Привет, Хабр! На связи Яков Филевский, и сегодня я хочу поговорить о цифровом следе обывателя, обычного человека из соцсетей и соседских чатов, который искренне уверен, что интересен только узкому кругу людей.
«Я ничем не интересен хакерам. Что с меня взять?» Эта фраза — классика жанра в спорах о кибербезопасности с малым бизнесом. Как показывает практика, следующий контакт с таким предпринимателем происходит уже на этапе расследования взлома.
Недавно я наблюдал за одним очень показательным спором. «Я ничем не интересна мошенникам, мне нечего скрывать, — написала девушка в чате популярного мессенджера. — Смартфон — это вероятность утечки, ну и пусть. Кому нужны мои переписки с подругами или обсуждения в волонтёрской группе?».
Назовём нашу героиню Счастливая Мэри. Она рьяно отстаивала свою позицию, парируя аргументы более осторожных соседей. Мэри поделилась, что ей уже звонили от имени «бывшего гендиректора» в мессенджерах, причём манера общения была такой, «будто кто-то прочитал всю нашу переписку с ним». Она перечислила все соцсети и приложения, которыми пользуется, резюмируя: «Если всё уже утекло, значит, так тому и быть».
Как это обычно бывает, тема ИБ и мессенджеров в соседских чатах вскоре сменилась другими проблемами, но, к удивлению, вновь была поднята через несколько дней. На сей раз Счастливую Мэри встревожил некий файл в формате .mp3, который внезапно появился на её смартфоне.
Уведомление пришло из того самого мессенджера, в безопасности которого она так уверяла собеседников. К сожалению, дальше разговор снова ушёл в сторону, но инцидент уже произошёл.
Болтун — находка для шпиона
«Болтун — находка для шпиона», — многие помнят это выражение, которое, как уверяют историки, впервые появилось в июне 1941 года на агитплакате художника Алексея Радакова, опубликованном в «Окнах ТАСС».
А наша Счастливая Мэри — просто находка для целевой атаки.
Начну с простого — с того, что рассказала о себе дама всего в нескольких постах:
Владелец iPhone с полным набором мессенджеров и соцсетей.
Антивирусом не пользуется.
Однажды ей уже взламывали профиль в соцсети, но она не придала этому значения.
Волонтёр. Лечит и пристраивает бездомных животных.
В личной жизни за последние годы череда потерь родных.
Живёт в центре Москвы (исходя из названия группы).
Немного OSINT
Что мы можем узнать о Счастливой Мэри из открытых источников? Запрос в «Яндексе» по нику «Счастливая Мэри» в первых же пяти строчках выдаёт:
закрытый профиль в ВК (сам факт его наличия уже привязка).;
сохранённые страницы групп помощи животным в ВК, где ук��заны ФИО, номер телефона и номер счёта в банке из первой десятки на имя Счастливой Мери (ранее она вела сборы на лечение какой-то собаки);
огромное количество фотографий героини средних лет во всех ракурсах.
Идём глубже. Вбиваем найденные ФИО:
Профиль на сервисе поиска специалистов (верифицированный). Там указаны образование, опыт работы, ориентировочный адрес.
Информация о личном авто.
Выгрузка из публичной утечки данных подтверждает телефон, почту и ФИО.
База данных ФНС — данные об организациях, где Мэри была или является руководителем/учредителем.
Всё. Для построения психологического портрета и сценария атаки этого достаточно. Причём данные собраны за 15 минут без единого взлома.
Я б в мошенники пентестеры пошёл, пусть меня научат
По роду деятельности я занимаюсь социотехническим тестированием. Социальная инженерия — это контролируемая симуляция атак, направленных на сотрудников компании-заказчика, с целью оценки устойчивости персонала к методам социальной инженерии и эффективности существующих мер защиты.
Счастливая Мэри, конечно, не наш клиент, но, если бы она заинтересовала реальных злоумышленников, вот лишь малая часть векторов, которые напрашиваются сами собой, исходя из её цифрового профиля:
Подарки от тайного поклонника. Уточнить адрес доставки и попросить код из смс для «подтверждения».
Фишинг под видом волонтёрства. Отправить ссылку или ВПО под видом фотографий животных. Мери отзывчива — она откроет.
Дипфейки от её имени, кража личности. Её фото и голос из «кружочков» утекли? Значит, можно сгенерировать голосовое сообщение от её имени её же пожилой маме.
Можно провести попытку взлома аккаунта или смартфона через новый мессенджер — она уверена, что это приложение безопасно.
Романтический скам. «Одинокий романтик» давно ждёт именно такую чуткую женщину, как наша героиня.
Это только те методы, которые сразу приходят в голову. На практике способов распорядиться открытыми данными гораздо больше. И дело не в безопасности приложений, а в том, что цифровую защиту можно обойти через психологию человека. Заботливо оставленный самим гражданином цифровой след — это готовая легенда, чтобы лучше втереться в доверие.
А нужна ли ты сама, Мэри?
И тут возникает парадокс. В чём-то Мэри права: лично она никому особо не нужна. Она не олигарх и не хранитель гостайны. Но мошенникам и не нужна она. Им нужна любая удобная цель, попавшая в сеть. Мэри лишь одна среди большого списка тех, кого надо по-быстрому отработать да закинуть удочку, а дальше — клюнет или не клюнет. Чем больше данных о человеке лежит в открытом доступе, тем дешевле и проще злоумышленнику персонализировать атаку.
Такой сетью, например, стало новое пришествие вируса «Мамонт» для Android-смартфонов. Теперь .apk-файл приложения преподносят в слабо модерируемых домовых и соседских чатах на разных платформах под предлогом «Шок! Наши соседи разбились, смотрите фото», «база пропавших на СВО» или «Продаю все, что на фото» (1, 2). Такое приложение можно прислать и в личные сообщения, сопроводив вызывающей доверие информацией, например, об архиве личных фотографий.
Если же в мессенджерах вдруг введут запрет на рассылку .apk файлов, то почти наверняка можно будет присылать активные ссылки, архивы .zip и т.д. Ведь если всё запретить, то кому нужны такие мессенджеры? Поэтому здесь логика до примитивизма проста: если где-то есть люди, то и мошенничество там тоже возможно.
Выводы
История Счастливой Мэри не про сравнение мессенджеров, какой «самый безопасный». Она про другое: когда человек складывает в один смартфон работу, быт, личную жизнь, волонтёрство, банковские услуги и эмоции, он сам создаёт удобную точку входа для атаки.
Уязвимость рождается на стыке открытых данных и вредных цифровых привычек. Не нужно взламывать мессенджеры и читать переписки, если ключевые факты о человеке уже лежат на поверхности и позволяют собрать правдоподобную легенду для первого контакта.
Для злоумышленника идеален не богатый, а предсказуемый. Тот, кто отзывчив, разговорчив и уверен, что никому не интересен. Поэтому относиться к цифровому следу спустя рукава, исходя из установки «да кому я нужен», больше нельзя. Интернет помнит всё, а отсутствие критического мышления всё-таки вредит.
Советы по кибергигиене (скучные, но важные)
Проведите само-OSINT. Вбейте в поиск свои ФИО, никнеймы, номер телефона, почту и посмотрите, что о вас видно в Сети.
На тех ресурсах, где это возможно, например в ВК, запросите выгрузку своего цифрового следа. Узнаете о себе много нового через призму сегодняшнего дня.
Уберите из открытого доступа лишнее: телефоны, реквизиты для сборов, точные адресные привязки, старые объявления, забытые профили и фотографии, по которым легко определить ваш круг общения и образ жизни.
Постарайтесь разделить контуры общения: работа и личная жизнь не должны жить в одной и той же связке аккаунтов и чатов.
Любой срочный запрос из мессенджера перепроверяйте вне приложения: отдельным звонком на мобильный по известному ранее номеру или контрольным вопросом, ответ на который знает только реальный собеседник.
Не открывайте файлы и ссылки из любопытства, особенно если вас торопят, пугают или давят на жалость.
Никому не сообщайте коды из смс, пуш-подтверждения и резервные коды, а также не устанавливайте по просьбе участника переписки никакие «специальные» или «более безопасные» приложения.
Относитесь к голосовым сообщениям, кружочкам и видеозвонкам как к потенциально подделываемым вещам. Дипфейк сегодня уже не атрибут кино, а бытовой инструмент обмана.
Включите двухфакторную аутентификацию, пароль на мессенджер, пин на SIM и периодически проверяйте список активных устройств и сеансов.
Цифровая гигиена кажется занудством ровно до первого инцидента. Потом внезапно выясняется, что «обычный челов��к, которому нечего скрывать», был очень даже интересен. Не как личность, а как удобная цель для мошенников.
Вся информация, представленная в данной статье, должна использоваться строго в учебных и исследовательских целях. Автор не несёт ответственности за использование информации в неправомерных целях.
