Если данные утекли в Сеть, то они останутся там навсегда

22 июля 2020 г.

Пандемия коронавируса посадила по домам весь мир, но развязала руки киберпреступникам, которые мгновенно среагировали на новую реальность. О новых методах в арсенале хакеров, к каким угрозам стоит готовиться мировым компаниям, как защитить свои данные и кошелек в сети, почему нельзя снижать бдительность на удаленке, кого чаще всего атакуют вирусы-шифровальщики, какие киберхулиганства могут устроить школьники в период ЕГЭ и как распознать, что вам звонит мошенник, в интервью РИА Новости рассказал глава международной компании Group-IB, специализирующейся на предотвращении кибератак, Илья Сачков. Беседовала Мариам Багдасарян.


— Пандемия коронавируса привела к массовому переходу российских компаний на удаленный режим работы. Как изменился фокус мошенников на этом фоне?

— До карантина, работая в офисе, мы все находились в хорошем смысле под присмотром работодателей, внутри защищенного периметра корпоративной сети. Когда сотрудники большинства российских компаний перешли на удаленку, они стали представлять для злоумышленников очень интересную мишень.

Во-первых, и работодатель, и служба безопасности работодателя, IT-службы находятся где-то далеко, постепенно стирается психологический барьер "свой-чужой", и, естественно, снижается бдительность.

Во-вторых, когда отсутствует сама возможность пойти в магазин, доля онлайн-торговли начала расти, вырос спрос на курьерскую доставку продуктов и товаров первой необходимости, медицинские консультации, справки, пропуски, обучение и любые другие цифровые сервисы. Человек с деньгами, с банковской карточкой и интернет-банкингом, желающий что-то быстро заказать в интернете, это для злоумышленников идеальная цель. Поэтому, естественно, злоумышленники переключились на атаки на физических лиц.

Есть интересная статистика. По данным МВД, на фоне снижения в январе-апреле 2020 года количества убийств и покушений на убийства, грабежей и разбоев, рост IT-преступности составил 82,4% и в значительной степени повлиял на увеличение общего числа зарегистрированных преступлений в стране за 4 месяца на 0,8%. Не ошибусь, если скажу, что бóльшая часть приходится на разного рода финансовое мошенничество — такой рост даже не похож на обычный сезонный рост, как, например, перед Новым годом. Это в десятки раз больше, и пострадавших значительно больше.

Злоумышленники, которые уже находятся в тюрьмах и колониях, понимают, что в период пандемии у них развязаны руки. Мы видели рассылку, в которой людей штрафовали за нарушение режима самоизоляции на основании несуществующего постановления ФСИН. Поскольку в разных регионах России действовали разные условия карантина, был такой хаос.

— Каких видов атак стало больше за это время? Какие новые, необычные способы используют злоумышленники?

— Мы выделили несколько схем. В принципе, их суть не менялась, есть только новый контент, связанный с коронавирусом. Например, появилась продажа фейковых цифровых пропусков на сайтах, в Telegram-каналах и в группах в соцсетях.

Помимо этого, мы выявили мошеннические схемы, касающиеся компенсаций и возвратов денег от лица несуществующих организаций. Это, на мой взгляд, самые аморальные злоумышленники, потому что в первую очередь они атакуют самые незащищенные слои населения — пенсионеров, многодетные семьи, семьи с маленькими детьми, которые, естественно, в период кризиса, слыша о поддержке со стороны государства, пытаются найти информацию и попадают, к сожалению, в руки злоумышленников.

Ежемесячно сотни таких ресурсов появлялось, в период пандемии их количество заметно увеличивалось. За первый квартал этого года наш Центр реагирования CERT-GIB заблокировал 4790 фишинговых ресурсов, для сравнения только за весь 2018 год было около 4400 ресурсов. Такой резкий рост числа блокировок объясняется не только эффективностью обнаружения преступных схем, но также изменением тактики фишеров, в результате чего увеличилась продолжительность фишинговых атак. В предыдущие годы злоумышленники по большей части прекращали свои кампании после блокировки мошеннических веб-ресурсов и быстро переключались на другие бренды. Сегодня они продолжают работу, создавая новые страницы на смену заблокированным. Если говорить о целях злоумышленников, то в первом квартале наибольшее число фишинговых страниц было нацелено на онлайн-сервисы (61,35%), почтовые сервисы (11,88%) и финансовые учреждения (8,42%).

Помимо этого, за первый квартал мы зафиксировали более 14 тысяч вредоносных писем или ссылок. Подавляющее большинство из них — почтовые рассылки (91%) и содержали "на борту" бэкдоры (на них пришлось 26%), вирусы-шпионы (25%) и банковские трояны (10%). В топ-3 самых популярных у злоумышленников вредоносных программ в рассылках входит бэкдор Pony (14%), банкер RTM (9%) и бэкдор Formbook (6%), а вот шифровальщики, по сравнению с прошлым годом, используются крайне редко.

Что касается обзвонов, их стало просто в разы больше. Это технология называется вишинг — мошеннические звонки по телефону, к которым добавилась новая маркетинговая оболочка: пропуска, доставка, трудоустройство, все, что людей волновало. В ходе разговора мошенники выуживают данные банковской карты, заставляют сделать перевод или установить программы удаленного доступа для кражи денег.

Чем характерна вся эта киберпреступная активность периода пандемии? Такого размаха у мошенников не было никогда — первый раз в истории люди сидят по домам, в онлайне.

Явные последствия пандемии — долгосрочный рост кибепреступности. В период пандемии образовалась ситуация, когда люди из неблагополучных семей оказались без работы и вынуждены были искать средства заработка. Сейчас повторяется история 90-х годов, но только она в десятки раз хуже, потому что сильно увеличилось проникновение цифровых сервисов, все описания преступлений оказались онлайн. В период ближайших 3-5 лет мы увидим рост киберпреступности, и это главный долгоиграющий вывод пандемии. Если сейчас мы не увидим серьезных технологических сдвигов, то фундаментально мы должны понимать, что во многих регионах России сложная экономическая ситуация вызовет толчок к росту киберпреступлений.

— Вы упомянули цифровые пропуска. Фиксировали ли вы атаки на портал "Госуслуги" и других сервисов, которые содержат данные россиян, а также на сайты, выдающие цифровые пропуска и справки?

— За несколько дней до того, как цифровые пропуска запустили, на городской московский портал были атаки, и в день его открытия это привело к замедлению его работы. Что касается портала "Госуслуги", мы не занимаемся их безопасностью на данный момент, за это отвечает Минсвязи. Но мы видели появление фишинговых сайтов, ботов, которые атаковали "Госуслуги" как DDoS-атаки (отказ в обслуживании).

Отмечу, что у этих злоумышленников, в отличие от тех, кто создает фишинговые ресурсы, наверное, есть профессиональная этика, я надеюсь на это. Мы видели во многих странах мира атаки на медучреждения, в России этого не происходило. То есть ни объявлений на хакерских форумах, ни заражений, ни атак шифровальщиков. Была какая-то редкая для нашего наблюдения этика, как будто с учетом того, что происходит, все поняли, что в России медицинские учреждения — вопрос жизни или смерти для многих людей.

Такого, как мы видели в Великобритании, США, где атаковали порталы заказчиков строящихся медучреждений, не было. Это, естественно, мое предположение, я не общался с хакерами, но я заметил. В принципе, это было бы супераморально.

— Ранее вы говорили, что с начала апреля число различных киберинцидентов в мире выросло на 73% по сравнению с мартом. Как изменилась динамика в мае?

— Мы итоги будем подводить в октябре-ноябре, но можем уже сейчас сказать, что число рассылок по теме COVID-19 выросло. Почти 65% из обнаруженных нами вредоносных рассылок с коронавирусной тематикой несли "на борту" программы-шпионы, второе место занимают бэкдоры — 31%, а на шифровальщики приходится около 4%.

— Что касается фишинга, какую именно опасность такие рассылки представляют для компаний и людей?

— Опасно это тем, что, во-первых, в автоматическом режиме от вашего имени может произойти рассылка по вашей адресной книге с этим ПО, что увеличит его конверсию, потому что кто-то откроет файл. Во-вторых, это прямой финансовый ущерб, если это банковский троян, а если это вирус-шифровальщик — последствия могут быть как по итогам вирусов NotPetya или WannaCry, — это временная потеря работоспособности организации.

Есть рассылки, которые после этого саботажа не имеют технической возможности расшифровать данные, и компании потеряют свои CRM-системы навсегда. Если там содержится важная для компании информация — конструкторские детали, базы данных, что характерно для ритейлеров, мошенник требует выкуп.

Есть такая особенность — шифрование может быть сокрытием предыдущего преступления. То есть злоумышленник украл информацию или деньги, затем запустил шифровальщик, чтобы таким образом прекратить работу организации и отвлечь ее внимание на восстановление от шифровальщика. Это достаточно красиво инженерно, и, к сожалению, большинство компаний не знает об этом.

— Стали ли чаще использоваться вирусы-шифровальщики в период пандемии?

— Все говорит о том, что в ближайшем будущем атакующие не планируют снижать набранную в прошлом году скорость. Они продолжат совершать масштабные операции, нацеленные на крупные корпоративные сети, у которых достаточно ресурсов, чтобы удовлетворить их требования о выкупе.

Ущерб от операций шифровальщиков продолжает расти. Согласно данным из открытых источников, средний размер выкупа в первом квартале этого года уже превысил 110 тысяч долларов.

И мы увидели более 500 объявлений на закрытых площадках с промокодами и акциями по хакерским услугам, DDoS-атакам, хакерским атакам, рассылкам, взломам и так далее. То есть, условно, то, что мы увидели в реальном мире с точки зрения поддержки малого и среднего бизнеса, то же самое произошло в андерграунде.

— Какой объем средств в среднем в день или неделю крали у россиян?

— Цифры разнятся в зависимости от вида атак. Например, в схеме "Курьер" ежедневный оборот у одной преступной группы превышал 200 тысяч рублей, в месяц они зарабатывали до 9 миллионов рублей. Таких групп сотни, и это только один тип преступлений — по фейковой курьерской доставке.

В целом из моего личного круга общения я видел хищения в размере 15 тысяч рублей, 30 тысяч, 100 тысяч и 600 тысяч рублей, 15 биткоинов. Конечно, стало очень много преступлений, в которых задействованы криптовалюты, потому что в период пандемии люди думают об альтернативных способах инвестиций, забывая, что это не всегда безопасный способ сохранить свои активы, а чаще — скорее наоборот.

Сейчас есть еще психологический эффект — человек может быть опытным пользователем интернета и несколько раз стать жертвой мошенничества. Но если в 2013 году, условно, он заявляет об этом в полицию, то в 2020 году он понимает, что в предыдущем случае ему денег не вернули, он потратил много сил, и сейчас он даже об этом не заявляет, понимая, что это плата за незнание правил компьютерной гигиены. Поэтому такая статистика с большим трудом собирается.

Сейчас многие люди, если у них украли деньги, понимают, что это их вина. Все, что говорили несколько лет назад про 5-6 вещей, которые надо сделать для своей кибербезопасности, человек не сделал. Одна моя знакомая недавно написала, что у ее подруги взломали Instagram и от ее имени разослали людям сообщение о том, что якобы ее мама попала в беду, и многие люди перевели ей по 10-15 тысяч рублей. Она спрашивает: "Илья, что можно делать?". Ну как бы ничего, потому что, во-первых, человек этот, скорее всего, сидит в тюрьме и деньги эти уже вывели, а во-вторых, мне кажется, если в 2020 году у человека "ломают" Instagram, это для него должен быть хороший урок, потому что просто так аккаунты не "ломаются".

Обычно на все киберпреступления, касающиеся физлиц, вы лично можете повлиять, то есть сделать так, чтобы оно вообще не произошло. Это же не как с уличными преступлениями — надо заниматься единоборствами, бегом, владеть ножом и так далее, в интернете надо сделать всего 5-8 простых вещей, поэтому очень многие люди уже стесняются об этом сказать и появляется вот такая проблема в статистике. Люди, которые знали о правилах цифровой безопасности, они образованы, с хорошим интеллектом, они все понимают и много раз слышали об этом и стесняются обратиться в полицию или даже семье рассказать. Очень часто даже жена просит не рассказывать мужу и наоборот, таких случаев очень много, потому что они в одной квартире находятся и просто "убьют" друг друга за это.

— Как изменилась ситуация с пиратством в России?

— Апрель 2020 года поставил рекорд по потреблению видеоконтента за все время существования Рунета. Вторая неделя карантина, с 30 марта по 5 апреля, превысила все предыдущие традиционные периоды взрывов потребления контента — новогодние праздники. По сравнению с апрелем прошлого года число потенциальных потреблений контента на легальных онлайн-кинотеатрах возросло на 114%. И это несмотря на незначительное число кинопремьер — 44 премьеры в апреле 2019 года против трех в апреле этого года.

Еще год назад мы прогнозировали закат эры торрентов в России: 80% пиратских фильмов и почти 90% сериалов пользователи смотрели уже в онлайн-кинотеатрах. Но пандемия внесла значительные коррективы. Например, 4 апреля, на следующий день после телеобращения Владимира Путина, в котором он объявил нерабочим весь апрель, россияне скачали не менее 17 миллионов торрент-файлов — 25% от общего числа в мире.

Перегрузки испытывали не только официальные медиаплощадки, типа Youtube, но и пиратские CDN — в первые дни изоляции они также не справлялись с нагрузкой.

Со снятием режима самоизоляции ситуация возвращается в привычное русло. В июне общий показатель потребления контента возвращается к аналогичным показателям 2019 года, однако легальные игроки в результате аккумуляции абонентской базы из прошлых периодов сохраняют рост, предположительно он будет больше на 15-20%, чем до эпидемии.

— Group-IB ранее рекомендовала пользователям отказаться от использования сервиса видеоконференций Zoom и перейти на его аналоги. Какие случаи взломов сервиса вы фиксировали?

— Были увлекательные случаи, когда использовалась социальная инженерия с выключенной камерой и человек не понимал, что он говорит не с тем человеком. Это воздействие методом социальной инженерии с просьбой открыть письмо от другого отправителя, чтобы открыл человек вложение. Это удобный вишинг, но через Zoom.

Так как во многих компаниях есть культура общения по Zoom с выключенной камерой, очень просто человек, получая якобы звонок от коллег, попадается на крючок злоумышленникам. Я думаю, что Zoom оказался хакерской находкой. Мы сейчас делаем расследование на эту тему.

— Вы упоминали ранее, что удаленное проведение ЕГЭ в 2020 году может привести к большим киберсюрпризам со стороны школьников. Власти приняли решение провести ЕГЭ в офлайн-формате. Стоит ли все же ожидать сюрпризов от школьников?

— То, что ЕГЭ не взломают, не факт. Я думаю, киберхулиганы могут провести атаки и понять, как выглядят задания. Важно понимать, что все последние годы школьники параллельно с учебой этот вопрос изучали. Сейчас, когда время ЕГЭ отсрочено и все школьники превратились в большой условный нейромозг, очень многие из них решают эту задачу. А с учетом того, что школьники выигрывают олимпиады по информатике, математике, я думаю, что этот нейромозг может быть значительно сильнее людей, которые отвечают за информационную безопасность при проведении ЕГЭ, даже элементарно по численности.

Это история изобретательства в России — когда человек загнан в угол, ему нужно что-то решить. А представьте теперь, что все школьники могут общаться через интернет и у них есть единая задача. Поэтому даже если ЕГЭ пройдет офлайн — я люблю поспорить, — готов поспорить, что будут сюрпризы 100%.

Я не знаю, как выглядит система безопасности ЕГЭ, и это плохо. Было бы неплохо экспертному сообществу принять участие в тестировании ее безопасности.

— Какие киберхулиганства сейчас совершают школьники?

— В большинстве своем эти атаки — это доброе хулиганство, иногда даже интеллектуальное. В школе у нас была тема вставлять такие "пасхальные яйца" в сочинение, понятные только нам: например, записывать что-то в математическую формулу так, что понятно, что 14-я цифра это соответствующая буква в алфавите, и получается определенная фраза.

Сейчас это можно сделать другими способами: через online-конференцию, через отправку учителю документа с комментариями, создание фейковых аккаунтов учителей и так далее. К сожалению, школьники не знают, что это компьютерные преступления, и не знают, что по многим статьям уголовного кодекса за эти преступления можно получить и семь лет лишения свободы.

— В период самоизоляции фиксировали ли вы атаки со стороны школьников?

— Конечно, да, начиная от простых вещей типа хулиганства и заканчивая DDoS-атаками, угоном аккаунтов учителей для срыва уроков. Что мы видели — DDoS на внешний IP-адрес учителя, угон аккаунтов, смена паролей, шифрование, атаки на электронные дневники, изменение оценок и так далее.

Как бы я поступил в этой ситуации: кто взломает систему электронного дневника, тот получает пятерку за год. Пусть покажет, как это делается, условно, конкурс белых хакеров. У нас бы была тогда самая безопасная система в мире. У нас же происходит, как обычно, от обратного: если человек это сделал и его нашли, его выгоняют из школы, учет в полиции и судьба его понятна. После этого он переключится на более серьезные вещи.

Насколько выросло число таких атак, подсчитать сложно, это массовая история, требующая времени. У меня сейчас на телефоне на эту тему более 300 сообщений, на которые я не успеваю ответить физически.

— Арсенал киберпреступников постоянно пополняется. Какие новые способы хищения средств вы замечали, например, в других странах? К чему стоит подготовиться российским компаниям и банкам?

— Есть атаки, которые физически для человека незаметны, потому что нет видимых последствий: у организации работает все прекрасно, никто не ворует деньги, нет простоев. Это не означает, что она уже не взломана с целью, например, кибершпионажа либо подготовки кибердиверсии. Атака может быть распределена в действии на несколько лет: в 2017 году сделали первое действие, в 2018 — второе, в 2019 — третье, в 2020 — четвертое. Как вы эти действия между собой скоррелируете и поймете, что это звенья одной цепочки событий?

Я прошу компании и банки обратить внимание на атаки, где мотивация не финансовая, а диверсионно-шпионажная. Очень многие люди внезапно решили, что шпионажа с развитием интернета должно стать меньше, но с развитием интернета его стало больше.

Многие думают, кому нужна моя компания? Может быть, ваша компания не нужна, но она общается с той компанией, которая им нужна, и в нужный момент от вашего имени будет отправлено то, что нужно злоумышленникам. Это главная вещь. ЕС, Сингапур и Северная Америка уделяют этому больше внимания, на мой взгляд.

Мы не должны стесняться и делать вид, что этой проблемы нет. Если не заняться ею сейчас, потом будет намного хуже.

— В целом, по вашему мнению, какие угрозы могут стать наиболее массовыми в ближайшее десятилетие?

— Рынок киберпреступности меняется настолько быстро, что прогноз можно строить на год-два. Я даже не могу сказать, что будет после этого лета.

Сложно загадывать, но основные тезисы будут следующие: финансовая преступность будет наиболее развитой и наиболее встречающейся. Это опять же хорошо для населения, потому что легко будет строить стратегию защиты: как на мне могут заработать, как у меня могут украсть? Ответы на эти два вопроса, если чуть-чуть раскрыть в виде такой мозговой карты, — полностью строить стратегию цифровой безопасности человека.

Также шпионаж политический, межгосударственный и корпоративный, и кибертерроризм. Это все три основные вещи, которые будут развиваться в ближайшие годы.

— Не могли бы вы поделиться советами, как россиянам обезопасить себя от мошенников и кибератак? Как защитить свои данные в сети и свои средства на банковской карте?

— Мы должны понимать, что со всеми цифровыми сервисами так или иначе мы попали в парадигму, что данные о вас известны всем. Если вы находитесь в иллюзии, что вы сможете эти данные долгое время самостоятельно защищать, нет. По причине безалаберности людей, сложных атак, случайных событий и людей, которые оставляют много информации в соцсетях и интернете, мы должны понимать, что наши данные условно известны всем. Я считаю, что не условно, а полностью.

Тратить на это время свое не стоит, потому что время — единственный, после здоровья, ограниченный ресурс. Если ваши данные уже утекли, считайте, что они остались там навсегда, даже если их удалили из форумов, табличек и так далее.

Базовые советы — оставляйте как можно меньше персональной информации о себе в интернете, например, клиентом какого банка вы являетесь, какими банковскими услугами пользуетесь. Не выкладывайте фотографии и сканы ваших документов и банковских карт в соцсетях.

Если меняете номер мобильного телефона, сообщите об этом банку — есть риск, что ваши старые данные попадут новому владельцу сим-карты.

Чтобы мошенники не могли перевыпустить вашу сим-карту и перепривязать к ней ваш интернет-банкинг, напишите в отделении у сотового оператора заявление, ограничивающее смену сим-карты без вашего участия (например, по доверенности). Уточните, что будет делать ваш банк в случае перевыпуска сим-карты.

Не переходите по подозрительным ссылкам, чтобы ваш смартфон или компьютер не был заражен банковским трояном. Не скачивайте банковские приложения из недостоверных источников — используйте только официальные приложения банка в App Store и Google Play. Используйте сложные пароли — разные для всех устройств и ресурсов. Меняйте их раз в квартал. Используйте для покупок в интернете отдельную банковскую карту. Не оставляйте данные своей карты на подозрительных ресурсах — это может быть фишинг.

— Как вычислить, что мне звонит мошенник?

— Что делать, если с вами связались мошенники? Даже если разговор с кем-то, кто представился сотрудником банка, выглядит суперреалистично, никогда не сообщайте CVV, кодовое слово или код из смс. Ни по телефону, ни в чате с сотрудником банка. Как только вы услышали эту просьбу — на линии мошенник. Спокойно прервите разговор и сообщите в ваш банк, с какого номера поступил звонок.

Внимательно следите за приходящими смс о блокировке сим-карт или перевыпуске. Это действительно важно, ведь у клиента есть, как правило, сутки на обращение в салон связи и банк, чтобы мошенник не успел ничего предпринять.

Игнорируйте смс с просьбой перезвонить в банк по указанному номеру. Перезванивайте лично в банк по номеру, который указан на сайте или на задней стороне карты, и только тогда сообщайте кодовое слово.

— А если утечка данных все же произошла?

— Что делать, если у вас есть подозрения, что ваши данные скомпрометированы? В случае масштабных утечек персональной информации клиентов банк, как правило, принимает решение о перевыпуске карт. Вам также необходимо будет сменить пароли в мобильном банкинге на всех устройствах.

Если вы сами разгласили данные мошенникам, оперативно свяжитесь с банком по номеру, указанному на банковской карте или официальном сайте, сообщите о звонке или сообщении, продиктуйте им номер телефона. Далее банк будет самостоятельно принимать меры по блокировке вашего счета, перевыпуску карт и блокировке номера мошенника.

Если у вас со счета уже пропали деньги, обращайтесь в банк и в ближайшее отделение полиции с заявлением о совершении преступления.