Вопросы защиты информации, личных данных и финансов в интернете с каждым днем становятся все актуальнее. Хакеры придумывают новые способы взлома компьютеров и сетей, а мошенники — способы похищения денег. Как обезопасить себя и что такое кибергигиена, рассказал Илья Сачков — руководитель Group-IB.
Киберпреступления — скрытая, но реальная угроза
— Какие сегодня самые распространенные опасности, с которыми рискуют столкнуться физические лица и компании?
— В наше время вероятность столкнуться с компьютерным преступлением выше, чем с любым другим, описанным в Уголовном кодексе. Это касается и государства, и организации, и конкретного человека. По статистике, на территории Европейского союза каждые полторы минуты происходит ограбление. И на этот же период времени приходится порядка трех тысяч успешных хакерских атак. С каждым годом количество реальных преступлений снижается, а компьютерных, наоборот, растет.
Из 26 возможных мотивов компьютерных преступлений самый распространённый — получение финансовой выгоды с помощью кражи или получение денег через какое-то действие. С этой целью проводятся кибератаки на банки и их клиентов, разные схемы мошенничества (фишинг, вишинг), вымогательства и т. д. Поэтому когда встает вопрос о защите компьютера, надо спросить себя: как хакер может на этом заработать? Таким образом отсеется очень много теоретически возможных атак, но практически невозможных из-за отсутствия финансовой мотивации у атакующих. Естественно, в коммерческом секторе верхние строчки «группы риска» занимают кредитно-финансовые учреждения. Ежемесячно на российские банки осуществляется 1-2 удачные кибератаки, средний ущерб от которых оценивается примерно в $2 млн. Например, в 2017 году эксперты Group-IB Threat Intelligence раскрыли новую хакерскую группировку — MoneyTaker, а в 2018-м впервые представили технический отчет по еще одной группе — Silence. Угрозу для банков по всему миру представляют объединения MoneyTaker, Lazarus и Cobalt. Три из четырех перечисленных групп состоят из русскоговорящих киберпреступников, которые могут взломать банк и вывести деньги из изолированных финансовых систем.
Интернет-банкингом сейчас пользуется каждая компания и почти каждый человек — соответственно, и атакован может быть любой. Это одно из самых популярных подтипов компьютерных преступлений в России. Также существуют способы монетизации атаки через блокировку информации. Специальные вирусы шифруют данные на компьютерах организации и требуют выкуп за расшифровку данных.
Надо понимать, что хищение денег — не самое серьезное последствие для финансовой организации. Во многих странах банки — объекты критической инфраструктуры, поэтому они становятся мишенью для прогосударственных хакерских группировок. Цель таких атак — диверсия и саботаж. Иногда даже одной успешной кибератаки достаточно, чтобы ликвидировать кредитно-финансовую организацию или вызвать коллапс государственной финансовой системы. Еще один вектор атак — шпионаж, причем нередко он финансируется на государственном уровне. Среди активных проправительственных хакерских групп много выходцев из Ирана, КНДР и Китая.
Если говорить о частных лицах, самые популярные преступления — хищения денег через интернет-банкинг с помощью фишинга и социальной инженерии. При этом в России существенно сократились компьютерные преступления, связанные с заражением смартфонов Android троянами. Случаи хищения с их помощью сократились почти втрое, а средний ущерб стал меньше примерно в полтора раза — 7 тыс. руб. вместо 11 тыс. Новые Android-трояны, выставленные на форумах хакеров, предназначены для применения за пределами РФ.
Вместе с тем отмечается рост преступлений, совершенных с помощью web-фишинга, фальшивых банковских сайтов, платежных систем, интернет-магазинов. Наибольшую опасность для онлайн-покупателей представляют фишинговые ресурсы, созданные для кражи денег или данных (паролей, логинов, банковских карт). Также нужно уделить внимание цифровой инфраструктуре каждой квартиры или дома. Многие атаки проходят через аппаратное (например, домашние роутеры) или программное обеспечение, которые пользователи забывают обновить. И очень зря — большинство апдейтов от вендоров связаны с безопасностью.
— По рекомендации ЦБ российские банки до конца 2019 года должны провести регистрацию клиентов по биометрической системе. Повысит ли идентификация по голосу и цифровому образу степень безопасности пользователей карт?
— Важно понимать: если устройство, с которого происходит платеж, заражено вирусом, то пользователь подтвердит биометрией согласие на платеж, а вирус подменит реквизиты. Так сейчас происходит с одноразовыми паролями. Поэтому важно убедиться в отсутствии вредоносного ПО на устройстве, с которого осуществляется платеж, и безопасности канала связи (роутер). Также у преступников распространены такие типы атак, как вишинг (телефонное мошенничество) и web-фишинг для кражи данных банковских карт. Методы социальной инженерии применяются более чем в 80% случаев хищений денег, при этом вредоносное ПО либо совсем не используется, либо «участвует» только на одном из этапов хищения.
Теперь чтобы противостоять киберпреступности, недостаточно просто применять сигнатуры или индикаторы компрометации. Поэтому для обеспечения максимальной защиты пользователей банкам необходимы комплексные решения, которые будут анализировать наличие вредоносных программ, выявлять цифровой отпечаток устройства и типичное поведение пользователей. Например, в продукте Group-IB Secure Bank — системе раннего обнаружения фрода для платежных систем — реализован алгоритм собственной разработки Behavior. Он собирает и анализирует сведения обо всех совершенных действиях — и легитимных, и мошеннических, что помогает своевременно обнаружить подозрительные сессии. Помимо этого, в Group-IB применяют «комплексную биометрию»: анализ клавиатурного почерка, движения мыши и т.п. Система обнаруживает различные категории банковского мошенничества: сети нелегального обналичивания денег, захват учетной записи, социальную инженерию, фишинг, бот-сети и пр.
Чем опасны кибератаки для обычных пользователей
— Какие новые мобильные угрозы прогнозируется в 2019 году? Стоит ли обычному пользователю девайса опасаться, например, смишинга?
— Количество мошеннических атак будет расти. Однако есть нюансы. Раньше наблюдался интенсивный рост ущерба от хищения денег у физлиц с помощью Android-троянов, однако в прошлом году он сократился почти в три раза. Это связано и с обновлением ОС Android, и с понижением лимитов на переводы по СМС, и с внедрением банками систем раннего обнаружения фрода с функционалом детектирования активности вредоносных программ на устройстве клиента.
А вот ущерб от фишинга и вишинга (телефонного мошенничества) продолжает расти. Схемы социальной инженерии, которые используют злоумышленники, становятся все сложнее и изощреннее. В ход идут приватные данные клиентов банков, перевыпуск сим-карт и несложный технический прием — подмена исходящего номера телефона.
Про смишинг. Это такой же вид социальной инженерии, как вишинг, который также остается одним из векторов проникновения на устройства пользователей. Совсем недавно специалисты Group-IB обнаружили мобильный Android-троян Gustuff, нацеленный, помимо прочего, на вывод денег со счетов пользователей мобильных приложений крупнейших международных банков. Этот троян как раз использует смишинг, проникая на Android-смартфоны через СМС-рассылки со ссылками на вредоносные приложения. Чтобы обезопасить себя от смишинга, пользователям мобильных устройств необходимо помнить базовые правила кибергигиены. Прежде всего не переходить по подозрительным ссылкам из СМС-сообщений, не посещать подозрительные ресурсы, регулярно обновлять свою OC и не загружать приложения из недостоверных источников.
— Взлом системы одного из устройств интернета вещей позволяет злоумышленникам получить доступ ко всем подключенным приборам IoT. Каким образом можно обезопасить умный дом и каких реальных угроз следует опасаться?
— Если не соблюдать базовые правила кибербезопасности, злоумышленники могут перехватить поток данных вашей домашней сети. Простейший пример — взлом Wi-Fi роутеров. Вовремя не обновленная прошивка роутера дает злоумышленникам потенциальный доступ ко всем устройствам в домашней сети. У них появляется возможность использовать данные с вашего телефона, ноутбука, получить доступ к вашему мобильному банкингу, организовать слежку за вами с помощью установленных в доме камер. Помимо этого, любое устройство с доступом в интернет — компьютер, смартфон, Smart TV и т. д. может быть использовано для скрытого майнинга. Поэтому важно обновлять все домашние устройства и выбирать роутеры с функциями кибербезопасности.
Есть ряд рекомендаций, чтобы обезопасить умный дом от нежелательных гостей. Во-первых, ни в коем случае нельзя игнорировать обновления ПО на устройствах. Как правило, предлагаемое обновление прошивки — это устранение уязвимостей безопасности. Во-вторых, надо периодически менять логины-пароли роутеров и маршрутизаторов, использовать стойкие пароли. Желательно менять оборудование раз в два-три года. Приобрести новый роутер не так дорого и сложно, как справляться с последствиями взлома личных данных.
— По вашему мнению, насколько опасен криптоджекинг на сегодняшний день? Существуют ли способы защиты от него? По каким признакам можно понять, что ресурсы компьютера используются хакерами?
— Обычному пользователю заметить программу для криптоджекинга на своем устройстве очень сложно: новые виды троянов легко обходят антивирусы и работают в фоновом режиме, оставаясь незамеченными. Одним из сигналов, что устройство заражено, может стать его медленная работа. В таком случае следует открыть диспетчер задач и посмотреть список процессов. Если вы видите, что браузер использует значительную часть ресурсов ЦПУ, вполне вероятно, что вы стали жертвой криптоджекинга.
Эффективно детектировать программы для криптоджекинга нужно на уровне сети. В том числе для этих целей используются технологии поведенческого анализа, помогающие обнаружить неизвестные пока инструменты и программы. Требуется комплексное противодействие криптоджекингу, для чего компаниям важно выявлять все формы вредоносного кода: как того, который уже работает в сети, так и того, который только начал распространятся. Чтобы повысить эффективность анализа подозрительной активности, его нужно выполнять в безопасной изолированной среде.
Одновременно потребуется обеспечить полную конфиденциальность сведений о зараженных компьютерах, сегментах инфраструктуры и других ресурсах. Требуется не просто обеспечить защиту внутри сети, но и выявить инструменты криптомайнинга, запускающие java-скрипт на взломанных ресурсах, что приводит к появлению большого количества жертв. Чтобы минимизировать риски заражения, пользователям следует регулярно обновлять ПО, избегать посещения подозрительных сайтов, не отключать встроенные браузерные средства защиты.
Как защититься от мошенников в виртуальном пространстве
— Каким образом можно защитить себя от слежки через веб-камеру? Какие существуют методы веб-слежения за человеком, используемые сейчас? Как понять: за вами следят?
— Слежка через веб-камеру возможна двумя способами — через вредоносное ПО или использование недекларируемых возможностей железа или софта на компьютере. Второй способ более сложен, теоретически к нему могут прибегнуть спецслужбы при проведении ОРМ. Так что обычному человеку его особо опасаться не стоит. Методов слежения множество: начиная с получения данных о местоположении пользователя, заканчивая записью видео с ваших устройств и сбором информации через встроенный микрофон. Эти данные впоследствии могут использоваться в том числе для шантажа.
К сожалению, есть настолько продвинутые способы слежения, которые простому пользователю заметить почти невозможно. Существует несколько косвенных способов проверки, которые могут помочь понять, что за вами следят: например, быстрее садится батарея на новом устройстве и т. п. Чтобы понять, заражено ли устройство, можно провести компьютерно-криминалистическую экспертизу или окунуть его в сетевое окружение, которое позволяет через анализ трафика понять, что на устройстве что-то есть. Для этого есть специальный продукт Group-IB TDS.
Нужно внимательно следить за гигиеной своего устройства. Ставить только нужные приложения из проверенных мест, не открывать файлы и ссылки, которых вы не ждете, использовать продукты по кибербезопасности нового поколения. При этом рекомендуется ограничивать доступ приложений к контактам, диктофону или камере. Когда речь идет о кибербезопасности, лучше перестраховаться. Та же самая шторка для камеры на ноутбуке или наклейка на нее — это не паранойя, так вы убережете себя или близких от возможного вмешательства в ваше личное пространство. На смартфоне лучше отключить сервисы отслеживания местоположения и отправки данных. Также не стоит давать разрешения сайтам, запрашивающим доступ к камере или микрофону. Лучше избегать подключения к общественному Wi-Fi и использовать VPN, чтобы данные невозможно было перехватить.
— Как не стать жертвой атаки киберпреступников?
— Лучшая защита — знания. Прежде всего надо быть в курсе новостей о кибербезопасности, узнавать о новых средствах защиты от хакерских атак. Не стоит пренебрегать советами экспертов в этой сфере. Есть говорить о конкретных правилах, рекомендации такие:
- В первую очередь защитите свой смартфон и электронную почту. Именно через них легко проникнуть в цифровую инфраструктуру пользователя — сейчас многие сервисы, мессенджеры, приложения привязаны к телефону и электронной почте.
- Везде, где это возможно, включить двухфакторную аутентификацию. Создайте надежные и безопасные пароли, все они должны быть уникальными.
- Своевременно устанавливайте обновления ПО. Большинство обновлений связано с обнаружением уязвимостей.
- Не открывайте вложения и не нажимайте на ссылки в письмах, которые пришли с неизвестного адреса и чей текст на интуитивном уровне вызывает три эмоции: страх, любопытство или жажда наживы (подарки, деньги, скидки, привилегии и др.).
- Делайте резервные копии всех важных файлов. Тогда даже при столкновении с вирусом-шифровальщиком будет возможность восстановить данные.
— Киберпреступления против бизнеса растут с каждым годом. С чем это связано? Основные виды? И как можно обезопасить и защитить бизнес?
— Преступления через ИТ проще, безопаснее и массовее традиционных. Кроме того, они не так строго осуждаются обществом. Преступность не исчезла: она ушла с улиц в интернет. Популяция человечества растет, и количество людей, склонных к совершению преступлений, также увеличивается.
Один из главных факторов, способствующий росту успешных кибератак на бизнес, — компании слабо представляют, как выглядит современная компьютерная преступность, и не владеют информацией, какими инструментами пользуются киберпреступники. Поэтому они не могут в полной мере защитить инфраструктуру или дистанционное банковское обслуживание (ДБО) — просто нет понимания, как это можно сделать. Например, некоторые все еще считают панацеей от хакеров антивирусы. Однако практика показала: даже установка самых современных антивирусов не спасает от заражения. В результате хакеры беспрепятственно устанавливают контроль над сетью банка и выводят со счетов деньги.
Злоумышленникам достаточно вычислить сотрудников, имеющих доступ к финансовым потокам. Взламывая их компьютеры, хакеры получают доступ к сервисам и финансам организации. Наиболее вероятная мишень — бухгалтеры и финансисты. Атаковать их можно несколькими способами. Например, встроив вредоносную программу в фишинговую рассылку. Другой способ — взлом или подделка сайтов, на которых сотрудник проводит много времени. Человек — самое уязвимое звено в кибербезопасности. Достаточно случайно нажать на вредоносную ссылку в письме, вставить не ту флешку и так далее. Поэтому нужно регулярно обучать правилам кибергигиены весь персонал.
Сейчас для достижения необходимого уровня безопасности недостаточно традиционных методов защиты — антивирусов, шифрования данных и т. д. Для того чтобы бороться с киберпреступностью, необходимо сосредоточиться на изучении того, как работают хакерские группы, которые постоянно совершенствуют свой арсенал. Средства защиты должны отвечать новым угрозам. Необходимо использовать современные продукты и технологии, которые способны проактивно предотвращать кибератаки на ранних стадиях.
Открывая конференцию Group-IB CyberCrimeCon в 2018 году, я представил наш новый подход — я бы сказал, философию, — в парадигме которого развиваются продукты Group-IB: Hunt or be hunted («Охоться или будут охотиться на тебя» — англ.). И он нашел отклик у международных экспертов. Прежние технологии защиты исчерпали себя. Переход от оборонительной позиции к вычислению киберпреступников и охоте за ними — это магистральный тренд.
Беседовала Кристина Фирсова