Daugelis sėkmingų įsilaužimų prasideda nuo neįtariamo įrašo socialinėje žiniasklaidoje.
Įprasta, kad žmonės savo socialinės žiniasklaidos profiliuose skelbia nuotraukas ir vaizdo įrašus iš savo kasdienio gyvenimo, tačiau toks vartotojų sukurtas turinys gali kelti didelių saugumo problemų. Socialiniai tinklai puikiai tinka informacijai apie žmones rinkti. Štai kaip įsilaužėliai renka ir naudoja būtent šią informaciją.
Žvalgybos duomenų rinkimas yra pirmasis įsilaužimo žingsnis
Pirmas dalykas, kurį įsilaužėliai daro prieš atakuodami sistemą, yra surinkti informaciją. Kartais šis procesas gali užtrukti minutes, valandas, mėnesius ar metus. Šis laikotarpis skiriasi atsižvelgiant į taikinio sistemos pajėgumą, darbuotojų skaičių, atakos dydį ir gynybines priemones. Čia siekiama nustatyti visas tikslinės sistemos silpnybes ir sukurti atakos strategiją.
Pavyzdžiui, įsivaizduokite asmenį, kurio „Instagram“ vartotojo vardas yra auka vartotojas turi įmonės el. pašto adresą su plėtiniu example.com, ir jie nusipirko lėktuvo bilietą vykti į komandiruotę užsienyje. Pasirodo, vartotojas dėl to labai džiaugiasi ir nusprendžia įkelti nuotrauką, kad pasidalintų įspūdžiais su sekėjais ir draugais „Instagram“. Šioje nukentėjusiojo įkeltoje nuotraukoje matosi tam tikra lėktuvo bilieto dalis. Uh Oh. Tai labai naudinga informacija įsilaužėliams.
Nors nukentėjusiojo pasidalintoje nuotraukoje nesimato viso skrydžio bilieto, kadangi kiekvienos įmonės bilietas yra skirtingas, įsilaužėlis gali suprasti, kuriai įmonei priklauso šis bilietas. Tada įsilaužėlis perskaitys aprašymą po nuotrauka. Jei vartotojas pasidalijo skrydžio data ir laiku, įsilaužėlio darbas bus lengvesnis. Tačiau net jei ši informacija nėra viešai prieinama, įsilaužėlis gali apsimesti klientu, patekti į oficialią orlaivių kompanijos svetainę ir išnagrinėti skrydžių planus. Tai reiškia, kad įsilaužėliai gali numatyti nukentėjusiajam naudotojui priklausančio skrydžio dieną ir laiką.
Šiuo metu įsilaužėlis pradeda galvoti apie atakos vektorius, o vartotojas ir toliau galvoja, kad skelbia nekaltą įrašą.
Naudodamasis „Google“ galia, įsilaužėlis pradeda ieškoti skrydžių bendrovės bilietų, kuriuos sužinojo iš nukentėjusiojo. Tada pirmasis įsilaužėlio žingsnis yra atlikti Google dokingą.
Naudodami „Google dorking“ galite ieškoti konkrečių failų plėtinių tam tikroje svetainėje. Tokiu atveju įsilaužėlis ieško nukentėjusiojo naudotojo skrydžių bendrovės PDF failų. Įsilaužėlis atsisiunčia šį PDF failą ir manipuliuoja juo, kad atitiktų savo poreikius.
Kai kurie įsilaužėliai apgaudinėja ir apgaudinėja tikslinius vartotojus per procesą, žinomą kaip socialinė inžinerija. Šiame etape įsilaužėlis sukurs tikrovišką el. pašto adresą ir pridedamą pagrindinį tekstą. Tada jie gali pridėti modifikuotą PDF failą su kenkėjiška programa. Jei nukentėjusiojo naudotojas atidaro šį el. laišką, įsilaužėlis pasiekė savo tikslą.
Jei įsilaužėlis žino nukentėjusiojo skrydžio laiką ir dieną, žinoma, netikras el. laiškas bus daug tikroviškesnis, tačiau dažniausiai tai gali būti net nereikalinga. Jei skrydžių bendrovės svetainėje yra narystės sistema, įsilaužėlis gali tapti nariu ir gauti el. laišką iš skrydžių bendrovės. Tai padės įsilaužėliui išmokti pašto HTML išdėstymą ir stilių naudojasi skrydžių bendrovė.
Paruošęs netikrą el. laišką, įsilaužėlis dabar turės gauti elektroninio pašto adresą su domenu, priklausančiu skrydžių bendrovei, tačiau to padaryti beveik neįmanoma. Štai kodėl įsilaužėlis paruošia netikrą skrydžių bendrovės el. pašto adresą. Jie gali įdėti kitą el. pašto adresą prieš įprastą el. pašto paskyrą, kad jį užmaskuotų, ir nebent tikslinis vartotojas spustelėja šį adresą, už jo nematys tikrojo el. pašto adreso. Tai lengvas triukas.
Įsilaužėliui paruošus netikrą el. pašto adresą, belieka vienas žingsnis: sužinoti nukentėjusiojo el. pašto adresą. Tam įsilaužėlis gali kreiptis į pamiršto slaptažodžio parinktį.
Pasirinkus pamiršto slaptažodžio parinktį, įsilaužėlis gali atrasti tikslinio vartotojo el. pašto domeno pavadinimą. Šiame pavyzdyje nukentėjusiojo naudotojas turi domeną, pavadintą example.com, ir panašu, kad turi tokį el. pašto adresą v******[email protected]. Žinoma, įsilaužėlis gali iš karto suprasti, kad dalis pažymėta * yra nukentėjusiojo vartotojo vardas. Jei tai nebūtų taip paprasta, įsilaužėlis galėjo ieškoti naudodamas „Google dorking“, kad sužinotų, ar yra kitų el. pašto adresų su domenu example.com. Tačiau dabar įsilaužėlis turi nukentėjusiojo el.
Kaip viskas atrodo iš aukos perspektyvos
Skubus el. laiškas gaunamas vartotojui ir šis el. laiškas yra toks įtikinamas, kad jis patenka į šiuos spąstus. Galų gale, šiame el. laiške yra skrydžio bilietas, skrydžio informacija ir svarbios skrydžių taisyklės. Be to, el. pašto adresas atrodo kaip skrydžių bendrovės el. pašto adresas. Viskas atrodo teisėta.
Be to, kadangi nukentėjusysis skris šiuo skrydžiu verslo kelionei, jie rimtai žiūri į šį el. laišką. Laiško apačioje yra nuoroda, pvz., „dokumentai, kuriuos reikia užpildyti, kad užbaigtumėte skrydžio procedūras“. Kai tik nukentėjusysis paspaudžia šią nuorodą, įsilaužėlis gauna tai, ko siekia.
Ką mums pasakoja ši istorija?
Daugelis iš mūsų niekuo nesiskiria nuo nukentėjusiųjų, todėl svarbu tai žinoti. Šiame scenarijaus pavyzdyje nukentėjusio naudotojo klaida buvo viešai bendrinti bilietų informaciją, kuri yra asmeninė ir privati informacija. Ir štai kas: tai buvo tikra istorija. Taigi gerai pagalvokite prieš dalindamiesi informacija, susijusia su jūsų verslu ar asmeniniu gyvenimu.