Aa Aa Aa

К каким приемам киберпреступников нужно готовиться украинцам в 2017-м

Евгения Подгайная
К каким приемам киберпреступников нужно готовиться украинцам в 2017-м

Ущерб от киберпреступлений в мире  исчисляется сотнями миллиардов долларов. По данным отечественного департамента киберполиции, за 8 месяцев 2016-го кибермошенники выманили у пострадавших украинцев порядка 27 млн грн. Реальные же убытки государства, бизнеса и простых граждан не может посчитать никто.

Прошедший год ознаменовался мощными атаками на облэнерго, финансовые госструктуры.

Из бизнеса выкачивали деньги с помощью банковского трояна Zeus и вирусов шифровальщиков-вымогателей Ransomware. Частные предприятия и простых граждан атаковали «черные» риелторы. Пользователи сети стали жертвами масштабных спам-рассылок с вредоносной программой Bolek/KBOT с последующей кражей учетных данных онлайн-банкинга.

Продолжала процветать древняя и банальнейшая схема развода: размещение на онлайн-площадках красочных фото товара с привлекательной ценой, требованием внести предоплату и последующим исчезновением «продавца». В 2016 году было сотни сообщений о задержании таких мошенников. Тем не менее, доверчивые граждане все равно находятся. Недавно одному умельцу даже удалось получить полную предоплату за автомобиль «ВАЗ-2108».

Мошенники совершенствуются и в этом направлении. К примеру, в конце года задержана группа злоумышленников, которые зарегистрировали 2 онлайн-магазина, указав чужие персональные данные. Для обслуживания платежей и контроля заказов они использовали процессинг-платформу. Систематически меняли оформленные на других лиц карточные счета и телефонные номера. А для безопасной работы с заказчиками использовали системы анонимизации (TOR-браузер, VPN). За время деятельности группы мошенникам удалось выманить у более 50 человек около 700 тыс грн. 

Чего нам ждать дальше? И как защититься от новых приёмов кибермошенников? Эксперты проанализировали прошлогоднюю деятельность злоумышленников и пояснили, к чему готовиться в 2017-м. А также рассказали, что не помешает использовать компаниям и простым гражданам,  чтобы снизить риск «заглатывания удочек» мошенников.

Николай Коваль,  руководитель команды реагирования на компьютерные инциденты CyS-CERT:

- Предполагаю, что тенденции 2016-го сохранятся и в текущем году. Если проанализировать ситуацию с киберугрозами за прошедший год, то получается следующее. 

Уже почти пять лет, начиная с 2013 года и по текущее время, украинские предприятия продолжает атаковать группировка лиц, использующих вредоносное программное обеспечение - банковский троян Zeus. Угроза заключается в получении несанкционированного доступа к компьютеру бухгалтера/директора (предназначенного для работы с системами дистанционного банковского обслуживания), краже логина, пароля, сертификата и проведении несанкционированного платежа (НСП) с целью списания денег со счёта жертвы. Только за 2016 год таких случаев было более 40. Суммы НСП варьируются от нескольких десятков тысяч гривен до нескольких миллионов.

Рекордно высоким в 2016 году было количество атак, направленных непосредственно на активы банков, а не на их клиентов. Примерно с марта и до конца лета 2016-го еще одна группировка злоумышленников, использующая целый набор вредоносных программ, проводила атаки непосредственно на компьютерные сети банков, ставя целью добраться до системы SWIFT и осуществить несанкционированную транзакцию. В нашей стране известно о 6 потенциальных жертвах. У одного банка деньги (в особо крупном размере) были-таки украдены. 

По сравнению со странами-соседями, в Украине пока в десятки раз меньше инцидентов, связанных с «шифровальшиками-вымогателями». Это отчетливо видно по результатам мониторинга попыток «заразить» конкретную жертву, доставив ей вредоносный файл. В Европе и США разновидностей «шифровальщиков-вымогателей» намного больше, чем где-либо. Нас они пока обходят стороной. Вместе с тем, уже были случаи, когда злоумышленники, покупая или обмениваясь информацией, получали доступ к серверам с бухгалтерской программой 1С, шифровали их содержимое и требовали выкуп за расшифровку.

Также в 2016 году был произведен ряд целенаправленных атак на пользователей украинского сегмента Интернет. По нашему мнению, подобные вспышки можно объяснить желанием преступников протестировать новые образцы вредоносных программ. Это может свидетельствовать о том, что в скором будущем доработанные вредоносные программы будут применены на практике.

Начиная с 5 декабря 2016-го, в результате кибератак в нашей стране последовательно были выведены из строя важнейшие для функционирования финансовой системы государства организации – Госказначейство и Минфин. Вскоре аналогичная участь постигла стратегически важные предприятия «Укрзализныцю» и «Киевэнерго». Почти во всех инцидентах применялись разные наборы вредоносных программ, а также разные тактики и техники атак. Повторившийся «блэкаут», произошедший в результате атаки на подстанцию «Северная», мягко говоря, насторожил западные страны и еще раз напомнил об опасности, которую несет сфера «кибер». 

Увеличилась и активность, направленная на кибершпионаж за государственным органами, стратегическими предприятиями и силовыми ведомствами. Более того, для этих целей начали использовать и вредоносные программы «общего» назначения (например, банковские трояны). Учитывая факты задержания киберпреступников правоохранительными органами других стран, активность, направленная на шпионаж, саботаж и тому подобные акции в нашей стране, имеет все шансы возрасти.

Уровень мобильных угроз со времени инцидента «Привет:) Тебе фото» был минимален. Однако в связи распространенностью мобильных электронных устройств, очень вероятно, что следует ожидать заполнения и этой ниши.

- Как защититься от вероятных угроз? 

- Я не зря перечислил такое множество примеров. Все атаки начинаются с этапа доставки жертве вредоносной нагрузки. Отправка письма с вредоносным вложением или ссылкой – наиболее распространенный способ начала проникновения. Поэтому особое внимание необходимо уделять «обезопашиванию» этого процесса на всех этапах.

Конечно, «заразиться» также можно, просто посетив абсолютно легитимный сайт или установив программу с доверенного веб-сайта (всё это уже было). Чтобы минимизировать этот риск, необходимо повышать уровень осведомленности в области информационной безопасности, следить за актуальностью используемых операционных систем и программ. Организациям необходимо позаботиться о внедрении всевозможных контролей, а также интересоваться таким направлением как «разведка киберугроз», обеспечивая себя потоком данных об актуальных угрозах. 

- Далеко не все расследования киберпреступлений удается довести до конца. В чем сложность? 

- Компьютерные преступления происходят в сфере «кибер». Тут проблем уйма: от несовершенства законодательства - до невозможности установления того, откуда и кем была произведена атака. Кроме того, исследование инцидента требует наличия узкоспециализированных знаний. В общем -  это очень кропотливый труд.

Так как не всегда возможно ликвидировать угрозу (идентифицировать исполнителей, заблокировать сервер и т.п.), мы считаем, что необходимо заранее их отслеживать, чтобы понимать, как и когда атака может быть реализована и предотвратить её. Вот для этого и применяется разведка киберугроз. В некоторых случаях удается отследить угрозу, установить исполнителя и довести дело до суда, доказав вину преступников. У нас в практике были примеры успешного сотрудничества с правоохранительными органами в этом направлении. 

Дмитрий Овчаренко, вице-президент по правовым вопросам ассоциации "IТ Украины", управляющий директор компании SBT Systems Ukraine:

- В мире кибербезопасность уверенно становится одним из приоритетных вызовов для поддержания знакомого всем нам миропорядка в стабильности. Не нужно напоминать о наиболее значимых кибератаках – на сервера во время выборной компании в США, получение “секретных” Панамских документов и пр. Несет огромные убытки и частный бизнес: Anthem ($78 млн), Premera ($11 млн), Excellus ($10 млн).

Самое обидное, что защититься на 100% - невозможно. Ведь злоумышленники также ежедневно оттачивают свои инструменты. Простыми рекомендациями является хотя бы дополнительно не помогать хакерам: не открывать сомнительные письма, не переходить по подозрительным ссылкам, не скачивать и не устанавливать непроверенный софт и пр.

Если компанией определен массив наиболее чувствительных данных – самой лучшей рекомендацией остается ее криптографическое шифрование. Также важным является утверждение инструкции действий боевой команды компании, если секьюрный инцидент все же произошел – ведь в 90% случаев хакера можно идентифицировать по «горячим» следам. Это и остановка «кровотечения» (утери данных), привлечение внешних экспертов (контакты должны быть заранее), сохранение доказательств противоправной деятельности и пр.

Максим Тульев, собственник компании NetAssist:  

- Считаю, главное правило, чтобы с достаточной вероятностью не попасться на все это, - не пользоваться линейкой операционных систем Windows. Потому что именно под Windows пишутся почти все вирусы, трояны и те же Ransomware. Под Mac и Linux (при условии своевременного обновления системы) можно считать, что их нет вообще. А фишинг - вечная тема. Конечно же, он будет развиваться дальше. Советовать что-то - реально бесполезно, так как фишинг работает только с теми людьми, которым советовать что-либо бессмысленно. А их много.

Киберполиция в том виде, в котором я с ними сталкивался, ничем не отличается от милиции и СБУ прошлых периодов. Уже научились базовым вещам в расследованиях, но поймать злодея хотя бы со средним уровнем профессионализма – удается разве что при большой удаче. Но MS DOS с DDoS не путают, запросы пишут правильно - и на том спасибо!

На мой взгляд, основная проблема в работе киберполиции (не только нашей, а и мировой) - СКОРОСТЬ работы. Для эффективного расследования - дни, а иногда и часы с момента инцидента. Но не месяцы и годы, как сейчас приходят запросы.

Александр Федиенко, глава Правления ИнАУ:

- Для защиты - выполнять элементарные нормы по безопасности работы в сети Интернет и культуре как строительства сетей, так и их эксплуатации. Хотя я уверен, что эра интернет-сайтов рано или поздно отойдет. Скорее всего, останутся какие-то сайты заглушки и информационные порталы, большая часть смигрирует в тот же Фейсбук.

Если же ваш бухгалтер, получив подозрительное письмо, не выполнил правила карантина, открыл это сообщение и вложенный файл, в результате заразив компьютеры компании вирусом, - стоит наказать такого "специалиста".

Важно помнить, что в виртуальном мире нет доверия ни к кому. И прежде чем совершить какое-то действо в виртуальной сети, вы должны осознавать, что все эти действия - это исключительно ВАША добрая воля. То что вы потом можете пострадать от этого, опять таки из-за того что вы просто приняли неверное решение.

В чем основные сложности расследования киберпреступлений?  Это то, что нельзя потрогать, приложить к обвинительной базе и т.д. Ну, и самое главное, это отсутствие координации между различными силовыми структурами, включая и международную координацию в случае оперативно розыскных мероприятиях по громким делам. Скажем, похищение человека или теракт, когда стоит пренебречь формально бумажными переписками.

В отечественной киберполиции уверяют, что удается раскрыть около 50% преступлений. Надеемся, что эти данные близки к реальности, а наши читатели не станут жертвами «второй» половины. 

Советы от Департамента киберполиции: "Рекомендуем регулярно создавать шифрованные резервные копии на отдельном носителе,  постоянно обновлять ПО из официальных источников разработчика использовать антивирусное и фильтрующее Интернет-трафик  ПОпериодически менять пароли к учетным записям в публичных сервисах."