RU KZ
Хакеры в «короне»

Хакеры в «короне»

07:36 06 Июль 2020 4856

Хакеры в «короне»

Автор:

Виктория Кучма

Сеть заражена. Число кибератак выросло на треть.

Пандемия оказалась благоприятным временем, чтобы заработать, не только для Цукерберга и Бозеса. Массу новых возможностей  в сложной мировой обстановке нашли киберпреступники. На руку злоумышленникам – тотальный переход людей в онлайн-жизнь, работа на удаленке (в потенциально незащищенных Wi-Fi сетях) и повышенный уровень тревожности, лишающий жертв хакеров бдительности.

Уже в марте,  когда весь мир только начал уходить на карантин, число хакерских атак выросло сразу на 35% по сравнению с прошлым месяцем. Такими данными с inbusiness.kz поделилась «Лаборатория Касперского». Удаленный формат работы большинства организаций пошатнул их информационную безопасность и изменил ландшафт киберугроз.

Атаки на казахстанские банки

Банковский сектор – один из главных в прицеле хакеров. Поэтому для служб безопасности БВУ перевод сотрудников на удаленку оказался настоящим вызовом. Некоторые казахстанские банки запретили своим служащим подключаться во внутреннюю сеть с домашних «машин». А «безопасники» постарались обеспечить их надежным VPN-сервисом, создающим зашифрованный канал между компьютером и инфраструктурой банка, используя двухфакторную аутентификацию вместо однофакторной.

Но рассказывать про атаки хакеров банки, очевидно, не хотят. В БЦК, отвечая на запрос редакции, сообщили, что эффективный инструмент для удаленки у них уже был: «Изменилось только количество пользователей, перешедших на этот формат, также был дополнительно улучшен сам сервис по части менеджмента». При этом банк признался только в одной ddos-атаке на внешний интернет-канал за период карантина, которая «была заблокирована на уровне провайдера в течение часа». Пресс-служба финрегулятора – Национального банка – заверила нас, что «с самой распространенной атакой – рассылкой фишинговых писем и вредоносных вложений – банки успешно справляются», роста атак и какого-либо ущерба от них с начала пандемии не зафиксировано.

«Банки второго уровня адаптировались под удаленный режим работы, т. к. имеющиеся требования финрегулятора к информационной безопасности автоматизированных информационных систем банков учитывают и такой режим работы. Также с учетом расширения перечня услуг, оказываемых дистанционно, для банков нами направлены рекомендации по организации процесса первичной дистанционной идентификации физических лиц», – говорится в сообщении НБ.

Однако у экспертов из «Лаборатории Касперского» другое мнение.

«Да, увеличились (кибератаки. – Ред.). Банки очень внимательно наблюдают за ситуацией вокруг, службы ИБ (информационной безопасности. – Ред.) наготове. На нашем опыте могу сказать, что за три месяца мы завершили несколько крупных и важных проектов, до этого висящих на «холде» уже какое-то время, то есть критичность ситуации осознают все», – рассказал управляющий директор Kaspersky Lab в Казахстане, Центральной Азии и Монголии Евгений Питолин.

Из последних значимых атак, таргетированных в том числе и на банки, спикер вспомнил «новую инициативу Всемирного банка в связи с эпидемией коронавируса». Вредоносные файлы с таким названием распространялись в середине апреля. Документ действительно содержал информацию о новой инициативе Всемирного банка, а в качестве его авторов в метаданных были указаны реальные люди, имеющие отношение к организации. Сотрудники, пожелавшие ознакомиться с новостями от ВБ, открывали файл и давали полный доступ преступникам к своему компьютеру.

О росте хакерской активности говорит и то, что в мае под их натиском в фаерволе Cisco ASA, которым как раз и пользуются многие банки, как стеной, защитой от разнообразных атак, были обнаружены уязвимости. Проще говоря, стена оказалась ненадежной настолько, что ей присвоили критический уровень опасности. Инженеры Cisco срочно «залатали дыры», а банки начали обновление фаервола.

Хакер в овечьей шкуре

Рядовых пользователей в Сети сегодня подстерегает масса ловушек. Фишеры пристально следят за новостями и, пользуясь страхами и интересом людей к теме COVID-19, создают официально выглядящие приманки. Люди вводят на фальшивом сайте свои данные, позволяя мошенникам заработать. Фишинг – самый популярный метод кибермошенничества, и с режимом ЧП тут ничего не изменилось.

Реакция хакеров на введение карантина в Казахстане была незамедлительной. Уже 18 марта Служба реагирования на компьютерные инциденты KZ-Cert обнаружила вредоносное ПО, замаскированное под рассылку о профилактике коронавируса. Троян AGENTTESLA воровал данные учетки, версию операционной системы, модель и частоту процессора. На середину мая KZ-CERT зарегистрировала около трех тысяч инцидентов с хакерами. Из них более 400 составил фишинг, что в 2,5 раза больше аналогичного периода прошлого года.  Ежемесячно «Лаборатория Касперского» предотвращает в среднем 235 тысяч попыток перехода казахстанских пользователей на мошеннические сайты.

Основное количество кибератак, как уже отмечалось, приходится  на банковский сектор, а также электронную коммерцию и игровые интернет-ресурсы. Что касается банков, то речь в основном - об эмуляции страниц БВУ. Пользователь «ведется» на какой-нибудь онлайн-опрос и авторизуется, вводя данные от личного кабинета интернет-банкинга, либо оставляя реквизиты кредитной карты. Так,  этой весной под видом акции от Kaspi bank фальшивый telegram-канал, как пылесос, собирал персональные данные сотен тысяч казахстанцев. Об этом сообщается на сайте KZ-CERT. Людям обещали бонус на карту за добавление в телеграм-группу своих друзей, подогревая интерес ограниченным сроком акции. За несколько часов канал собрал более 200 тысяч подписчиков!

А россиян чуть больше недели назад в Facebook обманывали фейковые страницы Альфа-банка и Сбера, обещая «пособия в связи с текущей ситуацией» и «возврат НДС» за небольшую комиссию. Таких лжебанков в соцсетях и мессенджерах только Сбербанк заблокировал свыше 18 тысяч с начала 2020 года.

Изобретательность злоумышленников на карантине поражает. В KZ-CERT рассказывают, что, пользуясь ситуацией, мошенники маскируются под сайты «Работа на дому», предлагая заработать на лайках и репостах, а потом выманивают реквизиты карты – якобы заплатить за работу.

На фоне активизации е-коммерса хакеры копируют известные бренды для онлайн-покупок и розыгрышей, прикидываются сервисами по доставке продуктов или лекарств. Также орудуют в социальных сетях под видом волонтерских групп, собирая деньги нуждающимся. Причем используют фотографии настоящих волонтеров!

«За указанный период хотим отметить наиболее активные вредоносные программы, зафиксированные на территории нашего государства:

  • XMRig (бот, который может выполнять множество вредоносных задач: от загрузки зловредов до краж персональных данных);
  • Lokibot (собирает конфиденциальные данные из веб-браузеров, почтовых клиентов и других программных продуктов, установленных на зараженных хостах);
  • Exploit.MSOffice.Generic (ищет уязвимости в Microsoft Office);
  • LightNeuron (для взлома почтовых серверов Microsoft Exchange)», – говорится в майском отчете службы KZ-CERT.

В «Лаборатории Касперского», в свою очередь, отмечают, что каждый четвертый вызов их специалистов связан с атаками программ-шифровальщиков. Такие программы блокируют компьютер и вымогают деньги за ключ расшифрования. «Под давлением и угрозой уничтожения данных или иного шантажа пользователь в среднем платит киберпреступникам от 500 до 1-2 тысячи долларов за восстановление», – сообщил CEO Kaspersky Lab в Центральной Азии Евгений Питолин.

Эксперт также отмечает, что в Казнете появился «Фонд защиты персональных данных», основанный «Федеральной торговой комиссией США». Фальшивая организация сообщает пользователю о якобы  утечке его личных данных и  предлагает денежную компенсацию за временную социальную страховку. Которую, конечно, нужно купить – за девять долларов.

В квартальном отчете «Лаборатории» приводятся и другие интересные примеры атак на карантине. Хакеры, например, рассылают опасные «рекомендации» в DOC или PDF-вложении – как не заразиться COVID-19 – от имени Всемирной организации здравоохранения. Или, представляясь сотрудниками центров по контролю и профилактике заболеваний США,  просят пожертвовать денег на вакцину и пострадавшим от коронавируса на указанный биткоин-кошелек.

А некоторым пользователям даже приходили письма от имени умирающего «соседа», который угрожал, что заразит их COVID-19, если они не заплатят выкуп, который «обеспечит безбедную старость родителям вымогателя».

Национальности или приписки к территории у киберпреступников нет, подчеркивает Евгений Питолин. «А если говорить об угрозах по РК в целом, по свежей статистике I квартала 2020-го, наша республика снова заняла второе место в мире по доле пользователей, атакованных мобильными троянцами-вымогателями. Высока для казахстанцев и местных банков  также степень риска заражения банковскими троянцами и ATM/PoS-зловредами – Казахстан занял шестое место в TOP 10 стран по доле атакованных этими угрозами пользователей», – добавил спикер.

Как защититься?

На угрозу роста атак довольно быстро отреагировала Государственная техническая служба КНБ Казахстана. Спустя всего пару дней с начала карантина было разработано техническое решение в виде сервиса «Безопасный DNS».  Он похож на так называемый «родительский контроль» – распознает и делает недоступными вредоносные интернет-ресурсы, которые по своей неосторожности запрашивает пользователь. Примечательно, что доступ к сервису сделали бесплатным для всех и дали четкую инструкцию, как его установить на свой ПК.

Кроме того, в КНБ расписали и рекомендации для руководителей компаний и специалистов ИБ по работе на удаленке. Работодателей призвали обеспечить сотрудников зашифрованным каналом связи. А сотрудникам посоветовали:

  • установить пароль на рабочей станции;
  • пользоваться только корпоративной почтой;
  • сохранять конфиденциальную информацию на флешках;
  • не пользоваться программами для удаленного доступа;
  • обновить роутер и пароль на нем;
  • не устанавливать новое программное обеспечение или оборудование;
  • обязательно выходить из информационной системы, прежде чем завершить сеанс;
  • просматривать журнал событий или наладить отправку уведомлений администратору при подозрительных событиях.

Мало кто в курсе, но для тех, кто столкнулся с подозрительным интернет-ресурсом, в Казахстане работает служба «1400». Бесплатно и круглосуточно специалисты отвечают на вопросы и принимают заявки.

У «Лаборатории Касперского» тоже есть свои бесплатные решения на время ЧП. Это, например, онлайн-курс «Безопасность во время пандемии в жизни и бизнесе». Он призван повысить цифровую грамотность в условиях самоизоляции, удаленной работы и многочисленных фейков о вирусе, ставшем реальной угрозой.

Виктория Кучма


Подпишитесь на наш канал Telegram