С каждым годом инструменты для организации кибератак становятся все более доступными, дешевыми и простыми в использовании. Сегодня средние месячные затраты на самые простые средства взлома составляют порядка $34, тогда как доход от них составит более $25 тыс. Это позволяет мошенникам с минимальным опытом и ресурсами атаковать как рядовых пользователей, так и крупные корпорации. Директор компании «Антифишинг» Сергей Волдохин рассказал, как эволюционируют киберугрозы и как научиться быстро реагировать на изменения — на технологическом и на психологическом уровне.
Эволюция взлома
За последние 15–20 лет технологии стали более доступными: секвенирование генома в начале 2000-х стоило $2,7 млрд, а теперь — всего $300, новый iPhone XR сегодня стоит дешевле, чем «раскладушка» Motorola в 1996 году. Для того, чтобы натренировать простую нейросеть, уже не требуется профессиональное оборудование — достаточно ноутбука и базовых знаний программирования. Доступное железо, дешевое ПО и стабильный рост числа интернет-пользователей стали драйверами цифровизации, но в то же время открыли новые возможности для кибермошенников. По данным Национальной ассоциации международной информационной безопасности, только в России число кибератак с 2013 по 2019 годы выросло в 16 раз.
В большинстве случаев мошенники используют автоматизированные скрипты или дешевое вредоносное ПО. Например, вредоносную программу Ovidiy Stealer пару лет назад можно было приобрести всего за 700 рублей: она позволяет перехватывать и пересылать пароли и другие конфиденциальные данные. Сегодня примерно за такую же сумму на популярных форумах продают ее усовершенствованную версию. В дарк-вебе можно найти еще более широкий ассортимент инструментов для взлома. В целом, по оценкам Deloitte, примитивные атаки обходятся злоумышленникам в $34 в месяц, при этом приносят такие инструменты около $25 тыс. ежемесячно.
Аналитики TrendMicro, которые изучали подпольный рынок инструментов для кибервзломщиков, обнаружили, что мошенники пользуются огромной инфраструктурой. Это не только пакеты арендованных ботнетов, которые состоят из тысячи зараженных устройств, но и абузоустойчивые регистраторы, хостинги и DNS-провайдеры, зарегистрированные в Белизе, на Сейшелах и Каймановых островах, а также собственные in-house дата-центры и виртуальные серверы, ежедневно мигрирующие из одного ЦОДа в другой. Это огромный теневой бизнес с различными моделями монетизации, рассчитанными на мошенников разного уровня: от суперпрофи до новичков.
Злоумышленники не только используют все более мощные инструменты, они также первыми берут на вооружение новые технологии. Когда число IoT-устройств в мире начало расти, мошенники научились подключать чужие домашние видеокамеры, термостаты и другие бытовые приборы к ботнетам. Авторы атак не только сами использовали технологию, но и начали продвигать ее в своем сообществе — это привело к созданию одного из самых мощных ботнетов — Mirai.
Незащищенные IoT-девайсы стали еще одним вектором атак для хищения данных — например, в 2017 году хакеры получили доступ к сетевой инфраструктуре казино, используя подключенный к сети аквариум.
Дипфейк-боссы и цифровое вымогательство
Нейросети и дипфейки также стали применяться киберпреступниками еще до того, как это стало мейнстримом. Алгоритмы на базе машинного обучения помогают быстрее сканировать данные и находить уязвимости в системах, а также эффективно управлять ботнетами. ИИ решает для злоумышленников как тривиальные задачи, например, обходить CAPTCHA или генерировать пароли, так и проводить более сложные атаки — крупные кибергруппировки в большинстве случаев используют ИИ и большие данные для проведения своих «спецопераций».
Один из громких примеров — использование голосового дипфейка для кражи денег. Преступники применили систему синтеза речи и сгенерировали запись, взяв за основу голос одного из региональных топ-менеджеров крупной компании. Дипфейк оказался настолько убедительным, что руководство организации не заметило подмены и выполнило требования фальшивого босса, который попросил перевести на некий счет $243 тыс. По данным Pindrop, с 2013 по 2017 годы число случаев голосового мошенничества выросло на 350%, при этом только в одном из 638 случаев применялись технологии синтеза речи.
Популярность криптовалют также помогает мошенникам: в последние годы выросла популярность вирусов-вымогателей и вирусов-шифровальщиков, которые блокируют доступ к данным до тех пор, пока жертва не заплатит выкуп в биткоинах. По оценкам Accenture, в 2018 году борьба с цифровыми вымогателями обходилась компаниям в $646 тыс., причем годом ранее этот показатель был на 21% меньше. Впрочем, такие атаки ведут не только к финансовым и репутационным потерям. Так, в сентябре в больнице Дюссельдорфского университета одна из пациенток не смогла получить экстренную помощь из-за того, что клиника приостановила работу в результате атаки вируса-вымогателя.
Многие атаки стали возможны благодаря пандемии: используя «вирусный» инфоповод, мошенники манипулировали жертвами. Рекордный рост попыток кибервзлома зафиксировали в ФБР, Интерполе, Microsoft и других крупнейших корпорациях, во многих крупных банках, в том числе и в России. По некоторым оценкам, случаи использования одних только вирусов-вымогателей подскочили на 800% в период пандемии. Крупнейшие атаки на Twitter, Honda, Garmin и Marriott произошли в этом году. Это связано не только с манипуляциями на теме пандемии, но и повышенной психологической уязвимостью — а именно этим обусловлен успех многих кибератак.
Фишинг как скрытая угроза
Несмотря на эволюцию инструментов взлома, 91% кибератак начинается с целевого фишинга: злоумышленники используют методы социальной инженерии. Может показаться, что этот вектор атак достаточно хорошо изучен, ведь о таких приемах постоянно говорят и пишут: банковские приложения рассказывают об уловках телефонных мошенников, а компании регулярно рассылают сотрудникам методички по антифишингу.
Но главная проблема фишинговых угроз связана с их эволюцией — тактики постоянно меняются, а преступники ищут новые подходы и приемы воздействия на людей, задействуя актуальные психологические векторы как триггеры. Например, они торопят с принятием решений, сулят выгоду, просят о помощи или играют на любопытстве, но топорные атаки с откровенными манипуляциями уже остаются в прошлом: к ним прибегают только злоумышленники низшего уровня. Самые эффективные фишинговые схемы постоянно меняются, так что распознать их становится все сложнее.
Четыре ключевых тренда в развитии фишинга
- Фишинг как сервис. Появляется все больше сервисов, которые работают по модели Phishing-as-a-Service. За условные $30 в месяц мошенник оформляет подписку на вредоносное ПО и запускает свой «бизнес». Ему не приходится изобретать сценарии для атак, создавать фальшивые лендинги и контент — за него уже выполнили часть работы. Остается лишь выбрать жертву и инициировать атаку.
- «Омниканальный» фишинг. Современные мошенники не ограничиваются одним письмом на электронную почту: они одновременно присылают SMS, звонят по телефону, отправляют сообщения в мессенджерах, то есть работают по омниканальной модели. Определяют, где находится целевая аудитория, и идут ей навстречу. Например, используют чаты в онлайн-играх: в период пандемии число таких атак выросло на 54%. Злоумышленники не просто забрасывают жертву оповещениями, они прорабатывают детальный сценарий воздействия на разных уровнях.
- Фишинг от имени руководителей. Мошенники выстраивают многоуровневые схемы: для начала захватывают учетные записи сотрудников, используя приемы социальной инженерии или находя уязвимости почтовых серверов. Затем они определяют, какие аккаунты принадлежат людям на руководящих позициях, и уже от их имени запускают рассылку писем. Поскольку они имеют доступ к конфиденциальным данным топ-менеджмента, мошенникам проще создавать убедительные сообщения, например, вести переговоры с партнерами или давать поручения сотрудникам. По такой сложной схеме работает, например, группировка Pawn Storm, которая охотится за данными высокопоставленных лиц.
- Фишинг как начальный вектор кибератаки. Сам по себе украденный аккаунт не всегда представляет ценность для злоумышленника. Получая доступ к системе с помощью фишинга, мошенники запускают целевое вредоносное ПО или простейших шифровальщиков. Фишинг помогает быстрее проникнуть в инфраструктуру, тогда как поиск и эксплуатация технических уязвимостей потребовали бы больше времени и ресурсов.
Догнать и перегнать
Из-за постоянной эволюции фишинга технических мер и универсальных правил защиты от мошенников, которые можно применить и выучить раз и навсегда, не существует. Помочь может только постоянная практика и мониторинг трендов, причем это касается и других видов киберугроз, которые тоже постоянно эволюционируют. Организация технических мер защиты — это задача специалистов по информационной безопасности, но от рядовых сотрудников компании тоже зависит, насколько успешной будет «оборона».
Чек-лист. Что нужно сделать, чтобы защитить бизнес от киберпреступников
- Следите за трендами: какие технологии используют киберпреступники, какие уязвимости эксплуатируют, какую риторику выбирают при общении с жертвами, какие актуальные инфоповоды используют и какие психологические векторы задействуют, чтобы заполучить доверие.
- Регулярно обновляйте ПО и применяйте все доступные вам технические меры защиты.
- Организуйте имитированные атаки для своих сотрудников, не ограничивайтесь только теоретическим обучением.
- Помните, что вы всегда можете стать целью атаки, и думайте на несколько шагов вперед. Учитывайте, что когда о методе атаки уже пишут СМИ, технологию уже растиражировали и остановить ее внедрение будет сложно. Новые приемы мошенников не сразу получают широкую огласку, а об инцидентах знают только инсайдеры — стоит найти источники такой информации и первыми узнавать о будущих угрозах.
По материалам Хайтек. Авто Сергей Волдохин