Пандемия оказалась благоприятным временем, чтобы заработать, не только для Цукерберга и Бозеса. Массу новых возможностей в сложной мировой обстановке нашли киберпреступники. На руку злоумышленникам – тотальный переход людей в онлайн-жизнь, работа на удаленке (в потенциально незащищенных Wi-Fi сетях) и повышенный уровень тревожности, лишающий жертв хакеров бдительности.
Уже в марте, когда весь мир только начал уходить на карантин, число хакерских атак выросло сразу на 35% по сравнению с прошлым месяцем. Такими данными с inbusiness.kz поделилась "Лаборатория Касперского". Удаленный формат работы большинства организаций пошатнул их информационную безопасность и изменил ландшафт киберугроз.
Атаки на казахстанские банки
Банковский сектор – один из главных в прицеле хакеров. Поэтому для служб безопасности БВУ перевод сотрудников на удаленку оказался настоящим вызовом. Некоторые казахстанские банки запретили своим служащим подключаться во внутреннюю сеть с домашних "машин". А "безопасники" постарались обеспечить их надежным VPN-сервисом, создающим зашифрованный канал между компьютером и инфраструктурой банка, используя двухфакторную аутентификацию вместо однофакторной.
Но рассказывать про атаки хакеров банки, очевидно, не хотят. В БЦК, отвечая на запрос редакции, сообщили, что эффективный инструмент для удаленки у них уже был: "Изменилось только количество пользователей, перешедших на этот формат, также был дополнительно улучшен сам сервис по части менеджмента". При этом банк признался только в одной ddos-атаке на внешний интернет-канал за период карантина, которая "была заблокирована на уровне провайдера в течение часа". Пресс-служба финрегулятора – Национального банка – заверила нас, что "с самой распространенной атакой – рассылкой фишинговых писем и вредоносных вложений – банки успешно справляются", роста атак и какого-либо ущерба от них с начала пандемии не зафиксировано.
"Банки второго уровня адаптировались под удаленный режим работы, т. к. имеющиеся требования финрегулятора к информационной безопасности автоматизированных информационных систем банков учитывают и такой режим работы. Также с учетом расширения перечня услуг, оказываемых дистанционно, для банков нами направлены рекомендации по организации процесса первичной дистанционной идентификации физических лиц", – говорится в сообщении НБ.
Однако у экспертов из "Лаборатории Касперского" другое мнение.
"Да, увеличились (кибератаки. – Ред.). Банки очень внимательно наблюдают за ситуацией вокруг, службы ИБ (информационной безопасности. – Ред.) наготове. На нашем опыте могу сказать, что за три месяца мы завершили несколько крупных и важных проектов, до этого висящих на "холде" уже какое-то время, то есть критичность ситуации осознают все", – рассказал управляющий директор Kaspersky Lab в Казахстане, Центральной Азии и Монголии Евгений Питолин.
Из последних значимых атак, таргетированных в том числе и на банки, спикер вспомнил "новую инициативу Всемирного банка в связи с эпидемией коронавируса". Вредоносные файлы с таким названием распространялись в середине апреля. Документ действительно содержал информацию о новой инициативе Всемирного банка, а в качестве его авторов в метаданных были указаны реальные люди, имеющие отношение к организации. Сотрудники, пожелавшие ознакомиться с новостями от ВБ, открывали файл и давали полный доступ преступникам к своему компьютеру.
О росте хакерской активности говорит и то, что в мае под их натиском в фаерволе Cisco ASA, которым как раз и пользуются многие банки, как стеной, защитой от разнообразных атак, были обнаружены уязвимости. Проще говоря, стена оказалась ненадежной настолько, что ей присвоили критический уровень опасности. Инженеры Cisco срочно "залатали дыры", а банки начали обновление фаервола.
Хакер в овечьей шкуре
Рядовых пользователей в Сети сегодня подстерегает масса ловушек. Фишеры пристально следят за новостями и, пользуясь страхами и интересом людей к теме COVID-19, создают официально выглядящие приманки. Люди вводят на фальшивом сайте свои данные, позволяя мошенникам заработать. Фишинг – самый популярный метод кибермошенничества, и с режимом ЧП тут ничего не изменилось.
Реакция хакеров на введение карантина в Казахстане была незамедлительной. Уже 18 марта Служба реагирования на компьютерные инциденты KZ-Cert обнаружила вредоносное ПО, замаскированное под рассылку о профилактике коронавируса. Троян AGENTTESLA воровал данные учетки, версию операционной системы, модель и частоту процессора. На середину мая KZ-CERT зарегистрировала около трех тысяч инцидентов с хакерами. Из них более 400 составил фишинг, что в 2,5 раза больше аналогичного периода прошлого года. Ежемесячно "Лаборатория Касперского" предотвращает в среднем 235 тысяч попыток перехода казахстанских пользователей на мошеннические сайты.
Основное количество кибератак, как уже отмечалось, приходится на банковский сектор, а также электронную коммерцию и игровые интернет-ресурсы. Что касается банков, то речь в основном - об эмуляции страниц БВУ. Пользователь "ведется" на какой-нибудь онлайн-опрос и авторизуется, вводя данные от личного кабинета интернет-банкинга, либо оставляя реквизиты кредитной карты. Так, этой весной под видом акции от Kaspi bank фальшивый telegram-канал, как пылесос, собирал персональные данные сотен тысяч казахстанцев. Об этом сообщается на сайте KZ-CERT. Людям обещали бонус на карту за добавление в телеграм-группу своих друзей, подогревая интерес ограниченным сроком акции. За несколько часов канал собрал более 200 тысяч подписчиков!
А россиян чуть больше недели назад в Facebook обманывали фейковые страницы Альфа-банка и Сбера, обещая "пособия в связи с текущей ситуацией" и "возврат НДС" за небольшую комиссию. Таких лжебанков в соцсетях и мессенджерах только Сбербанк заблокировал свыше 18 тысяч с начала 2020 года.
Изобретательность злоумышленников на карантине поражает. В KZ-CERT рассказывают, что, пользуясь ситуацией, мошенники маскируются под сайты "Работа на дому", предлагая заработать на лайках и репостах, а потом выманивают реквизиты карты – якобы заплатить за работу.
На фоне активизации е-коммерса хакеры копируют известные бренды для онлайн-покупок и розыгрышей, прикидываются сервисами по доставке продуктов или лекарств. Также орудуют в социальных сетях под видом волонтерских групп, собирая деньги нуждающимся. Причем используют фотографии настоящих волонтеров!
"За указанный период хотим отметить наиболее активные вредоносные программы, зафиксированные на территории нашего государства:
- XMRig (бот, который может выполнять множество вредоносных задач: от загрузки зловредов до краж персональных данных);
- Lokibot (собирает конфиденциальные данные из веб-браузеров, почтовых клиентов и других программных продуктов, установленных на зараженных хостах);
- Exploit.MSOffice.Generic (ищет уязвимости в Microsoft Office);
- LightNeuron (для взлома почтовых серверов Microsoft Exchange)", – говорится в майском отчете службы KZ-CERT.
В "Лаборатории Касперского", в свою очередь, отмечают, что каждый четвертый вызов их специалистов связан с атаками программ-шифровальщиков. Такие программы блокируют компьютер и вымогают деньги за ключ расшифрования. "Под давлением и угрозой уничтожения данных или иного шантажа пользователь в среднем платит киберпреступникам от 500 до 1-2 тысячи долларов за восстановление", – сообщил CEO Kaspersky Lab в Центральной Азии Евгений Питолин.
Эксперт также отмечает, что в Казнете появился "Фонд защиты персональных данных", основанный "Федеральной торговой комиссией США". Фальшивая организация сообщает пользователю о якобы утечке его личных данных и предлагает денежную компенсацию за временную социальную страховку. Которую, конечно, нужно купить – за девять долларов.
В квартальном отчете "Лаборатории" приводятся и другие интересные примеры атак на карантине. Хакеры, например, рассылают опасные "рекомендации" в DOC или PDF-вложении – как не заразиться COVID-19 – от имени Всемирной организации здравоохранения. Или, представляясь сотрудниками центров по контролю и профилактике заболеваний США, просят пожертвовать денег на вакцину и пострадавшим от коронавируса на указанный биткоин-кошелек.
А некоторым пользователям даже приходили письма от имени умирающего "соседа", который угрожал, что заразит их COVID-19, если они не заплатят выкуп, который "обеспечит безбедную старость родителям вымогателя".
Национальности или приписки к территории у киберпреступников нет, подчеркивает Евгений Питолин. "А если говорить об угрозах по РК в целом, по свежей статистике I квартала 2020-го, наша республика снова заняла второе место в мире по доле пользователей, атакованных мобильными троянцами-вымогателями. Высока для казахстанцев и местных банков также степень риска заражения банковскими троянцами и ATM/PoS-зловредами – Казахстан занял шестое место в TOP 10 стран по доле атакованных этими угрозами пользователей", – добавил спикер.
Как защититься?
На угрозу роста атак довольно быстро отреагировала Государственная техническая служба КНБ Казахстана. Спустя всего пару дней с начала карантина было разработано техническое решение в виде сервиса "Безопасный DNS". Он похож на так называемый "родительский контроль" – распознает и делает недоступными вредоносные интернет-ресурсы, которые по своей неосторожности запрашивает пользователь. Примечательно, что доступ к сервису сделали бесплатным для всех и дали четкую инструкцию, как его установить на свой ПК.
Кроме того, в КНБ расписали и рекомендации для руководителей компаний и специалистов ИБ по работе на удаленке. Работодателей призвали обеспечить сотрудников зашифрованным каналом связи. А сотрудникам посоветовали:
- установить пароль на рабочей станции;
- пользоваться только корпоративной почтой;
- сохранять конфиденциальную информацию на флешках;
- не пользоваться программами для удаленного доступа;
- обновить роутер и пароль на нем;
- не устанавливать новое программное обеспечение или оборудование;
- обязательно выходить из информационной системы, прежде чем завершить сеанс;
- просматривать журнал событий или наладить отправку уведомлений администратору при подозрительных событиях.
Мало кто в курсе, но для тех, кто столкнулся с подозрительным интернет-ресурсом, в Казахстане работает служба "1400". Бесплатно и круглосуточно специалисты отвечают на вопросы и принимают заявки.
У "Лаборатории Касперского" тоже есть свои бесплатные решения на время ЧП. Это, например, онлайн-курс "Безопасность во время пандемии в жизни и бизнесе". Он призван повысить цифровую грамотность в условиях самоизоляции, удаленной работы и многочисленных фейков о вирусе, ставшем реальной угрозой.
Виктория Кучма
Подпишитесь на наш канал Telegram!
