Веб-сайты часто собирают личную информацию посетителей, например адреса электронной почты. На веб-сайте, используемом для ведения бизнеса, может храниться информация о сотрудниках компании или предстоящих выпусках продуктов.
Обман в интернете: 13 опасных мест, где обманывают чаще всего
По статистике, треть россиян сталкивалась с мошенничеством в интернете. Всего половина россиян считают, что они более-менее защищены от кражи персональных данных и денег с банковских счетов.
Главное оружие мошенников в интернете — наше незнание их преступных схем. Мы собрали несколько потенциально опасных мест, где можно нарваться на обман в интернете.
✉️ Электронная почта
Как бы ни старались разработчики со спам-фильтрами, иногда мошенники прорываются сквозь них с «важными документами» в письмах или с наследством от «нигерийского принца». Цель у них одна: мошенникам нужны ваши деньги и личные данные
Романтики обоих полов в поисках второй половинки — легкая мишень для мошенника. Они придумают правдоподобную историю, влюбят в себя, а потом оставят не только с разбитым сердцем, но и пустым кошельком
Многие люди, попавшиеся на удочку преступников, затем признавались, что во время звонка не совсем отдавали себе отчет в том, что делали. Осознание того, что их обманули, приходило тогда, когда деньги со счета были уже списаны.
Платежные реквизиты
Bеб-сайт, на котором что-либо продается — самая очевидная цель для киберпреступников. Хакеры могут украсть платежные реквизиты, а затем использовать их самостоятельно или кому-то продать.
Существуют различные методы взлома, позволяющие украсть платежные реквизиты при их вводе на веб-сайте. Даже если вы лично не храните платежную информацию, ваш сайт все равно интересен злоумышленникам, похищающим платежные реквизиты.
Информация любого рода
Веб-сайты часто собирают личную информацию посетителей, например адреса электронной почты. На веб-сайте, используемом для ведения бизнеса, может храниться информация о сотрудниках компании или предстоящих выпусках продуктов.
Любая подобная информация может оказаться полезной для хакера. Киберпреступники либо продадут информацию в даркнете, либо предложат ее приобрести владельцу пострадавшего сайта в обмен на безопасный возврат данных.
В настоящее время получение доступа к вредоносному ПО не является сложной задачей. Многие киберпреступники даже не создают вредоносные программы, а просто покупают их. Самое сложное в заработке на вредоносном ПО — найти способ установить его на чужие компьютеры.
Хакеры пользуются GitHub
GitHub — это настоящая золотая жила для хакеров. Если знать о том, где искать, то, воспользовавшись простыми инструментами поиска, можно найти много всего интересного. Если учётная запись вашей организации на GitHub не защищена механизмом многофакторной аутентификации, то все без исключения сотрудники организации представляют собой ходячие дыры системы безопасности. Вполне реально то, что некоторые из сотрудников используют везде один и тот же пароль, и то, что этот пароль уже был украден у них через какую-то другую систему. Хакер, которого интересует некая организация, может легко автоматизировать поиск скомпрометированных паролей, да что там говорить, он может найти такие пароли и вручную.
Список сотрудников организации можно создать, воспользовавшись методами разведки, основанной на открытых источниках (Open source intelligence, OSINT). Помочь в этом злоумышленнику может LinkedIn или общедоступный список сотрудников компании с GitHub.
Если, например, кто-то решил взломать компанию Tesla, то он вполне может начать изучение компании с этой страницы:
А даже если компания не использует GitHub в качестве git-платформы, на GitHub, всё равно, можно найти что-то ценное. Достаточно, чтобы этой платформой пользовался хотя бы один из сотрудников компании, например, для домашнего проекта. Если в коде этого проекта (или в истории git) появится что-то секретное, относящееся к компании, этого будет достаточно для того чтобы проникнуть в системы этой компании.
Отслеживание полной истории изменений, вносимых в каждый проект, это — природа git. В свете вопросов безопасности этот факт играет огромную роль. Другими словами, каждое изменение, внесённое в код любым, кто имеет доступ к каким-либо системам некоей организации, подвергает эту организацию опасности.
▍Почему это происходит?
- Компании не проверяют свои системы на предмет наличия в них уязвимостей.
- Те компании, которые выполняют подобные проверки, обычно не обращают внимания на общедоступные учётные записи своих сотрудников.
- Те компании, которые проверяют и свои системы, и учётные записи сотрудников (а таких, по грубым оценкам, менее 1%), часто слишком сильно полагаются на автоматические сканеры и не проверяют историю коммитов (то есть — анализируют не всё дерево git, а лишь то, что лежит на поверхности, представленное самой свежей версией кода).
- И наконец, достаточно часто компании не выполняют ротацию ключей и не применяют двухфакторную аутентификацию. Два этих приёма способны закрыть большинство вышеупомянутых брешей систем безопасности.
▍Основы использования особых поисковых запросов в GitHub
Существует такое понятие, как «дорки» («dorks») — особые поисковые запросы, использующие различные возможности поисковых систем для нахождения того, что имеет отношение к определённым данным. Вот — интересный список подобных поисковых запросов для Google, подготовленный exploit-db.com.
Если вы хотите углубиться в эту тему, а я рекомендую это сделать, то, прежде чем давать вам краткий список строк, используемых для поиска ключей и паролей на GitHub, предлагаю ознакомиться с этим ценнейшим материалом, написанным талантливым исследователем безопасности систем. Он рассказывает о том, как, что и где искать на GitHub, как пользоваться дорками, детально расписывает ручной процесс поиска секретных данных.
Дорки, применимые на GitHub, не так сложны, как те, которыми можно пользоваться в Google. Дело тут в том, что GitHub просто не предлагает пользователю столь же продвинутых поисковых возможностей, которые предлагает Google. Но, несмотря на это, правильный поиск по GitHub-репозиториям может прямо-таки творить чудеса. Попробуйте поискать в интересующем вас репозитории по следующим строкам:
Хакеры используют Google
Теперь, когда мы в общих чертах познакомились с дорками, мы можем поговорить о применении особых поисковых запросов в Google. Тут с их помощью можно найти просто невероятные вещи. Google — мощная поисковая система, которая позволяет строить запросы, описывая строки, которые должны и не должны присутствовать в искомых данных. Google, кроме прочего, позволяет искать файлы с определёнными расширениями, умеет выполнять поиск по заданным доменам, по URL. Взгляните на следующую поисковую строку:
Эта строка рассчитана на поиск файлов с расширением yml , причём, это должны быть файлы docker-compose , в которых разработчики нередко хранят пароли. Не особенно уникальные пароли. Попробуйте запустить в Google поиск по этой строке. Вас удивит то, что вы найдёте.
Другие интересные поисковые строки могут быть рассчитаны на поиск RSA-ключей или учётных данных AWS. Вот ещё один пример:
Тут перед нами открываются безграничные возможности. Качество поиска зависит лишь от уровня креативности исследователя и от того, насколько хорошо он знаком с различными системами. Вот, если хотите поэкспериментировать, большой список Google-дорков.
Любая подобная информация может оказаться полезной для хакера. Киберпреступники либо продадут информацию в даркнете, либо предложат ее приобрести владельцу пострадавшего сайта в обмен на безопасный возврат данных.
Вам угрожают физической расправой
Как это работает. Вам приходит письмо (или СМС-сообщение) с предупреждением о том, что вас заказали или планируют похитить, плеснуть в лицо кислотой и тому подобное. Жертвой может стать кто угодно, вплоть до членов вашей семьи и детей (мошенники даже могут знать, как их зовут и какой детский сад или школу они посещают). Но, разумеется, вы можете спастись, если оперативно отправите некую сумму денег.
В чем подвох. Естественно, никакой жертвы не будет. В конце концов, злоумышленники и киллеры никогда не общаются по переписке в интернете.
Что делать. Игнорировать. И впредь не распространять свои личные данные, не выкладывать фотографии и сведения о своей жизни, которые могут привлечь мошенников.
Как это работает. Немного отличается от предыдущего пункта. Вы идете по объявлению, в котором предлагается делать дома свечки, варить мыло, вышивать крестиком. И вам предоставят заказы.
В чем подвох. Нужно заплатить за оборудование, которое вам не пришлют, или пройти дорогостоящее обучение.
Что делать. Не верить в легкие способы заработать деньги и не платить тому, кто должен платить вам.
Вот реальный комментарий с домашней страницы одного проекта, в котором открытым текстом говорится о незащищённых API, данные из которых может получить кто угодно:
Риски и угрозы
В России существует несколько проектов, которые помогают справиться с этой задачей. К примеру, в 2019 году Лига безопасного интернета получила грант президента России для организации всероссийской акции «Месяц безопасного интернета». Директор Лиги, член Общественной палаты, директор Национального центра помощи пропавшим и пострадавшим детям Екатерина Мизулина подчеркнула, что очень важно рассказывать людям о том, с какими рисками они могут столкнуться в интернете. Среди системных вызовов она назвала мошенничество, фишинг, кражу персональных данных, а также сообщества с деструктивным контентом.
Интернет не только приносит пользу и открывает определенные возможности, но и несет риски и угрозу. Многие дети просто не знают, что им делать, когда они с этими угрозами сталкиваются, как себя правильно повести в той или иной ситуации. А ситуаций таких очень много. Это и кража аккаунта в социальных сетях, и взлом аккаунта, это и мошенничество, это всякие фишинговые сайты. Дети боятся зачастую рассказать об этом родителям
По ее словам, акция «Месяц безопасного интернета» в этом году прошла во второй раз в десяти регионах. Участникам мероприятия давали уроки о том, как вести себя в сети. Школьники узнали, как безопасно пользоваться интернетом, а учителя — как говорить с детьми о тех угрозах и рисках, с которыми они могут столкнуться в сети. «Такая профилактическая работа должна проводиться по всей стране. Безусловно, со временем такие уроки должны войти в программу общеобразовательных школ», — уверена Мизулина. Повышать уровень цифровой подкованности можно, например, в рамках уроков обществознания, ОБЖ или информатики, предлагает директор Регионального общественного центра интернет-технологий (РОЦИТ) Сергей Гребенников.
Еще с одной инициативой выступила АНО «Цифровая экономика». Вместе с Минцифры и крупнейшими технологическими компаниями (в их числе «Яндекс» и Mail.ru Group) они проводят «Урок цифры» — образовательный онлайн-проект, с помощью которого дети могут узнать о кибербезопасности, искусственном интеллекте и о том, как не стоит вести себя в социальных сетях.
Повысить уровень цифровой грамотности россиянам также помогает РОЦИТ. Они проводят «Цифровой диктант» — акцию, благодаря которой можно не только узнать свой уровень владения технологиями, но и получить рекомендации по тому, как совершенствовать свои навыки. Только в 2020 году в «Цифровом диктанте» поучаствовали 330 тысяч человек, решивших протестировать свое владение интернетом.
Фото: Мурад Оруджев / РИА Новости
Кроме того, в партнерстве с РОЦИТ запущен сайт ЦифроваяГрамотность.рф, он стал частью федерального проекта «Кадры для цифровой экономики». На нем можно узнать об основных угрозах, которые подстерегают пользователей сети, а также получить рекомендации о том, как соблюдать цифровую гигиену, хранить личные данные и не попадаться на уловки мошенников.
В начале нового учебного года РОЦИТ провел виртуальный урок по цифровой безопасности. На занятии, предназначенном для пользователей всех возрастов, напомнили о многих важных правилах использования интернета. К примеру, команда аэропорта Домодедово порекомендовала не выкладывать в соцсети фотографии посадочных талонов с личными данными — злоумышленники смогут получить доступ к личному кабинету на сайте авиакомпании, если узнают имя пассажира и номер брони. Кроме того, спикеры рассказали, как безопасно делать покупки в интернете, как защитить свои персональные данные, как не перевести деньги мошенникам, желая заняться благотворительностью, и о многом другом.
