«Одноклассники» становятся опасными

Если вы получили поздравительную открытку или электронное письмо от администрации сайта, на котором у вас почтовый ящик или аккаунт, не спешите идти по предлагаемой ссылке. Возможно, это хакерская провокация с целью лишить вас всех паролей и, вполне вероятно, денег.

На днях сотрудниками компании Facetime, специализирующейся на ИТ-безопасности, был обнаружен сайт-конструктор, предоставляющий набор услуг для хакера (социальных хакеров еще называют фишерами). На сайте можно было за определенную плату генерировать поддельные страницы сайтов социальных сетей или поздравительные открытки со вшитой программой, которая ворует частную информацию пользователей. Программа позволяет отправлять письма и открытки с заданного домена жертвам злоумышленников.

На сайте был размещен также хакерский администраторский интерфейс, куда стекаются все собранные данные. Доступ к сайту платный, и за проведение каждой атаки владельцам сервиса необходимо платить. Среди «поддельных страниц», обнаруженных на сайте, были найдены копии сетей Yahoo, Facebook, MySpace, Hotmail, Orkut и hi5. После обращения к компании-хостеру этого сайта ресурс сначала пропал из сети, но после появился уже на другой площадке.

Социальный хакинг в последнее время становится все более престижным видом разбоя. Если раньше для получения пароля необходимо было перебрать миллионы комбинаций цифр или букв, то сейчас «хорошим тоном» считается «знакомство» с жертвой – ее образом жизни, привычками, увлечениями, связями. Ведь, несмотря на все предупреждения, в качестве пароля люди нередко используют один и тот же набор символов – имя любимого человека, дату рождения, номер телефона или почтовый адрес.

Система атаки проста: на адрес жертвы приходит письмо от администрации какого-нибудь сайта, на котором она зарегистрирована. Чаще всего это социальные сети, такие как MySpace, «Одноклассники», «Мой круг», «В контакте», «Мир тесен» и так далее. Ведь именно там человек оставляет максимум информации о себе: адрес, место работы и должность, марку машины и сотового телефона, даже номер своего электронного кошелька. Пользователю предлагается получить поздравительную открытку или просто пройти по ссылке и подтвердить свои данные. Однако ссылка ведет на поддельный сервис (который при этом выглядит в точности как настоящий), где пользователь совершенно добровольно, хоть и неосознанно, оставляет свой пароль. Дальнейшее – дело техники.

Специалисты Facetime рекомендуют пользователям социальных сетей быть более внимательными при открытии электронных писем. А открытки от незнакомых пользователей рекомендуется сразу же удалять, даже если это поздравления с днем рождения.

Не стоит также доверять письмам, которые содержат в себе предупреждение против социального хакинга. Еще совсем недавно в рунете был «популярен» такой вид мошенничества: хакеры рассылали письма с предупреждением об опасности взлома и пресловутым предложением перейти по ссылке. Объектом их охоты становились обладатели электронных кошельков.

Анастасия Ярославцева

Из комментариев к статье:

* * *

Вязто с одного форума:

Зашел тут недели три назад на сайт «одноклассники». Хорошая идея, светлая – собрать заново старых друзей, вспомнить былые времена, посмотреть на повзрослевших и помудревших однокашников. Да и выполнен сайт грамотно, все можно найти, все видно и понятно. Даже система обмена сообщениями есть. И я с удовольствием стал разыскивать знакомые фамилии из записной книжки. Обнаружил массу общих знакомых, много сообществ, названия которых я и вспомнить-то не мог. И вот, откинувшись в очередной раз в кресле, чтобы глотнуть чайку, я посмотрел на экран и вдруг увидел…. ДОСЬЕ на себя причем, собранное моими же собственными руками. Подробное, с фотографиями, датами, кругом общения, контактными данными из личной переписки, адресами электронной почты, адресами проживания. Я хохотнул, подумав, что у меня параноя, но мыслишка в голове засела.

Дальше – больше. Задумав добавить очередную фотографию в фотогалерею, я наталкиваюсь на свежее предупреждение, что на фото должен быть изображен именно я, видно мое лицо, нельзя чтобы были изображены предметы, животные, дети. Казалось бы безобидное требование, логично вытекающее из формата проекта. Если бы не категорическое предупреждение, что все, что все фотографии, не соответствующие требованиям, будут удаляться модераторами. Казалось бы, зачем? Кому мешает любимая кошечка или суперкар о котором ты бредишь? Ведь если появляется такое категорическое предупреждение, значит, это кому-то мешает. Ну, с детьми понятно, терроризм, педофилия, торговля людьми. В общем, общечеловеческие страхи. Но животные-то кому мешают?

Ответ нашелся быстро. Вы же не думаете, в самом деле, что кого-то заботит, чтобы вы чувствовали себя комфортно, пользуясь сайтом. Смотрим глубже.

Весь этот сайт получается прекрасной заготовкой базы данных для системы распознавания образов, которая вполне реальна и используется для отслеживания людей по изображениям с телекамер. Такие системы используются для охраны многоэтажных зданий, аэропортов, вокзалов и других объектов большой площади, улиц, магазинов, банков, офисных центров, ресторанов. Везде, где можно установить телекамеры и объединить их в сеть, можно будет отследить все перемещения человека, его встречи и распорядок дня. Связав распознанные изображения с базой данных мы получим полную картину жизни человека. И тут как раз и вылезают ограничения на размещение изображений. Если я вывешу вместо себя фотку собаки, то бот, в ответ на мою фамилию, начнет узнавать всех бобиков в округе. Если размещу фотографию нового желтого такси, то компьютер будет сбит с толку. Теперь добавьте сюда тот факт, что учетную запись нельзя удалить. Она все равно останется в базе. Это раз. И то, что на российских серверах типа ******** хранятся логи активности пользователей. Сколько? Не знаю. Знаю, что хранятся.

Получается невеселая картина. Слишком много совпадений, чтобы их игнорировать. Для чего нужна такая система я могу только догадываться, поскольку я не ФСБшник. Но задумка простая и эффективная. Овечки сами собираются в стадо и идут в загончик. Овощи высаживаются на грядку. Рыбки заглатывают крючок. С одной стороны, мне нечего скрывать, я – честный человек и добропорядочный гражданин. С другой, то, что мы на свободе, это не наша заслуга, а недоработка компетентных органов.

Помните о б этом, когда будете добавлять к себе в «друзья» партнеров по бизнесу.

* * *

Из того же чата:

В одной не посторонней для меня организации недавно было маски-шоу в исполнении убэпа. Менты стояли у входа с листами А4 с фамилиями. Люди разные и далеко! не все обитали по месту приема. Но фамилии были практически всех! И фотографии! Не проскочишь. Практически всю основную инфу они, как выяснилось, взяли с названного сайта (в том числе и фотографии). Достаточно знать одну фамилию какого-то из бухгалтеров, чтобы потом по друзьям, сообществам (многие указали даже место работы в сообществах), переписке- построить цепочку всех, кто так или иначе связан с деятельностью фирмы.

Это я к чему. Что, похоже, надо запрещать на работе сотрудникам выставлять на всеобщее обозрение СВОЮ ЛИЧНУЮ жизнь, если своего ума у них на это не хватает. Уж лучше пусть порнуху качают. Странно, что до сих пор тут не слышно про мошенничества, основанные на информации, взятой с «одноклассников». Ведь люди о себе рассказывают там практически все. Кто, откуда, чем живет. Так что «одноклассники» – это не только способ общения.

По материалам: http://www.mk.ru/