Сейчас киберохота идет на людей
Сергей Волдохин – о том, как уберечь свои данные от хищения хакерами
Сергей Волдохин, директор компании «Антифишинг», рассказал журналу «Будущее» на платформе Republic, насколько квалифицированным должен быть хакер, чтобы совершить удачную атаку на крупную организацию, о том, как обычный человек может защитить свои данные от утечки, и, наконец, что удерживает нас от киберапокалипсиса.
– По данным МВД России, в начале этого года количество совершаемых в стране киберпреступлений выросло почти на 84% по сравнению с прошлым годом. Очевидно, большой вклад в это внесла пандемия, но как именно?
– Люди – самый доступный для мошенников и технически простой объект для цифровой атаки. Чтобы найти уязвимости в IT- инфраструктуре, требуются квалификация и специальный софт, при этом все меньше организаций оставляют свой цифровой периметр незащищенным. Но в период пандемии, когда значительная часть сотрудников уходит на удаленку, этот периметр фактически размывается.
Как это происходит? Если раньше сотрудники были относительно защищены корпоративными средствами защиты, то теперь каждый из них работает откуда угодно и зачастую с каких угодно устройств.
Психоэмоциональное состояние людей тоже изменилось. Раньше человек ходил в офис и мог там работать в привычной среде. Теперь он сидит в квартире с детьми, которые на нем висят, а работает, возможно, с ноутбука старшего ребенка, на котором могут быть какие угодно вредоносные программы; все тормозит… Этим состоянием людей активно пользуются кибермошенники. Например, уже в марте появился «Корона-Антивирус», установка которого на компьютер якобы защищала человека от заражения COVID-19. Бред, правда? Но человек, находясь в стрессе, может сделать даже это.
При этом в технологиях ничего принципиально не поменялось: за последний год не было выявлено принципиально новых уязвимостей – как, впрочем, не появилось и принципиально новых технологий защиты от кибератак. Но главным объектом таких атак стала не инфраструктура, которую, возможно, уже и взламывать смысла нет, а сами люди, которые, сидя по домам, продолжают пользоваться электронной почтой, переписываться в мессенджерах и принимать звонки откуда угодно. Взломав их аккаунты с помощью фишинга, можно получить доступ практически к любой информации и системам, с которыми они работают.
– Какие отрасли сейчас больше всего интересуют кибермошенников и почему?
– Традиционно мошенникам интересна финансовая отрасль – просто потому, что в ней деньги ближе всего. Но значительная часть кибератак производится массово, и мошенникам по большому счету все равно, кто станет жертвой – главное, чтобы можно было зашифровать данные и запросить выкуп.
Все чаще под ударом оказываются промышленные предприятия и другие объекты критической инфраструктуры. В случае успеха такие атаки могут вызывать техногенные и экологические катастрофы. Подобные угрозы сейчас усилились, потому что в промышленности и, скажем, энергетике проникновение IT-технологий в процессы управления тоже растет.
Не зря федеральный закон «О безопасности критической информационной инфраструктуры РФ» и соответствующий приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК) теперь требуют обучать и на практике проверять знания сотрудников по безопасности – цифровые атаки на людей для крупных предприятий также стали приоритетным риском.
– Насколько квалифицированным должен быть хакер, чтобы совершить удачную атаку на крупную организацию?
– Это только в представлении СМИ все хакеры – Джеймсы Бонды. На самом деле, абсолютное большинство реальных кибератак не требует высокой технической квалификации от мошенников-исполнителей. Ее часто не хватает, чтобы написать эксплойт к неизвестной уязвимости, но достаточно, чтобы отправить вирус сотруднику по электронной почте, что позволит заразить корпоративную сеть и, например, зашифровать в ней всю информацию, чтобы потом попросить выкуп за дешифровку. От такого может пострадать даже технически продвинутый бизнес – например, производитель умных часов Garmin.
Как мошенники с невысокой квалификацией это делают? За счет разделения труда. Кто-то уже написал вредоносное ПО, а они просто купили к нему доступ и заражают компании. На эту тему на ютубе недавно вышло интересное интервью, предположительно, с представителем хакерской группировки REvil, разработавшей ransomware (программу-шифровальщика) Sodinokibi. Эти люди зарабатывают сотни миллионов долларов, продавая свой софт тем, кто потом использует его для кибератак. Интервью выглядит правдоподобно и дает интересные инсайты на тему того, как устроен этот рынок и какие на самом деле угрозы актуальны для организаций сегодня.
– Как защититься от хакеров в новых условиях?
– Разумеется, в новых условиях можно и нужно применять лучшие практики, традиционные меры и средства защиты информации. В идеале – выдавать удаленщикам максимально защищенные корпоративные устройства, обеспечить защищенный доступ к корпоративным ресурсам.
Но даже это не даст полной защиты. Потому что, во-первых, нетренированный человек почти всегда сможет сделать небезопасное действие, которое не определит техническое средство защиты, – например, скажет пароль по телефону. А во-вторых, люди, зная, что есть множество технических мер (которые еще и мешают работать), расслабляются и чувствуют меньше личной ответственности за безопасность компании.
Недавно IT-директор одной крупной компании рассказал о реальной попытке мошенничества. От имени их действующего подрядчика пришел счет на оплату с новыми реквизитами. Сотрудники компании, которые отвечали за оплату, находились на удаленке, и их обычная рабочая среда была нарушена – условно говоря, посоветоваться со старшим бухгалтером уже стало не так просто. В результате счет оплатили, но, к счастью, банк сумел вовремя остановить транзакцию.
Ни один антивирус не защитит в такой ситуации. Как и в случае, например, если у человека кто-то спрашивает его пароль, представляясь сотрудником техподдержки. А человек на удаленке, он не видит своего собеседника и не знает, как правильно действовать.
Поэтому главное – обучать и тренировать сотрудников. Чтобы они знали, какие бывают киберугрозы и как им правильно противостоять. Что делать, если пришло письмо с подозрительным вложением, как отвечать, если просят дать пароль, и так далее. Такие знания и навыки работают как иммунитет, где бы человек ни находился: дома, в коворкинге или в аэропорту. По какому бы каналу ни велась атака – он сможет ее различить и не сделает то, что нужно мошенникам.
К сожалению, эти обстоятельства не понимают даже многие кибербезопасники. Даже самые опытные из них могут мыслить решениями типа «Давайте поставим еще один новый, более эффективный антивирус» или, в лучшем случае, постараются «повысить осведомленность» людей. Но рассказывать об угрозах мало, нужно на практике тренировать и проверять навыки. Как в автошколе.
– Сейчас для всех актуальна защита приватности в киберпространстве. Что здесь может сделать обычный человек?
– Каждый из нас публикует достаточно персональных данных – общаясь в соцсетях, подключаясь к Wi-Fi в метро и даже просто проходя опрос в интернете. Часть этой информации, к сожалению, периодически «утекает». Достаточно вспомнить недавний случай, когда «утекли» персональные данные 5,2 млн клиентов сети отелей Marriott. Как правило, мы не в силах предсказать и предотвратить такие утечки. Но понятно, что и перестать пользоваться услугами банков или ездить в метро мы тоже не можем. Что же делать?
Вот что я могу рекомендовать:
- Отдавать себе отчет в том, где и какие данные о себе вы оставляете. Хорошая практика – представлять, что все данные, которые вы сообщаете о себе где-либо в интернете, сразу попадают в паблик. Это очень отрезвляет.
- Понимать, что вся эта информация может быть использована против вас, и быть готовым к этому. Например, звонки якобы из служб безопасности банков – проблема, с которой сталкивались или о которой хотя бы слышали, по нашим данным, уже 86% россиян. При этом мошенникам могут быть известны ваше имя, телефон, последние операции с вашим счетом и даже номер карты. И если вы будете помнить об этом, даже такие сведения не станут орудием воздействия на вас в руках мошенников.
Из технических мер советую везде активировать двухфакторную аутентификацию – в том числе в мессенджерах и любых сервисах. При попытке входа в ваш аккаунт кроме логина и пароля потребуется дополнительный код, который, например, генерируется на специальном устройстве или в программе. Этот простой прием помогает защититься от 90% атак, даже если ваши логин и пароль «утекли».
– О кибератаках на выборы и другие демократические институты сегодня говорят и в России, и в США, и в других странах. Насколько это реальная угроза?
– Пока нет доказательных подтверждений того, что цифровые атаки действительно повлияли на ход каких-либо выборов. Был интересный отчет Минюста США о том, как в 2016 году был взломан – предположительно, хакерами, связанными с ГРУ – аккаунт руководителя штаба Хиллари Клинтон. Показательно, что и в этом случае, как и в истории с ноутбуком сына Байдена, речь не шла о какой-то технически сложной кибератаке. Объектом атаки оказалась не система подсчета голосов на выборах или государственная инфраструктура. Простейшими методами взломали личную переписку людей и опубликовали ее.
Это еще один пример того, о чем я уже говорил: самые опасные атаки направлены на людей и их личные аккаунты. Даже такие люди, как руководитель штаба Клинтон или сын Байдена, уязвимы перед кибермошенниками. Если хакеры и угрожают демократии, то скорее таким образом.
– Может ли появиться компьютерный вирус, сравнимый с COVID-19 по уровню опасности?
– Есть отличный пример с вирусом-стирателем NotPetya, который в 2017 году атаковал компании по всему миру. Сильнее всего он ударил по Украине, где инфицировал каждый десятый компьютер. США оценили свои потери от «НеПети» в $10 млрд. Так что да, теоретически такие вирусы появляться могут.
Но на практике это никому не нужно. Кибермошенники не ищут публичной славы, им нужно тихо и незаметно красть информацию – или, опять же, зашифровать данные и требовать от компаний деньги за дешифровку. Публичность и огласка этим целям вредят. Почему? Большинство компаний, особенно тех, что вышли на IPO, не хотят ущерба своей репутации. Они скорее заплатят миллионы долларов, чем согласятся на то, чтобы об этом стало известно прессе.
Устроить апокалипсис с помощью компьютерного вируса? Те, кто фантазирует о таком, к счастью, не имеют нужной квалификации. А те, кто ее имеет, зарабатывают деньги, создавая цифровое оружие и атакуя точечно крупные организации. Возможно, это противоречие нас и удерживает от киберапокалипсиса.