Перейти к основному содержимому

Вредоносное программное обеспечение и методы обмана

Всем

Часть атак использует программы (malware), часть — обман без взлома кода. На практике они часто сочетаются: письмо убеждает открыть вложение, вложение ставит троян. Здесь — типология; что делать при инциденте — в 1.035/112.


Вредоносное программное обеспечение

Вредоносное ПО (malware) — программы, созданные для нанесения вреда, кражи данных или несанкционированного доступа.

ТипПоведениеЧто теряет пользователь
ВирусВстраивается в другие файлы, распространяетсяРаботоспособность, данные
ЧервьСам копируется по сетиРесурсы, доступ
ТроянМаскируется под полезную программуКонфиденциальность, контроль
Шпион (spyware)Снимает нажатия, экран, паролиСекреты, приватность
AdwareНавязчивая реклама, иногда с трояномУдобство, иногда безопасность
MinerНагружает CPU/GPU для криптовалютыПроизводительность, электричество
Ransomware (шифровальщик)Шифрует файлы, требует выкупДоступность данных

Malware — это всё ещё программа: её нужно запустить или установить, часто с помощью пользователя. Источники: вложение, «кряк», подменный установщик, уязвимость в старом ПО (без вашего клика — реже дома).

Расширение и имя файла

document.pdf.exe при скрытых расширениях выглядит как PDF. См. Имена и расширения.


Фишинг и подмена

Фишинг (phishing) — подделка сообщения или сайта под доверенный бренд, чтобы вы сами передали пароль, код или данные карты.

КаналПриём
Email«Блокировка аккаунта», вложение «счёт»
SMS / мессенджерСсылка «посылка», «штраф», «выигрыш»
Сайт-клонДизайн как у банка, другой домен
HomographДомен с похожими буквами (раypal.com vs paypal.com)

HTTPS на поддельном сайте означает только шифрованную связь с этим доменом — не то, что домен принадлежит банку. Проверяйте адресную строку и открывайте сервисы через закладку или приложение, не через ссылку из письма.


Социальная инженерия

Социальная инженерия — получение доступа или данных через манипуляцию человеком, а не через эксплуатацию кода.

Примеры без malware:

  • звонок «службы безопасности банка» с просьбой назвать код из SMS;
  • «коллега» в Telegram с новым номера просит срочно перевести деньги;
  • «IT-отдел» просит пароль «для проверки»;
  • USB-флешка «Confidential» у входа в офис — любопытство подключают к ПК.

Общий приём — срочность и авторитет. Контрмера — пауза, проверка по независимому каналу (перезвонить в банк по номеру с карты, написать коллеге в корпоративной почте).


Связь с моделью CIA

УгрозаСтрадает прежде всего
ФишингC (пароль), затем I и A через аккаунт
RansomwareA (файлы недоступны), I (зашифрованы)
SpywareC
Троян с удалённым доступомC, I, A

Многослойная защита — глава 3; резервная копия — единственная надёжная ответная мера на ransomware без гарантии выкупа — глава 6.


Куда дальше