«Эмоциональный фон у всех разный, мошенники умеют подбирать крючки»: как хакеры атакуют компании и зачем им нужны наши соцсети?

Поговорили с экспертами по информационной безопасности о том
Поговорили с экспертами по информационной безопасности о том, как не попасться
на удочку мошенников, как защитить свой аккаунт в соцсетях и насколько уязвим
бизнес перед кибератаками хакеров.

Насколько часто вы делитесь в социальных сетях своими фотографиями, отмечаете ли геолокацию, оставляете ли адрес почты и номер телефона на различных сайтах? Если вы ответили утвердительно хотя бы на один из вопросов – знайте, что эту информацию могут использовать злоумышленники для составления фишингового письма. KazanFirst обсудил способы мошенничеств и защиту аккаунтов с руководителем направления по анализу защищенности Innostage Александром Борисовым.

— На фестивале по кибербезопасности Positive Hack Days вы участвовали в дискуссии о том, как злоумышленники ищут жертву в социальных сетях, какие методы используют и как от них защититься. Зачем хакерам «угонять» аккаунт и не стало ли таких атак больше за последний год?

– Какая мотивация у злоумышленников? Во-первых, это реальная угроза: шантаж («мы забрали твои соцсети, переведи нам деньги, чтобы вернуть доступ»), поиск компромата с последующим использованием для того, чтобы украсть деньги у того, кого взломали, либо у того, на кого еще может распространиться эта история. Либо взлом ради взлома – это так называемые активисты. У них нет материальной выгоды, но есть удовольствие от того, что они смогли что-то сделать. Есть более идейные, политические мотивы для совершения подобных действий. Но в первую очередь это материальная выгода – для последующей перепродажи. Либо для применения полученных учетных данных и проникновения в корпоративную инфраструктуру. 

«Мы десятый по приоритету регион, кому мы нужны?» Оказывается, нужны»: Как хакеры атакуют компании и зачем им нужны ваши соцсети

Если говорить о том, стали ли атаки проводиться чаще, ответ – да. О них стали чаще слышать, о них говорят все, и их действительно становится больше. Они идут как на корпорации, так и на частных лиц в гораздо большем объеме. Более точной статистики нет, но даже когда общаешься в курилке с коллегами, то так или иначе слышишь: «Мне тут фишинговое письмо прилетело, я его отправил в спам». Такие разговоры стали чаще.

Насколько опасны сливы и как не стать жертвой мошенников 

– В СМИ постоянно появляются сообщения о сливах баз данных: за последний год такие утечки были у «Яндекс.Еды», «Гемотеста» и других компаний. Некоторые эксперты считают, что, используя эти данные, злоумышленники не могут нанести глобального вреда, так как зачастую они не актуальны. Действительно ли это так? Чем на самом деле опасны сливы баз данных?

— Мне кажется, что нужно оценивать слив по тому, как хорошо работает фантазия злоумышленника. Мы не можем знать наверняка, как он будет использовать эти данные. Мы можем только предположить, как он может это сделать. Если говорить о медицинских данных, которые утекали ранее – результаты анализов крови, какие-то заболевания, — к чему это может привести? У человека в этих сливах есть фамилия, имя, отчество, возможно, паспорт и результаты анализов. В социальных сетях можно найти этого человека и распространить информацию о состоянии его здоровья среди его друзей или не друзей. Возможно, он хотел скрыть эту информацию от своего окружения. Это откровенное вредительство и нарушение медицинской тайны. 

– Наверное, это еще можно использовать для таргетированной рекламы.

– Для таргетированного фишинга в первую очередь. Можно притвориться, что ты представитель медицинского учреждения, и сказать: «В нашей базе данных появилась ошибка, у нас написаны такие результаты. Пожалуйста, пройдите в личный кабинет, подтвердите, что это действительно вы». И личные данные будут украдены. Возможно, злоумышленники будут развивать эту атаку дальше, по другим ресурсам этого пользователя.

«Мы десятый по приоритету регион, кому мы нужны?» Оказывается, нужны»: Как хакеры атакуют компании и зачем им нужны ваши соцсети

– Как их распознать? Если в случае с телефонными мошенниками мы знаем, что сотрудники банка не спрашивают CCV-код карты и коды из СМС, то как понять, что ты разговариваешь с мошенником, когда тебе звонит лжесотрудник медицинского центра?

– Зачастую, пока разговор идет в стандартном русле, это сделать невозможно. Но когда начинается шаг вправо, шаг влево, они начинают сыпаться. Потому что чаще всего они действуют по заготовкам. Когда нет заготовки на ваш непредсказуемый вопрос, они могут начать разваливаться. Это раз. Во-вторых, если есть сомнения в том, что вы разговариваете с представителем компании, сбросьте звонок, перезвоните в компанию самостоятельно. Ничего страшного за 20 секунд, пока вы перезваниваете, не случится. Вы будете уверены, что вы позвонили в компанию и общаетесь напрямую с представителем. Своим родителям я посоветовал следующее: в ответ на любые непонятные звонки не говорите ничего, бросайте трубку.

– Иногда это очень сложно сделать. Мошенники находят такие крючки, чтобы у человека сразу началась паника. Как заставить себя взять паузу? 

– Вы правильно заметили, что очень важно взять паузу, чтобы выдохнуть и понять, что происходит. Ты никак не сможешь прочувствовать то, что эмоциональный фон у тебя поднялся из-за того, что тебя взламывают. Ты будешь думать: «Опять у меня проблемы». Понимание того, что происходит фишинг, приходит сильно позже. В лучшем случае – когда ты начинаешь с ними какое-то взаимодействие и немного успокаиваешься. Иногда – когда тебя уже взломали и ты перевел деньги.

У меня был случай, когда я получил фишинговое письмо, в котором говорилось: «Алексей, я взломал ваш телефон, у меня есть доступ ко всему. Если вы не переведете мне 500 баксов, то я все ваши данные разошлю в контактную книгу. У вас есть два дня. А чтобы вы были уверены, что я действительно взломал ваш телефон, вот последние четыре цифры вашего номера». У меня было секунд 15-20 откровенной паники, я думал, где я оплошал, что я сделал не так. Через 20 секунд калькулятор в голове заработал: «Так, 500 долларов, плюс комиссия за перевод в биткоин, что-то дороговато получается. Стоп. А что он собрался отправлять моим друзьям? Фотографии счетчика?». Когда я разобрался, как он получил мои фамилию, имя и последние четыре цифры телефона, оказалось, что вся эта информация была в открытых источниках. Через один сервис злоумышленник попытался воспользоваться функцией восстановления пароля, и ему показали четыре последние цифры, куда должна была уйти СМС. Таким образом, он сопоставил мои данные и именно это отразил в письме. Но пример я рассказал по другой причине: даже люди, подготовленные к фишингу, могут быть уязвимы, потому что мы не можем быть защищены на 100%. Эмоциональный фон у всех разный, мошенники умеют подбирать крючки.

«Мы десятый по приоритету регион, кому мы нужны?» Оказывается, нужны»: Как хакеры атакуют компании и зачем им нужны ваши соцсети

– Поговорим о теме безопасности в соцсетях. Можно ли удалить данные, если они все-таки оказались слиты?

– Все, что попадает в интернет, остается там навсегда, и эта аксиома нерушима. Здесь работает эффект Стрейзанд (социальный феномен, когда попытка изъять определенную информацию из открытых источников приводит к более широкому его распространению. – Ред.) и архивация данных. Существуют сервисы, которые периодически сканируют веб-страницы и сохраняют у себя так называемые «зеркала». Можно даже откатиться на 10-20 лет назад и посмотреть, как выглядел тот или иной сайт в 1999 году (подобная информация собиралась уже тогда). Поэтому в первую очередь хочется посоветовать внимательно следить за тем, что вы публикуете, и разделять личную и рабочую переписку и жизнь в интернете. 

– Как и для чего взламывают аккаунты?

– Есть несколько способов взлома. Первая – это фишинг, когда вам предлагают перейти по ссылке и войти в социальную сеть. Но ссылка ведет не на социальную сеть, а в руки злоумышленников, и вы добровольно оставляете свой логин и пароль хакерам. 

– Как хакеры готовятся к атаке? 

– Все начинается с поиска в открытых источниках.  Существует целое направление, оно называется OSINT (Open source intelligence – разведка на основе открытых источников. – Ред.), злоумышленники прекрасно им владеют. Но в процессе поиска по открытым источникам они могут случайно зайти на вашу страницу не под тестовой учетной записью, а под своей и оставить информацию в истории посещения или даже случайно поставить лайк. Человеческий фактор тоже бывает, поэтому на такие вещи тоже стоит обращать внимание. Кроме фишинга есть проблема с повторным использованием паролей. В утечке, о которой мы говорили ранее, часто используется связка логин-пароль. Очень часто пользователи используют один и тот же пароль для многих социальных сетей и многих аккаунтов. Если у вас «утек» один пароль, то злоумышленник может попытаться войти в другой ресурс под вашим именем и захватить его без фишинга. Можно сказать, что здесь проблема на стороне пользователя. Надо везде делать разные пароли.

– Что делать, если тебя все-таки взломали?

– В первую очередь не паниковать. И сразу написать в техническую поддержку того ресурса, который взломали, объяснить ситуацию. Потребуется от часа до половины дня, чтобы вернули аккаунт.

– Считается, что для защиты аккаунта необходимо устанавливать двухфакторную идентификацию. Но некоторые эксперты считают, что это не защитит на 100%. Какие правила нужно соблюдать?

– Использовать сложные и уникальные пароли. Второй фактор нужно использовать всегда – он может не работать только в том случае, если вы случайно нажали на кнопку «да» вместо того, чтобы разблокировать телефон. Есть случаи, описанные в публичных отчетах, когда пользователь признавался, что случайно одобрил вход с другого устройства просто потому, что не прочитал, промахнулся, в метро была толкучка и палец дрогнул. Еще нужно внимательно следить за уведомлениями, которые поступают из социальных сетей на почту. Очень часто там по умолчанию подключены уведомления о попытках подозрительного входа или входа с новых устройств. Если вы замечаете, то надо незамедлительно сбрасывать пароль и сообщать в техническую поддержку о том, что произошло, чтобы они принудительно завершили все сессии на других устройствах. 

«Мы десятый по приоритету регион, кому мы нужны?» Оказывается, нужны»: Как хакеры атакуют компании и зачем им нужны ваши соцсети

– Вопрос к вам как к представителю рынка информационной безопасности: насколько большой у рынка потенциал в Татарстане?

– Потенциал рынка очень значителен. У нас есть Иннополис, куда привлекаются компании, появился новый IТ-парк, куда привлекаются компании и куда приехало много разных представителей IТ-отрасли. Мне бы хотелось, чтобы рынок в Татарстане рос, потому что он создает очень привлекательную инфраструктуру для всего города. Кроме того, у нас есть неплохая база в виде Университета Иннополис, который может готовить специалистов.

Атаки на цепочки поставок, безопасность маркетплейсов и будущее нейросетей 

Во время пленарной дискуссии на киберфестивале Positive Hack Days глава Минцифры Максут Шадаев сказал, что IТ-отрасль живет в режиме кибервойны и нужно готовиться к тому, что хакерских атак станет больше. Только за прошедшие месяцы 2023 года компания VK отразила около 6,5 миллиона кибератак на сотрудников, инфраструктуру и клиентов. Около 300 инцидентов были внутренними, но они могли привести к серьезным последствиям. По словам вице-президента компании, курирующего вопросы кибербезопасности Алексея Волкова, причинами большинства инцидентов было отсутствие обновления антивирусов и двухфакторной аутентификации, а также незащищенный удаленный доступ.

Об этом мы поговорили с руководителем Центра противодействия киберугрозам Innostage CyberART CyberART Максимом Акимовым.

— Как вы считаете, будет ли количество кибератак расти?

– Все идет к тому, что кибератак станет больше, потому что внимание к российским компаниям не ушло. Сначала, из-за известных событий, количество атак резко возросло и внимание к российским компаниям увеличилось. За прошлый год большое количество компаний взламывали, причем взламывали компании с разным уровнем зрелости. Лучше всего справились те компании, которые в свое время занялись локализацией практической защиты, а не занимались формализмом. Сейчас компании пересматривают свой подход и переходят в сторону практической безопасности, начинают задумываться о правильности выстраивания бизнес-процессов и закладывают во все процессы понятие информационной безопасности. 

«Мы десятый по приоритету регион, кому мы нужны?» Оказывается, нужны»: Как хакеры атакуют компании и зачем им нужны ваши соцсети

– Компании из каких сфер бизнеса чаще взламывали? 

– Взламывали совершенно разные компании – государственные, энергетические, финансовый сектор. По-моему, не осталось ни одной сферы, которой не коснулись эти атаки. Было внимание к государственным корпорациям, а также к бизнесу, маркетплейсам, службам доставки — у них были утечки информации. Если кого-то еще не затронули, возможно, атаки на них на подходе. Мы научились выявлять таргетированные атаки – генерацию DDoS (распределенная атака, которая создает нагрузку на сервер и приводит к отказу системы, осуществляется одновременно со многих компьютеров. – Ред.). Это самый популярный вид атаки за последний год, каждый день по алфавиту менялись организации, подвергшиеся атаке. Не то, чтобы их взламывали, но сильно мешали жить: некоторые банки хорошо справились, а некоторые были сутки недоступны.

В прошлом году мешали и вузам — когда начиналась приемная комиссия, их начинали атаковать, и студенты не могли подать документы на сайт. В Татарстане мы реализуем межвузовский SOC (центр противодействия киберугрозам. – Ред.). В нем участвуют четыре ключевых технологических вуза, которые обеспечивают безопасность. Таким образом они как дружинники защищают сами себя, а мы помогаем, выступая экспертами и менторами. 

– Насколько бизнес осведомлен о существующих угрозах?

– До событий прошлого года многие просто не обращали внимание или не верили в угрозы безопасности. Как бы это ни звучало, нам не хватало этого пинка. Были огромные очереди за средствами защиты, многие компании, такие же интеграторы, как мы, не могли справиться с количеством заявок. Все подорвались и резко начали думать о безопасности. Многие говорили «мы десятый по приоритету регион, кому мы нужны?» Оказывается, нужны. На самом деле, никто не застрахован, к любому могут прийти.

– Во время дискуссий на PHD приводились примеры, когда злоумышленники наносили вред компаниям, взламывая подрядчиков: так, например, хакеры взломали оператора связи, который оказывал услуги платным каналам, и запустили злонамеренную трансляцию бегущей строки. Почему такое происходит?

– Есть классическая история с атаками на цепочку поставок, когда злоумышленники действуют через посредников. В прошлом году у нас дважды была взломана служба доставки, в кулуарах сказали, что у них разработкой занимались украинцы в том числе. В феврале они ушли, и в организации произошла утечка. Есть уязвимости, которые давно там лежат. Приведу пример про уязвимость Bitrix в июле прошлого года. Порядка 25 тысяч сайтов в сети построены на этой CMS. Все они оказались потенциально уязвимы. И только ряд организаций обновили приложение. К чему это приводит? Эта уязвимость позволяет заменять некоторые файлы или полностью менять содержимое. То есть можно вместо сайта повесить какие-нибудь лозунги или положить вирус в определенный раздел, и граждане, заходя на сайт, даже не будут подозревать, что они участвуют в кибератаке. Есть сайты-визитки организаций, которые больше никто не поддерживает. А злоумышленники заложили в эти каталоги вирус веерным способом, и он там лежит и вредит, а сама организация об этом не знает. 

«Мы десятый по приоритету регион, кому мы нужны?» Оказывается, нужны»: Как хакеры атакуют компании и зачем им нужны ваши соцсети

Есть уязвимости в Wi-Fi – не каждой сети можно доверять. Потому что если вы авторизовались и совершаете транзакции в банковских приложениях онлайн, можно перехватывать пакеты и смотреть, куда и что вы отправляете. Транзакцию можно перехватить, выявить вашу кредитную карту, все номера, и вы останетесь без денег. Такая возможность существует, поэтому нужно соблюдать цифровую гигиену. 

– Раз уж речь зашла о безопасности в сети, хотелось бы затронуть тему маркетплейсов. Насколько им можно доверять? 

– Нельзя говорить про всех, это зависит от зрелости организации. Есть стартапы, которые создали два-три человека. Естественно, у них вопрос информационной безопасности не стоит либо стоит на последнем месте. Для них главное — удержаться на поверхности и не утонуть. Есть организации, которые задумались над методами безопасной разработки. К счастью, разработчики начинают смотреть в эту сторону и задумываться над качеством своего кода. Но это не отменяет истории с zero-days, уязвимостями, которые невозможно предусмотреть. Точно так же, как появляются уязвимости операционной системы Windows, появляются патчи безопасности, а появляются они из-за того, что хакеры нашли новый вектор атаки, который ранее не был известен. Есть крупные маркетплейсы, которые задумываются над своей безопасностью. Есть платформы, которые публикуются на платформах Bug Bounty, где можно опубликовать приложение и дать свободу творчества хакерам, которые попытаются его взломать. По результатам формируется отчет с перечнем уязвимостей, передается маркетплейсам, и он эти дыры закрывает. Это уровень зрелости компании, которая уже выросла, и они готовы доверять и передавать свое приложение сторонним партнерам. Такие маркетплейсы появились, но, к сожалению, их немного.

Это не отменяет того факта, что гражданам нужно думать о цифровой гигиене. Есть много сайтов-подделок, которые используются в фишинге. Существуют полные копии интернет-магазинов, когда вы введете данные своей карты и потеряете деньги. И маркетплейс здесь совершенно ни при чем – просто вы не проверили ресурс, которому вы доверили свои данные.

– Как можно распознать такие фишинговые сайты?

– Банально – домен будет немного отличаться. На примере социальной сети «Одноклассники» – там будет одна буква «с» или название будет написано через «а». Мы выявляем такие потенциально фишинговые домены и сообщаем о них заказчику. Бывает, что злоумышленники не задумываются над безопасностью. Есть сайты с защищенным протоколом шифрования. Если вы на них заходите, у вас в браузере загорается галочка, стоит закрытый замочек – это значит, что соединение безопасно. Бывает, что замочек открыт – сайт небезопасен, соединение не защищено. Это говорит о том, что лучше не доверять свои данные этому сайту. Бывает, что копируют сайты на скорую руку и большинство функций на этом сайте не работает. То есть основная функция «оплатить» и переход к процессингу работает, а если потыкать остальные разделы, будет выходить ошибка. Таких косвенных признаков достаточно много.

«Мы десятый по приоритету регион, кому мы нужны?» Оказывается, нужны»: Как хакеры атакуют компании и зачем им нужны ваши соцсети

– Как изменилась модель поведения злоумышленников за последний год?

– Они стали более продвинутыми. Скажу про DDoS и ботнеты. Раньше казалось, что это что-то невероятное. Сейчас любой человек может перейти на определенный сайт и поучаствовать в атаке. Людям, которые хотят поучаствовать в них, практически ничего для этого не нужно: писать сложные процедуры, разбираться. Реализация атак сильно упростилась, из-за этого их стало больше.

– Почему их нельзя привлечь к ответственности?

– Естественно, злоумышленники шифруются и прячутся. Компании блокируют иностранные адреса по геопозиции, но злоумышленники научились их обходить. 

– Не могу не спросить: какое будущее у нейросетей? Смогут ли они заменить работу журналиста?

– В теории – в каком-то объеме могут, но полностью нет. Искусственный интеллект можно использовать как помощника. Допустим, сформулировать вопросы, чтобы нейросеть накидала статью, составила основную массу текста, а человек правит формулировки, добавляет больше контекста и информации. Возможно, журналисты перестроят свою работу. Но я не думаю, что в ближайшее время нейросеть сможет заменить его полностью. 

Мы тоже решили поэкспериментировать и проверить, что умеет чат GPT в плане программирования. В третьей версии качество страдало, но четвертая выдает уже достаточно неплохие результаты. Вы вводите несколько параметров, и у вас готовый текст. Мы перестраиваем из банального написания текстов в пять тысяч символов и тысячу строк – это делает робот. Человек перешел в сторону аналитики и логики. 

– Это в каком-то смысле естественный процесс.

– И естественный прогресс. Но вокруг нейросетей такой хайп… Илон Маск и некоторые представители сообщества заговорили о том, что их надо запретить хотя бы на год, потому что все слишком хаотично развивается и непонятно, к чему это приведет. 

С помощью нейросетей многие вещи можно ускорить и автоматизировать. Был такой инженер Жак Фреско, у которого была идея автоматизировать буквально все. Он считал, что человек не должен заниматься банальными вещами, вроде подметания улиц, когда это может сделать робот. Человек должен заниматься созиданием, строительством. Правда, есть риск, что человек обленится и растолстеет.

– И будет как в мультфильме «Валл-и». 

– Да, человек в принципе существо ленивое и инертное. Нужно думать, какой пример мы подаем молодому поколению, когда что-то автоматизируем. Возьмем робот-пылесос. Мы упростили себе жизнь — за нас теперь подметает робот. Но при этом человек ляжет на диван и будет отращивать живот, это увидит ребенок и подумает, что это нормально. А если мы покажем, что в это освободившееся время мы занялись спортом или творчеством, ребенок увидит, что можно заниматься чем-то более полезным. Наши дети будут усваивать информацию еще быстрее. У меня в первом классе не было телефона, а сейчас телефоны есть даже у детей в садике. Они иногда ими пользуются лучше, чем взрослые люди. Количество информации, скорость ее получения будет все больше, и это невозможно остановить. 


Читайте также: Татарстанским предпринимателям предложили зарабатывать на открытии пунктов выдачи заказов


Comment section

Добавить комментарий

Войти: