Сетка, полная угроз


31.01.2017




Ruslan_yusufov_1
Руслан Юсуфов

Директор по работе с частными клиентами Group-IB

Русских хакеров обвиняют в попытке повлиять на выборы президента США, их связывают со взломами бундестага. Именно они якобы стоят за утечками нескольких десятков тысяч писем Хиллари Клинтон. Благодаря громким заголовкам русские хакеры выглядят вездесущими, всемогущими, зачастую связанными с политическими силами в России. Такое восприятие хакера общественностью широко растиражировано, но не соответствует действительности в полной мере.

Недавно образ хакера был сильно романтизирован – мы видели в нем борца с системой и несправедливостью. Юная Анджелина Джоли на заре своей кинокарьеры сыграла девушкухакера по прозвищу Acid Burn, которая вместе с друзьями – компьютерными гениями разоблачает главу компьютерной безопасности крупной нефтедобывающей корпорации.

В реальности преобладающее большинство хакеров – преступники и воры, мастерски овладевшие современными инструментами для совершения самых «обычных» преступлений: краж, мошенничества и вымогательства. Как грабители дилижансов остались только на экранах вестернов, так и грабители банков уже гораздо реже физически выносят мешки денег из касс и хранилищ, а все чаще совершают хищения иным способом – путем проникновения в компьютерные сети финансовых институтов.
О каких суммах идет речь?

Украсть миллиарды

С августа 2015 года по февраль 2016-го преступная группа Buhtrap совершила 13 успешных атак на банки России на общую сумму 1,8 млрд рублей. Банковские служащие получали поддельные (фишинговые) письма от имени Банка России или его представителей. Во вложении находился документ, открытие которого приводило к загрузке из интернета вредоносного программного обеспечения.

Стоит отметить, что большинство антивирусных программ оказались бессильными. Эта атака была хорошо подготовлена и направлена исключительно на банковскую инфраструктуру.
Другая преступная группа, «специализирующаяся» на финансовых учреждениях, Anunak, получила в 2014 году доступ к сети более 50 российских банков и пяти платежных систем. Итоговая сумма хищений превысила 1 млрд рублей. Основной костяк группы составляли русскоязычные хакеры.

Всего, по данным Group-IB, за 2016 год хакеры вывели из российских банков по меньшей мере 2,5 млрд рублей.

Влиять на курсы валют

В феврале 2015 года хакеры получили доступ к терминалу торговой системы крупного банка в Татарстане. Злоумышленники выставили заявки для продажи и покупки валюты от имени банка на сумму более 400 млн долларов. В результате была достигнута аномальная волатильность: курс доллара сначала опустился с 61 до 55 рублей, а через несколько минут стоил уже больше 66 рублей. Через 14 минут после первой заявки хакер удалил свои следы и вывел систему из строя.

Это первый в мировой практике крупный инцидент, когда троянская программа получила контроль над терминалом торговой системы для торгов на различных биржевых площадках. Инцидент причинил банку прямой ущерб в размере нескольких сотен миллионов рублей. Эксперты охарактеризовали сам факт мошенничества как тестовую операцию, целью которой было подтвердить возможности оказывать серьезное влияние на рынок и, как следствие, зарабатывать на этом.

Зашифровать данные

Ваши рабочие документы и семейные фотографии представляют для вас ценность, и хакеры этим воспользуются. Довольно распространенная ситуация – заражение устройства и последующее шифрование всех данных. Цена за ключ для расшифровки обычно колеблется в диапазоне от 200 до 5000 долларов. Если злоумышленники поймут, что информация представляет для вас особую ценность, стоимость выкупа будет гораздо выше.

Впрочем, для любого бизнеса потеря доступа к информации означает финансовые издержки, упущенную прибыль, репутационные риски, а в ряде случаев и претензии со стороны партнеров.

Методы шифрования такие стойкие, что даже ФБР рекомендует платить выкуп. Максимальная безнаказанность и стабильный поток денег в биткоин-кошельки, безусловно, стимулируют злоумышленников. При этом выплата вовсе не гарантирует, что информацию вернут: вы все же имеете дело с преступниками.

Системный подход

Профессиональные хакеры – представители организованной преступности. Они распределяют роли и ответственность в банде, имеют материальную и финансовую базу, ведут бухгалтерию и привлекают юристов для защиты своих интересов. Их деятельность носит трансграничный характер, и они хорошо знают пробелы в законодательстве, чтобы оставаться безнаказанными.

Так, деньги, украденные из российского банка, могут быть выведены в одну из стран Юго-Восточной Азии и там обналичены в банкоматах через местную сеть «мулов», работающих за комиссию. У них прекрасно налажена коммуникация в «даркнете» (сеть, требующая для доступа определенные программные средства, например Tor), а на черном рынке можно найти любых посредников – от разработчиков новых вирусов и профессиональных спамеров до специалистов по обналичке.

Преступники крайне циничны, изобретательны и не остановятся ни перед чем: они даже готовы похитить со счетов благотворительных фондов средства, собранные на лечение тяжелых заболеваний.

Почему русские?

В европейских и американских источниках под русскими хакерами понимают выходцев из стран постсоветского пространства. Неудивительно: СССР славился сильной школой подготовки технических специалистов, многим из которых удалось эффективно применить свои знания для совершения компьютерных преступлений. По словам Тролса Ортинга, главы Центра по борьбе с киберпреступлениями Европола, 85% всех расследований касаются русскоговорящих групп.

Распространению числа мошенничеств с использованием высоких технологий способствуют как несовершенство законодательства, так и несоответствие строгости наказания и тяжести совершенного преступления. Стоимость обналичивания доходов, полученных от киберпреступлений, достигает 50% от суммы, что подстегивает развитие соответствующей инфраструктуры. Примечательно, что зачастую на подпольных международных хакерских форумах можно встретить русско­язычный раздел, – русский язык находится на втором месте среди наиболее используемых в интернете.

Угроза для wealth management

Кибербезопасность называется в числе трех основных трендов для индустрии управления благосостоянием в целом. Средняя стоимость инцидента в этой отрасли, по подсчетам Capgemini, выросла на 23%, до 3,8 млн долларов по сравнению с данными 2013 года.
По данным банка UBS, 15% семейных офисов в мире уже стали жертвами киберпреступников. Отдельные эксперты полагают, что эта цифра может быть занижена в 2–2,5 раза и в реальности достигает 40%. Причиной каждого второго инцидента являются фишинговые письма.

Раз основная цель хакеров – похитить деньги, семейные офисы представляют для злоумышленников особый интерес. Такие структуры имеют доступ к крупным капиталам и ценной информации. Можно предположить, что их готовность реагировать на киберугрозы заведомо ниже, чем у крупных банков, имеющих специальные отделы информационной безопасности и десятки профильных специалистов в штате.

Семейные офисы считают проникновение в свои IT-системы наиболее серьезной угрозой. Что примечательно, это беспокоит их больше, чем, скажем, кража 0,5% от всех активов под управлением, физическое проникновение в офис или доступ хакеров к личной переписке патриарха. СЕО одного из мультисемейных офисов объяснил это тем, что при взломе IT-систем злоумышленники смогут забрать гораздо больше, чем 0,5%.

Среди российских семейных офисов компьютерная безопасность также рассматривается как ключевой операционный риск. По мнению экспертов Центра управления благососто­янием и филантропии СКОЛКОВО, это связано с основными задачами таких структур в России: обеспечением безопасности и конфиденциальности.

Услуги по отслеживанию местоположения и прослушиванию разговоров пользователей мобильных телефонов предлагаются на хакерских форумах все чаще. Инструменты для прослушивания разговоров и перехвата трафика становятся доступнее. Двухфакторная аутентификация (метод контроля доступа к устройству или онлайн-сервису, при котором, кроме пароля, необходимо предъявить, скажем, код, отправленный в SMS-сообщении) также не панацея: современные android-трояны совмещают инструменты для шпионажа и хищений и имеют функционал для перехвата SMS. Это открывает доступ к облачным хранилищам, почте, корпоративным порталам, а через них и ко всей персональной и конфиденциальной информации.

Как защититься?

Этап 1: Изменить отношение

Этот шаг – самый важный. Беспечность может дорого стоить с точки зрения денег, времени, репутации или эмоций. Считается абсолютно нормальным закрывать дверь в доме или квартире на ключ, устанавливать сигнализацию на автомобиль, для наиболее обеспокоенных собственной безопасностью – нанимать охранников или телохранителей.

Наше присутствие в интернете – это дом, в котором сотня дверей. Здесь мы живем, здесь лежат наши деньги и хранятся наши секреты. Но почему-то некоторые из дверей сделаны из картона и фанеры; другие – железные, но открыты нараспашку. Невзирая на многократно озвученные советы экспертов, мы используем одни и те же простые пароли на множестве разных онлайн-сервисов.

Мало того, что дом открыт и зайти в него может любой желающий, мы сами приглашаем в него мошенников и аферистов – кликая по ссылкам в письмах от незнакомцев или устанавливая фитнес-трекер в телефон, совершенно не задумываясь, действительно ли этому приложению нужен доступ к контактам, камере и чтению сообщений.

Мы учим наших детей не разговаривать с незнакомцами на улице, но сами готовы рассказывать всем желающим о своем местонахождении или об отсутствии в стране.
Вероятно, читателю уже пришла в голову одна из двух мыслей: «со мной или моими друзьями ничего такого не происходило» или «меня специально никто атаковать не будет». Нам кажется, что угроза обойдет нас стороной. Приведем в качестве примера одно из устройств «умного» дома: тостер, который энтузиасты подключили к интернету в конце октября. В течение 11 часов было осуществлено более 300 автоматизированных попыток взлома, первая из которых произошла спустя всего 41 минуту после подключения.

Вряд ли тостер кто-то атаковал специально, да еще и несколько сотен раз. Также маловероятно, что среднестатистический пользователь интернета станет целью адресной атаки. Сегодня злоумышленники могут изо дня в день сканировать интернет в поисках уязвимых устройств. Если, например, ваш ноутбук окажется в их числе, после его заражения и последующего автоматического анализа он попадет в одну из двух категорий.

Те системы, из которых можно вывести деньги, будут обработаны хакерами вручную. Остальные, скорее всего, станут частью многотысячного ботнета (компьютерная сеть, состоящая из нескольких устройств, на которые установлено программное обеспечение для удаленного управления) и сами превратятся в «зомби» для взлома новых устройств или проведения DDoS-атак (от англ. Distributed Denial of Service – хакерская атака на вычислительную систему с целью довести ее до отказа, выполняемая одновременно с большого числа устройств). В начале ноября 2016 года произошла такая атака на пять крупнейших российских банков. В ботнет из нескольких десятков тысяч устройств входили камеры видеонаблюдения и подключенные к интернету телевизоры.

Другими словами, большинство атак происходят автоматически, даже если вы этого не видите и считаете себя в безопасности. При этом хакеры найдут применение взломанному устройству, даже если это на первый взгляд никому не нужный тостер. Если же вы публичная фигура, обладаете крупным капиталом, который можно похитить, или информацией, за которую можно просить выкуп, – вы в зоне особого риска.

Этап 2: Повысить осведомленность

Только когда поменяется отношение к вопросам кибербезопасности, можно переходить к следующему шагу – повышению осведомленности. Нужно образовываться самим, образовывать членов своей семьи и образовывать своих топ-менеджеров и сотрудников.
Детям следует знать, какие риски стоят за размещением в инстаграме фотографии с папиной яхты и почему не стоит писать в фейсбуке о том, как скучно дома одной, когда родители ушли на благотворительный бал.

Топ-менеджерам и сотрудникам нужно знать, что никогда нельзя открывать ссылки и вложенные файлы в письмах от неизвестных и малоизвестных отправителей. Человек по-прежнему остается слабым звеном, и чем больше сотрудников в компании, тем выше риск. Без осознания того, что эта проб­лема реальна, не помогут никакие тесты на проникновение и аудиты информационной безопасности.

Этап 3: Вооружиться

В мировой практике основные меры, предпринимаемые семейными офисами для киберзащиты, сводятся в первую очередь к безопасному хранению информации, выработке общей стратегии безопасности, обучению персонала, активному мониторингу и анализу существующих угроз, а также к привлечению профессиональных консультантов.

В арсенале крупного собственника, кроме налогового юриста, специалиста по инвестициям и частного банкира, неизбежно появится «киберконсильери», защитник от киберугроз. В кругах айтишников есть старая шутка о том, что системные администраторы делятся на две категории: кто еще не делает бэкапы и кто их уже делает.

Учитывая то, как мир изменился за последние пару десятилетий, привлечение эксперта по кибербе­зопасности практически неизбежно. Для кого-то этот момент наступит только после близкого знакомства с хакерами (русскими).



31.01.2017

Источник: SPEAR'S Russia #12(64)


Оставить комментарий


Зарегистрируйтесь на сайте, чтобы не вводить проверочный код каждый раз