В последнее время одним из самых эффективных способов распространения вредоносного ПО является социальная инженерия. Как показывает практика, дыры в ПО рано или поздно закрываются, а в у пользователей все обстоит не так радужно.

К примеру, не так давно Microsoft выпустила патч отключающий автозапуск с флэш-накопителей. Да и многие антивирусные продукты взяли на вооружение запрет файла autorun.inf. Казалось бы это должно уменьшить волну вирусов, использующей для распространения съемные диски. Нет! Почему..? Врожденное любопытство толкает людей на многие необдуманные поступки. Раз нельзя автоматически запустить, надо заставить пользователя сделать это!

В данной статье сгруппированы самые распространенные методы социальной инженерии, которые используют злоумышленники для распространения вредоносного ПО и даты некоторые советы по защите.

1. Подмена иконки файла

Исполняемый файл маскируется под папку, легитимное приложение, либо тип файла с помощью соответствующей иконки. Вечно спешащий пользователь кликает мышкой и запускает файл на исполнение.

Защита:
Приучите себя использовать файловые менеджеры типа Total Commander и т.п.
Если вы все-таки используете проводник Windows, старайтесь работать с табличным отображением файлов и обращать внимание на тип файла, прежде чем щелкать по нему мышью (особенно при работе с файлами со съемных и сетевых дисков).

2. Интригующее название файла

Интригующее название исполняемого файла, подбивающее пользователя запустить его (например, «Не открывать.scr»).

Защита:
 У грамотного пользователя подобные названия сразу должны вызывать подозрения. Проверьте тип файла в файловом менеджере, если это *.exe, *.scr, *.bat, *.vbs, то лучше не надо его трогать. Если это исполняемый файл, а запустить его все равно хочется, проверьте его локальным антивирусом, либо на любом из online-сервисов антивирусной проверки, например, http://www.virustotal.com/ , правда первые несколько дней свежые вирусы практически не детектируются антвирусами.

3. Игра на стремлении пользователя получить доступ к вожделенному контенту

Пользователь завлекается на сайт злоумышленника, под предлогом доступа к контенту (видео, например) ему предлагается скачать кодек\драйвер\распаковщик. Любопытство в очередной раз берет верх над разумом…

Защита:
Никогда не переходите по таким ссылкам и тем более не запускайте если все-таки скачали. Да, установка специального кодека для просмотра видео, например, необходима на некоторых легальных сайтах.  В таких случаях требуемый кодек нужно скачать и установить с сайта разработчика.
Используйте антифишинговые фильтры встроенные в современные браузеры и антивирусы, не игнорируйте их предупреждения.

4. Имитация живого общения

То, что на электронную почту и в различные мессенджеры приходят сообщения с мольбами отправить SMS или перейти по ссылке уже никого не удивляет, к счастью большинство пользователей научились не обращать на это внимание. Поэтому злодеи осваивают новые способы.
В январе этого года пользователи ICQ подверглись атаке вируса «Piggy.zip» или "H1N1", который заражая компьютер пользователя, рассылалась всем его контактам, мало того, в ответ на фразы вроде «Это что за вирус???» и «Ты бот?», вполне логично отвечал «Нет, это флешка про свинью, глянь :)» или «Сам ты бот =».
Как показал анализ кода, вирус просто ищет в сообщении ключевые слова (спамер, вирус, бот и т.п.) и выкидывает фразу как-то коррелирующую со смыслом ключевого слова. При всей простоте реализации «интеллекта» такой подход оказался чрезвычайно эффективным! Очень многие пользователи, считавшие себя относительно продвинутыми в области компьютерной безопасности попались на крючок. Страшно подумать, что будет если встроить нормальный чат-бот в подобного трояна… Справедливости ради стоит отметить, что первый подобный случай был в 2005.

Защита:
Не принимайте файлы и не переходите по ссылкам, полученным от незнакомых контактов.
При приеме файлов, даже от лучших друзей, обращайте внимание на подозрительную смену стиля и манеры общения, лучше еще несколько раз попросить описать содержимое файла.

5. «Дорожное яблоко»

Благодаря тотальному удешевлению различных носителей информации, в частности флэш, злоумышленник может не пожалеть подбросить диск или флэшку с трояном прямо вам на порог. Жгучее желание посмотреть что же там такое, скорее всего, возьмет верх, пользователь подключит диск и активирует вирус (вполне возможно одним из вышеперечисленных способов), чего и добивался злоумышленник! Sicness уже рассказывал про свой опыт подкидывания «яблока».

Защита:
Проверять на отдельной изолированной машине все поступающие в компанию из непроверенных источников носители информации.
Если вы работаете в серьезной компании и «вдруг» что-то нашли по дороге на работу следует воздержаться от самостоятельных экспериментов и передать носитель в службу IT-безопасности для проверки.
С другой стороны, если вы обычный студент или водопроводчик, вряд ли кто-то будет специально разбрасывать перед вами флешки. Тем не менее, лучше проверять находки на содержимое в виртуальной машине.

6. Эксплуатация страхов пользователя

Как правило, человека пытаются убедить в том, что его компьютер кишит вирусами, личные данные и пароли утекают хакерам, с его IP, якобы, рассылается спам и т.д. Для решения всех проблем предлагается незамедлительно скачать и установить некий «антивирус» (будьте внимательны, многие из этих «решений» полностью копируют интерфейс широко известных продуктов). После установки происходит либо блокировка системы, с требованием оплатить «лицензию продукта», либо просто на компьютер пользователя в больших обемах скачиваются другие вирусы и трояны, с каким угодно функционалом.

Защита:
Никогда не реагируйте на предупреждения, всплывающие на разных сомнительных сайтах о том, что ваш компьютер заражен, вам угрожает опасность и т.п.
Пользуйтесь только известными марками антивирусов, всегда скачивайте дистрибутивы исключительно с официального сайта компании.

Источник: http://habrahabr.ru/