Как защититься от киберугроз?

Пока мы пользуемся своими ноутбуками и телефонами, на нашу личную информацию разворачивается настоящая охота, хакеры придумывают все более сложные вирусы, а те, кто с ними борются, создают все более сложную защиту

 image1.png

Рисунок 1 – пирамида совершаемых атак

 

Внизу находятся самые массовые угрозы, с которыми мы сталкиваемся каждый день. Это черви, трояны, фишинговые письма и большинство атак в интернете (90 %). Чуть выше находятся целевые атаки, то есть нацеленные на конкретных людей или организации (9,9 %). А вершину венчает новинка нашего столетия – кибероружие. Каждый хакер сам решает, какую нишу ему занять и начинает войну со специалистами по кибербезопасности. И это настоящая война, с каждым годом ее темпы растут.

Большая часть атак ни на кого конкретно не нацелена. Это обычные троянские вирусы или фишинговые письма, которые свободно «гуляют» по сети. Их жертвами становятся как правило те, кто не позаботился о своей безопасности или о своей киберграмотности. Например, на электронную почту приходит письмо, мужчине чаще всего пишет женщина, а женщине мужчина. В теме письма говорится, что прикрепленные файлы - это фотографии со вчерашней вечеринки. Естественно, такое письмо приходит в понедельник и те, у кого на днях была вечеринка, не усомнятся в том, что это письмо было адресовано именно им. Далее следует инстинктивная процедура: человек открывает письмо, скачивает архив, открывает файл и ничего не происходит – файл не открывается. Человек думает, что это какая-то ошибка и письмо адресовано не ему. Закрывает письмо и забывает об этом. Через какое-то время он обнаруживает что на карте стало меньше денег или вообще исчезла вся зарплата. И все попытки понять, как это произошло, тщетны. Вроде он не покупал ничего, на сомнительные сайты не заходил, с картой никаких операций не совершал. На самом деле все произошло благодаря одной строчке кода, которая запустила зловредный макрос из письма. Разнообразие фишинг-атак большое.

Фишинг (англ. Phishing от fishing «рыбная ловля, выуживание») – вид интернет – мошенничества, целью которого является получения доступа к конфиденциальным данным пользователей – логинам и паролям.

Недавно я и сам попал на такую «приманку». Мне пришло письмо, в котором предложили сделать верификацию своего аккаунта в Instagram. Нужно было пройти по указанной ссылке и подтвердить свою страницу, введя логин и пароль. Пройдя по ссылке, я увидел обычную страницу Instagram, ничего необычного. Ввел свой логин, пароль и кликнул «войти», и ничего не произошло, вел еще раз, а потом снова. И в этот момент мне стало ясно, что это заражение. Я не обратил внимание на название страницы, адрес в командной строке был не от официального сайта. Это атака ориентирована на невнимательность жертвы и называется «Homograph attack».

2.jpeg

IDN Homograph attack – это атака, основанная на омографах интернационализированных доменных имен (IDN). Жертвами становятся пользователи, которые не замечают в названии домена символы Unicode или ASCII, похожие на буквы латиницы. Злоумышленники заманивают потенциальных жертв на принадлежащий им вредоносный сайт и загружают на компьютер пользователя эксплойт или вредоносное программное обеспечение (ПО).

Раньше браузеры были уязвимей, вы могли зайти на www HYPERLINK "http://www.apple.com/". HYPERLINK "http://www.apple.com/"apple HYPERLINK "http://www.apple.com/". HYPERLINK "http://www.apple.com/"com, где первая буква «а» на самом деле на кириллице. Вы попадали на фейковый сайт. Существуют специальные ПО, которые генерируют фейковые URL–адреса для того чтобы подставить официальные сайты. На сегодняшний день браузеры сами определяют потенциальную опасность, но это помогает не всегда.

Instagram страницы блоггеров взламывали в 2015 году. Тогда еще не существовало двухфакторной аутентификации и взломать страницу не составляло труда. Всего лишь нужно было одно доказательство подлинности – логин и пароль. И взломать аккаунт, зная логин можно с помощью программы подбора пароля «brute force». Взлом Instagram страницы для блоггера и вообще для кого угодно - не очень приятное событие.

Хорошая новость в том, что киберграмотность растет, сегодня уже не каждый будет кликать на подозрительные ссылки из писем или sms. Плохая в том, что это понимают и хакеры. Теперь хакеры стали думать по-другому. Drive-by download – это новый тип атак. Теперь не нужно ничего скачивать, просто заходишь на веб-страницу и ты уже заражен. Так происходит, если у вас не обновлены программы на компьютере. Например, браузеры. Хакеры используют ошибки в них, чтобы незаметно запустить свой код.

Пользоваться приложениями безопаснее, чем сайтами, ведь разработчики сразу закладывают в них ряд проверок. Но чем больше потенциальных жертв заходят со смартфона, тем больше соблазна их атаковать, несмотря на все сложности.

Сегодня смартфон - это первое что мы видим с утра и последнее, что мы видим перед сном. Исследование «Лаборатории Касперского» показало, что многие люди не выпускают гаджеты из рук и большую часть времени:

•                 69% берут телефон, когда выходят из дома даже на пару минут;

•                 50% берут его с собой, когда идут спать;

•                 45% не оставляют телефон за едой;

•                 40% берут смартфон с собой в туалет;

•                 38% используют на встрече, разговаривая с кем-либо;

•                 22% идут принимать ванну/душ с телефоном.

Мы отдали смартфону все свои функции. Если раньше мошенники могли собрать только 1000 тенге со счета телефона с помощью звонков и sms под предлогом проблем в семье, выигрыша, кредитов и прочих махинаций, то теперь, когда у всех установлены банковские приложения, можно выкрасть гораздо больше денег. Теперь есть много вариантов, и один из них это фейковые приложения. Чаще всего фейк выдает себя за популярные мессенджеры, приложения для криптовалют, музыки и даже настоящие игры. Мошенники нанимают целую команду программистов, дизайнеров, верстальщиков, менеджеров и качественно копируют игру. Вы открываете, играете и не понимаете разницы. Это настоящий продакшн, только на злой стороне.

3.jpg

Google Play, App Store для многих это гарант качества, проверенный источник. Эта видимость заставляет мошенников придумывать более законные схемы мошенничества. К примеру, есть такие приложения, которые при установке запрашивают пароль разблокировки и биометрию пальца. Люди не задумываются и касаются пальцем сканера. Не успев убрать палец, они приобретают VIP-версию приложения за 100 долларов. Естественно, такие приложения находятся в топ-100 в базе App Store по прибыли. Это прогнозы, QR-риддеры, обои, рингтоны и т.п. Все отзывы и оценки у них фейковые, в некоторых даже нет никакого злодейства. Просто через три дня пробной версии с вас начнут списывать по четыре доллара в неделю. Это 208 долларов в год, за чрезвычайно маленькую функциональность.

Секрет в том, что 99 процентов людей не читают пользовательское соглашение. Каждый раз читать эти страницы – огромный труд. Приложения, которые готовы списывать с вас некоторые суммы, это не так страшно. Самое страшное, что может случится, это если вы отдаете приложению root права. Вы не придаете этому значение и соглашаетесь во время установки приложения. В этом случае приложение получает полный доступ к глубинным функциям смартфона, и очистить его будет невозможно даже откаткой к заводской прошивке. Хакер при этом сможет незаметно снимать вас на камеру, и никакой зеленой лампочки вы не увидите. Он сможет перехватывать ваши sms, записывать речь с диктофона, следить по геолокации, перехватывать сообщения в мессенджерах. Особенно легко поддаются атакам старые уязвимые устройства. Несложно и продвинуть вверх свое вредоносное приложение и повысить ему рейтинг, если заставить трудиться 10 000 телефонов китайской фермы кликов. В офисах Google Play и App Store работают целые отделы по борьбе с такими приложениями, но это еще не означает, что мы с вами в безопасности.

4.jpeg

Root (от англ. root – корень; читается «рут»), или суперпользователь – это специальный аккаунт в root–подобных системах с идентификатором (UID) 0, владелец которого имеет право на выполнение всех без исключения операций.

Клик ферма – это совокупность огромного количества устройств и страниц в социальных сетях, действия которых направлена рост просмотров, лайков и числа подписчиков на тысячи – с целью сделать контент популярным.

Уязвимость (vulnerability) – это слабое звено информационной системы, которое, став известным злоумышленнику, может позволить нарушить ее безопасность.

Вспомните хотя бы GetContact. Всем было интересно узнать, как их записывали в телефонах другие пользователи. Результат - миллионы «слитых» телефонных номеров. Это самая гениальная афера из последних. Каждый «слил» по 200 или 300 человек, не задумываясь, что в телефонной книге есть номера кредитных карт, пин-кодов, пароли от личных кабинетов. Все, соответственно, номера оказались в телефонных базах. Сервис «благородно» предлагает удалить ваш номер из базы. Для этого нужно ввести свой номер и подтвердить удаление данных. Только нет никаких гарантий, что это произойдет. Личные данные - это не все, что нужно хакеру. Когда вся информация получена, смартфон все еще остается полезным. И хакер встраивает вас в марионеточную сеть, в армию ботов под названием botnet. На этом этапе вы становитесь его «личным зомби», не подозревая об этом. Другими словами, хакер пользуется вычислительной мощностью вашего гаджета, и самое безобидное что он может сделать – осуществлять майнинг криптовалюты с помощью вашего устройства.

5.jpg

Ботнет (от англ. botnet произошло от слов robot и network) – компьютерная сеть, состоящая из некоторого количества хостов с запущенными ботами – автономным ПО.

Майнинг (от англ. мining – добыча полезных ископаемых) – деятельность по созданию новых структур (обычно речь идет о новых блоках в блокчейне) для обеспечения функционирования криптовалютных платформ.

Но если ваш «хозяин» - крупный игрок на черном рынке, скорее всего, вы становитесь солдатом-марионеткой в DDOS-атаках. Работает это так. В любой момент хакер может приказать своей армии ботов обрушить сайт, например, Twitter. Он через командный центр отдает приказ всем устройствам, и вся армия ботов «стучится» на этот сайт, естественно, одновременно. Сайт не выдерживает и «ложится» (отключается). Чем большее армия, тем дороже стоят услуги хакера. Из за ботнета MIRAI легли сайты NetFlix, Reddit, Twitter и Airbnb. Этот ботнет обьединил 300 тысяч устройств по всему миру в 2016 году, при этом это были не только смартфоны и компьютеры, а видеорегистраторы, камеры и даже тостеры.

Часто бывает, что смартфоны взрываются от нагрузок в момент майнинга криптовалюты. Такие вирусы легко можно «подцепить», если скачивать пиратские ПО из файлообменников. Запускаете установщика, а он уже устанавливает вирус на диск, при этом маскируя его в системе. Если пользователь запускает тяжелую игру, чтобы не «тормозить» ее и пользователь ничего не заподозрил, самые умные майнеры останавливают свою работу.

DoS (аббр. англ. Denial of Service «отказ в обслуживании») – хакерская атака на вычислительную систему с целью довести ее до отказа, то есть создание таких условий, при которых добросовестные пользователи системы не могут получить доступ к предоставляемым системным ресурсам (серверам), либо этот доступ затруднен.

MIRAI – червь и botnet, образованный взломанными устройствами типа «интернет вещей» (видеопроигрыватели, умные веб-камеры, прочее).

Но, допустим, вы умнее всего этого: запретили покупки в интернете, не заходите на сомнительные сайты, вообще не пользуетесь интернетом и покупаете только за наличные, снимая деньги в банкоматах. Несмотря на это однажды к вам может прийти sms о том, что кто-то снимает ваши деньги в Пекине. Вы созваниваетесь с call-центром банка, блокируете карту. Но уже поздно, деньги сняли где-то на другом конце мира. Вспомните тот банкомат, в незнакомом переулке, которым вы один раз воспользовались, видимо с ним было что-то не так. И вы не заметили маленькую деталь – картоприемник был выпуклым и выходил из стенок границ банкомата. Такая накладка называется скиммером и накладывается хакерами поверх самого устройства картоприема. Этот приемник считывает данные с магнитной полосы вашей карты и отправляет их мошеннику. Информация на магнитной полосе: полное имя и фамилия, номер кредитной карты, CVV код карты.

6.jpg

Конечно, банки обратили внимание и сделали антискиммеры, но ирония в том, что антискиммеры похожи на сами скиммеры, и клиенты банков их опасаются. Поэтому сейчас их делают прозрачными, чтобы было видно, что внутри нет никаких сканеров, проводов и плат. Но хакеры нашли возможность маскировать скиммеры и под них. Из-за высокого риска привлечь к себе внимание скимеры мошенниками устанавливаются на бегу, неаккуратные следы установки можно заметить невооруженным взглядом. Но это не поможет, если скиммер установлен в щель картоприемника. А пин-код ваш мошенники узнают с помощью скрытой камеры или накладной клавиатуры, последняя будет запоминать все, что вы нажимали и передавать нажатия на настоящие клавиши, чтобы не вызвать подозрений. В некоторых случаях можно полностью поменять лицевую панель банкомата. После получения необходимых данных мошенники просто изготавливают копию вашей карты и снимают деньги где им угодно.

Скимминг (от англ. skim - скользить) – вид мошенничества с банковскими картами, который предусматривает использование различных устройств типа скиммер.

Долгое время всем казалось, что система сильно защищена до момента, когда несколько лет назад руководитель одного из украинских банков обратился в «Лабораторию Касперского», увидев с камеры наблюдения, как человек снимает деньги с банкомата без карточки и ввода пин-кода. Таких людей называют муллами, их задача забрать выпадающие деньги из банкоматов. Это последние звено в кибергруппировке «Карбанак». Во главе этой организации стояли несколько людей: эксперт по базам данных, специалист по разведке банковских систем, программист, написавший зловредный код, чистильщик, который чистит цифровые следы, и фишер, который отправлял всем письма. Вместе они составляли киберорганизованную преступную группировку. Код вируса пакуется во вложения в письма и рассылается фишером на почту бухгалтерам банка. Темы писем и вложений такие, чтобы их хотелось открыть. Открыл файл - значит запустил вредоносный код, он лежит в операционной системе и больше нигде не хранится. Затем вирус в течение двух–четырех месяцев распространяется по внутренней банковской сети, проникая в сервера, отвечающие за управления банкоматами. Затем поступают команды и точное время для выдачи денег, в это же время у банкомата появляется мулл. Муллы передают эти деньги посредникам, а те переводят их в криптовалюту и скрываются. Помимо это этого вирус заражает банковскую систему. При этом он настолько «силен», что может программно увеличить сумму на счетах. Принцип заключается в том, что хакеры условные 1000 долларов превращают в 10 000, а снимают 9000. Так что движение по счетам не видно, на счету как была 1000, так и осталась.

7.jpg

Так кибергруппировка «Карбанак» выводила по 12 миллионов долларов в день, пострадало около 100 организаций. После проведения операции подключался чистильщик и очищал цифровые следы в системе банка. Таким образом они украли у банков 1,2 миллиарда долларов.

Мир, в котором мы сейчас живем, кажется таким удобным. Все становится оцифрованным, все устройства подключаются к интернету, но вместе с этим приходят и новые угрозы, от которых приходятся защищаться. Уже сейчас тостеры или регистраторы используют в DDOS-атаках, а те же самые программисты, которые десять лет назад писали программы, сегодня объединились в отделы и компании, которые занимаются информационной безопасностью и прикрывают нас от атак на банки, заводы и целые города.

А.Д. АХМЕТБЕКОВ,

Национальный университет обороны

имени Первого Президента Республики Казахстан – Елбасы


Көшірмеге қайта келу

Жүгіртпе / Лента

Парашютные системы Insider 300-S и Альфа-Аксиома

Парашютные системы Insider 300-S и Альфа-Аксиома

Токаев: "Необходимо повысить престиж воинской службы и мотивировать молодежь на выполнение воинского долга"

Токаев: "Необходимо повысить престиж воинской службы и мотивировать молодежь на выполнение воинского долга"