Голый Пароль (продолжение)
Да и не всегда нужно для запуска трояна внедрять его через интернет -- можно просто срежиссировать ситуацию, при которой сотрудник интересующей компании сам загрузит троян в свою корпоративную сеть. Причем даже не догадываясь о том, что он сделал. Вот это и называется искусством фишинга.
Артур Ляшенко: Известен случай, когда утром в Лондоне на парковках возле офисов компаний были кем-то потеряны флэшки. Нашедшие их сотрудники, не долго думая, засовывали устройства в рабочие компьютеры -- видимо, хотели посмотреть, что на них записано. Вот так без особых усилий во многие корпоративные сети проник троян.
Или такой вариант. Топ-менеджеру компании приходит письмо с просьбой зайти на некий сайт. В данном случае письмо вроде настоящее, а не просто "давай познакомимся" или "пупсик, глянь мои фотки". В графе "отправитель" стоит имя знакомого топ-менеджеру человека (можно даже сам мейл проверить), да и содержание вполне по делу, в рамках бизнес-интересов. Почему бы не зайти на страницу с дополнительной информацией (и грамотно прописанным трояном)? Даже если получивший заказ на добычу пароля профессионал не в курсе круга знакомств и интересов сотрудников компании, он может это выяснить, просто познакомившись и пообщавшись с этими людьми на профессиональных интернет-форумах, выставках и т. д. Не все же сводится к одним IT-технологиям.
Кстати, располагая информацией о человеке, письмо-приглашение на страницу с трояном можно даже не присылать. Достаточно узнать, какие сайты человек посещает, а потом найти среди этих сайтов уязвимый и вывесить троян там.
Если известно, что человек пользуется какими-либо общедоступными онлайновыми ресурсами, сравнительно плохо защищенными и часто "собранными" на скорую руку, то пароль входа в эти ресурсы с большой долей вероятности можно выяснить. А поскольку люди зачастую для простоты пользуются одним паролем, можно использовать его для доступа к другим ресурсам, содержащим ценную информацию.
Александр Занис, партнер американской компании Adrecom Inc. (интернет-решения в области электронной коммерции): Зачастую ресурсы, запущенные совсем недавно, написаны с использованием старых версий соответствующих инструментов. И вскрыть доступ к странице с регистрационными данными пользователя может любой мало-мальски квалифицированный IT-специалист со знанием SQL. В поля форм для регистрации или авторизации вводится кусок SQL-запроса, который нивелирует проверку подлинности и открывает доступ к регистрационным данным (SQL ejection). Затем мошенник меняет указанный в профиле пользователя адрес мейла на свой и делает запрос с просьбой выслать "потерянный" пароль. Интернет-ресурсами с подобными прорехами могут являться онлайновые издания, блоги, сообщества, сайты знакомств, форумы и т. д.
Артур Ляшенко: Известен случай, когда утром в Лондоне на парковках возле офисов компаний были кем-то потеряны флэшки. Нашедшие их сотрудники, не долго думая, засовывали устройства в рабочие компьютеры -- видимо, хотели посмотреть, что на них записано. Вот так без особых усилий во многие корпоративные сети проник троян.
Или такой вариант. Топ-менеджеру компании приходит письмо с просьбой зайти на некий сайт. В данном случае письмо вроде настоящее, а не просто "давай познакомимся" или "пупсик, глянь мои фотки". В графе "отправитель" стоит имя знакомого топ-менеджеру человека (можно даже сам мейл проверить), да и содержание вполне по делу, в рамках бизнес-интересов. Почему бы не зайти на страницу с дополнительной информацией (и грамотно прописанным трояном)? Даже если получивший заказ на добычу пароля профессионал не в курсе круга знакомств и интересов сотрудников компании, он может это выяснить, просто познакомившись и пообщавшись с этими людьми на профессиональных интернет-форумах, выставках и т. д. Не все же сводится к одним IT-технологиям.
Кстати, располагая информацией о человеке, письмо-приглашение на страницу с трояном можно даже не присылать. Достаточно узнать, какие сайты человек посещает, а потом найти среди этих сайтов уязвимый и вывесить троян там.
Если известно, что человек пользуется какими-либо общедоступными онлайновыми ресурсами, сравнительно плохо защищенными и часто "собранными" на скорую руку, то пароль входа в эти ресурсы с большой долей вероятности можно выяснить. А поскольку люди зачастую для простоты пользуются одним паролем, можно использовать его для доступа к другим ресурсам, содержащим ценную информацию.
Александр Занис, партнер американской компании Adrecom Inc. (интернет-решения в области электронной коммерции): Зачастую ресурсы, запущенные совсем недавно, написаны с использованием старых версий соответствующих инструментов. И вскрыть доступ к странице с регистрационными данными пользователя может любой мало-мальски квалифицированный IT-специалист со знанием SQL. В поля форм для регистрации или авторизации вводится кусок SQL-запроса, который нивелирует проверку подлинности и открывает доступ к регистрационным данным (SQL ejection). Затем мошенник меняет указанный в профиле пользователя адрес мейла на свой и делает запрос с просьбой выслать "потерянный" пароль. Интернет-ресурсами с подобными прорехами могут являться онлайновые издания, блоги, сообщества, сайты знакомств, форумы и т. д.
