Выйти из системы

Сменить пользователя

Мошенники в интернете и средства информационной безопасности

По данным Минцифры РФ, 70% утечек персональных данных происходят по вине сотрудников. Причина – не сами кибератаки, а небезопасное обращение с конфиденциальной информацией.

Этим активно пользуются злоумышленники, используя средства автоматизации. Согласно F.A.C.C.T, за последние 3 года уровень таких схем вырос с 20% до рекордных 80%.

Сегодня раскроем “закулисье” интернет-мошенничеств и расскажем, как избежать цифровых рисков.

О чем речь?

Злоумышленники все чаще используют автоматизированные методы для распространения вредоносного контента, фишинга, кражи личных данных и других видов атак. В ИТ-сфере более 20 маркетов баз данных, 100 тыс. скам-объявлений и 1000 скам-групп зафиксировали в F.A.C.C.T.

Самые популярные методы:

– Фишинг

– Распространение стилеров

– Спам и вишинг

– Распространение шифровальщиков

Фишинг

Это атака с целью получения конфиденциальных данных. Название произошло от англ. phishing, от phone phreaking — «взлом телефонных автоматов» и fishing — «рыбалка», что характеризует её суть: злоумышленник ловит жертву «приманкой» – знакомым брендом или сайтом, на котором нужно авторизоваться для целевого действия – получения скидки, бесплатных опций или подарков. На самом же деле сайт оказывается точной копией известной площадки, но существует только для кражи личных данных. Для создания таких «приманок» и сбора аналитики мошенники используют специальные веб-панели:

– Персональную, где фишинговые страницы и панель управления находятся на одном домене. Используются для “точечных” целенаправленных рассылок.

– Публичную, где панель не индивидуальна, а домены разные. Мошенник выбирает шаблон и использует его для массовой рассылки.

Способов попасться «на удочку» масса: подключиться к публичному Wi-Fi в кафе с авторизацией по учетной записи социальной сети, ввести персональные данные на поддельном сайте, перейти по ссылке в «письме счастья» на Новый год или черную пятницу и т.д.

Как защититься?

“Приманки” постоянно меняются. Поэтому для защиты подходит только комплекс технических и организационных мер:

– Использовать средства антивирусной защиты. 

– Внедрить защиту электронной почты.

– Внедрить инструменты XDR, Extended Detection and Response – расширенного обнаружения и реагирования на сложные угрозы и целевые атаки.

– Проводить обучение сотрудников в области ИБ. Регулярные тестовые рассылки фишинговых писем помогают отладить процессы по проверке знаний.

– Обеспечить возможность идентификации ресурса для пользователей. Например, DNSdumpster.com обнаруживает хосты, связанные с доменом.

– Инструмент “посмотри-на-адресную-строку” –  вредоносные ссылки обычно существенно отличаются от названий оригинальных сайтов.

– Взаимодействовать с организациями, которые осуществляют мониторинг сети на предмет выявления поддельных сайтов и помогают блокировать фишинговые ресурсы.

Распространение стилеров

Стилер — это вредоносное ПО, которое пробирается в хранилища часто используемых программ и ворует оттуда все: сохраненные файлы Cookie, логины, пароли, данные банковских карт. Затем стилер отправляет полученные данные злоумышленнику на почту.

Как это работает?
Например, сайт-двойник Adobe предлагает скачать новую версию Premiere без регистрации. После распаковки и запуска файла с расширением .exe, установка программы так и не начинается, но клиентская база уже скачивается, а коммерческая тайна уже не такая тайная, как хотелось бы.


С автоматизацией кратно выросло количество атак, так как теперь жертву не нужно искать руками. Для этого используются парсеры для сбора данных с различных источников и автоматизированные рассылки. Злоумышленнику остаётся только “довести” жертву до целевого действия.

Пример бота для создания заражённого сайта

Как защититься?

Использовать инструменты защиты от стилеров, а также:

– Использовать «белые списки» – Application Whitelisting, AWL, которые смогут предотвратить несанкционированное скачивание или запуск вредоносного ПО.

– Внедрить инструменты фильтрации трафика – межсетевой экран WAF, DLP – Data Loss Prevention и т.д. Средства защиты должны включать функционал так называемой «песочницы», предназначенной для запуска и анализа новых или подозрительных программ в изолированном виртуальном пространстве.

– Разбить сеть на “зоны безопасности”, чтобы вредоносное ПО в одной зоне не смогло распространиться на остальные.

Спам и вишинг

Спам и вишинг – частые спутники фишинга. Со спамом – массовой рассылкой рекламных или информационных писем без согласия – сталкивались все. Вишинг – это “устный фишинг”, телефонное мошенничество с целью получения доступа к конфиденциальным данным. 

Если ранее для поиска номера злоумышленникам приходилось покупать базы, то теперь они используют генераторы номеров, авторассылки и скрипты для проверки валидности. Такие скрипты способны находить даже регион и интернет-провайдера, благодаря чему мошенник может проводить персонализированные атаки.

Пример генератора номеров

Для спам-рассылок в Telegram, Discord, ВК, по email тоже уже используют специальное ПО.

Софт для рассылок в Discord

Как защититься?

В случае спама применяются те же методы, что и для защиты от фишинга. С вишингом помогут бороться специальные приложения для борьбы с нежелательными звонками, например Kaspersky Who Calls.

Распространение шифровальщиков

Шифровальщики блокируют доступ пользователей к файлам и шифруют содержимое, запрашивая пароль.

Источники распространения шифровальщиков:

  1. Электронная почта
  2. Скачанное из интернета ПО
  3. USB
  4. Сетевые устройства, имеющие доступ в интернет

Как работают?

Менеджер Анатолий готовит презентацию и скачивает бесплатный графический редактор. После установки он замечает, что документы на рабочем столе выглядят странно и не открываются, запрашивая пароль. Затем то же самое происходит и с компьютерами коллег, т.к. ноутбук Анатолия подключен к корпоративной сети и шифровальщик уже заразил всё, до чего смог дотянуться. Через несколько часов корпоративные приложения не работают, а работа в офисе останавливается.

Спустя сутки на почту приходит письмо с указанием суммы и адресом кошелька в криптовалюте.

Что делать?

Использовать меры защиты, о которых говорили выше, а также разработать план резервного копирования, чтобы сохранить критично важные данные.

Риски для компаний

Перечисленные угрозы приводят к утечкам и нарушению целостности информации. 

Риски при нарушении целостности – одни из наиболее опасных. Помимо вероятности потерять важные сведения компании и риска заражения компьютеров сети вредоносным ПО, в тяжелых случаях существует риск утраты работоспособности всей информационной системы. Ущерб от простоя приравнивают к аварийному, причем время восстановления контролируют злоумышленники.


Риски при утечках

– Репутационные и финансовые

Компании, по вине которых персональные данные клиентов подверглись угрозе, теряют авторитет и лояльность клиентов, за счёт чего несут существенные финансовые потери. Например, Станислав Кузнецов, заместитель председателя правления Сбербанка, сообщил, что ущерб от утечки в марте 2022 года составил примерно 4,5 млрд рублей.

Технологические 

Конфиденциальная информация может послужить точкой входа для дальнейшего продвижения по сети и использования всех привилегий сотрудников, пока компания об этом даже не подозревает. Восстановление после таких утечек – очень трудоёмкий и затратный процесс, так далее необходимо провести расследование относительно источника утечки и сообщить о результатах в регулирующие органы. 

– Регуляторные

В 2022-2023 гг. появился ряд новых требований регуляторов в области информационной безопасности. Наиболее активно обсуждаются поправки в 152-ФЗ “О персональных данных” и перспектива введения оборотных штрафов. Подробности раскрыли здесь.

Вывод

93% мошенничеств в интернете основаны на психологических приёмах с целью получения конфиденциальной информации. Играя на личных качествах, киберпреступники буквально «взламывают» человека, с каждым разом всё изощрённее адаптируясь к новым средствам защиты и точнее попадая в триггеры целевой аудитории.

Волшебной таблетки для полной защиты не существует, и вряд ли она появится в будущем. Значение, как всегда, имеет только ценность данных и цена их взлома. Если цена взлома выше ценности – смысл такой атаки исчезает для злоумышленника. Поэтому комплексный подход из достаточных технических и организационных мер сокращает цифровые риски.

Подробнее о защите данных

О нововведениях в ФЗ-152 о персональных данных рассказали тут.

О защите персданных по ФЗ-152 – тут.

5 самых громких кибератак 2022 года, выводы и прогнозы разобрали здесь.

Получить аудита на предмет соответствия законодательным требованиям по ИБ и подбор категории информационной защиты – можно тут.