Атаки интернет-мошенников на бизнес. Как 2020-й повлиял на рост таких угроз - Константин Игнатьев - Интервью - 2020-12-03
3 декабря 2020 года
«Атаки интернет-мошенников на бизнес: как 2020 год повлиял на рост таких угроз»
В эфире радиостанции «Эхо Москвы» - Константин Игнатьев, эксперт по контентному анализу «Лаборатории Касперского».
Эфир ведет Яна Розова.
Я.Розова
―
В студии Яна Розова, здравствуйте, на связи со мной Константин Игнатьев, эксперт по контентному анализу «Лаборатории Касперского».
К.Игнатьев
―
Здравствуйте.
Я.Розова
―
Тема эфира – атаки интернет-мошенников на бизнес: как 2020 год повлиял на рост таких угроз. Дело в том, что большинство последних исследований говорят о том, что интернет-мошенников становится все больше. Так ли это?
К.Игнатьев
―
Ну, тут вопрос такой, про интернет-мошенников когда мы говорим, это все очень сильно зависит от проникновения, собственно, интернета в нашу жизнь, от количества компаний, количества бизнесов, количества людей, которые все больше пользуются сервисами, которые размещены где-то в глобальной сети, это различные облачные сервисы, которые помогают облегчить жизнь людей, цифровизуют, так сказать, нашу реальность. Поэтому чем больше таких сервисов, тем больше появляется мошенников, тем больше атак, которые они на эти сервисы осуществляют. И тем больше они стараются заработать своих криминальных денег.Если говорить отдельно про атаки на бизнес, на организации, то это, конечно, эксплуатация сотрудников, людей, которые зачастую не очень хорошо подготовлены в сфере информационной безопасности. 2020 год на улице, а их знания до сих пор оставляют желать лучшего, к сожалению. Поэтому такое огромное количество сейчас сервисов, в том числе – сервисов «Лаборатории Касперского» по повышению образованности сотрудников в небольших, средних, да и в больших компаниях предоставляется, собственно.
Если говорить про некий топ атак самых интересных, которые мы наблюдали за последний год у наших клиентов, в принципе, то это, конечно, эксплуатация темы коронавируса, это тема года просто. И в том числе это такие, знаете, контентные атаки, которые достаточно сложно решениями для обеспечения информационной безопасности поймать. То есть, здесь злоумышленники что делают? Они берут достаточно легитимные инструменты. Абсолютно нормальные домены, их создают, регистрируют. Они достаточно долгое время у них функционируют, работают. Используют эти домены для различных рассылок, в том числе точечных. То есть, например, если письма достаточно массовые, то это задетектировать несложно различными техническими решениями.
А если атаки таргетированные, если в них нет ничего подозрительного, так как ссылка, например, на какой-нибудь облачный сервис, которая помогает расшарить различные документы. Ну, нам эти сервисы прекрасно всем известны, пользователям. Это различные облачные хранилища от крупных мировых корпораций, в том числе. Получается, то есть, достаточно легитимная контентная атака на сотрудников, которые пытаются эксплуатировать чувства людей.
Например, для сотрудников организации это могут быть какие-то очень срочные распоряжения от руководства. Или возможность как-то бухгалтеру соптимизировать расходы в налоговых отчислениях для своей компании. А на самом деле сотрудника уводят на какую-то страницу, которая выглядит как легитимная в письме. Как бы нет в этом ничего страшного, ничего плохого, подозрительного, что в письме ссылка на тот же Гугл.Диск. А уже после перехода на Гугл.Диск открывается у пользователя документ, где подробно описано, что он должен сделать, где зарегистрироваться. И вот там уже происходит уход на какой-нибудь сторонний ресурс. Причем зачастую эти ресурсы сделаны очень качественно, очень выглядит все правдоподобно. Вы там якобы регистрируетесь, крутятся различные часики о том, что сейчас происходит регистрация, вам выделяется какое-то начисление для вашей компании. Сейчас по определенному алгоритму вы сможете выплачивать меньше налогов, например, или получить какую-то компенсацию.
Например, когда были новости от нашего правительства о поддержке бизнеса, мы буквально в течение одной недели, нескольких дней, в своем трафике у клиентов, которых мы защищаем, заметили почти 2000 подобных сообщений, что «Вам теперь в связи с такой-то новостью, вашей компании положены различные помощи, отчисления и прочее». Люди, конечно же, на такие вещи переходили. Мы их успешно блокировали нашими решения, в том числе, Kaspersky Security Cloud. Но бывали такие случаи, когда пытались все равно перейти, заходили, пробовали заполнять аккаунты на этих посторонних ресурсах, отдавать свои персональные данные. Вводили, в том числе, не только свои персональные данные, но и данные своей персональной организации. И что интересно, достаточно такой там длинный алгоритм действия мошенники придумывают, чтобы внушить уверенность пользователю, что все, что сейчас происходит – оно достаточно легитимно, наверное.
Я.Розова
―
Это фишинг, вы имеете в виду?
К.Игнатьев
―
Да, это так называемый фишинг. Скам-угрозы. Если говорить про термин «скам» - это такая история, когда у пользователя пытаются мгновенно, прямо сейчас, получить какие-то денежные средства. То есть, если фишинг в классическом понимании – это история маскировки и подделки страниц известных банков, социальных сетей, платежных сетей…
Я.Розова
―
С целью получить личные данные.
К.Игнатьев
―
Да, с целью получить логины и пароли, и потом уже с помощью логинов-паролей получить доступ к интернет-банку и проэксплуатировать вот эту проблему, на которую пользователь попался. «Скам» - это история, когда злоумышленники хотят получить деньги прямо здесь и прямо сейчас. Они предлагают либо заполнить различные данные, чтобы получить алгоритм оптимизации вашего бизнеса. За это они просят какие-то символические, в принципе, суммы, от 300 до 1000, 2000 рублей. На такие суммы большинство пользователей соглашается… А за счет того, что достаточно много пользователей такие вещи таргетированно получают, они получают достаточно приличный серьезный доход.
Я.Розова
―
Вознаграждение.
К.Игнатьев
―
Да, вознаграждение, но, конечно, такое криминальное очень вознаграждение.
Я.Розова
―
А вот это и есть «комиссия ни за что»?
К.Игнатьев
―
В том числе. Атаки могут быть совершенно разные. Если мы говорим именно про «скам». Например, идентификация различных получений якобы выигрышей, якобы денежных компенсаций от государства, якобы поддержки семей из-за пандемии, вот опять же, тема коронавируса очень-очень популярна. Это, соответственно, обещание пользователю получения каких-то денег. Но для того, чтобы их получить, чтобы их вывести на личный счет, нужно всего лишь небольшие суммы оплатить.
Я.Розова
―
Слушайте, я недавно получила письмо якобы от налоговой службы. Что у меня, предположительно, я могу списать какую-то существенную сумму налоговую. Я позвонила в налоговую инспекцию. Выяснилось, что это обман, естественно. Но если бы я не позвонила, а условно пошла бы по ссылке, я могла бы попасть?
К.Игнатьев
―
Конечно. Но тут какие могут быть советы в таких ситуациях. Нужно очень внимательно смотреть, от кого, собственно, письмо пришло. Зачастую даже пара банальных проверок адреса отправителя, и просто поиск информации о том, о чем написано в письме в открытых источниках, просто с помощью поисковой машины, оно расставляет все на свои места. То есть, злоумышленники, онлайн-мошенники, которые, собственно, фишингом и «скамом» занимаются, они в 99%, наверное, случаев, требуют от пользователей каких-то мгновенных действий, которые надо сделать прямо здесь и прямо сейчас. Для того, чтобы пользователь не задумался, не остановился, не начал думать о чем-то.Поэтому зачастую это либо какие-то получения быстрых легких денег, либо решение каких-то их проблем, либо какие-то мероприятия, в том числе такого развлекательного характера, где можно с первого взгляда не понять, что это мошенничество.
Я.Розова
―
Как они выбирают себе жертв? Это случайно?
К.Игнатьев
―
Жертвы в основном у мошенников – это такой пул людей, которые очень много, например, отдают вовне информацию, в том числе личную о себе. То есть, чем больше о вас известно из открытых источников, тем больше вероятность, что вы получите какие-то такие сообщения в почту, мессенджеры или в социальные сети. Например, одна из известных нам историй – это эксплуатация рекламных сетей, которые работают в социальных сетях. То есть, социальные сети зачастую… Им достаточно сложно разобраться, какая реклама легитимная, а какая нет, если мы говорим именно про «скам». То есть, пока ты не попробуешь, пока не перейдешь на ссылку, не пройдешь все пункты опроса или заполнения анкет, понять невозможно, сайт мошеннический или нет. То есть, там абсолютно легитимные домены, они не маскируются под известные сервисы. Классический фишинг уже многие научились ловить, и социальные сети, и браузеры, и различные встроенные сервисы. А если мы говорим про «скам» - это история достаточно сложная, тут нужна верификация, в основном, всегда человеческая. И поэтому эта атака такая довольно опасная.
Я.Розова
―
А когда появился «скам»?
К.Игнатьев
―
Мы наблюдаем его уже несколько лет, такие атаки. То есть, можно говорить, наверное, что это сильно стало популярнее за последние, наверное, года 2-3. То есть, если фишинг – это история достаточно старая, там уже больше 15 лет – это точно. Она техническими средствами, в том числе, средствами security компаний, таких, как «Лаборатория Касперского» хорошо отлавливается, там как бы процент ошибки, процент пропуска вообще у всей индустрии, которая так или иначе относится к пользователю, к его поведению в интернете, он очень низкий. Практически все, кто можно – и браузеры, и онлайн-сервисы, и секьюрити-решения, и поисковые машины – они уже хорошо умеют распознавать фишинг. И поэтому мошенники начали немного смещаться в другие зоны, которые больше как бы используют инструменты такой социальной инженерии и именно уязвимость в образовании пользователей. Прежде всего в знаниях.
Я.Розова
―
Про приманку из налоговой я упомянула. Есть еще ложные тендеры. Это что такое?
К.Игнатьев
―
Да, это одна из угроз, тоже актуальных для бизнеса. Зачастую компании участвуют в различных госконтрактах, госзакупках. Это огромный, на самом деле, пласт работы для бизнеса различного размера, и большого, и среднего, даже малого, в том числе. И так как, опять же, там достаточно много пользователей, туда же смотрят мошенники. Это вообще в принципе идеология онлайн-мошенничества, интернет-мошенничества. Чем больше пользователей на определенной платформе, сервисе и так далее, тем больше там происходит атак. Соответственно, такая атака интересна тем, что она достаточно аккуратно сделана с точки зрения законодательства. Опять же, вектор атаки здесь – это письма, потому что в организациях электронная почта является чуть ли не главным средством коммуникации. И письма оформлены очень грамотно, они похожи на письма якобы от различных тендерных площадок. Везде упоминается законодательство, предлагаются различные интересные госконтракты, в том числе, в тех сферах, которыми организация занимается.Сделать это злоумышленникам не очень сложно, нужно просто немного поработать, достаточно много информации об организации мы можем найти в интернете. Мы можем найти ключевых лиц практически всегда различных компаний. В том числе, тех, кто занимается финансами в этих структурах, в этих организациях. И таргетированно им прислать различные предложения пройти тендер, победить в нем и получить достаточно простые и денежные, достаточно дорогие заказы.
Опять же, происходит подмена некая отправителя на достаточно похожий домен, например, электронных площадок, где размещаются госзаказы. Если пользователь не очень внимательно посмотрит на адрес даже отправителя, то он переходит на ссылку, которая ведет на самом деле на легитимную площадку. Но на этой площадке уже есть какой-то заказ, который, на самом деле, либо уже состоялся, либо он не может быть завершен. И пользователя уводят дополнительно на оплату какой-то возможности поучаствовать в этом заказе и так далее. А то, что он уже завершился или какой-то неправильный заказ, пользователь узнает уже после оплаты. Он пытается его найти, его на самом деле на этих площадках либо не оказывается, либо они уже закрыты, эти конкурсы, и так далее.
Я.Розова
―
А атака состоялась.
К.Игнатьев
―
А атака состоялась.
Я.Розова
―
А можно работать на опережение, скажите, пожалуйста?
К.Игнатьев
―
Если говорить про различные предотвращения, то именно для таких атак, конечно, нужны технические решения. Мы вот, «Лаборатория Касперского», делаем различные технологии, которые достаточно предиктивно пытаются по различному сложному контентному анализу понять, насколько письмо вообще легитимно, насколько сайт, на который переходит пользователь, подозрителен или нет. Используется достаточно большое количество признаков, на самом деле. Это и когда домен регистрируется похожим на какие-то известные большие, крупные сервисы, мы это, например, умеем детектировать, что этот домен, кажется, маскируется под другой. Просто даже по имени домена.Если говорить про контент на странице, про верстку письма, то там тоже у нас достаточно много технологий, которые понимают, что определенный шаблон, который используют злоумышленники. То есть, нужно понимать, что злоумышленники в основном мыслят шаблонами различными. Они не делают никогда какие-то уникальные вещи под каждую жертву.
Я.Розова
―
С миру по нитке. Атакуют многих.
К.Игнатьев
―
Да. Но они используют такие достаточно готовые наборы инструментов. Поэтому у них и веб-страницы… Они хоть для пользователя выглядят абсолютно разными, но для технических специалистов они выглядят похожими. Поэтому можно придумать различные правила, сигнатуры, которые вот эти страницы описывают. И в случае, если наши пользователи переходят на страницу подобного содержания, то мы, если говорить про бизнес-сотрудников, про сотрудников организаций, для них вообще такое блокируем. Если говорить про физических лиц, мы предупреждаем, что эта страница может быть опасна, что она может охотиться за твоими денежными средствами, например.
Я.Розова
―
Но такие атаки, я так понимаю, будут всегда?
К.Игнатьев
―
Это, на мой взгляд как специалиста, более 12 лет проработавшего в сфере информационной безопасности, абсолютно вечная тема. Это гонка вооружений между щитом и мечом. Постоянно наблюдаем какие-то различные новые техники. Но цель, она всегда одна. Быстрым незаконным путем получить денежные средства от максимального количества пользователей. Собственно, тут можно только посоветовать и владельцам организаций, и группам кадрового администрирования максимально своих сотрудников, пользователей в своих компаниях просвещать. Пытаться им объяснить и сделать какие-то процедуры для таких случаев, чтобы сотрудник понимал, к кому бежать. Это системный администратор или какой-то отдельный выделенный человек из службы информационной безопасности. Или это в кадре надо писать, если они какие-то сообщения или письма странные получают, в том числе – не боятся, наверное, указать на то, что в случае, когда приходит якобы от начальства письмо с какими-то очень быстрыми, срочными распоряжениями, может быть – иногда даже в грубой форме, как мы в письмах наблюдаем. «Срочно оплатите тем…», а то штрафы будут и так далее. И многие сотрудники пугаются, начинают быстрее-быстрее делать. А там, например, письмо оказалось не от вашего руководителя, а от подобного отправителя, на одну-две буквы отличается у него домен в отправителе письма.
Я.Розова
―
Ну, такого рода атаки связаны еще, наверное, с удаленной работой? Потому что люди потеряли контакт личный и связываются в основном через интернет?
К.Игнатьев
―
Конечно, если мы говорим про удаленную работу, то сейчас для пользователей, для сотрудников в приоритете стали электронные средства связи. И зачастую письмо – это единственное, что есть у сотрудника. Если посмотреть на расписание начальника, у него все загружено. Даже если сотрудник ему звонит, руководитель может не брать трубку достаточно долгое время. А в письме – огромное количество восклицательных знаков. «Сегодня сделать до обеда!!», а время уже 11 часов. И, конечно, немногие сотрудники вот эти истории выдержат, такого психологического давления, и не будут предпринимать каких-то поспешных действий.Собственно, у руководства и должна быть цель на то, что сотрудников нужно подготавливать к таким ситуациям. И, соответственно, в случае, если происходит что-то из ряда вон выходящее, как бы притормозить какие-то свои поспешные решения, очень быстрые действия. Досчитать до 10…
Я.Розова
―
Скажите, пожалуйста, я прошу прощения. А у «Лаборатории Касперского» есть какой-то универсальный сервис?
К.Игнатьев
―
Мы готовим, собственно, для организаций, в том числе, специальные продукты. Один из них – платформа автоматизированного обучения сотрудников. То есть, это некое решение, которое помогает внутри организации сделать различные курсы по информационной безопасности, все это в автоматизированном виде. Там разыгрываются ситуации, которые, собственно, происходят в компаниях среднего и крупного бизнеса практически каждый день. Это и рассылка, собственно, спам- и фишинг-сообщений в электронной почте. И ситуации, когда в мессенджеры что-то приходит якобы от заказчиков или якобы от руководителей сотрудникам. Соответственно, сотрудники проходят эти курсы. После их окончания, в течение нескольких месяцев, проводим тестирование полученных знаний и их закрепление.Например, спустя месяц после окончания курса сотруднику могут прийти якобы вот эти фишинговые письма. И мы проверяем, насколько сотрудник вообще знания усвоил и переходит по тем ссылкам.
Я.Розова
―
Настоящий экзамен. А весь курс – это такая интерактивная подача? Легко обучаемая…
К.Игнатьев
―
Конечно. Они абсолютно адаптированы под различный уровень специалистов. Это могут быть и не технические специалисты, конечно же.
Я.Розова
―
Продолжительность?
К.Игнатьев
―
Каждый заказчик может проходить это в удобном для него темпе. То есть, здесь не идет речь о выделении отдельных тренеров, о жестком графике и так далее.Я вот просто сейчас боюсь соврать, но в среднем за несколько недель курс проходится, по-моему.
Конечно, можно очень долго говорить про образование сотрудников в организации, но это все – профилактика, которая как бы снижает вероятность атаки на пользователя. Абсолютно избавиться только профилактикой и образованием от инцидентов в информационной безопасности невозможно. И поэтому очень важно, конечно, использовать технические решения для ваших компаний, для организаций среднего, крупного, да и малого бизнеса. Если говорить про решения «Лаборатории Касперского», то это Kaspersky Security Cloud, приложение, даже сервис, который позволяет очень просто и гибко установить безопасный периметр в организации. Настраивается через веб-кабинет все, через веб-сервис. На все устройства сотрудников организации автоматически устанавливаются защитные решения. Они позволяют руководству или отделу информационной безопасности гибко управлять политиками для всех устройств. И получать достаточно детальные отчеты о том, что в их компании происходит. Или это рассылка фишинга и спама через почту, про которые мы много говорили, либо это какое-то заражение определенного сегмента сетей или пользователя. В том числе, можно настроить шифрование данных на жестких дисках как рабочих станций, так и мобильных устройств.
Я.Розова
―
Константин Игнатьев, эксперт по контентному анализу «Лаборатории Касперского» был гостем «Эха». Спасибо.Реклама
18+