Редколонка / апрель 2020
О жуликах, багах и беспечности

Яков
Шпунт

обозреватель журнала "Стандарт"
© ComNews
23.04.2020

Киберпреступники всех мастей активно используют интерес к разного рода резонансным событиям, чтобы добиваться своих целей. Так, один из самых первых компьютерных вирусов середины 1980-х годов распространялся под видом информации о вирусе иммунодефицита, который тогда начал активно распространяться. И пандемия COVID-19 не стала исключением.

Излюбленной технологией злоумышленников является фишинг. Ее суть сводится к тому, что потенциальную жертву с помощью разных манипуляций вынуждают запустить вложение, где спрятан программный зловред. Сейчас все чаще заманивают на web-страничку, где или скрывается вредоносное ПО, или содержится форма, имитирующая вход в почту или корпоративный ресурс, с помощью чего пытаются выведать пароли доступа к ним. А эти данные уже являются довольно ликвидным товаром. Были также прецеденты, когда ссылка злоумышленников имитировала торговую площадку известной компании, где под видом покупки партии товара деньги компании переправлялись злоумышленникам. Таких случаев отмечалось не так много, но суммы были значительные.

И как показывает практика, такая тактика приносит результат. В начале марта петербургская компания Digital Security провела пен-тест, целью которого была оценка восприимчивости персонала некоего неназванного заказчика к наиболее популярным фишинговым сценариям. Было использовано два сценария. В одном случае сотрудникам рассылались письма, где предлагали воспользоваться скидочной программой в кафе, в котором обычно сотрудники обедали. Для того чтобы воспользоваться этой программой, надо было открыть вложенную ссылку. Ее открыли 18% сотрудников. В другом сценарии предлагали присоединиться к корпоративной программе мотивации. Естественно, для этого нужно было заполнить прикрепленный к письму документ. На такую уловку попался уже каждый четвертый.

Важно отметить, что это тестирование проводилось в начале марта, до введения режима самоизоляции и перевода на удаленный режим. Ведь не секрет, что дома многие решаются делать то, что никогда не сделали бы в офисе. Плюс ко всему, есть шанс, что найдется осведомленный сотрудник, который предостережет коллег от того, чтобы открывать сомнительную ссылку или вложение. К слову, во многих компаниях, на что сетуют очень многие специалисты по безопасности, из-за финансовых неурядиц приостановили обучающие программы, в том числе направленные на повышение осведомленности об угрозах.

Все чаще злоумышленники используют пандемию и проблемы ей вызванные, - например, дефицит средств защиты и дезинфекции. По всему миру отмечается открытие фиктивных магазинов, предлагающих купить по привлекательным ценам медицинские маски, гели, салфетки. Естественно, заказанный товар никто не получил. Более того, иногда злоумышленники пытались воспользоваться еще и оказавшимися в их распоряжении реквизитами платежных карт.

Руководитель отдела технологической экспертизы управления информационной безопасности АО "Софтлайн Трейд" (Softline) Дмитрий Ковалев также обращает внимание, что активность злоумышленников еще и растет: "Резко увеличилось число фишинговых рассылок, при помощи которых мошенники в том числе прощупывают почву, определяя слабые места в ИТ-инфраструктуре организаций. По данным Softline, за прошлую неделю (5-12 апреля - прим. ComNews) количество фишинговых атак на российские организации увеличилось почти в четыре раза". И в целом в мире, как показывает статистика TrendMicro и Group-IB, наблюдается рост активности киберпреступников, использующих эти в целом несложные технологии.

Серьезным фактором риска стало то, что для удаленной работы часто используются личные устройства сотрудников. Некоторым даже пришлось их покупать за свой счет, иногда на вторичном рынке. Естественно, рассчитывать, что такие устройства будут хорошо защищены, нельзя. Там могут применяться, деликатно выражаясь, программы сомнительного происхождения, включая операционную систему. Известно, что многие так называемые "сборки" заражены вредоносным ПО. Также там отключены средства обновления, в итоге там оказываются незакрытые уязвимости, причем очень и очень старые.

Это еще может усугубляться тем, что этот компьютер, планшет или телефон будет использовать вся семья, причем далеко не факт, что у каждого будет своя учетная запись. Никто не даст гарантий и на то, что точкой доступа, которая используется для входа в интернет, не станут пользоваться еще и соседи, среди которых также могут оказаться нечистые на руку и обладающие навыками, необходимыми киберпреступнику.

"Многие люди ранее никогда не работали удаленно из дома, что делает их более уязвимыми для хитроумных методов, используемых хакерами. И поскольку официальная информация и рекомендации по поводу пандемии иногда не совсем понятны и запутаны, неудивительно, что люди обманываются сообщениями, которые выглядят так, будто они исходят из официальных источников", - говорится в выпущенном разработчиком средств защиты Panda документе с красноречивым название "COVID-19 - это большие возможности для мошенников". Помимо фишинга, специалисты обращают внимание на такие угрозы, как лжештрафы, которые предлагалось тут же оплатить, или звонки тем, кто потерял работу, с предложением занять открывшуюся вакансию, для чего нужно внести некий авансовый платеж. SMS о якобы наложенных штрафах получали и жители ряда российских городов, в том числе Москвы.

"Вместе с разрешением работать удаленно с различных устройств и платформ крайне сложно контролировать используемую систему, приложения и сервисы, своевременную установку обновлений безопасности и наличие открытых уязвимостей, а также конфигурацию параметров защиты", - предупреждает руководитель программ информационной безопасности Microsoft в Центральной и Восточной Европе Артем Синицын.

Киберпреступники могут воспользоваться и тем, что многие мобильные приложения банков уязвимы. Как показало исследование Positive Technologies (см. новость ComNews от 21 апреля 2020 г.), ни одно из приложений от семи банков не обладало приемлемым уровнем безопасности. Как отмечают авторы исследования, среди информации, доступной потенциальному киберпреступнику, - имена и фамилии пользователей, баланс денежных средств, квитанции по переводам, лимиты банковских карт, а также возможность установить связь между платежной картой и номером мобильного телефона. При этом почти половина приложений хранят данные на самом устройстве. Учитывая, что телефон вполне может оказаться в чужих руках, данное обстоятельство также открывает большие возможности для злоумышленников. Не лучше обстоит дело и с приложениями, которые предназначены для оценки уровня распространения инфекции. Тут и приложение "Социальный мониторинг Москвы" с массой сомнительных функций, и Covid19 Alert, предложенное Министерству здравоохранения Нидерландов, которое содержало ошибки, названные экспертами "любительскими". Надо отметить, что оба эти приложения не были выпущены. Но кто знает, сколько из них все же используется.