https://replace.org.ua/post/182168/#p182168

Для початку варто сказати, що як правило найбільш слабкою ланкою комп'ютерної системи є користувач. Це причина, через яку мистецтво злому полягає на серйозну частину так званої соціальної інженерії - СІ. СІ це майстерність входити в довіру до людей, і за допомогою деяких хитрощів отримувати доступ до їх конфіденційної інформації. Для прикладу - у розмові хакер може запитати у жертви дівоче прізвище її матері - так, "заради інтересу". Дізнавшись відповідь, хакер скористається сервісом відновлення пароля від електронної пошти, де як секретне питання жертви стоїть ... правильно, дівоче прізвище матері! З розуміння логіки зломщика - "я спитаю, начебто поцікавився, нічого особливого", випливає прийом захисту від крадіжки інформації - дані, які може дізнатися кожен, не повинні бути ключем до вашого поштового "сейфа". В ідеалі, можливість відновлення пароля через секретне питання має бути неможливою. Якщо ви все-таки вирішили не відмовлятися від секретного питання, пам'ятайте, що питання має бути вашим власним (тобто ви повинні встановити питання самі, а не вибрати з доступних), і питання на кшталт "Моя улюблена футбольна команда" не підходять . Вдумайтесь – чи багато у світі існує футбольних команд? Потрібна відповідь підбирається, найбільше, за кілька годин – якщо ви шанувальник футболістів із Зімбабве.

Дана методика заволодіння інформацією актуальна і до наших днів, оскільки адміністратори популярних поштових серверів фізично не в змозі обробити всі заявки на ручне відновлення, що надходять від десятків тисяч користувачів. Робимо висновок - лазівка для хакера складається з користувальницької та адміністраторської ліні

Соціальна інженерія є лише одним із способів крадіжки інформації, заснованому на розумінні мислення користувача. Джон Крамер у фільмі "Пила" (виконував роль "Конструктора") говорив - "Я не знаю, я лише передбачаю. Це можливо, коли ти можеш думати, як твоя жертва". Незалежно від того, по який бік барикад ви знаходитесь, подумайте, чи є зручним щоразу при вході до пошти (ФБ, аккаунт в іншій соціальній мережі, аккаунт на форумі, і т.д.) вводити пароль на зразок &jezla-NS45a? Більшість користувачів ПК не мають техніки швидкого друку, відповідно, введення безлічі складних паролів є для них непосильним завданням. Тепер подивимося, скільки в даній лазівці ліні користувальницької та ліні адміністраторської.

Якщо користувачу незручно вводити довгий і складний пароль, він у більшості випадків навіть не розглядає навчання машинопису як вирішення проблеми. Набирати пароль 100 разів на день, немов буддійський чернець, терпіння вистачить не у кожного, і крім того, паролів має бути багато. Принаймні більше одного - щоб заволодівши одним паролем, зловмисник не отримав доступу до всього і одразу. Якою є можливість заволодіти паролем?

Перше - підглянути пароль, що повільно набирається, благо щоб зробити це непомітно не так вже й складно. "Відвернись!" людини, яка повільно набирає пароль, мало що вирішує - за звуком клавіш цілком реально зрозуміти, скільки символів використовується в паролі, про цінність цієї інформації я розповім трохи нижче.

Якщо користувач не турбує себе тренуванням пам'яті, а записує паролі на листок - випадковий погляд на цей листок відповідає на всі запитання. Якщо, звичайно, у вас все гаразд із фотографічною пам'яттю. У разі чого - ви випадково глянули на цей листок, і поняття не маєте, що там за літери, вірно?

Використання кейлогера - програми, що записує текстовий файл натискання клавіш. Антивіруси для неї не будуть проблемою, якщо додати програму до списку винятків. (тижпрограміст)

Крадіжка cookies - інформація, що використовується сайтом, щоб не питати у вас щоразу пароль. Припустимо, що ви випадково закрили віконце браузера - так от, cookies не дадуть вам стомити себе повторним набором пароля. Cookies є інформацією, до якої доступ ззовні за замовчуванням дозволено в більшості сучасних браузерів.

"Фейк" - дублікат сторінки авторизації. Ви перейшли на ukr.mail.net, вводите логін і пароль для доступу до поштової скриньки www.ukr.net.

SQL-вразливість. Я не кажу вам про можливість знайти SQL-ін'єкцію на популярному ресурсі, але деякі користувачі мають звичку реєструватися де заманеться, тут їм допомагають адміни зі своєю політикою огородження від гостей.

У випадку, якщо дозволено автоматичне відновлення пароля – підбір відповіді на секретне запитання або крадіжку мобільного телефону, за допомогою якого можна встановити новий пароль. Чим добрий цей спосіб? Секретне питання може бути не таким вже й секретним (читай перший абзац), а мобільний телефон красти необов'язково - можна просто вийняти сім-карту. Люди залишають телефони на очах у оточуючих - якщо ви нахабно схопите телефон і втечете, проблем із законом не уникнути, та й вийти з приміщення або відійти на деяку відстань від місця подій вам не вдасться - не дадуть. А ось обшук у пошуках маленької картки досить скрутний, а заява про блокування втраченої SIM дає ефект аж ніяк не в той момент, коли вона була написана. Таким чином, у вас є, в даному випадку, як мінімум кілька годин для розкриття всіх таємниць які знаходяться за сімома замками.

У разі, якщо автоматичне відновлення неможливе – писатимемо лист у техпідтримку! У нас запитують відповідь на секретне запитання, яке ми коли-небудь використовували. Наша відповідь гадам - "Та не пам'ятаю я, якого кольору була моя зубна щітка 15 років тому! Не пам'ятаю, і все! Зате я міг написати там, помилково, свій номер паспорта 0000 000 000 (випадкові цифри, серія та номер не обов'язково повинні бути коректними.) Допомагає здебільшого.

Отже, ми подивилися на ситуацію з погляду хакера. Тепер подумаємо, як нам уникнути таких подарунків долі. Від таких сюрпризів з відновленням пароля нас врятує:

• 1. Періодична перевірка пошти. Відновлення поштової скриньки, як правило, неможливе, якщо на нього найближчим часом хтось заходив.

• 2. Жодних секретних питань для даунів домогосподарок! Читай перший абзац.

• 3. Слідкуйте за своїм телефоном! Останнім часом, щоб завести сім-карту, потрібен паспорт (пишу на майбутнє). Щоб завести обліковий запис у соціальній мережі, потрібна сім-карта. Щоб зв'язатися з друзями, потрібний обліковий запис. Цей ланцюжок не надто захищений від чужих хитрих планів та брудних мрій. Можу дати рекомендацію не втрачати паспорта, але це занадто банально. Хоча хто знає?

• 4. Якщо у вас є антивірус (про організацію грамотного захисту Windows без нього (антивіруса) я, можливо, ще розповім), зміна його налаштувань повинна захищатися окремим паролем. Завжди. Загалом завжди.

• 5. Вибирайте стійку пошту. Що означає стійке? Подивимося:
  ukr.net - як тільки ви зв'яжетесь з нелегалом, UKRNET зіллє всю інформацію про вас людям у погонах. Однак, для "білої" пошти зійде, якщо не прошляпили решту моментів безпеки.
  gmail.com - купа можливостей відновлення, обов'язкова прив'язка до номера, лист у техпідтримку, що у 50% випадків закінчується наданням доступу до скриньки. Не треба. Краще не треба. Це зручно, але в цій зручності криється небезпека.
  safe-mail та mail.com - саме воно. У випадку mail.com ситуація для зломщика ускладнюється тим, що примітивні брути, навчені роботі з конкретними доменами, не перетравлюють піддоменів типу scientist.com або catlover.com. Здорово, правда?

• 6.Вибір надійного пароля – захист від брутфорсу. Використання спецсимволів, цифр та літер різних регістрів – це добре. Безліч паролів – це теж добре. А ось чого робити не варто, то це:

  • Не робіть логін частиною пароля. Про однакові логін та пароль мовчу - зазвичай поштові сервери такого маразму не дозволяють.
    

  • Пароль не повинен містити інформативних даних або шматка іншого пароля.
    

  • Хороших паролів має бути багато. Не можна "складати всі яйця в один кошик".
    

  • Найкраще місце для паролів – ваша голова. Не записуйте паролів, це зайве.

• 7. Жодних переходів за незнайомими посиланнями! Вони можуть містити XSS сайт, з якого ви на них перейшли. Я не буду пояснювати, що таке XSS, скажу тільки, що вразливості подібного роду зустрічаються постійно. Просто не натискайте куди попало - куки будуть цілішими. До речі, щодо куків - сувора політика щодо них допомагає у багатьох випадках. Забороняйте доступ до куки, коли без нього можна обійтися. Не потрібно лінуватися, ваша лінь робить хакерів щасливими. Вважатимемо, що альтруїсти цього не читають.

• 8. Дивись на адрусу. Іншими словами, остерігайтеся фейків. Якщо ви вводите логін та пароль для доступу до поштової скриньки на mail.com, в адресному рядку має бути mail.com, а не meil-kom.ucoz.ua. Для розкриття фейку можна спробувати змінити мову сторінки, пройтися за правилами сайту або заглянути в інформацію про розробників - ледачі хацкери копіюють головну сторінку сайту з усіма посиланнями, а ось на інші посилання їх терпіння не вистачає - а як же, хочеться адже похацкерить якнайшвидше!

• 9. Не треба заводити десятки облікових записів на форумах шанувальників "Манік'юр від Оленки". Сайт дірявий, поки він маловідомий, разом із популярністю приходять натовпи зломщиків, разом із натовпами зломщиків приходить наганяй адміну і необхідність закривати дірки в безпеці. Натяк зрозумілий.

Ось вам кілька прикладів із життя. Користувач Ю. – винятковий дятел, А. – не зовсім, принаймні іноді включає верхню голову. Ніякого спеціального софту не було задіяно, все, що знадобилося - кілька хвилин клацати на кнопочки.

Варто сказати, що немає, захисту, який неможливо було б обійти, але вдумайтеся - чи так вам хочеться, щоб син вашого давнього ворога, почувши про ваші сповнені любові і обожнення стосунки, парою кліків миші поставив вас на коліна? Очевидно, що ні.