MySpace. Facebook. LinkedIn. Vkontakte, Odnoklassniki. Кто не создавал себе сегодня профили на хотя бы одном из этих сайтов? Взрыв, произошедший среди так называемых сайтов социальных сетей породил новые возможности для общения, дружбы, романов и деловых отношений во всем мире — факт, который не прошел незамеченным авторами вредоносного программного обеспечения и организованной киберпреступности.

Сегодня социальные сети стали кошмаром для специалистов  в области защиты информации.

Что же ждет нас в мире социальных сетей? В данной статье мы с вами поговорим о тех угрозах, которые появляются в связи с широким распространением социальных сетей.

Spam, Spam, Spam

Подобно банковскому мошенничеству («нигерийским письмам»), увы, проблема спама похоже, с нами надолго.

Спамеры, традиционно использовавшие электронную почту, сегодня, в связи с заметным улучшением фильтрации почты, вынуждены искать другие методы проникновения. В частности сегодня пришла очередь социальных сетей. Как считают эксперты, сегодня спам с использованием подобных сетей является весьма выгодным бизнесом.

Как утверждают эксперты, сегодня поток спама на адреса социальных сетей постоянно увеличивается. Недавняя фишинговая атака, обнаруженная исследователями SophosLabs, использовала старый метод. Сообщение исходило от 22-летней женщины из Кот-д’Ивуар, утверждавшей, что она является наследницей 6.5 миллионов долларов США, доставшихся ей после смерти ее отца. В письме она просила за вознаграждение помочь ей найти безопасное место для этих денег (возможно ваш счет в банке) за за вознаграждение.

Хорошей новостью, однако, является то, что все меньше людей верят в подобные «сказки». А плохой, что все же находятся легковерные люди.

Угрозы приложений в социальных сетях

Так как социальные сети все больше и больше выкладывают приложений для своих посетителей, чтобы не отставать от конкурентов, это означает что в погоне за количеством будет теряться качество программирования подобных приложений, а ведь не секрет, что чем больше функций имеет то или иное приложение, тем более оно уязвимо. Следовательно, пользователи будут все сильнее подвергать себя опасности.

Фальшивые антивирусы. Вы заражены? Мы идем вам помочь. Только заплатите!

Возможно, вы уже встречали объявления, что ваш сайт (ваш компьютер) заражен и является основным источником заражения. В связи с этим вам предлагается очистить ваш сайт (компьютер). Однако за это вы должны заплатить. Безусловно, оплата будет не большой. Однако вас все же попросят заплатить.

Почему такая атака является возможной и более того, такие атаки распространяются с огромной скоростью? Да потому что наши пользователи запуганы появлением вредоносного ПО на своих компьютерах. А так как к тому же большинство их явно не отличается высокими знаниями, то все это приводит к появлению пользователей, готовых платить.

А ведь в лучшем случае ваш фальшивый антивирус не делает ничего, а в худшем – внедряется в систему и производит разрушительные действия.

Черви, саморазмножающиеся вирусы

В данном случае социальные сети – весьма благоприятная среда для подобных атак. Ведь как говорят эксперты, вирус, заразивший одного посетителя социальной сети, как правило, заражает и его список друзей.

Недавний пример саморазмножающийся вирус в сети Orkut (наиболее широко распространена в Бразилии и Индии), в котором шутник распространяет спам-сообщение почти 400 000 бразильцев. Однако, как утверждают эксперты, вероятнее всего вирусы будут более злонамеренными и разрабатываться для хищения или удаления личной информации пользователей, например, даты рождения и пароля. Эти данные могут использоваться для продажи на черном рынке или использоваться для приобретения кредитной карточки. Не стоит забывать, что очень часто те же учетные данные используются не только для идентификации в социальных сетях, но и для входа на почтовый ящик или даже в банковскую систему.

А если учесть то, как редко пользователи меняют пароли, то картина становится совсем страшной.

Как отмечается в прогнозе антивирусной компании Sophos, хакеры все больше начали нацеливаться на такие веб-проекты как Facebook и Twitter, которые в 2010 году станут их основной ареной добычи прибыли.

Анализируя предоставленные компанией данные, стоит отметить тот факт, что за последний год число хакерских атак возросло на 57%, количество спам-материалов – на 71%. При опросе пользователей стало известно, что 36% из них хоть раз подвергались тому или иному виду взлома хакеров. Sophos предполагает, что в 2010 году хакеры переориентируются с фишинговых сайтов и спама на мошенничество.

За прошедший год активность пользователей социальных сетей выросла на 70%, на такое же число и выросло количество краж данных.

Нападения с использованием приложений Adobe Air и Microsoft Silverlight

Это – прелести Web 2.0. Приложения типа Adobe Air и Microsoft Silverlight, которые позволяют браузеру использоваться более эффективным способом, также усиливают возможности нападения.

Spearphishing

Так как сегодня большинство компаний ограничивает доступ пользователей к социальным сетям, очень скоро индивидуальный пользователь станет жертвой целенаправленных и индивидуализированных нападений spearphishing^[1].

Проведение таких атак в социальной сети облегчается самим характером общения в подобной сети. Ведь пользователи доверяют своей социальной сети. Тем более что весьма часто нападающие будут создавать правдоподобные профили, которые внешне будут иметь вполне законный вид.

Вспомним классический пример подобного мошенничества.

«Удмуртское управление Федеральной службы судебных приставов (УФССП) разработало и запустило операцию «Блондинка». Теперь под видом миловидной барышни в социальных сетях Интернета с должниками знакомятся судебные приставы. Все происходит в лучших традициях подобных ресурсов. «Блондинка» ставит мужчине-должнику высший балл за его фотографию, завязывается беседа, слово за слово — и барышню уже пригласили на свидание.

Когда горе-Ромео приходит на место встречи, то вместо симпатичной девушки имеет тет-атет с судебным приставом.» (http://www.securitylab.ru/news/386762.php).

Огромной проблемой пользователей является нежелание думать как может быть использована та или иная опубликованная в сети информация.

Появление в социальных сетях страниц компаний.

С недавних пор в социальных сетях стала бурно развиваться реклама тех или иных компаний. Так многие компании уже открыли или собираются открывать свои страницы в социальных сетях. Это создает массу новых проблем и новых направлений для атак.

В связи с этим стоит ожидать появления политик компаний, включающих раздел сетевой этики и сетевой безопасности. Кроме того, компании начнут запрещать посещение соответствующих сайтов чтобы исключить нецелевое расходование рабочего времени.

Но вместе с этим это породит новый вектор атаки на компанию. Ведь фактически с появлением компании в социальной сети появляется новая точка входа для злоумышленников, которая позволяет им получить доступ к личной информации служащих.

Однако не стоит забывать и о том, что теперь нападающие могут создать поддельный сайт компании с целью использования его для кражи номеров кредитных карт и прочей персональной информации.

И снова деньги

Следует учесть, что времена хакеров-одиночек давно в прошлом. Сегодня киберпреступность – это организованное сообщество и целью атак станет получение дополнительной прибыли.

Мошенничество и подмена личности в социальных сетях

Что такое социальная сеть с точки зрения инженера-программиста? Правильно! Распределенная база данных. А теперь представьте себе на секунду, что существует некий инженерный пароль (пароли) с помощью которых можно получить доступ к любой учетной записи. Что это означает? Да то, что обладая таким паролем можно модифицировать ваши данные, пароли и т.д. Фантастика? Ничуть! Реальность!

Другой способ подмены личности при использовании социальных сетей заключается в использовании фальшивых друзей, т.е. как можно обмануть вас, указав, что злоумышленник ваш друг. Я уверен, что злоумышленники давно знают об этом трюке. Проблема в том, что пользователи не знают. Итак, вот как это работает.

Злоумышленник должен сделать следующее:

Шаг 0: Зарегистрироваться в социальных сетях (например, Vkontakte и MoiKrug). В принципе все равно, какие это будут сети. Лучше — более широко распространенные.

Шаг 1: Попросить быть «друзьями» с дюжиной — другой незнакомых людей на Vkontakte.

Скажем, половина из них примет его приглашение. После этого злоумышленник должен собрать список всех их друзей.

Шаг 2: Войти в MoiKrug и найти там список всех откликнувшихся «друзей» из Vkontakte.

Пусть злоумышленник найдет там, предположим, четырех из них. Далее злоумышленник должен попросить их стать их «друзьями» на MoiKrug. Все жертвы примут это предложение, потому что он уже — установленный друг.

Шаг 3: Теперь злоумышленник должен сравнить друзей Vkontakte с друзьями MoiKrug и выделить список людей, которые находятся на Vkontakte, но не находятся на MoiKrug. После этого он должен скачать фотографии и данные найденных людей и использовать эти данные чтобы, чтобы создать ложные, но убедительные профили на MoiKrug. А затем от имени созданных личностей послать запросы «друга» своим жертвам на MoiKrug.

В качестве награды, другие пользователи, которые являются друзьями и жертв злоумышленника и созданных ним фальшивок сами свяжутся с ним, чтобы быть друзьями и, конечно, он это примет. Фактически, сам MoiKrug предложит злоумышленника как друга тем людям.

(Подумайте о факторе доверия. Для этих вторичных жертв они не только чувствуют, что знают злоумышленника, но и фактически просят статус «друга». Они сами ищут злоумышленника.)

Шаг 4: Теперь, злоумышленнику доверяют, он может задавать вопросы, которые задают только друзья.

Какие? Когда Вы выезжаете из города? Когда вы едете отдыхать? Как надолго? И т.д.

У автора нет никакого свидетельства, что фактически путь подмены личности будет именно таким, но, безусловно, кто-то сделает это когда-то в будущем.

Вместе с тем не стоит забывать о том, что владельцы социальных сетей не несут ответственности за размещенный контент, в связи с чем социальные сети легко превращаются в рассадник порнографии и пиратского ПО.

За примером можно далеко не ходить.

Российские правоохранительные органы в 2009 году заблокировали более 1,4 тыс. ресурсов с детской порнографией. При этом более половины таких материалов размещалось в социальной сети «В Контакте», пишет Руформатор

(http://ruformator.ru/news/article0586B/default.asp).

Об этом сообщает «Интерфакс» со ссылкой на слова Ирины Зубаревой, официального представителя управления «К». «Только с начала 2009 года управлением «К» совместно с некоммерческим фондом «Дружественный Рунет» закрыто 1409 ресурсов, содержащих порнографические материалы с участием несовершеннолетних, из которых более половины (870) единиц контента располагались на ресурсе «В Контакте», — сказала она.

Также Зубарева отметила, что пользователи регулярно жалуются на «огромное количество фото — и видеоматериалов порнографического характера с участием несовершеннолетних, размещенных в социальной сети «В Контакте».

«Вызывает удивление позиция администрации ресурса, которая делает вид, что не замечает свободного распространения антисоциальных и противоправных материалов на своих технических площадках. Учитывая, что довольно большую часть аудитории сети составляют подростки и молодые люди, полное отсутствие элементарных мер контроля на ресурсе превращает его в источник реальной угрозы их нравственному здоровью», — подчеркнула представитель управления «К».

Вы думаете на этом все прелести социальных сетей заканчиваются? Как бы не так! Как вы думаете, насколько легко отследить маршрут движения вашего ребенка из школы? Или тем более узнать в какой школе он учится? Элементарно! Нужно просто получить доступ к его странице в социальной сети.

Да ну, это всего лишь ребенок, скажете вы. А знаете, как легко отследить ваш маршрут? Элементарно! Для этого достаточно знать всего лишь номер мобильного телефона. А затем регулярно отслеживать ваши маршруты с помощью передвижений вашего телефона! Через 34 месяца можно будет с 80% вероятностью предсказать, в какой момент времени, в каком месте маршрута вы находитесь. Не страшно? А ведь это всего лишь номер телефона, который кто-то по доброте душевной оставил в социальной сети.

Но хорошо, вы не оставляете свой телефонный номер. Очень хорошо. Однако вы же пишете свои заметки, выставляете свои фотографии, верно? Как вы считаете, в каком случае человек будет более откровенным, когда сидит в удобном кресле перед компьютером дома, считая, что его записи будут читать только его друзья или сидя перед лицом, которое нанимает его на работу? Ответ очевиден, согласны? Следовательно, сегодняшний отдел HR и служба безопасности предприятия должны, проверяя кандидата на ответственную должность, проверять его, в том числе и с использованием социальных сетей. Согласитесь, в таком случае очень многие люди будут выглядеть не настолько «белыми» и «пушистыми». А кто виноват им в том, что они выставляют свои неприглядные материалы в Интернет? Никто!

Еще более неприглядным может быть выкладывание молодыми девушками своих фотографий в нескромных нарядах. И хорошо если вообще в нарядах. Потом, когда эти фотографии всплывают в сети, начинаются скандалы и поиски виноватых. А порой случаются трагедии…

Мошенничество и социальные сети. Или «Да здравствует Поле чудес в стране ДУРАКОВ!»

Использование фишинга и его разновидностей сегодня стало весьма распространенным явлением. Об этом говорят, пытаются делать антифишинговые фильтры, встраивать их в браузеры, в антивирусное ПО, однако атак не становится меньше. Более того, они становятся все изощреннее. Интересно, как бы встроить «защиту от жадности» в человеческие головы. Недавно прочел заметку о статье журналиста Майкла Аррингтона, размещенной на сайте TechCrunch, и посвященной игровому мошенничеству в социальных сетях. По его мнению, разработчики социальных игр дляFacebookиMySpace, а также посредники весьма активно прибегают к нечестным методам заработка на наивных пользователях, а администрация социальных сетей обычно смотрит на это сквозь пальцы, поскольку имеет с этого свою выгоду.

Миллионы пользователей играют сегодня в игры типа Farmville и Mobsters. В данных играх используется собственная виртуальная валюта, при помощи которой игроки могут разными способами улучшать свой игровой статус. Причем ее можно купить, расплатившись реальной кредиткой, но существуют и «бесплатные» способы увеличения игрового капитала, которые на деле приносят компаниям ещѐ больше прибыли.

Аррингтон приводит примеры, когда пользователям предлагают пройти тест на IQ или скачать пробную версию какой-то программы, получив взамен некоторое количество виртуальных денег. Нигде в этих предложениях не говорится, что пользователь, даже не имея кредитной карты, в обоих случаях потеряет реальные деньги.

Монетизация производится различными способами: например, деньги могут сниматься с мобильного телефона (для прохождения теста на IQ), а могут взиматься наличными за доставку «бесплатного» CD с программой.

Полученные деньги тут же тратятся на новую подобную «рекламу», которая привлекает новых пользователей.

Руководитель компании BlitzLocal Деннис Ю, ранее занимавшийся подобным «бизнесом», привел много интересных фактов, подтверждая слова Аррингтона. Так, разработчики игр для Facebook получают доступ к персональным данным пользователей и их социальным связям. Это позволяет персонализировать спам («ваш друг такой-то приглашает вас сыграть с ним»), что вводит пользователей в заблуждение, особенно если реклама визуально напоминает стиль Facebook.

По словам Ю, доход от такой «рекламы» на порядок выше дохода в Google AdSense — примерно 4% против 0,1%, при той же стоимости клика.

Аррингтон оценивает нечестную прибыль каждой из наиболее крупных таких компаний в десятки и даже сотни миллионов долларов в год. Ю говорит о пятизначных суммах в день.

К чему я все это говорю? Да просто нужно думать, прежде чем поддаваться на возможные уловки и помнить, что бесплатный сыр всегда лежит в мышеловке. И только.

На самом же деле нам с вами в первую очередь нужно смотреть внимательно на то что нам предлагают и пытаться понять, что уже давно никто ничего «за спасибо» не делает!

В этой связи еще раз хотелось бы обратить внимание на необходимость контролировать то, чем заняты ваши дети, ведь они не имеют вашего жизненного опыта. А следовательно они будут первым объектом для удара!

Проведенные в США исследования показывают, что подростки пишут сегодня примерно половину всех блогов, причем двое из трех указывают в них свой возраст, а трое из пяти указывают свое место жительства, возможные способы контактов (телефон, номер ICQ, электронный адрес и т.д.), один из пяти указывает свое реальное имя. Стоит понимать, что в таком случае резко возрастает риск использования персональной информации вашего ребенка.

Рисунок 1 Персональные данные, публикуемые на блогах

В чем же состоит риск публикации персональных сведений? Ведь это всего лишь дети!

Скажите пожалуйста, вы всегда рекомендуете своему ребенку не садиться в чужую машину? Не разговаривать с неизвестными, особенно если они старше вашего ребенка, верно?

А теперь представьте себе, что ваш ребенок, рассказывая в сети о себе, напишет свое имя, домашний (мобильный) телефон, школу, в которой учится, расписание уроков. Что в этом страшного? А вы не думали, что через ребенка очень легко воздействовать на вас? В частности, ни у кого из нас нет большей ценности, чем наш ребенок, верно? В случае, если ему, не дай Бог, будет грозить опасность, пусть даже и мнимая, мы ведь все равно будем делать все, чтобы ему помочь, верно? Вот это делает вашего ребенка идеальной целью для шантажа вас, да-да, именно вас.

Впрочем, кто сказал, что нельзя шантажировать самого ребенка? А? Вы верите в благородство грабителей? Я – НЕТ!

Что сегодня можно узнать, зная мобильный номер телефона? Очень многое! Маршрут движения, привычки, фамилии и имена друзей, школьных учителей. А наличие всего этого делает вашего ребенка весьма простой целью для атак социотехники (Социотехника — это один из способов, который преступники используют для получения доступа к компьютерам. Атаки, основанные на социотехнике, обычно проводятся с целью тайно установить программы-шпионы (или другие вредоносные программы) или обманным путем узнать пароли, важные личные или финансовые сведения.). Не так? Или вы уже успели воспитать в нем недоверчивость? Ведь нет же. Сколько взрослых попадается на подобные атаки, а дети гораздо слабее!

Не стоит недооценивать злоумышленников, ей-богу не стоит!

Нельзя забывать о том, что всем детям свойственно желание выделиться, чтобы привлечь внимание, следовательно, многие из них будут публиковать свои провокационные фотографии, чтобы привлечь к себе внимание.

Вы хотите, чтобы эти фотографии гуляли по Интернету? Или вы всерьез верите что «вот, я дала эти фотографии только Васе, а он…». Вы до сих пор верите в рыцарство и человеческое благородство? Мир жесток! Нравится это нам с вами или нет, однако мир жесток!

Блоги посещают самые разные люди (и самые разные подростки в том числе). Припомните, встречались ли вам люди, желающие самоутверждаться за счет других, унижая и оскорбляя их? Увы, как ни печально это признавать, но в Интернете такие люди чувствуют себя гораздо вольготнее, чем в реальной жизни. Готов ли ваш ребенок к тому, что в комментариях к блогу его обзовут обидным словом, обругают? А ведь уже был случай, когда комментарии в блогах (причем написанные взрослым человеком от имени ребенка) довели девочку до самоубийства.

Обратимся к фактам

По результатам опроса двух тысяч жителей Великобритании в возрасте от 11 до 18 лет, треть опрошенных подростков оказались жертвами киберхулиганов.

По утверждениям авторов опроса, киберхулиганство уже затрагивает миллионы британцев и его распространение можно сравнить с эпидемией.

К киберхулиганству исследователи, в частности, отнесли оскорбительные SMS, звонки на мобильный и поведение в социальных сетях. Как показал опрос, девушки становятся жертвами киберхулиганов в четыре раза чаще, чем юноши.

Одновременно с публикаций данных опроса в Великобритании был запущен сайт CyberMentors, призванный помочь школьникам, ставшим жертвами хулиганов. Поддержку им будут оказывать другие школьники. Согласно информации, размещенной на этом сайте, киберхулиганство затрагивает не треть, а половину подростков.

В феврале 2009 года Еврокомиссия и представители 17 социальных сетей подписали пакт, обязывающий сайты не публиковать в поисковой выдаче персональные данные несовершеннолетних пользователей. В Великобритании подобные меры были приняты еще в апреле 2008 года.

Не лучше дело обстоит и в США

Согласно результатам исследования, проведенного психологами из Университета Калифорнии в Лос-Анджелесе, три из четырех подростков подвергались запугиванию в Сети в течение последнего года. И только один ребенок из десяти рассказал об онлайновыхугрозахродителям или другим взрослым людям.

В анонимном интернет-исследовании участвовали 1 454 подростка в возрасте от 12 до 17 лет. 41% респондентов сообщили об 1-3 инцидентах с угрозами по Интернету в течение года. 13% опрошенных подвергались онлайновому запугиванию 4-6 раз за год, а 19% подростков — 7 раз и более. Чаще всего (51%) респондентам угрожали их одноклассники, в 43% случаев — онлайновые знакомые детей, с которыми они не встречались в реальной жизни. 20% опрошенных сказали, что знают тех, кто им угрожал, но это люди не из их школы.

Многие подростки избегают говорить о происшедшем с родителями, поскольку хотят научиться самостоятельно решать подобные проблемы. 31% опрошенных не обсуждают инциденты, так как боятся, что родители ограничат им доступ в Интернет. Треть запуганных респондентов заявили, что не рассказывали ни одному взрослому об онлайновых угрозах, поскольку опасались, что в результате могут возникнуть проблемы с родителями.

Исследователи также отмечают, что многие отцы и матери очень мало знают о том, как их чада используютсеть,и не понимают, насколько Интернет важен в социальной жизни детей. Родители считают, что лучше всего защитить отпрысков способен полный запрет на доступ в Сеть. Однако такой способ может навредить отношениям с ребенком и помешать нормальной социальной жизни тинейджеров.

К сожалению, сегодня я не располагаю данными по республикам СНГ, однако уверен, что вряд ли ситуация в этих странах намного лучше. Разве что в силу меньшей распространенности Интернет.

Возможно, кто-то прочитав данную статью, сделает вывод, что вот, еще один противник социальных сетей решил высказать свое мнение.

И что, теперь вообще не общаться?

К сожалению, отсутствие информации о вас в популярных социальных сетях может сыграть с вами плохую шутку.

Не секрет что сегодня при приеме на работу о вас стараются собрать всю возможную информацию. При этом уже давно используется Интернет и социальные сети. Чаще всего блоги и социальные сети просматриваются в момент составления списка на собеседование. Это один из основных инструментов работы рекрутинговых агентств. Более того, не за горами создание специальных отделов для сбора компрометирующей информации. А теперь представьте, что вы вообще не присутствуете ни в блогах, ни в социальных сетях. Вам не кажется, что такое поведение будет, как минимум, внушать подозрение?

Итак, как же быть? Использовать социальные сети – плохо. Не использовать? Тоже плохо.

Выход в чем? Выход в том, чтобы с одной стороны – использовать, а с другой – понимать, что эти записи будут доступны третьим лицам и их вполне можно использовать против вас. Нравится нам с вами или не нравится, но «Большой Брат смотрит за нами». И к этому пора привыкать!

[1] вид phishing-атак — spear-phishing (перевод – ловля рыбы с помощью копья/ дротика). Это узконаправленные

координированные атаки на организацию или конкретного пользователя с целью получения критически важных данных. В данном случае злоумышленник осуществляет более правдоподобный обман, максимально приближаясь к целевой группе и используя для маскировки внутреннюю информацию компании. Такая атака требует большего знания адресата, но она может быть и более успешной.