Вечно спешащий пользователь тычет мышкой и запускает файл на исполнение.

3a700921fbd0ec3a461a823bcba01faf.png

Защита: 


  • Приучите себя использовать файловые менеджеры типа Total Commander и т.п.
  • Если вы все-таки используете проводник Windows, старайтесь работать с табличным отображением файлов и обращать внимание на типа файла, прежде чем щелкать по нему мышью (особенно при работе с файлами со съемных и сетевых дисков).


2. Интригующее название файла

Интригующее название исполняемого файла, подбивающее пользователя запустить его (например, «Не открывать.scr»). 

Защита:


  • У грамотного пользователя подобные названия сразу должны вызывать подозрения. Проверьте тип файла в файловом менеджере, если это *.exe, *.scr, *.bat, *.vbs, то лучше не надо его трогать.
  • Если это исполняемый файл, а руки так и чешутся запустить, хотя бы проверьте его на virustotal, правда первые несколько дней свежая малварь практически не детектится антвирусами.


3. Игра на стремлении пользователя получить доступ к вожделенному контенту

Пользователь завлекается на сайт злоумышленника, под предлогом доступа к контенту (видео, например) ему предлагается скачать кодек\драйвер\распаковщик. Любопытство в очередной раз берет верх над разумом…

Защита:


  • Никогда не переходите по таким ссылкам и тем более не запускайте если все-таки скачали. Да, установка специального кодека для просмотра видео, например, необходима на некоторых легальных сайтах встраивающих рекламу в ролик. Оно вам надо? Лучше найти тоже самое в другом месте.
  • Используйте антифишинговые фильтры встроенные в современные браузеры и антивирусы, не игнорируйте их предупреждения.

4. Имитация живого общения

То, что на электронную почту и в различные мессенджеры сыпятся сообщения с мольбами отправить SMS или ткнуть в ссылку уже никого не удивляет, к счастью большинство пользователей научились не обращать на это внимание. Поэтому злодеи осваивают новые способы. 
В январе этого года пользователи ICQ подверглись атаке малвари «Piggy.zip» или "H1N1", которая заражая компьютер пользователя, рассылалась всем его контактам, мало того, в ответ на фразы вроде «что за вирус на...???» и «ты бот?», вполне впопад отвечала «нет, это флешка про свинью, глянь :)» или «сам ты бот =». 

ec9be6c89d1a4c69125c4ead05b7fd2f.png

Как показал анализ кода, вирус просто ищет в сообщении ключевые слова (спамер, вирус, бот и т.п.) и выкидывает фразу как-то коррелирующую со смыслом ключевого слова. При всей простоте реализации «интеллекта» такой подход оказался чрезвычайно эффективным! Очень многие пользователи, считавшие себя относительно продвинутыми в области компьютерной безопасности попались на крючок. Страшно подумать, что будет если встроить нормальный чат-бот в подобного трояна… Справедливости ради стоит отметить, что первый подобный случай был аж в 2005.

Защита:


  • Не принимайте файлы и не переходите по ссылкам, полученным от незнакомых контактов.
  • При приеме файлов, даже от лучших друзей, обращайте внимание на подозрительную смену стиля и манеры общения, лучше еще несколько раз попросить описать содержимое файла.


5. «Дорожное яблоко»

Благодаря тотальному удешевлению различных носителей информации, в частности флэш, злоумышленник может не пожалеть подбросить диск или флэшку с трояном прямо вам на порог. Жгучее желание посмотреть что же там такое, скорее всего, возьмет верх, пользователь подключит диск и активирует малварь (вполне возможно одним из вышеперечисленных способов), чего и добивался злоумышленник!

Защита:


  • Проверять на отдельной изолированной машине все поступающие в компанию из непроверенных источников носители информации.
  • Если вы работаете в серьезной компании и «вдруг» что-то нашли по дороге на работу следует воздержаться от самостоятельных экспериментов и передать носитель в службу IT-безопасности для проверки.
  • С другой стороны, если вы обычный студент или водопроводчик, вряд ли кто-то будет специально разбрасывать перед вами флэшки:). Тем не менее, лучше проверять находки на содержимое в виртуальной машине.


6. Эксплуатация страхов пользователя

Как правило, человека пытаются убедить в том, что его компьютер кишит вирусами, личные данные и пароли утекают хакерам, с его IP якобы рассылается спам и т.д. Для решения всех проблем предлагается незамедлительно скачать и установить некий «антивирус» (будьте внимательны, многие из этих «решений» полностью копируют интерфейс широко известных продуктов). После установки происходит либо блокировка системы, с требованием оплатить «лицензию продукта», либо просто на компьютер пользователя пачками скачивается другая малварь, с каким угодно функционалом.

Защита


  • Никогда не реагируйте на предупреждения, всплывающие на разных сомнительных сайтах о том, что ваш компьютер заражен, вам угрожает опасность и т.п.
  • Пользуйтесь только известными марками антивирусов, всегда скачивайте дистрибутивы исключительно с официального сайта компании.

Share this post


Link to post
Share on other sites
Members

Все верно, злоумышленники для распространения вредоносного ПО используют именно такие простые и невзрачные методы. Как говорится, чем проще, тем человек скорее всего купится на это.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this  

  • download(72).gif.87ef6895d8b79749f7c94990f19cd937.gif     download(72).gif.87ef6895d8b79749f7c94990f19cd937.gif

  • 2.gif

    39389961.gif

Пользователь регулярно проводит сделки через гарант сервис и имеет положительную торговую статистику на площадке. Скорее всего ему можно доверять и работать напрямую. С правилами работы через гарант вы можете ознакомится тут.
Пользователь не провел ни одной сделки через гарант. О правилах работы через гарант вы можете ознакомиться тут.
Пользователь внес страховой депозит на форуме. Является проверенным селлеров и гарантированно проводит все сделки через гарант сервис Даркнета. Подробнее о системе депозитов вы можете прочитать тут.
Пользователь не имеет обеспечительного депозита на форуме, при работе с ним не отправляйте предоплату и всегда привлекайте гаранта к сделкам. Подробнее о системе депозитов вы можете прочитать тут.
Статус пользователя "НЕ ПРОВЕРЕН" гласит о том, что он не прошел верификацию своего аккаунта в Даркнете. Верификацию можно пройти предоставив положительные отзывы и рекомендации о себе. Подробнее о том, как пройти верификацию Вы можете прочитать тут.
Статус пользователя "ПРОВЕРЕННЫЙ" говорит о том, что селлер прошел проверку своих товаров или услуг у Администрации Даркнета. Подробнее о том, как пройти проверку вы можете прочитать тут.
×