Ущерб от киберпреступлений в мире исчисляется сотнями миллиардов долларов. По данным отечественного департамента киберполиции, за 8 месяцев 2016-го кибермошенники выманили у пострадавших украинцев порядка 27 млн грн. Реальные же убытки государства, бизнеса и простых граждан не может посчитать никто.
Прошедший год ознаменовался мощными атаками на облэнерго, финансовые госструктуры.
Из бизнеса выкачивали деньги с помощью банковского трояна Zeus и вирусов шифровальщиков-вымогателей Ransomware. Частные предприятия и простых граждан атаковали «черные» риелторы. Пользователи сети стали жертвами масштабных спам-рассылок с вредоносной программой Bolek/KBOT с последующей кражей учетных данных онлайн-банкинга.
Продолжала процветать древняя и банальнейшая схема развода: размещение на онлайн-площадках красочных фото товара с привлекательной ценой, требованием внести предоплату и последующим исчезновением «продавца». В 2016 году было сотни сообщений о задержании таких мошенников. Тем не менее, доверчивые граждане все равно находятся. Недавно одному умельцу даже удалось получить полную предоплату за автомобиль «ВАЗ-2108».
Мошенники совершенствуются и в этом направлении. К примеру, в конце года задержана группа злоумышленников, которые зарегистрировали 2 онлайн-магазина, указав чужие персональные данные. Для обслуживания платежей и контроля заказов они использовали процессинг-платформу. Систематически меняли оформленные на других лиц карточные счета и телефонные номера. А для безопасной работы с заказчиками использовали системы анонимизации (TOR-браузер, VPN). За время деятельности группы мошенникам удалось выманить у более 50 человек около 700 тыс грн.
Чего нам ждать дальше? И как защититься от новых приёмов кибермошенников? Эксперты проанализировали прошлогоднюю деятельность злоумышленников и пояснили, к чему готовиться в 2017-м. А также рассказали, что не помешает использовать компаниям и простым гражданам, чтобы снизить риск «заглатывания удочек» мошенников.
Николай Коваль, руководитель команды реагирования на компьютерные инциденты CyS-CERT:
— Предполагаю, что тенденции 2016-го сохранятся и в текущем году. Если проанализировать ситуацию с киберугрозами за прошедший год, то получается следующее.
Уже почти пять лет, начиная с 2013 года и по текущее время, украинские предприятия продолжает атаковать группировка лиц, использующих вредоносное программное обеспечение — банковский троян Zeus. Угроза заключается в получении несанкционированного доступа к компьютеру бухгалтера/директора (предназначенного для работы с системами дистанционного банковского обслуживания), краже логина, пароля, сертификата и проведении несанкционированного платежа (НСП) с целью списания денег со счёта жертвы. Только за 2016 год таких случаев было более 40. Суммы НСП варьируются от нескольких десятков тысяч гривен до нескольких миллионов.
Рекордно высоким в 2016 году было количество атак, направленных непосредственно на активы банков, а не на их клиентов. Примерно с марта и до конца лета 2016-го еще одна группировка злоумышленников, использующая целый набор вредоносных программ, проводила атаки непосредственно на компьютерные сети банков, ставя целью добраться до системы SWIFT и осуществить несанкционированную транзакцию. В нашей стране известно о 6 потенциальных жертвах. У одного банка деньги (в особо крупном размере) были-таки украдены.
По сравнению со странами-соседями, в Украине пока в десятки раз меньше инцидентов, связанных с «шифровальшиками-вымогателями». Это отчетливо видно по результатам мониторинга попыток «заразить» конкретную жертву, доставив ей вредоносный файл. В Европе и США разновидностей «шифровальщиков-вымогателей» намного больше, чем где-либо. Нас они пока обходят стороной. Вместе с тем, уже были случаи, когда злоумышленники, покупая или обмениваясь информацией, получали доступ к серверам с бухгалтерской программой 1С, шифровали их содержимое и требовали выкуп за расшифровку.
Также в 2016 году был произведен ряд целенаправленных атак на пользователей украинского сегмента Интернет. По нашему мнению, подобные вспышки можно объяснить желанием преступников протестировать новые образцы вредоносных программ. Это может свидетельствовать о том, что в скором будущем доработанные вредоносные программы будут применены на практике.
Начиная с 5 декабря 2016-го, в результате кибератак в нашей стране последовательно были выведены из строя важнейшие для функционирования финансовой системы государства организации – Госказначейство и Минфин. Вскоре аналогичная участь постигла стратегически важные предприятия «Укрзализныцю» и «Киевэнерго». Почти во всех инцидентах применялись разные наборы вредоносных программ, а также разные тактики и техники атак. Повторившийся «блэкаут», произошедший в результате атаки на подстанцию «Северная», мягко говоря, насторожил западные страны и еще раз напомнил об опасности, которую несет сфера «кибер».
Увеличилась и активность, направленная на кибершпионаж за государственным органами, стратегическими предприятиями и силовыми ведомствами. Более того, для этих целей начали использовать и вредоносные программы «общего» назначения (например, банковские трояны). Учитывая факты задержания киберпреступников правоохранительными органами других стран, активность, направленная на шпионаж, саботаж и тому подобные акции в нашей стране, имеет все шансы возрасти.
Уровень мобильных угроз со времени инцидента «Привет:) Тебе фото» был минимален. Однако в связи распространенностью мобильных электронных устройств, очень вероятно, что следует ожидать заполнения и этой ниши.
— Как защититься от вероятных угроз?
— Я не зря перечислил такое множество примеров. Все атаки начинаются с этапа доставки жертве вредоносной нагрузки. Отправка письма с вредоносным вложением или ссылкой – наиболее распространенный способ начала проникновения. Поэтому особое внимание необходимо уделять «обезопашиванию» этого процесса на всех этапах.
Конечно, «заразиться» также можно, просто посетив абсолютно легитимный сайт или установив программу с доверенного веб-сайта (всё это уже было). Чтобы минимизировать этот риск, необходимо повышать уровень осведомленности в области информационной безопасности, следить за актуальностью используемых операционных систем и программ. Организациям необходимо позаботиться о внедрении всевозможных контролей, а также интересоваться таким направлением как «разведка киберугроз», обеспечивая себя потоком данных об актуальных угрозах.
— Далеко не все расследования киберпреступлений удается довести до конца. В чем сложность?
— Компьютерные преступления происходят в сфере «кибер». Тут проблем уйма: от несовершенства законодательства — до невозможности установления того, откуда и кем была произведена атака. Кроме того, исследование инцидента требует наличия узкоспециализированных знаний. В общем — это очень кропотливый труд.
Так как не всегда возможно ликвидировать угрозу (идентифицировать исполнителей, заблокировать сервер и т.п.), мы считаем, что необходимо заранее их отслеживать, чтобы понимать, как и когда атака может быть реализована и предотвратить её. Вот для этого и применяется разведка киберугроз. В некоторых случаях удается отследить угрозу, установить исполнителя и довести дело до суда, доказав вину преступников. У нас в практике были примеры успешного сотрудничества с правоохранительными органами в этом направлении.
Дмитрий Овчаренко, вице-президент по правовым вопросам ассоциации "IТ Украины", управляющий директор компании SBT Systems Ukraine:
— В мире кибербезопасность уверенно становится одним из приоритетных вызовов для поддержания знакомого всем нам миропорядка в стабильности. Не нужно напоминать о наиболее значимых кибератаках – на сервера во время выборной компании в США, получение “секретных” Панамских документов и пр. Несет огромные убытки и частный бизнес: Anthem ($78 млн), Premera ($11 млн), Excellus ($10 млн).
Самое обидное, что защититься на 100% — невозможно. Ведь злоумышленники также ежедневно оттачивают свои инструменты. Простыми рекомендациями является хотя бы дополнительно не помогать хакерам: не открывать сомнительные письма, не переходить по подозрительным ссылкам, не скачивать и не устанавливать непроверенный софт и пр.
Если компанией определен массив наиболее чувствительных данных – самой лучшей рекомендацией остается ее криптографическое шифрование. Также важным является утверждение инструкции действий боевой команды компании, если секьюрный инцидент все же произошел – ведь в 90% случаев хакера можно идентифицировать по «горячим» следам. Это и остановка «кровотечения» (утери данных), привлечение внешних экспертов (контакты должны быть заранее), сохранение доказательств противоправной деятельности и пр.
Максим Тульев, собственник компании NetAssist:
— Считаю, главное правило, чтобы с достаточной вероятностью не попасться на все это, — не пользоваться линейкой операционных систем Windows. Потому что именно под Windows пишутся почти все вирусы, трояны и те же Ransomware. Под Mac и Linux (при условии своевременного обновления системы) можно считать, что их нет вообще. А фишинг — вечная тема. Конечно же, он будет развиваться дальше. Советовать что-то — реально бесполезно, так как фишинг работает только с теми людьми, которым советовать что-либо бессмысленно. А их много.
Киберполиция в том виде, в котором я с ними сталкивался, ничем не отличается от милиции и СБУ прошлых периодов. Уже научились базовым вещам в расследованиях, но поймать злодея хотя бы со средним уровнем профессионализма – удается разве что при большой удаче. Но MS DOS с DDoS не путают, запросы пишут правильно — и на том спасибо!
На мой взгляд, основная проблема в работе киберполиции (не только нашей, а и мировой) — СКОРОСТЬ работы. Для эффективного расследования — дни, а иногда и часы с момента инцидента. Но не месяцы и годы, как сейчас приходят запросы.
Александр Федиенко, глава Правления ИнАУ:
— Для защиты — выполнять элементарные нормы по безопасности работы в сети Интернет и культуре как строительства сетей, так и их эксплуатации. Хотя я уверен, что эра интернет-сайтов рано или поздно отойдет. Скорее всего, останутся какие-то сайты заглушки и информационные порталы, большая часть смигрирует в тот же Фейсбук.
Если же ваш бухгалтер, получив подозрительное письмо, не выполнил правила карантина, открыл это сообщение и вложенный файл, в результате заразив компьютеры компании вирусом, — стоит наказать такого "специалиста".
Важно помнить, что в виртуальном мире нет доверия ни к кому. И прежде чем совершить какое-то действо в виртуальной сети, вы должны осознавать, что все эти действия — это исключительно ВАША добрая воля. То что вы потом можете пострадать от этого, опять таки из-за того что вы просто приняли неверное решение.
В чем основные сложности расследования киберпреступлений? Это то, что нельзя потрогать, приложить к обвинительной базе и т.д. Ну, и самое главное, это отсутствие координации между различными силовыми структурами, включая и международную координацию в случае оперативно розыскных мероприятиях по громким делам. Скажем, похищение человека или теракт, когда стоит пренебречь формально бумажными переписками.
В отечественной киберполиции уверяют, что удается раскрыть около 50% преступлений. Надеемся, что эти данные близки к реальности, а наши читатели не станут жертвами «второй» половины.
Советы от Департамента киберполиции: "Рекомендуем регулярно создавать шифрованные резервные копии на отдельном носителе, постоянно обновлять ПО из официальных источников разработчика, использовать антивирусное и фильтрующее Интернет-трафик ПО, периодически менять пароли к учетным записям в публичных сервисах."
