Киберпреступность в эпоху COVID

Руководитель отдела анализов цифровых угроз компании «Инфосекьюрити» Александр Вураско анализирует, как изменился профиль угроз и рисков в сфере информационной безопасности под влиянием пандемии; рассматривает феномен «киберпреступность как сервис», а также делится своими прогнозами на 2021 год с точки зрения развития ситуации в сфере ИБ.

Киберпреступность в эпоху COVID

Моментально — и на удаленку!

Наиболее тяжелым периодом с точки зрения обеспечения информационной безопасности стала весна уходящего 2020 года. В марте по всей стране стартовал процесс перевода сотрудников компаний на удаленку. Возникла ситуация, которую можно было бы счесть смешной, если бы она не была такой грустной. На протяжении многих лет компании и банки тратили десятки и сотни миллионов на создание защищенных периметров ИБ, и вдруг практически одномоментно эти периметры рассыпались, а точнее говоря, «расползлись».

И компании обнаружили, что они накопили хороший опыт в обеспечении ИБ в ситуации, когда и сотрудники, и устройства локализованы вместе, и сотрудники работают на офисных компьютерах. Но как быть, когда люди сели по домам и начали работать на личных, зачастую совершенно незащищенных устройствах? И даже если эти устройства худо-бедно защищены, то как можно на 100% гарантировать, что к ним имеют доступ только сами сотрудники, а не члены их семей, которые легко могут вскрыть фишинговое письмо и запустить «троян» в информационную систему не только личного устройства, но и в систему компании или банка?

Возможно, переход с офисного режима работы на удаленку не был бы таким болезненным для компаний в плане информационной безопасности, если бы он совершался постепенно. Но мы стали свидетелями ситуации, когда все произошло буквально за несколько дней. В таких «пожарных» условиях полностью избежать совершения ошибок было невозможно, тем более что имела место шоковая ситуация и отсутствие ­какого-либо опыта в сопровождении процесса «из офиса — на удаленку».

Золотой час фишинга

То, что злоумышленники всегда с особым интересом относятся к «узким местам» и внештатным ситуациям, хорошо известно. Поэтому вполне естественно, что именно весной имел место взрывной рост атак на информационные системы компаний и банков. Стоит отметить, что модели этих атак, инструменты, которыми пользовались злоумышленники, практически не претерпели изменений: мы не зафиксировали появления ­чего-то нового в арсенале киберпреступников. В ход шли «старые добрые» вирусы-­шифровальщики и фишинговые письма.

Это вполне объяснимо — зачем изобретать новые, более сложные модели атак, если выяснилось, что системы обеспечения безопасности ослаблены, и привычные инструменты хорошо срабатывают? Пожалуй, единственное, что было примечательным, — это взрывной рост популярности у злоумышленников фишинговых сайтов. Как раз эту тенденцию стоит обсудить детальнее.

 

 

Спецификой нашего времени можно, пожалуй, счесть то, что теперь создаются фишинговые сайты не только банков и компаний, но и популярных сервисов — тем более тех из них, которые особо были востребованы населением в период жесткого карантина. Так, весной мы фиксировали сайты, которые имитировали страницы входа в Zoom, в сервисы Microsoft для бизнеса и т. д. При этом фишинговые сайты как инструмент совершения киберпреступления использовались не только против компаний, но и против физических лиц. Весной появилось огромное количество сайтов-­клонов компаний ритейл-­сегмента, служб доставок и т. д. Говорить о том, что эта тенденция окончательно сошла на нет после отмены первой фазы карантина, не приходится — подобные сайты продолжают появляться, и это наносит ущерб и физическим лицам, и компаниям. Первыми, конечно же, страдают физические лица, поскольку их аккаунты и счета взламываются злоумышленниками. Но затем потери несут и компании, поскольку это удар по их репутации и по доверию к ним со стороны клиентов.

Социальная инженерия как компьютерный Covid

Нельзя сказать, что модели атак с использованием социальной инженерии сильно изменились в 2020 году, но сфера их применения расширилась. До пандемии такие атаки преимущественно били по физическим лицам, теперь сфера применения их расширилась, втянув в себя и компании. Например, мы фиксировали несколько удачных и неудачных нападений на компании, совершенных с использованием модели «человек посередине» (Man-in-the-­Middle, или MITM-атаки).

Представим себе две крупные компании, ведущие переговоры о заключении сделки на крупную сумму. Злоумышленники ­каким-то образом получают информацию об этом — например, побуждая сотрудника одной из компаний открыть фишинговое письмо. После этого создаются фишинговые сайты, имитирующие оригинальные домены двух компаний, и после этого с каждой из компаний начинают имитироваться переговоры. Когда дело доходит до оплаты, злоумышленники присылают письмо со своими реквизитами, и понятно, чем заканчивается весь этот процесс.

 

 

В качестве еще одной тенденции можно отметить следующее: акцент при применении инструментов социальной инженерии сместился в сторону сообщений и всевозможных социальных выплат. Это, безусловно, связано с пандемией и с теми мерами поддержки, которые власть реализовывала в течение 2020 года. Люди привыкли к новостям о принятии таких мер, поэтому они охотно проходят по соответствующим ссылкам во «всплывающих окнах».

И еще один инструмент социальной инженерии, также продемонстрировавший свою «популярность». — это сообщения о возможности получения пассивного дохода: например, «используйте мощности вашего компьютера для того. чтобы зарабатывать». Никакого отношения к майнингу криптовалют это не имеет, но система имитирует производство биткоинов. Когда приходит время получения этого так называемого пассивного дохода, система требует от человека уплаты комиссии, он совершает платежную операцию, и дальше ­опять-таки легко догадаться, что происходит с его счетом и со средствами на этом счету.

Проблема с социальной инженерией — еще и в том, что очень сложно определить, какой конкретно она наносит ущерб держателям счетов. То есть вам никто не назовет эту цифру с точностью до руб­ля или доллара, и мы можем оперировать только косвенными данными. Например, недавно был зафиксирован прецедент создания сразу ста с лишним фейковых сайтов одного и того же ресурса, и все это для того, чтобы прорекламировать фейковую инвестиционную программу. Сто доменов, зарегистрированных даже по самым низким расценкам, — это не менее 20 тыс. руб­лей. Небольшие деньги, но очевидно, что даже их никто не будет выбрасывать на ветер, если эти траты не будут окупаться. А они не просто окупаются, но приносят солидный доход, и это становится очевидным, когда мы фиксируем скорость и частоту возникновения всевозможных фейковых сайтов. Значит, инструмент работает именно так, как это выгодно злоумышленникам.

Сразу скажу: вывести ­какое-то общее соотношение «вложения/доход», когда речь идет о преступных кибергруппировках, очень трудно. Деятельность группировки можно признать успешной — конечно же, с точки зрения самой группировки, когда это соотношение составляет 5% на 95%. Если же углубиться в детали, то можно увидеть, что преступный кибербизнес очень неоднороден, и многое здесь зависит от специфики деятельности группы: часто встречается ситуация, когда злоумышленники начинают с простых схем, зарабатывают первые деньги, вкладывают их в развитие криминального бизнеса и постепенно переходят на более высокий уровень своего «профессионализма».

Мне доводилось иметь дело с группами, которые начинали с телефонных мошенничеств и скимминга, а потом «вырастали» до целевых атак на банки. В случае с «Авито», например, доходы организаторов преступной группировки превышают вложения в десятки раз, а у рядовых участников вложений нет как таковых, они платят комиссию с похищенных средств.

(При этом за «выход» из кибербизнеса участники данных «проектов» выплачивают совсем другую неустойку. — Ред.)

Киберпреступление как сервис

Еще один важный момент, или, точнее, важная тенденция, которая особенно явственно проступила в последнее время, — вовлечение в преступный бизнес неподготовленных людей. Фактически можно уже говорить о модели «киберпреступление как услуга», когда одни люди создают продвинутый инструментарий для совершения преступлений и сдают его в аренду неподготовленным людям.

Классический тому пример — схемы мошенничеств на торговых площадках типа Avito. Там все полностью готово, автоматизировано, пользователю, пожелавшему стать на скользкий путь мошенника, даже не надо ничего специально знать и понимать — отправляете в Telegram данные, и специально для вас формируется фишинговая страница, вам передают скрипты общения с жертвой. Простота и доступность привлекают в этот преступный бизнес огромное количество неподготовленных людей, в том числе и несовершеннолетних. Это серьезная проблема, поскольку дети рассматривают все происходящее не как участие в некоей преступной группировке, а как веселую компьютерную игру, где их задача — обмануть «дурачка», который сам виноват в том, что теряет деньги. И очевидно, что подавляющее большинство из них никогда не совершило бы подобных преступлений, если бы им «заботливо» не дали в руки весь необходимый технологический инструментарий.

 

 

В результате возникает огромная воронка, которая затягивает в себя все новых людей — и тех, кто обманывает, и тех, кого обманывают. Есть ли из нее выход? Только один, который является общим: необходимо повышать компьютерную грамотность населения. Понятно, что это невозможно сделать за день или за год, но, по крайней мере, надо всеми силами доносить до людей простую мысль: компьютерная грамотность в наше время — не роскошь, а единственное средство сохранения своих денег и своих персональных данных. Необходимо рассказывать людям о способах обмана, наиболее часто используемых злоумышленниками, — их на самом деле не так много, не более 10‑12. Могут меняться формулировки, может меняться дизайн сайтов, но суть этих схем остается той же. Поэтому своевременное и полное информирование может уберечь многих людей от беды. Конечно, на 100% изжить социальную инженерию и ее последствия невозможно, но по крайней мере минимизировать ее влияние, сделать подобные преступления более дорогостоящими для злоумышленников — вполне реально.

Подписывайтесь на наши группы, чтобы быть в курсе событий отрасли.

Читайте в этом номере:


Перейти к началу страницы

Подпишитесь на новости индустрии

Нажимая на кнопку "подписаться", вы соглашаетесь с


политикой обработки персональных данных