Wednesday 29 October 2014

О спуф-вишинге, новом хитром мошенничестве по телефону

Фрагмент буклета "Нет мошенничеству"
Виртуозность мошенников меня иногда просто поражает. Как говорится, эту бы силу да в мирных целях! Но нет, инновационное мышление людей очень часто тесно связано с их желанием быстрого личного обогащения, нежели с желанием принести благо обществу. И вот уже мы имеем новый эффективный мошеннический прием под названием «спуф-вишинг» (комбинация английских слов spoofing «подделка», voice «голос» и phishing «фишинг»).

О том как бороться с фишингом, я уже писал довольно подробно. Напомню, что фишингом называются мошеннические электронные письма, которые выдают себя за нормальные письма, но при этом содержат «крючок», то есть ссылку на вредоносные интернет-ресурсы. На эту тему читайте мои статьи «О функции отката операционной системы Windows» (http://pomyslivden.blogspot.ca/2014/09/windows.html), «О фишинге и о том, как его избежать» (http://pomyslivden.blogspot.ca/2013/05/blog-post_10.html), «Что делать, если вы попались на крючок "фишинга"» (http://pomyslivden.blogspot.ca/2014/09/blog-post_19.html)

Вишинг – это фишинг по телефону. Это все эти невероятные, но мощные звонки типа «Ваш сын попал в аварию, срочно нужны деньги», «Ваш банковский счет заблокирован, срочно сообщите его номер и пароль», «Ваш компьютер заражен, срочно зайдите в Интернет и пройдите по ссылке, чтобы установить обновление», и т.д. Этот эффективный вид мошенничества уже довольно хорошо известен, хотя его жертвами регулярно становится множество людей, особенно пожилых. Подробно о том, как бороться с вишингом, я писал здесь: «О мошенничестве по телефону» (http://pomyslivden.blogspot.ca/2013/05/blog-post_8.html).

Спуф-вишинг – это хитроумный вишинг с небольшим техническим довеском. Его жертвами могут стать не только те, кто ведется на вишинговые технологии описанные выше, но и те, кто их распознает, как мошеннические!

Делается это так: по телефону звучит звонок «из банка»: «Ваш счет заблокирован» и бла-бла-бла. Они могут даже "в целях безопасности" посоветовать жертве положить трубку и тут же позвонить в банк. Здравомыслящий человек так и сделает. Он тут же наберет телефон банка и обсудит с человеком на другом конце линии, действительно ли счет заблокирован, и все так плохо. Если это действительно так, то происходит обсуждение того, что нужно сделать со счетом, чтобы защитить его.

Казалось бы, тема закрыта.

Не тут-то было. Этот здравомыслящий человек только что попался на спуф-вишинг. У мошенников есть теперь все данные о его счете или о его кредитной карте, и они немедленно снимают оттуда все деньги, оставляя за собой еще какой-нибудь овердрафт, за который жертве придется платить пеню.

Как это произошло?

Вся проблема была в том, что жертва позвонила в банк тут же и с того же телефона, на который был получен мошеннический звонок. Жертва трубку положила, но мошенники этого не сделали и остались соединенными с жертвой, тогда как она подумала, что связь прервана. Жертва стала набирать новый номер, но в результате продолжила общаться с теми же самыми мошенниками, которые позвонили в начале. Те конечно же «подтвердили наличие проблемы» и, облеченные доверием жертвы, добыли у нее всю информацию о ее банковском счете. Если бы это мошенничество не приводило к печальным результатам потери денег, то его можно было бы назвать изящным!

Для пущей убедительности с помощью вполне доступного технического устройства мошенники могут заставить дисплей жертвы показать, что звонят действительно с телефона банка. Иначе говоря, мошенник звонит с телефона А, а дисплей жертвы показывает, что звонят с телефона Б. Этот телефон Б конечно же известен жертве и, соответственно, считается ею безопасным.

Если другого телефона поблизости нет, то специалисты рекомендуют перезванивать в банк (или полицию) как минимум через две минуты после окончания разговора.

Многие ошибочно думают, что по безопасному электронному адресу или по известному телефонному номеру можно обсуждать банковский счет, сообщать пины, пароли и т.д. Это неправильно. Во-первых, злоумышленники могут подслушать разговор по телефону или перехватить электронное послание (особенно если в теме письма написано "Пароль"). Во-вторых, банки утверждают, что никогда по телефону или по электронной почте они не будут делать следующее:

- запрашивать ПИН (персональный идентификационный номер) или любые банковские пароли;
- посылать своего представителя к клиенту с целью сбора денег, банковских карт и т.д.
- Запрашивать по электронной почте или СМС любую частную или банковскую информацию;
- присылать электронное письмо со ссылкой на веб-страницу, где нужно будет вводить пароль;
- запрашивать разрешение (авторизацию) на перевод денег на новый счет, на физическую выдачу денег со счета какому-либо лицу;
- звонить, чтобы посоветовать покупать драгоценные камни, землю, золото и т.д.
- просить совершить тестовую транзакцию по Интернету;
- предлагать банковские услуги через неофициальное банковское приложение для мобильных телефонов.

Соответственно, если кто-то предлагает сделать что-то из этого списка, это мошенник. Чтобы убедить жертву в обратном мошенник может показать какой угодно документ, быть каким угодно убедительным. Нельзя на это попадаться, ведь к их услугам сегодня - мощнейшая копировальная техника.

В наше время уже недостаточно быть бдительным чтобы избежать мошенничества. Необходимо быть еще и информированным. Поэтому привожу несколько ссылок по теме статьи (по-английски):

16 % - those polled by BBC who said they would “call their bank or the police immediately” if they received a call they suspected was fraudulent, and would do so from the SAME phone, leaving them vulnerable to “vishing” (https://www.bba.org.uk/news/press-releases/poll-finds-millions-leave-themselves-open-to-scams-as-banks-launch-campaign/)

kNOw Fraud Campaign: http://www.bba.org.uk/landingpage/know-fraud/

8 things the bank will never do: http://www.bbc.com/news/business-29597870

New 'number spoofing' scam nets millions for fraudsters: http://www.bbc.com/news/business-29805002#

Wednesday 22 October 2014

Об аварии на российском сухогрузе "Симушир" у берегов Канады

На борту "Симушира" было 400 тонн мазута
На прошлой неделе полусонная жизнь немногочисленных обитателей отдаленных тихоокеанских островов Хайда Гвайи (ранее острова Королевы Шарлотты) была нарушена довольно странным происшествием. Недалеко от этой канадской территории, которая славится своей чистотой и природными богатствами, потерял управление российский сухогруз Симушир. На своем борту корабль нес около 400 тонн флотского мазута и 50-ти тонн дизельного топлива. По морским меркам это был небольшой корабль, куда меньше супертанкеров,способных нести на своем борту в сотни раз больший груз. Симушир, казалось, был покинут людьми и свободно дрейфовал вдоль побережья этих почти не тронутых цивилизацией островов.

У островов Хайда Гвайи в тот день погода была хорошая, штормов и сильных ветров не ожидалось. Благодаря этому Симушир не приблизился к скалистым берегам ближе, чем на 17 километров. Если бы погодные условия были хуже, что часто бывает в этих местах, его бы быстро отнесло к скалистому берегу, где он бы сел на мель. Столкновение повредило бы сухогруз, и мазут с дизельным топливом стали бы вытекать из него в океан. Это бы нанесло сильнейший удар по богатой морской природе островов, канадскому правительству пришлось бы потратить миллионы долларов и много времени на ликвидацию последствий такой экологической катастрофы.

К счастью, катастрофы в этот раз не произошло. По оценке специалистов, островам Хайда Гвайи просто повезло, особенно учитывая, что первый морской буксир появился на месте происшествия только через 20 часов после того, как потерявший управление корабль был замечен береговой охраной. Все это время корабль был в полной власти природы. Но даже после того, как буксир подплыл к Симуширу, первые попытки удержать его были неудачными. Когда канадский корабль береговой охраны Гордон Рейд попытался отбуксировать Симушир, его тросы три раза лопались. Кроме того, мощности самого буксира оказалось недостаточно для этой задачи. Совершенно случайно недалеко оказался американский буксир Барбара Фосс, обладавший гораздо большими мощностями. Он пришел на помощь незадачливым канадцам и смог отбуксировать Симушир в ближайший крупный канадский порт Принц Руперт. Однако, если бы Симушир оказался супертанкером, то и Барбара Фосс была бы бесполезной. Специалисты уже высказались, что огромный дрейфующий нефтяной супертанкер невозможно долго удерживать вдали от берегов с помощью швартовочных тросов и среднего размера буксиров. Своей огромной массой он быстро разорвал бы любые тросы и продолжил бы свободно дрейфовать, пока не сел бы на мель. Тысячи тонн нефти вытекли тогда бы в океан.
Буксир "Барбара Фосс" - герой аварии на "Симушире"
Возникают вопросы, конечно, относительно причин потери управления Симуширом российской командой. Корабль был на вполне законной и запланированной миссии перевоза топлива и грузов из американского порта Эверетт штата Вашингтон в Россию. Сначала местные канадские СМИ сообщили о том, что с капитаном корабля что-то произошло, вроде инфаркта, и его некому было заменить из команды. Согласно другой, подтвержденной версии, на корабле сломался механизм подогрева топлива. Аварийной системы подогрева топлива на Симушире почему-то не оказалось. В любом случае в планы российских моряков вмешалась неожиданность, к которой они оказались неготовы, и в результате они потеряли управление кораблем. В этот раз все обошлось, но в худшем случае последствия отсутствия готовности экипажа к экстренным ситуациям могли быть плачевными.

Иначе говоря, авария, произошедшая с Симуширом, случилась при поразительно счастливых обстоятельствах: спокойной погоде, небольшом размере потерпевшего корабля, случайном появлении невдалеке американского буксира, который смог оттащить Симушир от скалистых берегов. Стоит ли и в дальнейшем надеяться на такую удачу? Учитывая, что нефтедобывающая компания Энбридж собирается протянуть нефтепровод из Альберты к тихоокеанскому Китимату (совсем недалеко от Хайда Гвайи) и грузить там супертанкеры, корабельное движение в местных водах существенно увеличится. Это будут не корабли среднего размера, как Симушир, а огромные, в километр длиною супертанкеры до краев наполненные сырой нефтью. Удача в один день повернется к девственному тихоокеанскому побережью Северной Америки совсем другой своей стороной. (О проекте компании Энбридж "Северные ворота" и проблемах, с ним связанных, я писал здесь: http://pomyslivden.blogspot.ca/2014/06/blog-post_18.html). Причем, это лишь вопрос времени. Можно создать какую угодно продвинутую систему реагирования на танкерные аварии, но нельзя контролировать погоду или суда чужих государств, особенно если в этих государствах раздолбайство превозносится как неотъемлемая черта национального характера.

Это далеко не первая подобная критическая ситуация, случившаяся у тихоокеанского побережья Северной Америки. В 1989 году танкер Экскон Вальдес сел на мель у берегов Аляски, пролив в окружающие воды 35 тысяч тонн сырой нефти. В 2006 году огромный паром Королева Севера затонул у берегов северной Британской Колумбии. Мазут из его баков до сих пор загрязняет воды заповедного морского пути Внутренний Пролив. Дрейфующий Симушир послал еще один тревожный звонок тем, кто обеспокоен сохранением экологии этого девственного региона. Факты свидетельствуют о том, что пока танкеры плавают в местных водах, опасность разлива нефти будет сохраняться. Чтобы в корне предотвратить экологические катастрофы подобного рода, нужно уменьшать зависимость человечества от нефти. Пока это не произошло, необходимо вкладывать деньги в систему аварийного реагирования, хотя это не решит проблему на 100%. И уж точно не стоит рассчитывать на удачу.

Friday 17 October 2014

Очередной солнечный удар Михалкова

В своем новом фильме «Солнечный удар» его автор Никита Михалков размышляет посредством своих героев о том, как так получилось, что прекрасная царская Россия исчезла, что переворот, совершенный марксистами-террористами и пьяной матросней, был столь успешным. Как так произошло, что необученный нелюдь в лице комиссаров Бела Куна и Землячки восстал против царского офицера и смог прогнать его из его же страны. Произошло это всерьез и надолго, а значит в этом не было случайности. В результате с великой многовековой российской цивилизацией было решительно покончено, на смену ей пришел пробирочный большевистский уродец, который тем не менее смог набрать силу и просуществовать почти целый век, кардинально повлияв на развитие всего человечества в этом веке.

Ответ Михалкова на эти вопросы таков: слишком много свободы давала царская элита всяким либералам, оппозиционерам и «дарвинистам», слишком мягко к ним относилась, предпочитая о своей чести думать, нежели о спасении России. Надо было пожестче, заразу надо было уничтожать решительно и быстро, чтобы она не смогла распространиться на всю страну и привести к цивилизационной катастрофе. Так же к инакомыслию стоит относиться и сейчас, чтобы в очередной раз не потерять великую империю.

Вне сомнения, путинскому руководству новый фильм Михалкова очень понравится именно этим свои призывом к «тотальной мобилизации» и к «закручиванию гаек». В ситуации, когда жизнь в стране становится все хуже и хуже, в ее руководящих кругах не может не возникнуть желание найти козла отпущения и публично выпороть его за все беды так, чтобы никому неповадно было «блеять», когда «настоящий мужик» изо всех сил пытается реанимировать империю.

Конечно этим козлом отпущения путинской властью будут назначены критики режима, что не в них совершенно дело, и что настоящими врагами России и ее народа являются кремлевские карлики, которые своим руководством привели страну в ее теперешнее тяжелое положение, и место которых уже давно на свалке истории, а с недавних пор - еще и на скамье обвинямых международного Гаагского трибунала.

Если Михалкова действительно беспокоит судьба страны, то ему нужно прежде всего честно подумать о своем личном вкладе в трагедию России. В этом смысле нам есть что вспомнить о том, что еще несколько десятилетий назад он изо всех своих недюжинных творческих сил воспевал большевиков и революцию.
развлекает своего главного поклонника...
На память конечно сразу приходит его первый фильм «Свой среди чужих, чужой среди своих» (1974), пронизанный романтикой революции. Благодаря яркому актерскому и режиссерскому таланту Михалкова, фильм получился очень успешный. В одном из недавних интервью Михалков признался, что сейчас он такой фильм бы уже не снял, но, как говорится, лошадь уже покинула стойло. Фильм был снят, и свою роль в деле одурманивания людей большевистским враньем он произвел.

Многие из тех, кто совершили переворот 1917 года, тоже впоследствии пожалели о том, что они сделали, но джин был уже выпущен из бутылки, и обратно его было уже загнать невозможно. То же самое можно сказать и о первом фильме Михалкова.

Далее был не менее популярный фильм «Раба любви» (1975), в котором Михалков опять высказался в пользу революции. Правда, он сделал там это несколько косвенно, ведь фильм все-таки повествует о первых шагах кинематографа. Однако несомненно, что его автор восхваляет большевизм.

После этих двух откровенно сервильных работ Михалков начинает находить свой собственный голос. Михалков – это Чехов кинематографа, его сильной стороной является высокое мастерство в изображении тонкой психологической драмы, которую он может рассказать увлекательно, используя множество эффектных деталей, световых полутонов и красивой музыки. Именно поэтому так хороши его «Неоконченная пьеса для механического пианино», «Пять вечеров», «Обломов», «Утомленные солнцем», «Сибирский цирюльник», «12».

Беда Михалкова в том, что вместо того, чтобы размышлять о душевных противоречиях русского человека, его так и тянет решать проблемы России. Этим грешили многие русские классики, которые, по точному выражению Д.Быкова, подобно Тургеневу «даже на охоту пойдут, а увидят вместо природы, как простой народ страдает». И поскольку именно литературно русские особенно богато одарены, их стон о судьбах России немало сделал для того, чтобы «разбудить лихо, пока оно спало тихо».

Языком 20-го века стал кинематограф – и русские смогли на нем тоже очень заметно высказаться. Фильмы Эйзенштейна, Тарковского, Кончаловского, Звягинцева и других великих российских режиссеров – тому пример. Михалков овладел этим языком прекрасно и научился выражаться с его помощью совершенно внятно, доходчиво и красиво. «Солнечный удар» так и сделан. Очевидно, что это очень сильное произведение: с его премьеры в Сербии многие уходили в слезах.

Обидно и странно, что Михалков снова впал в провластный экстаз и со всей своей мощью создал новый гимн правящему режиму, который прямиком восходит к столь ненавидимому им советскому уродцу. Путин не скрывая тоскует по советскому прошлому, созданному комиссарами Бела Куном и Землячкой. Хотя Михалков раскаивается в своем раннем «революционном романтизме», ничуть не лучше его нынешнее государственное подобострастие. В своей ретивости он весьма преуспел – его осыпают различного рода наградами, дают крупные бюджеты на творчество. Но эти достижения мнимые. Михалкову может казаться, что он близок к власти и влияет на нее, хотя на самом деле в глазах путинской мафии он является всего лишь ее орудием, «полезным идиотом», как о таких людях отзывался Ленин.

Венецианский кинофестиваль даже не ответил на заявку Михалкова о принятии картины к просмотру – со стороны это михалковское лакейство перед Путиным видно невооруженным глазом. Жаль, что в России оно не столь очевидно!

«Солнечный удар» на самом деле работает не против комиссаров и их насильственных преобразований, а на них. Сотрудник КГБ Путин – прямой преемник вероломной и подлой большевистской традиции, согласно которой ради достижения нереальных целей в жертву можно принести престиж страны, благосостояние народа и любое его количество. История показывает, что в результате цели не достигаются, жизнь людей ухудшается, страна оказывается отброшенной в своем развитии на десятилетия назад, она теряет своих людей и друзей. Ущерб, совершаемый Михалковым по отношению к России таким образом, весьма велик, поскольку фильм «Солнечный удар» создан талантливой и высокопрофессиональной рукой. Этот бы талант да в правильное русло исследования необъятной русской души! Но нет, Михалков предпочитает присоединить свой отчетливый голос к властному шипению «Не пущать!» Наверняка его призывы будут услышаны в Кремле, и он еще увидит гибельные результаты своей деятельности.

Tuesday 7 October 2014

Темная сторона Интернета вещей

Так умный этот холодильник, или нет?
Один из свежих местных деловых журналов вышел в свет с любопытной статьей «Как Интернет вещей изменит будущее». В ней автор рисует привлекательную картину будущего мира, в котором многие устройства нашего быта будут подсоединены к Интернету. Судя по примерам, которые приводит автор в статье, это будущее уже наступает, поскольку многие «умные» устройства уже сегодня можно купить. К ним, например, относится электрозубочистка, которая посылает по Интернету данные о качестве чистки зубов; скороварка, которой можно управлять с помощью специального мобильного приложения; «умная» лампа модели Филлипс Хью с дистанционно управляемой силой освещения и т.д. Как становится понятно из этих примеров, Интернет вещей (ИВ) означает компьютерную сеть, к которой можно присоединить «умные» устройства и управлять ими дистанционно через эту сеть. Такой будет уже в ближайшем будущем суть жилой инфраструктуры большой части нашей планеты. Автор статьи не скрывает своего энтузиазма по поводу этого будущего и призывает всех присоединяться к нему как можно скорее.

Вполне возможно, что наше будущее – действительно за «умными» устройствами. Однако я с огорчением не обнаружил в статье размышлений по поводу информационной безопасности этих устройств, хоть каких-то беспокойств относительно того, что с их помощью очень много сведений о нашей частной жизни будет превращаться в биты и пересылаться по Интернету. В своей статье я попробую снять розовые очки автора и вкратце дополнить изображаемую им картину взглядом на «умные» вещи через призму информационной безопасности.

Потенциальные проблемы «умного» мира в этом смысле довольно очевидны. Те же самые хакеры, которые сегодня пытаются украсть наши пароли, историю браузинга, гео-данные и т.д., с не меньшим желанием будут пытаться взломать «умные» устройства – чтобы зло пошутить над их владельцами, или устроить что-нибудь похуже. Возможно ли это технически? Стоит ли беспокоиться владельцам этих устройств?

К сожалению, ответ на оба эти вопроса – уверенное «Да!». Тому подтверждение – большое количество уже зафиксированных взломов. Например, в начале этого года специалисты обнаружили целую «зомби»-сеть из десяти тысяч устройств, подключенных к Интернету, состоящую из раутеров, медиа-плееров, телевизоров и даже холодильников! Поскольку у каждого из этих устройств имеется IP-адрес, их вполне можно было использовать в качестве «ботов» для рассылки спама (назойливой рекламы). Что и было сделано хакерами: «зомби»-сеть разослала к моменту открытия свыше 750 тысяч рекламных писем.
Умный дом: масса возможностей для подключения к Интернету
и сбору информации о жильцах!
В другом случае хакер взломал видео-монитор для детской комнаты, в результате чего он смог включать произвольно монитор, слышать и видеть все, что происходило в детской комнате, и даже говорить через него с ребенком. Взлом был обнаружен совершенно случайно, когда мама двухлетнего сына проходя мимо его спальни вдруг услышала, как кто-то внутри ругается отборным матом. К своему величайшему удивлению она узнала, что источником мата был ее собственный монитор! Дальнейшее расследование выяснило, что для дистанционного взлома устройства «шутнику» необходимо лишь было его обнаружить в Сети, а затем нажать ОК в диалоговом окне без введения логина и пароля. После этого взломщик получал полный контроль над устройством. Когда узнаешь такие факты, поневоле закрадывается подозрение, что производитель этого монитора фирма Фоскам совершенно не задумывалась о защите своего устройства от взлома проектируя его.

В третьем случае исследователь недавно продемонстрировал на ежегодной конференции «хакеров» Деф Кон как возможно дистанционно взломать вышеупомянутую лампу Филлипс Хью и устроить таким образом «абсолютную тьму» в доме, где эта лампа используется. Жаль, что автор восторженной статьи об ИВ внес эту лампу в свой список «клевых» «умных» устройств, но забыл упомянуть о любопытном факте ее взлома.

В Интернете можно найти множество подобного рода историй. Они случаются потому, что часто все, что нужно для их взлома, это обнаружить их IP адрес. Совершенно открытый поисковый механизм Shodan легко поможет это сделать. В своей спешке продать «умные» устройства их производители редко задумываются о возможности как-то обезопасить их от взлома или хотя бы дать возможность пользователю обновить программное обеспечение в случае, если уязвимость обнаружена. Хакеры этим мгновенно пользуются.

А перспективы для них в мире ИВ просто захватывают дух. Здесь есть «интересные» возможности и для злой шутки, и для воровства, и для быстрого обогащения нечестным путем, и для сведения каких-либо счетов, и для тайной слежки со стороны нечистой на руку государственной организации. Например, взлом «умной» системы температурного контроля дома позволит чужому человеку узнать, сколько людей в этом доме, и где они находятся (и в доме ли они вообще). С помощью взломанных механизмов подобного рода можно рассылать спам, порнографию, вредоносные программы, взламывать банковские счета, атаковать другие компьютеры, и т.д. Владелец же взломанной «умной» вещи может об этом даже не подозревать.

Специалисты по информационной безопасности бьют тревогу с момента появления первых «умных» устройств на рынке. На специализированных конференциях тема ИВ обсуждается очень активно (например читайте мои соответствующие комментарии к 15-ой Ежегодной международной конференции по проблемам информационной безопасности и охране частного пространства, здесь http://pomyslivden.blogspot.ca/2014/02/blog-post_8.html). Проблемы с ИВ вырисовываются такие: «умные» вещи часто или совершенно не защищены или очень плохо защищены от взлома, они передают по Интернету массу чувствительной информации о нашей частной жизни, взломщики могут с легкостью получить доступ к этой информации, владельцы «умных» вещей часто не знают о проблеме или не имеют возможности ее решить технически с помощью обновлений, существующая модель судебного преследования не может предотвратить подобный взлом. В самом деле, если неизвестные хакеры пользуются Интернет-адресом моего холодильника, чтобы воровать деньги в банке, то кто будет отвечать за их действия?

Экономика ИВ действительно будет расти в ближайшее время взрывоподобно. Ожидается, что доходы от этого сектора будут приносить до 300 миллиардов долларов прибыли к 2020 году, как об этом сообщает аналитическая компания Гартнер. К 2020 году около 26 миллиардов «вещей» будет подключено к Интернету. Тогда же каждая американская семья с двумя детьми будет иметь до 50 «умных» вещей дома.

Будущее у этого сектора большое, но не стоит в него рваться в качестве подопытной свинки. Я бы подождал, когда производители научатся эффективно защищать свои устройства, и когда это будущее станет чуть более безопасным.