Другие вирусы
Пандемия привела к активизации мошенничества в интернете
Как отмечают специалисты, киберпреступники сегодня подстраиваются под повестку дня и активно используют тему COVID-19: рассылают фишинговые письма с текстом о защите от коронавируса, создают фейковые сайты, атакуют удаленные рабочие места. По просьбе RSpectr эксперты в области информационной безопасности рассказали об актуальных угрозах и мерах защиты от них.
СТАРЫЕ УГРОЗЫ В НОВОЙ УПАКОВКЕ
По данным компании Positive Technologies, в первом квартале 2020-го злоумышленники реализовали на 23% больше кибератак по сравнению с четвертым кварталом прошлого года.
Эксперты по информационной безопасности единодушно заявляют, что рост интернет-преступности связан со вспышкой коронавируса COVID-19, которая создает благодатную почву для фишинга и социальной инженерии, а также с массовым переходом граждан на удаленную работу.
Эрик Нуртдинов, начальник отдела по защите информации компании Prof-IT Group:
– Приведу пример: вам приходит на почту письмо с новостью о коронавирусе с какой-нибудь интересной информацией по этой теме. Вы не проверили источники, не обратили внимания на подозрительную ссылку и прочее. Открыли вложение в письме или перешли по ссылке, а дальше вы сталкиваетесь со стандартными сценариями фишинга – установка зловреда или передача личных данных.
Во время любого кризиса происходит активизация разного рода мошенников, отмечает директор института информационных технологий университета «Синергия» Станислав Косарев. «Каких-то технологически новых угроз с точки зрения кибербезопасности пока не наблюдается, скорее, мы видим классические способы, “упакованные” под коронавирус», – говорит эксперт.
Представитель корпорации ICANN в России, СНГ и Восточной Европе Михаил Анисимов согласен с этим мнением. По его словам,
суть угроз осталась той же – это распространение вредоносного кода и фишинг
«Любые большие события, особенно связанные с опасностью для жизни людей, привлекают внимание и порождают страхи. В такие моменты критическое мышление сдает свои позиции и открывается гигантский простор для того, что называется социальной инженерией», – подчеркивает М. Анисимов.
Мошенники пользуются паникой и пытаются извлечь из этого выгоду, отмечает инженер по информационной безопасности хостинг-провайдера и регистратора доменов REG.RU Георгий Шутяев. По его словам, создано множество доменов с включением фразы «COVID-19», которые ведут на фишинговые сайты. Мошенники используют ситуацию с коронавирусом, чтобы ввести в заблуждение, а затем заставить выполнить определенные действия, чтобы завладеть деньгами или личной информацией пользователей.
Михаил Анисимов, ICANN:
– В настоящее время во всех мировых доменных зонах наблюдается большое количество регистраций доменных имен, которые содержат ключевые слова, связанные с эпидемией, на всех языках мира. Сюда относятся как слова, связанные непосредственно с болезнью (covid, corona), так и названия лекарств (арбидол, интерферон) и слова, которые связаны с различными программами помощи малому бизнесу или населению. В каждой стране при этом есть своя специфика – например, там, где действует та или иная система уведомлений о передвижениях и электронных пропусков, наблюдается рост ресурсов, имитирующих службы, которые эти пропуска выдают. Целью таких атак является сбор персональных данных пользователей или денег за какие-то услуги, например, поддельные вакцины или лекарства.
FAKE ВОЗ
Среди мошеннических сайтов есть маскирующиеся под ресурсы Всемирной организации здравоохранения. Они предлагают подписаться на самые актуальные новости по ситуации с пандемией. «Вы оставляете свою почту, через какое-то время вам приходит письмо, якобы от ВОЗ, с вложением в формате Word, якобы с советами, как уберечь себя от коронавирусной инфекции, вложение в свою очередь включает в себя скрытый загрузчик Emotet, которые загружает на компьютер вредоносные модули без ведома жертвы», – рассказывает С. Косарев.
Или другой пример, которым с RSpectr поделился директор экспертного центра безопасности Positive Technologies Алексей Новиков: «В марте нами была замечена рассылка от имени генерального директора ВОЗ, в которой он якобы рассказывает последние новости об эпидемии и дает советы по медикаментам. Письма были персонализированы и при этом заражены кейлоггером HawkEye, который собирал все вводимые данные с компьютера жертвы – учетные, платежные и т. д.».
В спам-рассылках появились также письма от псевдо министерств здравоохранения и других компетентных органов якобы с последними данными о заболевании, указывает начальник отдела информационной безопасности «СёрчИнформ» Алексей Дрозд. Фишинг, по его словам, маскируют и под сообщения от регуляторов: новые требования санобработки от Роспотребнадзора, правила оплаты больничных от Минтруда и т. д. В регионах, где требуется регистрация или иные действия для соблюдения режима самоизоляции, жулики призывали оплатить штраф или перейти на зараженный ресурс.
Мошенники оперативно реагируют на новую повестку.
Из совсем новых инцидентов – фейковые сайты по теме выплат семьям с детьми
Как только Владимир Путин озвучил эту меру поддержки, в зоне .ru появилось не меньше трех десятков сайтов, в названии которых упоминаются слова gosuslugi, gosuslugi-16, vyplaty, covid-vyplaty, posobie.
Ранее так же быстро мошенники среагировали и стали использовать тему с возвратом авиабилетов с помощью ваучеров – под видом сотрудников авиакомпаний рассылали письма, чтобы получить доступ к личным данным и банковским картам пассажиров.
Алексей Дрозд, «СёрчИнформ»:
– Мы встречали фишинговое письмо на тему возврата налогов в связи с эпидемией – конечно, у него большие шансы быть открытым. Другие варианты обмана – сайты и приложения для отслеживания распространения болезни. Они похищают логины, пароли и платежные данные пользователей. Ну и нервная кризисная ситуация играет на злоумышленников, поэтому начинают работать и самые лобовые атаки. Продажа дефицитных товаров вроде масок и антисептиков, сбор средств для врачей через фейковые страницы соцсетей и сайты – тоже распространенная в период карантина схема.
Алексей Новиков, Positive Technologies:
– Самая нестандартная, на наш взгляд, мошенническая коммуникация с потенциальными жертвами была реализована от имени врача, который делился в письме конфиденциальной информацией о теории заговора – якобы вирус был создан, чтобы сократить число людей и облегчить мировому правительству контроль за ними. К «счастью» для читателя, секретная команда ученых уже разработала вакцину и готова доставить ее прямо к нему на дом. Для этого необходимо перейти по ссылке и ввести свои данные – Ф. И. О., адрес, телефон – которые после этого утекут злоумышленникам.
Большое распространение получили также фальшивые ресурсы, которые предлагают финансовую помощь бизнесу, о которой говорило правительство, и различные преференции по налогам или аренде, добавляет М. Анисимов.
Одной из самых крупных фишинговых атак на правительственные сайты за последнее время стал инцидент в Германии, в результате которого немецкое правительство потеряло миллионы евро, рассказал руководитель направления информационной безопасности АО «ЭР-Телеком Холдинг» (бренд Дом.ru) Михаил Терешков. Злоумышленники действовали хитро, но одновременно просто: они создали копию сайта по сбору заявок на финансовую помощь. А получив сведения от заявителя, направляли эту информацию на настоящий сайт, предоставляющий поддержку, но меняли при этом банковские реквизиты на свои. В итоге деньги поступали не реальным людям или компаниям, а мошенникам.
М. Терешков также сообщил о том, что
в последнее время активизировались атаки с использованием технологии DeepFake, когда при помощи искусственного интеллекта лицо человека заменяют изображением знаменитости
От его имени призывают что-нибудь сделать, например, перевести деньги на счет злоумышленников.
ОПАСНЫЕ ПОКУПКИ
В сети появилось множество сайтов с нелегальными или несуществующими товарами, предупреждает начальник отдела аудита и консалтинга Центра компетенций по ИБ компании «Техносерв» Михаил Коптенков. Эти ресурсы предлагают оформить пропуск на передвижение по региону и справку с места работы, купить уникальные лекарства или вакцину от коронавируса, оформить выгодную доставку со скидкой и т. п. Цель всех таких сайтов – украсть деньги доверчивого покупателя сразу, заразить его компьютер и попытаться похитить еще больше средств, получив контроль над определенными приложениями на компьютере пользователя.
По данным на 11 мая, департамент инновационной защиты бренда и интеллектуальной собственности Group-IB обнаружил уже 185 мошеннических ресурсов, торгующих цифровыми пропусками: 28 сайтов, 59 групп и аккаунтов в соцсетях и 98 Telegram-каналов. Всего Group-IB заблокировала более 100 ресурсов, некоторые находятся в процессе блокировки.
На отдельных сайтах цена пропуска составляет от 3 тыс. до 4,5 тыс. рублей. Доставку обещают организовать через курьерскую службу. В Telegram-каналах расценки от 3 тыс. до 5,5 тыс. рублей и пропуск присылают в цифровом формате. В Instagram предлагают оформить пропуск за 2 999 рублей, «готовый QR-кoд» (как написано в объявлении) присылают в течение 40 минут.
В качестве дополнительной опции на некоторых ресурсах предлагают оформить справку с места работы: из продуктового магазина (3 тыс. рублей), «Удостоверение фармацевта» (5 тыс. рублей), «Удостоверение врача» (7 тыс. рублей) – все эти профессии входят в перечень, на который не распространяются ограничения в период режима самоизоляции.
Сергей Лупанин, руководитель отдела расследований Group-IB:
– Опасность в том, что жертвы, оплачивая лжепропуск, могут потерять не только деньги, данные банковских карт, но и персональную информацию. Получив данные паспорта, мошенники могут взять на имя жертвы кредит в микрофинансовых организациях или оформить потребительский кредит.
ТРУДНОСТИ ПЕРЕВОДА НА УДАЛЕННУЮ РАБОТУ
Другая категория угроз связана с тем, что люди массово перешли на работу из дома.
М. Анисимов обращает внимание на то, что, как правило, сотрудники компаний берут с собой офисные ноутбуки и подключают их к домашним сетям. При этом в них часто остаются рабочие настройки, по которым устройства должны обращаться к каким-то узлам в корпоративной сети, например, корпоративным фильтрам, файерволам, системам защиты. Не видя корпоративной сети, эти устройства начинают посылать в «большой» интернет различные сигналы, и это очень сильно меняет профиль трафика на сетях оператора.
Иногда такие запросы дают очень большую нагрузку на инфраструктуру, сравнимую с DDoS-атакой, и операторам приходится быстро реагировать на это
С повсеместным переходом на удаленную работу возросло число кибератак на компании и их сотрудников, работающих из дома, рассказал руководитель практики Accenture Security в России Андрей Тимошенко. Это связано с тем, что люди традиционно были самым слабым звеном в системе защиты информации, а с переводом на удаленку их стало сложнее контролировать и мотивировать соблюдать правила информационной безопасности.
Топ-3 кибератак сегодня:
- вредоносное программное обеспечение (вирусы), особенно распространяемое хаотично через интернет;
- веб-атаки на информационные системы, доступные через Сеть (интернет-банкинг, сайты компаний и др.);
- социальный инжиниринг (включая фишинг).
Самые крупные атаки сейчас – это опять же фишинг в контексте пандемии COVID-19. Достаточно одному сотруднику, получившему опасное сообщение по электронной почте, кликнуть на ссылку или открыть вложение, чтобы заразить всю компанию вредоносной программой.
«Кто удержится от того, чтобы открыть, если в письме будет написано, что это список сотрудников, заразившихся инфекцией и что каждый должен проверить, не общался ли он с этими коллегами в последнее время?» – задает вопрос А. Тимошенко. Последствия такой ошибки – потеря данных, отказ инфраструктуры, неработающие корпоративные системы и, как следствие, финансовый и репутационный ущерб для компании, который компенсировать будет крайне сложно.
Угроз достаточно много: это и компрометация данных при передаче по открытым каналам связи, и компрометация самих учетных записей с помощью шпионских программ, и утечки конфиденциальной информации, указывает директор департамента информационной безопасности компании «Системный софт» Яков Гродзенский. Но и спектр решений, которые позволят защититься, весьма широк.
КАК ЗАЩИТИТЬСЯ?
Главное – начать с обучения сотрудников, потому что даже качественная защита может пострадать, если кому-то придет в голову открыть письмо с вирусом, предупреждает сооснователь компании Postgres Professional Иван Панченко.
Э. Нуртдинов добавляет, что фишинг все время меняется и совершенствуется, и техническим средствам все сложнее определить угрозу, поэтому специалисты делают акцент на общей грамотности пользователей.
Генеральный директор компании «Интернет-Розыск» Игорь Бедеров рекомендует научить коллег простым мерам безопасности, например, проверять при помощи специальных сервисов фактическое существование электронной почты, с которой пришло то или иное письмо, быть бдительными, поскольку кибермошенники часто делают адреса электронной почты схожими с адресами реальных компаний или государственных органов.
Иван Дмитриев, директор по информационной безопасности IT-холдинга ТalentТech:
– Ваши сотрудники должны знать о возможных угрозах. Объясните им, почему не стоит вводить свои рабочие данные на сторонних сайтах, покажите, как выглядят фишинговые письма, расскажите, почему не стоит скачивать антивирус по первой же бесплатной ссылке из интернета.
Начальник отдела информационной безопасности концерна «Автоматика» госкорпорации «Ростех» Сергей Буларга напоминает о том, что сейчас многие специалисты, работающие удаленно, используют личные ПК для работы и подключения к корпоративным ресурсам. В этих условиях для безопасности информации необходимы свежие обновления антивирусного программного обеспечения.
Для защиты коммуникаций и целостности корпоративной сети глава представительства Avast в России и СНГ Алексей Федоров советует использовать VPN. Системные администраторы и специалисты ИБ-отдела должны иметь возможность контролировать все устройства, даже удаленные, которые к нему подключаются.
Везде, где это возможно, нужно применять двухфакторную аутентификацию – это дополнительный уровень защиты учетных записей в сети
Если компания не может предоставить каждому сотруднику корпоративное устройство и они вынуждены использовать личные, ИБ-отдел должен знать их модели, чтобы проверить на наличие уязвимостей. Важно, чтобы на каждом ПК стояли все обновления, а пароли были уникальными и сложными.
Георгий Шутяев, REG.RU:
– Максимально разграничьте рабочие и свои личные дела на компьютере. В идеале иметь два разных устройства для этого. Или как минимум использовать два разных браузера для дома и для работы. Объясните близким, что вашим рабочим компьютером пользоваться нельзя, чтобы избежать случайного заражения устройства или потери данных.
НА МЕЖДУНАРОДНОМ УРОВНЕ
Михаил Анисимов рассказал RSpectr о том, какие меры по предотвращению зловредной активности предпринимает ICANN.
Организация получает информацию о списке доменных имен из всех общих дренов верхнего уровня, таких как .COM, .NET, .ORG, .SHOP, .WORLD и т. д., а также из нескольких страновых доменных зон. Далее весь этот список сканируется, там выделяются все имена, которые содержат ключевые слова. После этого ICANN обращается по API к различным организациям, которые делают оценку зловредной активности. Имена с ключевыми словами, на которых такая активность подтверждается, попадают в финальный список, а тот уже считается опасным для конечных пользователей. Информация об этих доменах дальше направляется тем, кто их обслуживает – регистратурам и регистраторам. Последние, как правило, уже могут принять какие-то меры, вплоть до блокировки домена и снятия с делегирования.
В настоящее время в мире существует уже несколько международных объединений, таких как COVID-19 Cyber Threat Coalition или COVID-19 Threat Intelligence League. В них входят крупнейшие инфраструктурные интернет-компании, операторы связи и эксперты по информационной безопасности. Они обмениваются информацией о выявленных угрозах, о найденных зловредных ресурсах и публикуют в открытом доступе списки таких сайтов или адресов электронной почты.
Михаил Анисимов, ICANN:
– Эффективность их работы зависит, в первую очередь, от возможности свободно обмениваться информацией с другими участниками. Дело в том, что любая компания имеет доступ к ограниченному количеству ресурсов, тогда как мошеннические сайты свободно перемещаются с одного хостинга на другой и меняют доменную зону, в которой находятся их адреса. Только оперативный обмен информацией позволяет собрать целиком всю картину и своевременно принять необходимые меры.
Однако стоит отметить, что прогнозы относительно киберугроз, связанных с пандемией, довольно оптимистичные. Как правило, мошенники не эксплуатируют одну и ту же тему долго и переключаются на другие вопросы по мере ослабевания интереса к ней. Это видно и по динамике регистрации доменных имен, связанных с COVID-19, – она уже сейчас заметно идет на убыль.
Изображение: RSpectr, Freepik.com
ЕЩЕ ПО ТЕМЕ
Как обеспечить информбезопасность при переводе сотрудников на удаленную работу
