- PVSM.RU - https://www.pvsm.ru -

Социальные сети — новый серьезный источник киберугроз

Потери, связанные с утечками данных, к 2019 году достигнут по всему миру 2.1 трлн долларов.

В 2016 году киберпреступления обошлись глобальной экономике в более чем 450 млрд долларов [1], было похищено более 2 млрд личных документов. Более того, ускоренный перевод повседневной деятельности потребителей и корпоративного документооборота в цифровое пространство, по некоторым подсчетам [2], приведет к тому, что размер ущерба от утечек данных по всему миру к 2019 году вырастет до 2.1 трлн долларов.

image

С учетом масштаба проблемы, авторы проведенного в этом году исследования [1] предположили, что размеры большинства (59%) бюджетов на кибербезопасность увеличатся в ближайшие 12 месяцев по крайней мере на 5%, а каждая пятая компания станет тратить на кибербезопасность в сотни раз больше. Около половины (47%) компаний планируют увеличение кадрового бюджета на 5% или более того.

Очевидно, что даже блокчейн-сцена может позавидовать бюджетам, выделяемым бизнесами на решение вопросов безопасности и серьезности их подхода к этому вопросу. Как бы то ни было, у проблемы постоянного роста угроз в киберпространстве есть другая сторона, к сожалению, почти никак не связанная с качеством систем защиты, но обусловленная потребительским поведением.

Оставляя в стороне утечки данных в крупных корпорациях, давайте поговорим о мошенничестве, жертвами которого становятся рядовые члены общества [3], и о случаях когда успешность такого мошенничества напрямую зависит от действий жертвы. Даже самые продвинутые из доступных сегодня систем распознавания мошенничества с трудом справляются с задачей оценки человеческого фактора.

Кроме того, по мере роста разнообразия подключенных к сети устройств ежедневного использования, и по мере того, как мы помещаем все больше личной и профессиональной информации в сеть с помощью различных каналов — преимущественно социальных медиа — проблема начинает ощущаться все острее.

Еще важнее в данном случае тот факт, что разнообразие социальных СМИ и акцент на использовании различных типов данных: видео, фотографий, голоса, информации о местоположении, попытках соединения, телефонных номерах, информации об образовании и служебных сведений позволяют сопоставить все эти виды информации друг с другом для создания четкого и детального профиля человека. Мошенники сегодня могут беспрепятственно получить доступ [4] к образцам голоса потенциальной жертвы в социальных сетях, что позволяет им с легкостью обмануть биометрические системы проверки.

Культура излишней откровенности и слепая вера в социальные СМИ породили новый вид мошенничества. Около 20% аккаунтов социальных СМИ, ассоциирующих себя с международными брендами, на самом деле созданы мошенниками.

Около 20% аккаунтов [5] социальных СМИ, ассоциирующих себя с международными брендами на самом деле созданы мошенниками. Результаты опубликованного в марте исследования позволяют предположить, что среди всех распространенных в социальных медиа угроз быстрее всего набирает обороты фишинг, в рамках которого злоумышленники выдают себя за представителей реального бренда. Количество таких случаев выросло на 150% в 2016 году по сравнению с 2015 годом. По данным другого, проведенного в Великобритании исследования, например, выяснилось, что количество жертв хищения личной информации выросло на 57% [6], а преступники при этом вели свою «охоту» именно в социальных сетях.

Вдобавок к этому, по мнению профессионалов [5], одна из крупнейших проблем безопасности в социальных СМИ заключается в механизмах работы технологии и способах связи пользователей друг с другом, и, в особенности в «расшеривании» постов — одном из ключевых элементов социальных сетей. Многие платформы стремятся к дальнейшей интеграции с «реальным» миром [7], а интерес пользователей к «живому» видео и другим механизмам передачи событий в реальном времени очень велик.

Очевидно, что социальные СМИ как канал становятся все более и более насыщены персональной информацией всех типов, и, как следствие, все более удобным для мошенников местом успешного злоупотребления [8] человеческим фактором. Эксперты обращают внимание [9], что пока корпорации и правительственные агентства по всему миру обучают свой персонал думать дважды перед открытием любых электронных писем, хакеры уже перешли к новому виду атак, сделав своей целью аккаунты социальных сетей, где люди более склонны доверять незнакомым источникам.

Чтобы оценить масштабы вопроса, достаточно взглянуть, к примеру, на тот факт, что количество пользователей Facebook за последние 10 лет, выросло с 20 млн почти до 2 млрд человек [10]. И хотя мы, конечно же, не будем делиться какой-либо личной информацией с этими 2 млрд незнакомцев, повстречав кого-либо из них случайно в реальном мире, в социальных сетях это правило перестает работать: в них практически не существует препятствий, мешающих всякому пользователю довольно легко раскрыть личную информацию такому же количеству людей.

Кристи Террилл [11], партнер в международной консалтинговой фирме Bishop Fox [12], специализирующейся на вопросах кибербезопасности, недавно выдвинула важный тезис [10] о том, что информация, которую индивиды свободно публикуют в социальных СМИ, может быть (и вполне вероятно будет) использована против них же.

«Во многих случаях злоумышленники будут пользоваться социальными медиа в качестве инструмента [13] первоначального сбора информации для последующего социального инжиниринга своих целей. Совершенно неожиданно ваше сообщение в Твиттере о посещении конференции для руководителей может быть использовано для создания индивидуального фишингового электронного письма, содержащего вредоносную ссылку. Но даже если автор подобного письма может допустить очевидную ошибку, вероятность успешного обмана (клика по ссылке), в случае учета отдельных особенностей ситуации, возрастает», — отмечает Террил.

Более того, по сообщению Террил, LinkedIn также используется для «майнинга» электронных адресов, поэтому фишинговые письма, содержащие ссылки на вредоносные сайты или ПО для вымогания средств могут быть легко направлены на адреса организаций, сотрудники которых выбраны в качестве цели.

«С ростом популярности социальных СМИ по всему миру, преступники получили в свое распоряжение невиданный доселе набор возможностей для кражи личной информации или совершения онлайн-мошенничества».

Профессиональные маркетологи также отмечают рост количества попыток мошенничества в социальных сетях. Кент Льюис [14], президент и основатель Anvil Media, объяснил, как механизмы социальных сетей упрощают [15] хищение личных данных и обман:

«Социальные СМИ получают основную прибыль с таргетированной рекламы, точность и релевантность которой зависит от предоставленной пользователями личной информации. По этой причине они поощряют зарегистрировавшихся пользователей предоставить как можно больше информации о себе.

Из новостей на маркетинговом фронте следует отметить недавний патент Google, описывающий алгоритм оценки влиятельности отдельных участников социальных сетей. Такой подход, скорее всего, приведет к росту участия активных пользователей в жизни социальной сети, с целью получения очков влияния».

«С ростом популярности социальных сетей по всему миру, преступники получили в свое распоряжение невиданный доселе набор возможностей для кражи личной информации или совершения онлайн-мошенничества. Когда речь заходит о преследовании или хищении персональных данных, использование сайтов фото и видео обмена, таких, как Flickr и YouTube позволяет лучше изучить потенциальную жертву, ее семью, друзей, дом, любимые хобби и интересы», — добавляет Льюис.

Примечательно, что на прошедшей недавно конференции Worldwide Developers Conference в Сан-Хосе компания Apple объявила [16], что интеграция социальных медиа на уровне системы уходит в прошлое: аккаунты социальных сетей были удалены из настроек iOS 11, и, вероятно, будут заменены функцией автозаполнения. Сказать наверняка, связана ли эта мера с ростом количества киберопасностей в социальных сетях, или речь идет о простом усилении безопасности, нельзя. Как бы то ни было, согласно комментариям к бета-релизу, Apple закроет сторонним приложениям социальных сетей доступ к хранимым на устройствах компании данным аккаунтов их пользователей.

Возможно, что аналогичные рассуждения подтолкнули Salesforce к удалению интеграции с LinkedIn [17] из разделов социальных аккаунтов, контактов и лидов в конце прошлого года. Эта мера привела к тому, что все связанные с LinkedIn данные, включая информацию о профилях LinkedIn и взятые из социальной сети изображения пользователей, были удалены из Salesforce.

Автор: Wirex

Источник [18]


Сайт-источник PVSM.RU: https://www.pvsm.ru

Путь до страницы источника: https://www.pvsm.ru/informatsionnaya-bezopasnost/259514

Ссылки в тексте:

[1] 450 млрд долларов: http://www.hiscox.com/cyber-readiness-report.pdf

[2] по некоторым подсчетам: https://www.forbes.com/sites/stevemorgan/2016/01/17/cyber-crime-costs-projected-to-reach-2-trillion-by-2019/#37baa2ac3a91

[3] рядовые члены общества: http://wreg.com/2017/05/24/cyber-security-tracking-people-opening-up-trouble-on-social-media/

[4] могут беспрепятственно получить доступ: http://www.telegraph.co.uk/technology/2017/05/03/robot-speech-simulator-can-imitate-anyones-voice/

[5] 20% аккаунтов: http://www.darkreading.com/cloud/social-media-fraud-spikes-study-finds-/d/d-id/1326805

[6] выросло на 57%: http://www.bbc.com/news/uk-36701297

[7] интеграции с «реальным» миром: https://www.forbes.com/sites/jaysondemers/2017/01/18/are-we-moving-to-a-post-social-media-world/#7ca284b22394

[8] злоупотребления: http://socialnomics.net/2016/01/13/4-case-studies-in-fraud-social-media-and-identity-theft/

[9] обращают внимание: https://www.nytimes.com/2017/05/28/technology/hackers-hide-cyberattacks-in-social-media-posts.html

[10] почти до 2 млрд человек: https://www.forbes.com/sites/christieterrill/2017/04/28/what-you-need-to-know-now-about-cybersecurity-and-social-media/#2ac353613a16

[11] Кристи Террилл: https://www.linkedin.com/in/cgrabyan/

[12] Bishop Fox: https://www.bishopfox.com/

[13] в качестве инструмента: http://fortune.com/2016/11/11/social-media-cyber-scam/

[14] Кент Льюис: https://www.linkedin.com/in/kentlewis/

[15] упрощают: https://www.eonetwork.org/octane-magazine/special-features/social-media-networks-facilitate-identity-theft-fraud

[16] объявила: https://www.theverge.com/2017/6/5/15743010/apple-ios-11-wwdc-2017-facebook-twitter-social-accounts-login

[17] удалению интеграции с LinkedIn: https://releasenotes.docs.salesforce.com/en-us/winter16/release-notes/rn_sales_social_linkedin.htm

[18] Источник: https://geektimes.ru/post/290065/