Kaspersky Lab: Будь креативнее, смени пароль!

14 декабря 2021 года состоялся подкаст от «Лаборатории Касперского» – «Смени пароль». Сотрудники компании поделились информацией об основных типах киберугроз и способах борьбы с ними. А мы задались вопросом: если даже водоросли могут сгенерировать хороший пароль – то почему многие люди этого не делают?

Трансляция началась в западном крыле Новой Третьяковки, где проходит выставка «Нью элементс» от лаборатории «Арт энд Сайенс» (первый в России центр, который профессионально занимается сайенс-артом) при содействии «Лаборатории Касперского». На выставке демонстрируется, что за всеми цифровыми процессами есть материальная основа, а с другой стороны – все природные процессы представляют собой сложно-структурированную информацию. Вычисления могут быть реализованы не только с помощью компьютеров, но и с помощью биологических и электрохимических носителей, что открывает новые возможности для изучения информационных технологий. Цифровые технологии не отделяют нас от природы, а являются её естественным продолжением: они также участвуют в обмене разнообразных элементов: углеводородов и информации.

Специально для выставки была создана новая интерактивная биотехнологическая инсталляция: немецкая художница Тереза Шуберт показывает в ней, как сливаются цифровое и природное. Ведущие подкаста назвали ее «первой в мире установкой, которая майнит биткойны с помощью водорослей», но позже признались, что это шутка. Инсталляция состоит из биореактора, в котором находится три вида водорослей. Посетители выставки могут с ними взаимодействовать – как выделяя углекислый газ, который нужен водорослям для фотосинтеза, так и подсвечивая водоросли экраном смартфона или фонариком, так как на свету фотосинтез происходит быстрее. Жизнедеятельность организмов связана с генерацией случайных чисел. На экране инсталляции видно, как в режиме реального времени бактерии генерируют код. В зависимости от изменения кода – рядом на мониторе формируются различные изображения. Кроме того, снимая показания датчиков с водорослей, можно генерировать случайные числа, например, для создания новых паролей.

 

Александр Гостев, главный технологический эксперт «Лаборатории Касперского»

Александр Гостев, главный технологический эксперт «Лаборатории Касперского»

 

Сам же подкаст был посвящен итогам деятельности «Лаборатории Касперского» в 2021 году. Подводили итоги главный технологический эксперт компании Александр Гостев и его коллеги Алексей Андреев и Сергей Голованов.

Телефонные мошенничества

Практически 80% граждан страны за 2021 год получили звонки от мошенников. Количество атак к концу года выросло в 35 раз и продолжает расти. В среднем уловкам преступников поддается 1% абонентов. Основные изменения, произошедшие в 2021 году: теперь вместо «сотрудников банка» звонят «сотрудники правоохранительных органов», при этом даже специальные приложения-АОН типа Who Calls определяют входящий звонок как номер например, участкового по адресу абонента. Звонящий представляется, после чего рассказывает историю о том, как взяли некоего злоумышленника, просит оказать помощь в раскрытии преступления и обещает, что в ближайшее время перезвонит другой специалист из службы безопасности банка. Создается некий «театр ума», при котором не только определитель номера высвечивает номер реального участкового, не только звучит ФИО абонента, но и называется номер его карты. Мошенники имеют много данных о пользователях и много возможностей.

 

Kaspersky Lab: Будь креативнее, смени пароль!

 

Илья Тихонов, руководитель направлений Комплаенс и Аудит УИБ SoftlineИлья Тихонов, руководитель направлений Комплаенс и Аудит УИБ Softline

Правда ли, что в будущем атаковать российские компании из-за рубежа российским злоумышленникам станет более выгодно, чем американские из России?

Атаковать станет технически проще, но всё также менее выгодно. Крупные хакерские группировки, которые умеют целенаправленно взламывать организации, редко атакуют компании своей страны. Это сопряжено с рисками, так как их быстро можно вычислить в силу прозрачности ИТ-систем для силовых структур и введением ужесточающих законов в области связи. Граждан страны проще найти за счет связей, друзей, банковских операций и т.д.

Насколько безопасны сегодня такие крупные экосистемы данных, как банковские, e-commerce, государственные?

Чем шире и сложнее экосистема, чем больше в ней сервисов, тем сложнее удержать информацию внутри неё. Атаки происходят при передаче данных в дочерние компании, так как в них ниже уровень ИБ. Но в последнее время чаще наблюдаются утечки из-за халатности, а не взломов. Так, государство тщательно следит за информационной безопасностью банков. Но при передаче данных, например, в страховые, как раз могут происходить атаки и хищения.

Возможно ли решить проблему телефонных мошенников в ближайшее время?

Полагаю, в ближайшее время проблема не будет решена. Сейчас ЦБ занят этим вопросом и работает с операторами сотовой связи, так как ситуация носит массовый характер. Но социальная инженерия переросла в индустрию, в которую все вовлечены. Учитывая экономическую ситуацию, активное развитие ИТ и пока не сильно строгое законодательство, проблема телефонных мошенников продолжит существовать.

Если на вопрос роботизированного меню «совершали ли вы транзакцию» ответить, например, «нет», то начинает играть музыка, потом поднимает трубку «диспетчер», который, выслушав проблему, обещает перевести на специалиста. Далее опять в течение нескольких минут играет музыка, чтобы максимально создать иллюзию, что вы общаетесь с реальными представителями банка. После этого человек уже достаточно «подготовлен», чтобы раскрыть данные мошенникам.

Есть мнение, что одной из целей мошеннических звонков является сбор биометрии – данных голоса: записывают голосовые ответы людей, а далее эти данные можно использовать, чтобы от имени человека позвонить в какой-то банк. Поэтому, когда звонит мошенник, или робот-мошенник, и явно подталкивает ответить какой-то определенной фразой, например «скажите «да» или «нет», чтобы перейти в соответствующее меню», ни в коем случае нельзя говорить запрашиваемые слова или фразы, достаточно просто «угукать».

В интернете, учитывая, что в 2020 году все находились дома, за 2021 год среднесуточная посещаемость мошеннических сайтов снизилась, но их уникальные посетители таргетированны и тесно связаны с телефонным мошенничеством, так как когда звонит мошенник, он уже знает и ФИО, и номер телефона. Достаточно часты по-прежнему случаи мошенничества на торговых площадках, когда мошенники звонят продавцу и в контексте сделки предлагают осуществить какие-то переводы.

О шифровальщиках

В 2021 году злоумышлениники активно используют вирусы-шифровальщики для атак на медицинские органзации. Например, существуют списки людей, которые записаны на прививку от коронавируса на определенную дату и в определенную клинику. Если список оказывается зашифрованным, то это удар по системе здравоохранения страны и лояльности граждан к ней. В лучшем случае организация можетвернуть потерянные данные: обойти генератор случайных чисел и расшифровать файл или восстановить их из сохранившейся резервной копии.

 

Kaspersky Lab: Будь креативнее, смени пароль!

 

В российских новостях преимущественно говорится о зарубежных случаях шифрования данных. Дело в том, что за рубежом они быстрее обнаруживаются, появляются в прессе, предаются огласке. Тем не менее в России в этом году было зафиксировано около 14 тысяч атак на корпоративные компьютеры при помощи шифровальщиков. По результатам опроса, который проводился среди российских компаний, ущерб в ходе таких инцидентов (по статистике, вымогателям платят 95% пострадавших) для малого бизнеса начинается в районе ста тысяч долларов, а для крупных корпораций – от миллиона долларов. Настоящий скачок атак произошел именно в конце года: новых видов шифровальщиков, «промышляющих» в России, появилось около 30 за 2021 год.

Ботнеты

Иван Мелехин, директор по развитию компании «Информзащита»Иван Мелехин, директор по развитию компании «Информзащита»

Правда ли, что в будущем атаковать российские компании из-за рубежа российским злоумышленникам станет более выгодно, чем американские из России?

Можно подходить к этому вопросу аналогично анализу любого другого рынка. Вопрос выгоды – это вопрос баланса размера рынка и его масштаба, сложности и рисков при реализации той или иной операции. С этой точки зрения, с учетом того, что сложность подобных операций примерно одинакова в мировом масштабе, европейский и американский рынки выглядят более привлекательно благодаря размеру и платежеспособности, а риски при нахождении на территории РФ – меньше. Так что получается, что выгоднее атаковать зарубежные компании из России.

Насколько безопасны сегодня такие крупные экосистемы данных, как банковские, e-commerce, государственные?

Уровень безопасности различных экосистем даже в рамках одной отрасли может очень сильно различаться. Судя по публичным отчетам и новостям об утечках данных, инциденты могут случиться где угодно. Также с большой долей уверенности можно сказать, что взломать можно практически все. Вопрос только в ресурсах и бюджете (и соответственно в монетизации результата). Если в ядре экосистемы хранится общая для всех компонент база данных, например, о пользователях, то можно завладеть сразу всеми данными.

Возможно ли решить проблему телефонных мошенников в ближайшее время?

С учетом давно принятых и активно исполняемых законодательных актов, направленных на сохранение данных о сетевом обмене и самого трафика как у операторов сотовой и фиксированной связи, так и интернет-провайдеров, техническая возможность отследить, откуда работают такого рода мошенники, безусловно, есть. Особенно с учетом того, что для реализации описываемых сценариев нужна достаточно сложная инфраструктура: фактически, «теневой» колл-центр. Осталось найти тех, кто имеет право воспользоваться этой технической возможностью и желанием (или обязанностью) это делать.

Под управлением ботнета может быть больше ста тысяч зараженных устройств – от видеокамер и роутеров до устройств «умного дома» и «умных» гаджетов. Например, в этом году произошла крупнейшая DdoS-атака именно по сети роутеров. Причем если раньше злоумышленники старались «брать массой», то теперь количество зараженных устройств стало намного меньше, а DDoS-запросы стали направлены на логику работы портала, и это действует эффективнее.

Фишинг

Используя фишинг для заражений корпоративной сети, атакующие проникают туда, прежде всего, через рабочую почту. Получив доступ в корпоративную сеть, можно вклиниться в переписку: получить доступ к счетам, обмену документами, PDF-файлам. Можно взять из переписки документ, поменять БИК, ИНН, расчетный счет и т.д. и ждать, когда придут деньги от клиента.

То же происходит с обманом в мессенджерах: контакт, определяемый как записанный номер в телефоне, пишет: «Я потерял телефон, сейчас я пришлю тебе код, скажи его, пожалуйста». Передавая поступивший код, абонент фактически отдает пароль, с помощью которого злоумышленники получают доступ к его мессенджеру или телефону. Так у них появляется возможность загрузить историю чатов, групповые чаты. Дальше история с «потерянным телефоном» продолжается уже в групповом чате. Поскольку там идет общение более неформальное, чем в почте, в мессенджерах похищать информацию проще.

У самого «шпиона» есть огромная вариативность – в зависимости от того, куда он попадает, функционал вредоносной программы позволяет совершать разнообразные действия. Например, если это YouTube-канал – можно удалять ролики и требовать выкуп, если почта – копировать файлы и т. д.

Кибератаки и уязвимости нулевого дня

Спикеры подкаста объявили, что взаимодействие специалистов по отражению кибератак в этом году впервые вышло на международный уровень. Началось международное сотрудничество, вследствие чего было прекращено существование целого ряда кибергруппировок. Некоторые группировки стали жертвами ответных атак со стороны спецслужб.

С другой стороны, ситуация становится сложнее из-за большого количества уязвимостей нулевого дня (от английского 0-day – это уязвимости в новых релизах ПО, которые пока не устранены разработчиком). Если в прошлом году их было около 20, то в этом – уже около 80. Скорее всего, дело в том, что их научились быстрее обнаруживать. Если посчитать медианное время, то в 2021 году в среднем для обнаружения требовалось от 30 до 33 дней, ранее – до 50 дней. Анти-рекорд по обнаружению зеродея – десять лет.

Однако совершенствуются и механизмы защиты данных, в том числе средства резервного копирования. Сейчас основная проблема злоумышленников заключается в том, чтобы максимально оперативно найти резервные копии корпоративных ресурсов: если они не будут отключены, то атака с угрозой удаления данных станет бессмысленной. Если компания успевает обнаружить зеродей достаточно быстро, то успевает либо закрыть уязвимость, либо позаботиться о лучшей сохранности информации.

При этом существует заблуждение, что только open source решения имеют большой риск заражения. В 2021 году самыми громкими были атаки на сервера под управлением Microsoft Exchange, за последние полгода зафиксировано более 70 тысяч  атак ботов, сканирующих и пытающихся взломать эти сервера.

Целевые атаки для всех желающих

В России сейчас развивается уникальный тренд на целевые атаки, не имеющие конкретного заказчика. Даже если инфраструктура компании полностью защищена от шифрования, за украденную инсайдерскую или компрометирующую информацию злоумышленники могут получить большое вознаграждение. Например, выбирается жертва, похищается интересная переписка и в публичных Telegram-каналах выставляются ее отрывки. Иногда отдельным СМИ предоставляют чуть больше из этих сливов для публикации и привлечения внимания. Прямо сейчас на торги выставлены данные десятков различных персон на уровне замминистров, продавали также переписку, связанную с одним из футбольных клубов.

В даркнете возросла цена за «пробив» конкретных персон – цена на такие данные растет. В свою очередь, массовые утечки покупаются по стоковым ценам (теми же телефонными мошенниками), поскольку информация в них чаще всего устаревшая.

Прогнозы на будущий год

Скорее всего, в перспективе атаковать российские компании злоумышленникам станет более выгодно, чем американские – считают в «Лаборатории Касперского». Сейчас российские хакеры атакуют американцев, но по факту становятся «невыездными», так как при выезде из России их сразу арестуют. Живя за границей, эти же хакеры аналогично могут практически безнаказанно атаковать российские компании.

В России сейчас становятся популярны экосистемы – например, банк с крупными сервисами, когда экосистема знает о тебе всё, если воспользоваться любым из её сервисов. То есть в случае одной атаки хакеры получают гигантский объем информации о человеке. Поэтому главные опасения специалистов ИБ связаны с атаками на экосистемы, хранящие свежие базы данных.

Также в 2022 году, по прогнозам «Лаборатории Касперского», должен быть решен вопрос с телефонным мошенничеством.

 

Рубрики: Безопасность

Ключевые слова: Информзащита, мероприятия, информационная безопасность, Софтлайн, Лаборатория Касперского