Чуть ли не ежедневно в новостях появляется информация об очередном громком взломе. Причем такие новости появляются не штучно — десятками. А уж о том, сколько тысяч людей реально взламывают каждый день, и говорить страшно. Добавьте сюда всех тех, кто даже не знает, что их взломали — станет еще веселее. Вот только чтобы кого-то взломали, должны быть и те, кто будет непосредственно взламывать. И да — таких кибержуликов в мире более чем достаточно.
Но неужели каждый первый — прожженный гуру пентестинга? Вовсе нет. Более того, большинство «хакеров» на деле ламеры, а их атаки успешны лишь потому, что рядовые юзеры сами помогают кибергопам залезть в свои девайсы. Чисто технически, большинство взломов — это даже не взломы, а просто умение заходить в и без того открытые двери. Более того, эти двери были, есть и будут открытыми. И не потому, что кибербезопасники кодят пяткой и не могут прикрутить к дверям замок, а потому что юзеры и сами любят «погрешить».
О каких грехах идет речь, чем они опасны и как стать «праведником» — рассказываем ниже.
Неосведомленность
А первый грех, как, в общем, и в жизни — это незнание. Ну или, если угодно — невежество. И, если вам кто-то скажет, что невежество блаженно — шлите его далеко и надолго. Ведь нервотрепка, обусловленная последствиями взлома, может быть куда ощутимее легкого мандража от осознания окружающих уязвимостей. Переводя на человеческий: «Да, начитавшись статей про взломы и уж тем более разобравшись в теме, вы, вероятно, словите легкую нервозность. Ведь не нервничать, понимая, насколько небезопасны современные технологии, невозможно. Однако эта нервозность — ничто в сравнении со стрессом от, например, полностью опустошенного баланса ваших банковских карт».
И если вам кажется, что неосведомленность — удел пенсионеров, то нет. Да, про фишинговые ссылки сегодня не знают только сбежавшие из лесу аскеты. Однако почему-то в сознании масс фишинг — это исключительно email-рассылка с одной единственной ссылкой на пол-экрана. Хотя даже на такое многие до сих пор ведутся. На деле же фишинг куда изощреннее. Фактически, любой сайт может стать точкой взлома. Более того, ей может стать сайт, которым вы пользовались годами, и все было хорошо. Банально потому, что сайты тоже взламывают. И вот, зайдя в условный VK и нажав на стандартную кнопку навигации меню, в один прекрасный день можно остаться без денях на банковской карте. Казалось бы, это очевидно — но многие ли удосуживаются хотя бы просто посмотреть на URL перед кликом?
Другой пример — Wi-Fi. Здесь все еще ироничнее, ведь даже сами производители засунули в свои ОС уведомления с предупреждениями о небезопасности подключения к публичным сетям. Но кого это останавливает? Люди не просто беззаботно ходят с включенным Wi-Fi, оставляя возможность фонового подключения, так еще и самостоятельно тыкают «подключиться», даже если понятия не имеют, что это вообще за сеть. И подобных примеров сотни.
Глупость
А вот этот грех — это терминальная стадия невежества. Сюда относятся все, кто, уже зная о существовании уязвимости, продолжают жить как ни в чем не бывало, ничего с этим не делая. И да, как жить — это личный выбор каждого. Но в данном случае речь не об осознанном выборе подарить все свои деньги сумевшему прочитать пару гайдов на форуме кибергопников школотрону. Речь о тех, кто думает, что все плохое происходит с «кем-то там», а его подобное никогда не коснется.
Как оказалось, придумать пример «чего-то плохого, на что забивают» из сферы кибербеза проблематично — ведь каждый забивает на что-то свое. Поэтому приведем пример из сферы эксплуатации гаджетов — здесь точно каждый узнает себя 😃 Барабанная дробь: зарядка, оставленная без нагрузки (подключенного к ней гаджета). Чуть ли не 9 из 10 пользователей смартфонов знают, что это опасно, и рано или поздно приведет к возгоранию — но продолжают так делать. А ведь пожар — это куда опаснее, чем украденные с карты деньги…
Интерес
Впрочем, вернемся к грехам, где можно привести более прикладные примеры. И на очереди у нас — интерес. Ну или любопытство. И не то чтобы это было чем-то ужасным — ведь именно благодаря любопытству мы в принципе узнаем про уязвимости. Однако вспоминаем про первый грех — невежество, и вот тут любопытство открывает уже свою темную сторону. Все дело в том, что удовлетворять любопытство можно лишь тогда, когда вы понимаете, что делаете. Когда у вас есть отдельное изолированное железо, отдельный канал выхода в интернет, отдельная контролируемая среда (хотя современные вирусы научились понимать, что находятся «под микроскопом»), а еще лучше — отдельная комната для всех этих изощрений.
Но вот если вы обычный юзер, то давать волю любопытству и открывать «что-то интересненькое» ни в коем случае нельзя. Даже если там гайд, как заработать лям. Или нюдсы вашего злейшего врага. И даже если на превью вы видите, что там реальная картинка с вашей вебки — все равно нельзя! Не стоит думать, что раз хакеры уже получили доступ к вашей вебке, то они получили доступ и ко всему остальному. И уж тем более не стоит надеяться, что так вы обретете контроль над ситуацией. Это же касается и телефонных звонков — не нужно пытаться потроллить мошенников. Ведь пока вы их троллите, вполне возможно, что они обучают нейронку вашему голосу, чтобы потом «потроллить» ваших родственников. В общем, любопытство требует осознанности. Если вы не в теме — не рискуйте.
Ущемленность
А этот грех — идеальная точка входа социальных инженеров. И да, использовать термин «точка входа» применительно к психологическим манипуляциям некорректно — зато так лучше понятна суть. Играя на чувстве ущемленности, несправедливости, желании отомстить или отстоять свою позицию, социальщики могут заставить жертву поверить чуть ли не во все, что им угодно. Приведем абстрактный пример для лучшего понимания сути.
Допустим, у вас угнали название телеграм-канала. И вы, будучи эмоционально задеты этим событием, рассказали об этом в другой соцсети. Во-первых, это само по себе будет пруфать связь между акками. Ну да ладно, предположим, она и так была пруфнута прямой ссылкой. Что дальше? А дальше вам пишет кто-то, кто якобы также пострадал от угона. Или же кто-то, кто представляется врагом угнавшего канал хакера. Или представитель техподдержки. В общем, кто-то там вам пишет и что-то там предлагает, что на первый взгляд либо вернет вам канал, либо как-то «накажет» хакера. Вот только с 99% вероятностью вместо ожидаемого возмездия или справедливости у вас просто угонят еще что-то.
Более универсальный пример: вы с кем-то поссорились в чате. Причем не обязательно по своей инициативе. И тут вам пишет кто-то, у кого есть компромат на обидчика. И, возможно, компромат даже окажется настоящим — вот только легче ли вам от этого будет, если при его получении ваш гаджет окажется зараженным? Более того, часто кибергопники работают не в соло и специально разыгрывают подобные сценки. Поэтому, если кто-то слишком активно пытается вас ущемить — не ущемляйтесь. Вполне возможно, что расчет именно на вашу реакцию.
ЧСВ
Этот грех по своей природе тоже про ущемленность. Однако его реализация в теме кибербеза несколько иная. Если в случае с описанной выше ущемленностью прецедент создается для обоснования дальнейшего контакта с жертвой, то тут жертва сама выступает инициатором контакта. Почему? Да потому что задетое ЧСВ не дает покоя. Примером подобного метода может быть всем известный «Тайный Санта».
Предположим, вы активный участник какого-то чата и видите, что его участники под Новый год обмениваются друг с другом подарками. Причем никакого анонса нет, все выглядит как добровольная и давно сформировавшаяся традиция. И тут ЧСВ начинает подначивать — а чем я хуже? Итог — вы сливаете свой домашний адрес. А если не домашний — то адрес OZON/CDEK/WB. Стоит ли напоминать, как часто их базы сливают в сеть и сколько всего в них можно найти, зная, где искать (имея адрес вашего отделения)?
Халява
Скам халявщиков был, есть и будет. Поэтому даже относить это к грехам немного неловко. Тем не менее сфера арбитража трафика в этом случае имеет свои особенности, создающая благоприятные условия для нетипичных схем скама на халяве. И нет, речь не про конкурсы (хотя и там не нужно терять бдительность) — речь об «обычных» рабочих процессах, но со слишком выгодными условиями.
Допустим, вам прилетает типичный спам от типичного (на первый взгляд) менеджера партнерки. Вот только и ставка выше, и капа больше. Ну вы и решаете потестить.
В лучшем случае, вы оплатите залив ушлому анону. А в худшем — ваш девайс заразят еще на этапе регистрации. И, если вы думаете, что никто не станет создавать фейковую ПП — это не так. Есть «партнерки», которые существуют годами. Вот только на деле это просто фишинговый сайт. К счастью, подобное очень редко рекламируется проверенными проектами и в основном продвигается либо спамом, либо в фейковых каналах с накрученной аудиторией. Но шанс нарваться на фейк-ПП есть — и отнюдь не иллюзорный.
Лень
Ну и главный грех кибербеза — Ее Величество Лень! Все знают, что пароли должны быть разными, сложными и регулярно обновляться. Кто это соблюдает? Единицы. Почему? Потому что лень. Выключать Wi-Fi — лень. Очищать кеш — лень. Подключить двухфакторную авторизацию и вводить код из SMS — лень. Использовать другой никнейм там, где не нужно светить лицом — лень. Да что уж там — многим лень даже устанавливать антивирус (антивирус, Карл!). И, разумеется, эту повсеместную лень активно эксплуатируют злоумышленники.
Подводя итоги
Мы не призываем вас переходить на «праведную» сторону и переставать пользоваться Wi-Fi или отвечать на наезды в чатах (а вот доставать зарядки из розеток призываем — тут можете пострадать не только вы!) — пусть каждый выбирает сам, как ему пользоваться интернетом.
Однако теперь, когда вы осведомлены о том, как люди делают подставы сами себе, вы сможете сделать свой выбор «грешить/праведничать» осознанно. А на этом у нас все. Подписывайтесь на наш телеграм-канал, чтобы быть в курсе новостей арбитража и актуальных уязвимостей в мире кибербеза.
