Киберпандемия: как карантин изменил ландшафт угроз в киберпространстве
Для того чтобы понять, что именно происходит в интернет-пространстве, стоит в первую очередь обратить внимание на изменение трафика в период пандемии. На рис. 1 представлены показатели миланской точки обмена трафиком Milan Internet eXchange – одной из самых больших в Европе и крупнейшей в Италии.
Рис. 1. Динамика интернет-трафика на точке обмена трафиком Milan Internet eXchange
Можно увидеть, как в феврале 2020 года, в разгар эпидемии в Европе, интернет-трафик на этой точке практически одномоментно вырос почти в 1,5 раза. В других европейских странах наблюдалась схожая ситуация: у местных провайдеров домашний и общий трафик увеличился от 40 до 80%.
В России долго не верили, что нам грозит такой же всплеск, но наступил конец марта – ввели ограничения, связанные с самоизоляцией, и на московской точке обмена трафиком MSK-IX мы увидели схожую по сути картину (см. рис. 2).
Рис. 2. Динамика интернет-трафика на точке обмена трафиком MSK-IX
По мнению многих руководителей, профиль поведения пользователей в интернете не должен был поменяться, ведь нет никакой разницы – работают они из офиса или из дома. Однако, как показывает статистика, паттерн существенно изменился, трафик вырос, что в итоге привело к изменению и ландшафта киберугроз в онлайн-среде.
В таблице 1 представлена динамика изменений трафика онлайн-ресурсов Рунета в период пандемии. Объем трафика многих ресурсов существенно сократился, в то время как интерес аудитории переключился на ряд других сервисов, которые стали испытывать пиковые нагрузки.
Таблица 1. Изменение трафика онлайн-ресурсов Рунета в период распространения коронавируса
Все, конечно, ожидали многократного увеличения трафика на сервисы онлайн-образования. Данная сфера действительно выросла, но меньше чем на 3%. Это значительное изменение, учитывая, что оно произошло всего за несколько дней, но есть целый ряд сервисов, которые выросли еще более стремительно. В их число входят Форекс и криптобиржи – яркое подтверждение тому, что люди пытаются обратиться к сервисам, которые могли бы им помочь сохранить, преумножить финансовые накопления или даже их создать при исчерпании прежних запасов денежных средств.
И здесь необходимо напомнить пользователям: при инвестициях, например, в ту же криптовалюту следует, взвесив все риски, обращаться к надежным криптобиржам, не останавливаясь на первом попавшемся сервисе, который может попросту оказаться фишинговым. Инвестиционные решения должны приниматься взвешенно, а не на эмоциональном уровне, как бы сложно ни было это делать в этот период.
Помимо финтеха, резко выросла индустрия видеосервисов. Причем если трафик легитимных сервисов вырос на 5,32% процентов, то трафик ресурсов, распространяющих пиратский контент, увеличился до 20%.
Пиратским сайтам нужно доверять с большой долей опаски, потому что среди них, кроме, зарабатывающих исключительно на рекламе ресурсов, есть и те, через которые распространяется вредоносное программное обеспечение: различного рода вирусы, трояны и пр. Руководителям компаний обязательно нужно учитывать, что их сотрудники, работая из дома, скорее всего, посещают подобные ресурсы, и на их рабочие или домашние компьютеры так или иначе могут попасть вредоносные программы, что будет угрожать безопасности корпоративных систем. Поэтому необходимо позаботиться о защите устройств, с которых осуществляется работа с корпоративным ПО: антивирусная защита, возможно, контроль доступа к сайтам и прочие корпоративные политики в зависимости от стратегии информационной безопасности организации (такая стратегия, конечно, должна быть предварительно сформирована и утверждена руководством).
Хотелось бы обратить отдельное внимание на рост трафика общественных организаций, в том числе, религиозных сервисов – от 30% до 500%. Возможно, это связано с тем, что многие верующие люди, находящиеся дома, участвуют в службах по видеосвязи, а также активно интересуются взглядом духовенства на текущую ситуацию.
Косвенно это может свидетельствовать о кризисе доверия к «светским» официальным источникам, таким, например, как Минздрав. Многие люди начинают обращаться к сторонним организациям, включая религиозные, которые со своей точки зрения могут хоть как-то им объяснить происходящее в мире.
Почему это важно? Общий кризис доверия неизбежно провоцирует рост числа успешных фишинговых атак по телефону и в интернете. Сегодня отличить реально звонящего сотрудника банка от преступника для среднестатистического пользователя становится гораздо сложнее, чем в обычное время. Хотя бы потому, что человек просто не справляется с огромным потоком входящей информации, как в случае с запущенным глобальным фейком про связь сетей 5G и распространения коронавируса.
Чтобы не попадаться на уловки мошенников, рядовому пользователю нужно очень четко проанализировать свои источники доверия, прибегнуть к самодисциплине при использовании любых интернет-ресурсов. В частности, не пересылать конфиденциальную информацию через мессенджеры социальных сетей: номера банковских карт, ПИН-коды, паспортные данные, пароли. Не доверять даже старым знакомым, которые просят одолжить деньги в мессенджере (или по телефону), в обязательном порядке перезванивать им для подтверждения, что аккаунт не взломан, а знакомый номер – не трюк IP-телефонии.
Как и раньше, крайне не рекомендуется переходить по ссылкам на веб-страницы банка, полученным, например, в SMS или письмах электронной почты. Если клиенту приходит подобное сообщение со ссылкой на личный кабинет банка, ему необходимо самому открыть окно браузера и ввести этот адрес вручную. В процессе ввода нужно удостовериться, что браузер демонстрирует подсказки адресной строки – знак того, что этот сайт банка пользователь ранее вами посещался.
Кризисный DDoS
Малый и средний бизнес сейчас, как и всегда в кризисных ситуациях, находится под особенным ударом киберпреступности: по данным компании Qrator Labs, с февраля по апрель 2020 года DDoS-атаки выросли практически во всех сегментах.
В ряде случаев этот рост был стабильно связан с переделом рынка. В сложившейся ситуации в мире работа в сфере онлайн-ритейла для многих компаний является единственным способом сохранить свое существование. Поставленные на грань коллапса предприниматели будут прибегать, в том числе, к услугам игроков теневого рынка, чтобы привлечь больше клиентов, «отобрав» их у конкурентов. Для бизнеса очень соблазнительной может выглядеть перспектива «положить» сайт своего соперника на 2– 3 дня, в результате «отжав» у него часть клиентской базы.
Так, вслед за отменой (или переносом) большинства ключевых спортивных событий снизился интерес к сервисам ставок на спорт (–4,92%), при этом DDoS-атаки в этом сегменте бизнеса выросли практически в три раза. Это является наглядной иллюстрацией того, как в условиях кризиса и сокращающегося рынка некоторые игроки не брезгуют прибегать к внерыночным методам конкурентной борьбы. Аналогичная ситуация на рынке электронной коммерции и онлайн-магазинов – прирост числа атак здесь составил 183%.
Показателен рост кибернападений на сервисы образования – порядка 35% в среднем, а в ряде случаев – даже в разы. Это легко объясняется тем, что базовый инструментарий DDoS-атак стал доступен не только опытным программистам, но и подрастающему поколению. А значит, при желании сорвать урок школьники уже вполне могут самостоятельно «DDoS-ить» образовательные порталы или, возможно, даже находить финансирование для использования услуг сторонних исполнителей. В связи с чем растут риски для занятых в этом сегменте организаций, потому что если взрослые злоумышленники обычно ведут себя несколько осторожно, с оглядкой на УК, то начинающие киберпреступники не видят никаких границ, ставя порой под угрозу само существование компании-жертвы в результате проводимых ими атак.
В сложившихся условиях бизнесу нужно в обязательном порядке думать о защите от DDoS-атак, взломов и кражи данных: получение злоумышленниками доступа к базе, удаление базы товаров, базы пользователей, утечки информации – все это уже процветает в сферах малого и среднего бизнеса.
ИТ-специфика самоизоляции
Карантин внес коррективы в работу всех компаний. Сотрудники, работающие из дома, получают удаленный доступ к ИТ-системам организации: бухгалтерии, CRM-системе, и у конкурентов возникает отчетливый соблазн парализовать работу своих оппонентов еще одним способом. Сделать это можно с помощью атак на VPN-шлюз – аппаратно-программный комплекс криптографической защиты трафика данных, голоса, видео на основе шифрования, который используется для подключения к удаленной сети.
Основная проблема с защитой VPN-шлюзов состоит в том, что его технологии вообще не похожи на веб-сайты, и в мире есть лишь считанное число провайдеров, которые могут защитить VPN-шлюз от DDoS-напасти.
При организации удаленной работы этот нюанс обязательно нужно учитывать. По возможности не стоит располагать шлюз в очевидных местах, например, в известной всем корпоративной сети, при этом нужно постараться организовать его защиту. Конечно, такая нелегитимная активность зависит от степени конкурентности той или иной индустрии, но в случае падения рынка на 30% отдельные, но к сожалению, отнюдь не малочисленные представители бизнеса пойдет, мягко говоря, на очень многое, а, как известно, на войне все средства хороши…
Сложности маршрутизации
Многие, кто начал работать из дома, заметили, как сильно у них выросли задержки в работе интернета. Если посмотреть показания Speedtest, то практически у всех деградировало состояние домашних сетей.
Связано это с тем, что на сегодняшние «карнтинные» нагрузки в дневные часы большинство операторов связи не рассчитывали. Днем, как правило, больше трафика потреблялось офисами, а пиковые нагрузки на домашние сети происходили только вечером. В связи с этим, например, в Европе такие компании, как YouTube и Netflix, даже были вынуждены снизить качество транслируемого видеоконтента, поскольку домашние сети не справлялись с нагрузкой.
Крупная итальянская телекоммуникационная компания Telecom Italia на фоне происходящего кризиса начала предоставлять бесплатные стыки на двух крупнейших итальянских точках обмена трафиком, чего раньше принципиально не делала, проводя так называемую пиринговую войну с другими операторами. В России ситуация схожая, и ввиду этого операторы связи вынуждены менять договоренности и перестраивать свои сети буквально «на живую нитку».
В итоге весной 2020 года мы в Qrator Labs зарегистрировали 14 критических инцидентов интернет-маршрутизации – утечек маршрутов (route leaks) – перенаправление или концентрация трафика на промежуточной сети, которой в пути быть не должно. Небольшие операторы в результате тривиальной ошибки могут перенаправлять на себя даже трафик магистральных каналов, в результате чего они создают колоссальные проблемы другим сетям.
Чем это может грозить бизнесам? Во-первых, офисы или VPN-концентраторы могут быть атакованы или просто выведены из строя, потому что оператор не справился с нагрузкой. Это приведет к отсутствию доступа к VPN-концентратору в течение 3–4 часов. Во-вторых, в случае продолжения развития ситуации злоумышленники могут начать использовать уязвимое оборудование операторов связи, чтобы проводить перехват трафика и его анализ с целью извлечения сенситивных данных. Поэтому рекомендуется проверять, чтобы все передаваемые по VPN корпоративные данные были надежно защищены и зашифрованы.
Сегодня всем участникам рынка необходимо работать сообща, чтобы подобная нагрузка не привела к существенным сбоям в интернете из-за атак или ошибок конфигурации, человеческого фактора и отсутствия необходимого уровня защиты у бизнеса.
По материалам PLUSworld.ru