14.6.16

Кто стучится в дверь ко мне или как профессиональная паранойя выцепляет ботов в соцсетях?

5 лет назад я выступал на одном из мероприятий с темой по безопасности социальных сетей, в которой, среди прочего, упоминал о риске фальшивых учетных записей, через которые злоумышленники могут атаковать ничего не подозревающих пользователей. В прошлом году на ITSF я выступал с рассказом о взломе одной нефтяной компании Ближнего Востока, один из векторов атаки на которую как раз был связан с социальными сетями. Оператор ночной смены технологического сегмента был взломан именно через "друга" в социальной сети, который выслал "интересный" файл, и установивший контроль над компьютером в технологическом сегменте.

Доверие... Будь оно не ладно. Как часто мы привыкли доверять тому, что видим в Интернете? Как часто мы доверяем тому, что нам присылают якобы доверенные люди? А как часто мы доверяем самим адресатам, с которыми нас что-то связывает (соцсети, адресная книга, подписчики в блоге...)? Непраздные вопросы, которые все чаще и чаще выходят на повестку дня. Мы слишком доверчивы и свое доверие к людям мира физического переносим в мир виртуальный.

Вот недавний пример. "Постучалась в друзья" в Facebook девушка по имени Алена Голубева. Подозрения учетная запись девушки не вызывает - ничего криминального там нет; как и чего-то подозрительного. Судя по отсутствию записей и наличию только нескольких фотографий учетка создана совсем недавно.


В друзьях у нее много моих коллег, что вызывает еще большее доверие к девушке ("не может же столько людей ошибаться").


Но девушка поступила нестандартно - сразу вступила в переписку, что и выдало ее с головой. Не знаю как у вас, но человек который стучится в друзья если и начинает общаться, то обычно просит ответить на запрос "дружбы" положительно или сразу задает какой-либо вопрос по работе. Обычно же запрос в друзья не сопровождается никаким сообщением в чате. Тут же диалог выглядел совершенно "нечеловеческим" и никак не связанным с моими наводящими вопросами.


Такое впечатление, что общается бот. Ну а дальше включается профессиональная паранойя и я "пробиваю" ее фото в сервисе FindFace.


Оказывается, что это и не Алена даже, а то ли Татьяна, то ли Василина, живущая то ли в Краснодаре, то ли в Могилеве.


И это только по одной "пробитой" фотографии. По другим нестыковок и ссылок на другие учетные записи еще больше.


Но не единственный пример. В начале года у меня в комментариях в Facebook появилась еще одна девушка, комментирующая и репостящая мои сообщения по ИБ. Профиль в Facebook говорит, что она работает инженером службы поддержки Cisco в Амстердаме. Ну, в амстердамском офисе Cisco много русскоязычных коллег работает - ничего подозрительного.

Правда, LinkedIn услужливо подсовывает мне в "знакомства" ту же девушку, но уже числящуюся менеджером службы работы с персоналом в французском офисе Cisco. Блестящая карьера, которая, в принципе, хоть и нестандартна, но вполне возможна - есть у нас в компании схожие примеры, когда инженеры уходят в нетехнические подразделения. Правда, тут оказалось, что работа совмещается и человек одновременно числится в двух разных ролях в двух разных офисах. А это даже в нашей компании, позволяющей работать удаленно, невозможно. 
Проверка через корпоративный справочник и через коллег в обоих офисах показала, что такой девушки в нашей компании нет. Ну а проверка по FindFace вывила, что такая фотография принадлежит еще нескольким девушкам (Яна, Галина, Карина...).


Ну и что, спросите вы. Ну попросилась несуществующая девушка (или не девушка) в друзья. Ну и что? Ну не принимай ее предложение дружбы или заблокируй ее. Или попросту не принимай от нее никаких "подарков", файлов, ссылок и т.п. Логично, но... Тут впору вспомнить мою презентацию по open source, которую я рассказывал на последнем, десятом ITSF. Посмотрите на слайды 12-15. Там говорится о принципе "тысячи глаз", который часто упоминается апологетами open source. Мол, десятки и сотни тысяч человек не могут ошибаться и если они используют какие-тоисходники, то можно смело их тоже использовать - все дыры там найдены и вычищены. Но история с Heartbleed показала, что это не так. В случае с фальшивой учетной записью ситуация аналогичная. Кто-то ведь может и поверить человеку, у которого в друзьях столько безопасников. Ведь кто-то может посчитать, что эту учетку уж кто-то да проверил и раз человек с ней дружит, то и мне можно ей доверять. А это прямой путь к компрометации и взлому.

И вновь вспомню свою недавнюю презентацию про взлом компании за один час. Именно с разведки и установления доверительных отношений с будущей жертвой или друзьями жертвы и  начинается большинство атак. А значит надо более осмотрительно относиться к тому, кто стучится в друзья и с кем стоит вступать в "дружеские" отношения. Кстати, Алена Голубева, с которой началась эта заметка, находится в друзьях только у коллег-безопасников мужеского полу :-) Диалог с ней напомнил фильм "Хоттабыч" и диалог Хоттабыча и Кисы :-)



ЗЫ. На таком фоне так и не реализовавшася идея депутатов заставить соцсети проверять подлинность своих пользователей выглядит не так уж и глупо...

ЗЗЫ. А вообще концепция "доверия" в ИБ в последнее время все чаще и чаще дает сбой...

3 коммент.:

Unknown комментирует...

Это продвинутый бот. Мне писала что работает секретарем и занималась пол-денсом :) Я решил прокачать всю схему до конца, благо есть отдельная симкарта, итоом звонок на 4 секунды и смс с просьбой перезвонить. Номер с которого звонила, принадлежит Мегафону - Краснодар.

Сергей Городилов комментирует...

Где-то веке в 18-м пришла мода переводить имена. Т.е. Черный становился Шварцем и т.п. Что интересно, это привело к тому, что в последствии одного и того же человека могли принять за двух разных людей или за трех и даже больше. А если это историческая личность? А вот, например, как Вам больше нравится: План и Чертеж или Хе и Хо? Большинству интереснее Хе и Хо, однако.

SK комментирует...

Никто нас ботов не любит :)

А если серьезно, но если где-то в конце концов и появится ИИ, то это будут боты в соцсетях. :)