Если рай - это место, где всё есть, то социальные сети сегодня можно по праву назвать раем виртуальным. Цифры впечатляют, судите сами: аудитория Facebook уже давно перевалила за 1 млрд. активных пользователей, которые генерируют терабайты самой различной информации ежечасно. Linkedin рапортует о преодолении 200 млн. активных аккаунтов, а YouTube хвастается миллиардным просмотром дурацкого видео от корейского "рифмоплёта". В Сети теперь каждый может найти свою "сеть", какие бы запросы ни были. Соцсеть для богачей - пожалуйста, для врачей, рыболовов, чиновников и даже "любителей кошечек" - ради Бога. Спрос породил предложение. Только оказалось, "не все предложения одинаково полезны". Злоумышленники не заставили себя ждать, перенеся мошеннические схемы из реального мира в виртуальный Эдем.

Суть

Первопричина проблемы, на мой взгляд, лежит в самой человеческой психологии. Многие люди до сих пор разделяют мир на два: в одном они могут быть обычным среднестатистическим офисным работником со средним окладом, средними способностями, средней внешностью и средней жизнью; в другом же они бесстрашные воины с "кучей шмота", великие предводители танковых рот и т.п. Интернет дарит этим людям ложное чувство анонимности и вседозволенности. Отсюда и проблемы. Сойдя с поезда на вокзале и увидев неподалёку на площади цыган, вы пойдёте к ним, чтобы узнать "тайну фамилии", купить новый iPhone "по оптовым ценам" или выяснить, как "читать чужие SMS бесплатно"? Очевидно, что нет. Так почему же вы так поступаете в Сети? Кто сказал, что здесь все друг другу друзья? Homo homini lupus est, господа. Но мы отвлеклись.

Прежде чем переходить к непосредственному разбору основной темы, определим, существует ли вообще какая-либо опасность со стороны социальных сетей. В июле 2009 года компания ComScore выпустила рейтинг стран, жители которых активнее всего используют социальные сети. Знали ли эксперты о Беларуси, сложно судить, но порядок цифр предположить можно. Россия в этом рейтинге заняла почётное первое место с 6,6 часа в неделю. Великобритания, для сравнения, - седьмое. Ее жители проводили в социальных сетях в среднем 4,6 часа в неделю. Пока в этой статистике ничего криминального нет. Но это только в том случае, если предположить, что все эти проведённые часы были в нерабочее время. К сожалению, факты говорят об обратном: согласно результатам опроса, проведённого IT-компанией Morse, социальные сети и микроблоги ежегодно обходятся британской экономике в 1,38 миллиарда фунтов стерлингов. Общая сумма высчитывалась экспертами на основании данных опроса 1460 офисных сотрудников, более половины которых признались, что вместо работы проводят время в социальных сетях и тратят на них, в среднем, по 40 минут в неделю. Теперь ради интереса можно экстраполировать полученные цифры на нашу синеокую и убедиться, что главный ущерб, наносимый социальными сетями - экономический. Но если для компаний эти убытки всё же, скорее, косвенные, и заключаются в недополученной прибыли, для людей дела обстоят иначе - мошенничество в социальных сетях обычно оборачивается потерей вполне конкретных денежных сумм.

Мотивы и способы

Вообще, техник и способов отбора денег у доверчивых пользователей очень много. Фишинг - лишь одна из них, входящая в более обширную группу, получившую название социальная инженерия. Далее будем говорить именно о ней. Ниже мы остановимся на самых популярных техниках и попытаемся ввести некую классификацию мотивов злоумышленников. Поэтому, не откладывая в долгий ящик, приступим.

Политика

С недавних пор до социальных сетей добралась и политика. Связано это, в первую очередь, с тем влиянием, которое оные начали оказывать на мнение общества. "Социалки" впитали в себя не только развлекательный функционал, но и функцию СМИ. При этом, так как предполагается, что контент формируется народом, доверия к нему больше, чем тому же новостному выпуску "из ящика". Такой "подарок судьбы" политтехнологи не смогли обойти стороной.

Схема применяется для имитации обширной поддержки какого-нибудь политического деятеля. Реализуется в несколько шагов:

1. В социальной сети создаётся большое количество групп, главной целью которых является привлечение пользователей за счёт общих интересов. К примеру, создаётся группа "Фанаты сериала House M.D." или "Концерт Ляписа в Минске".
2. Некоторое время группа наполняется "правильным" контентом, который полностью соответствует названию. То есть, в группе любителей футбола постятся новости о футболе, в группе фанатов сериала - новости о сериале и т.д. Делается это, естественно, для роста аудитории.
3. Наступает день "Х", когда участники группы с удивлением обнаруживают, что она теперь называется "Официальная группа поддержки Иванова Ивана Учатовича".

Стоит понимать, что от одной группы будет мало толку. Обычно для реализации описанного сценария создаются десятки разномастных сообществ, которые затем переименовываются и объединяются. Тем самым, у населения создаётся впечатление, что какого-то политика действительно поддерживают миллионы.

Для полноты картины рассмотрим другой сценарий: оппозиционная группа реальная, и все участники знают, зачем они в неё вступили. В этом случае спецслужбы порой сами превращаются в социальных инженеров. По крайней мере, именно такие выводы можно было сделать, наблюдав за событиями, имевшими место не так давно у нас. Активисты, недовольные "режимом", создали группу "Революция через социальные сети", в которой призывали "сознательных граждан" каждую среду в 19:00 выходить на центральную площадь своего города, хлопать в ладоши и периодически выкрикивать власти "спасибо". Этот призыв на фоне тогдашней экономической ситуации в стране нашёл отклик в массах, и площади действительно начали заполняться "благодарными". Посадить в СИЗО всех - не вариант. Поэтому если уж нельзя посадить, то нужно хотя бы контролировать. Этим и занялись не без участия "Белтелекома". Все, кто пытался зайти на страницу акции из Беларуси, автоматически перенаправлялись на фальшивую страницу 195.226.220.42/activation46.html, где предлагалось отправить на номер 3336 платную смску.

Некоторые читатели могут справедливо заметить, что приведённый пример не выдерживает критики, так как зачем белорусским спецслужбам воровать чьи-либо деньги. На самом же деле, эта "акция" была инициирована для отвлечения внимания пользователей от основного действия. Дело в том, что имело место организованная аналогичным образом атака на эту же страницу, но с другой целью. Пользователю сообщалось о рассылке спама и блокировке страницы, но в качестве противоядия предлагалось просто ввести свой номер телефона и адрес электронной почты. Далее эта связка отсылалась не неизвестный gmail'овский ящик. Доказательства этой атаки подробно разбирались на Хабрахабре, но по "необъяснимым причинам" исчезли оттуда примерно 6-8 месяцев назад.

На этом с политикой предлагаю закончить и перейти к более прозаическим вещам.

Налетай, торопись, покупай живопИсь!

Следующая популярнейшая схема фишинга в социальных сетях зиждется на извечном желании "халявы", против которого крайне сложно устоять обывателю. И даже несмотря на то, что все с детства помнят поговорку про бесплатный сыр, люди продолжают свято верить, что технику действительно можно приобрести в два раза дешевле её обычной стоимости просто потому, что "мне повезло". Стандартная схема обмана пользователей раньше заключалась в следующем:

1. Открывался интернет-магазин, продающий товары по ценам ниже средних (но не слишком, чтобы не вызывать подозрений). Яркий тому пример - история с marberry.ru (Гуглите, не стесняйтесь)
2. На склёпанном на скорую руку сайте размещалась информация о товаре, привлекательные цены и подробные инструкции о том, как можно внести предоплату за товар.
3. Через некоторое время, когда количество жалоб и заявлений переваливало определённую критическую отметку, магазин закрывался, владельцы исчезали, а через некоторое время на просторах Интернета появлялся новый store, и цикл начинался заново.

Социальным сетям в этой схеме отводилась роль "благоприятного фона". Именно через них усыплялась бдительность пользователей. На сайте интернет-магазина, к примеру, размещалась ссылка на группу ВКонтакте, где доверчивый гражданин всегда мог полюбоваться большим количеством подписчиков, исключительно хвалебными и благодарными отзывами на стене, красочными фотографиями и видеороликами продукции и т.д., и т.п..

Сегодня же роль социальных сетей сменилась на доминантную, что позволило отказаться от ряда сложных шагов, ещё больше упростив схему. Тем не менее, остались варианты. Пойдём по порядку.

Вариант первый - классический "развод". В социальной сети создаётся страница реально существующего магазина с небольшим нюансом - платёжные реквизиты указываются "наши". Конечно, против крупных рыб, вроде Amazon, реализовать сценарий на порядок сложнее в силу того, что они очень внимательно следят за появлением в Сети любого контента, где упоминается их бренд. Поэтому в качестве "жертвы" выбирается "рыба поменьше". У магазина даже может быть уже заведена страница в соцсети - нам это не помешает, так как контактные данные мы будет указывать их. Далее нужно разрекламировать группу, зазвать в неё народ и вообще создать полное правдоподобие давней успешной деятельности. На сегодняшний день эти действия за разумную плату можно автоматизировать силами ботнетов. После подготовительного этапа остаётся только ждать первых предзаказов. Само собой, через некоторое время от пользователей начнут поступать гневные посты на стене сообщества. Эта не проблема, так как они оперативно "цензурятся" (посты, а не пользователи). Те же, кто решит пойти до конца и начнёт писать\звонить по указанным на странице контактам, попадут к реальному (и ничего не понимающему) владельцу магазина. Срок жизни такой страницы в СНГ - около месяца.

Гораздо "веселее" дела обстоят в Facebook, основная аудитория которого априори считается глупее русскоговорящей (считают так, естественно, братья славяне). Часто именно выходцы из бывшего союза и организовывают схемы по "разводу" американцев. Помимо сценария, описанного выше, реализуется более продвинутый вид мошенничества, позволяющий получить с одной сделки гораздо большую выгоду. Реализация такова:

1. В социальной сети регистрируется страница интернет-магазина.
2. На продажу выставляется товар (например, ноутбук), дешевле рыночной стоимости процентов на 20.
3. Объявляется, что все проплаты магазину осуществляются через eBay. Это вызовет доверие пользователей, так как у eBay существуют механизмы возврата средств в случае неполучения товара.
4. Берётся ворованная кредитная карта, на которую регистрируется PayPal-аккаунт с данными человека, пожелавшего купить у нас ноутбук (данные он укажет нам сам, когда будет указывать получателя и адрес доставки товара).
5. С созданного аккаунта в PayPal регистрируемся на том же Amazon (нам ведь надо где-то этот ноутбук купить) и оформляем заказ на доставку.

Что в сухом остатке? Для полиции ситуация будет выглядеть так: некий человек обзавёлся ворованной кредитной картой и купил по ней себе с Amazon ноутбук. В реальности же мошенники подставили человека, при этом взяв с него через eBay 80% стоимости ноутбука.

Эта схема позволяет сильно упростить работу злоумышленников из-за минимального количества звеньев в цепи событий. К примеру, ранее для вывода приобретённого по ворованной кредитке товара приходилось нанимать отдельных людей, дропов, которые после получения посылки пересылали её дальше в Россию, получая за это определённый процент от суммы покупки.

Что наша жизнь - игра

В качестве передышки рассмотрим безобидную схему фишинга, которая сейчас крайне популярна именно в России. Речь идёт об онлайн-казино. В "ВКонтакте" создаётся группа, в которой рассказывается "история успеха" человека, который, используя "проверенную" математическую схему, выиграл в казино $1000, и на радостях решил поделиться секретами. Выясняется, что секретов-то никаких и нет - достаточно ставить на чёрное или красное в рулетке, при этом в каждый ход поднимать ставку в 2 раза. В доказательство того, что всё действительно правда, приводится статистика собственного профиля, на котором действительно лежит названная сумма. Отдельно здесь хочется обратить внимание на то, что это не чистая "фантазия", а реально подтверждённые цифры.

Логичный вопрос, как же они там взялись? Всё просто. Регистрируясь в казино, мы, как клиент, получаем реферальную ссылку. Если кто-то придёт по ней и зарегистрируется в казино, определённый процент (25-40%) с его проигрыша будет автоматически перечисляться на наш счёт. Тем самым казино мотивирует клиентов приводит друзей и друзей друзей. Классический сетевой маркетинг.

Само казино тоже не сидит сложа руки, ведь их интерес заключается в том, чтобы у людей вспыхивал азарт. Именно поэтому "новичкам везёт". И как только новичок втягивается, везение исчезает. Прелесть всей схемы в том, что она абсолютно легальна.

Любовь, морковь и data scam

Схема, которая будет сейчас описана, относится к отдельному виду социальной инженерии под названием "кви про кво". Также известна под именами "кража личности" и "data scam". Думаю, исходя из описания, вы уже поняли принцип её действия. В социальных сетях мошенники выдают себя за других людей. Одной из целей является знакомство с иностранцами и "развод" их на деньги ("нет денег на билет, чтобы прилететь к тебе, любимый", "мама заболела", "у меня неприятности - Россия суровая страна, там медведи и водка, а Беларусь - это вообще жуть"). Сама техника перекочевала в социальные сети с сайтов знакомств, так как последние начали внедрять более жёсткие правила и тщательнее проверять регистрирующихся пользователей. Кроме того, социальные сети приглянулись злоумышленникам благодаря упрощённой процедуре создания новой странички.

С миру по нитке

Вообще, если продолжать описывать популярные действия социальных инженеров в социальных сетях, эта статья разрастётся ещё раза в 2-3. Поэтому тезисно пробежимся по основным направлениям и перейдём, наконец, к практической части.

Итак, популярной темой для выманивания денег у людей является давление на жалость. К примеру, на странице постится фотография симпатичного котёнка с припиской в духе "он умрёт 25 мая, если на этом кошельке не соберётся $1000". Схема популярна на Западе - в СНГ тему животных по большей части игнорируют. Зато сбор средств на лечение тяжелобольных детей идёт с одинаковым "успехом" в обоих уголках света. Другое дело, что "уважающий себя мошенник" не станет опускаться до таких афёр. Не менее популярны фальшивые одноклассники, вдруг появляющиеся спустя много лет и желающие организовать встречу класса. Естественно, все заботы добрый одноклассник готов взять на себя, но финансово надо помочь и "скинуться по баксов 20 для брони ресторана".

Всё это давно известные сценарии, которые продолжают работать и приносить прибыль исключительно из-за человеческой глупости и невнимательности. Главными мотивами выступают: деньги, месть бывшим, повышение собственной самооценки или просто "ради забавы". Ну, а в качестве средства распространения, безусловно, лидируют вирусы. Именно на них натыкается доверчивая жертва, устанавливая очередной "улучшенный Flash Player". После этого начинается веерная рассылка от имени пострадавшего по его друзьям, угоняется доступ к почте, играм и т.п. Собственно, с этого чаще всего и начинается фишинг.

И дабы не попусту сотрясать воздух, предлагаю рассмотреть реальный современный бэкдор, которым заботливо поделились "друзья". Типичный зловред состоит из клиентской и серверной частей. Здесь, как и в каком-нибудь Radmin'е, понятия инвертированы: заранее настроенная серверная часть хозяйничает на машине "жертвы", а удалённое управление осуществляется через клиент. Само собой, чтобы антивирус не "выкорчевал" бэкдор, оный нужно предварительно закриптовать. Где и как взять криптор - отдельная история. И чтобы не перегружать и так массивное повествование, опустим эту часть, перейдя непосредственно к практике.

(Окончание следует)

Алексей ДРОЗД,
руководитель направления по работе с вузами,
компания SearchInform