Образование. Законодательство. Реабилитация инвалидов. Льготы. Пособия. Пенсии
Вы здесь: » »

Какую цель преследует такая угроза как фишинг. Одиннадцать верных признаков того, что вы подверглись атаке

09.01.2014

В статье перечислены 11 явных признаков того, что ваша система взломана и приведены рекомендации необходимых действий в такой ситуации. Поскольку полного доверия скомпрометированный компьютер не заслуживает

Roger A. Grimes. 11 Sure Signs You"ve Been Hacked, www.infoworld.com

Переадресация поисковых запросов в Сети, неизвестно откуда появившиеся программы, установленные на компьютере, странное поведение мыши: что делать, если вы находитесь под колпаком?

В сегодняшнем мире угроз антивирусное программное обеспечение оставляет не так много места для выбора. На практике антивирусные сканеры ошибаются довольно часто, особенно если речь идет об эксплойтах, появившихся менее суток тому назад. В конце концов, хакеры и вредоносные программы в любой момент могут поменять тактику. Достаточно переставить местами пару байт, и хорошо выявлявшаяся ранее вредоносная программа мгновенно перестает распознаваться.

В целях борьбы с расплодившимися мутантами многие антивирусные программы следят за поведением программных средств (соответствующие функции часто называют эвристическими), отлавливая таким образом нераспознанные вредоносные программы. Используются также виртуальные среды, мониторинг состояния системы, анализ сетевого трафика и все вышеперечисленное одновременно, что помогает повысить точность результатов. И, тем не менее, антивирусы регулярно ошибаются.

В этой статье мы перечислим 11 явных признаков того, что ваша система взломана, и расскажем о том, что следует делать в такой ситуации. Учтите, что для полного восстановления системы во всех случаях нужно выполнить рекомендацию номер один. Когда-то это означало переформатирование жесткого диска компьютера, повторную установку всех программ с последующим восстановлением данных. Сегодня же в некоторых операционных средах достаточно просто нажать кнопку Restore. Как бы то ни было, полноценно доверять скомпрометированному компьютеру уже нельзя. В каждом из пунктов приведены рекомендации, которых нужно придерживаться, если вы не желаете выполнять процедуру полного восстановления. Но все-таки следует подчеркнуть, что наилучшим вариантом, исключающим всякие риски, является полное восстановление системы.

1. Поддельное сообщение антивирусной программы

Сегодня поддельное сообщение антивируса стало верным признаком того, что ваша система скомпрометирована. Правда, большинство людей не понимают, что к моменту, когда они получат такое предупреждение от антивируса, ущерб может оказаться непоправимым. Нажатия кнопки «Нет» или «Отмена», призванного предотвратить фальсифицированное антивирусное сканирование системы, уже недостаточно. Слишком поздно. Вредоносные программы использовали уязвимости необновленного программного обеспечения (чаще всего речь здесь идет об исполняемой среде Java Runtime Environment или о продуктах Adobe) и полностью поставили систему под свой контроль.

Почему же вредоносные программы выдают такое «антивирусное предупреждение»? Да потому, что фальсифицированное сканирование, которое выявит тонны «вирусов» – хороший стимул для покупки продуктов, распространяемых злоумышленниками. Переход по предлагаемой ссылке перенесет пользователя на профессионально сделанный веб-сайт, пестрящий многочисленными рекомендациями. У вас спросят номер вашей кредитной карты и прочую учетную информацию. Вы, наверное, удивитесь, узнав, как много людей попадаются на эту удочку и предоставляют свою финансовую информацию. Злоумышленники получают полный контроль над вашей системой, а кроме того еще и сведения о кредитной карте и банковскую информацию. Именно это больше всего и интересует взломщиков.

Что делать. Как только вы обнаружите поддельное предупреждающее сообщение антивируса (а для этого нужно знать, как выглядит настоящее предупреждение антивирусной программы), выключите свой компьютер. Если вам нужно сохранить какую-то информацию, и система позволяет вам это сделать, сохраните ее. После этого завершите ее работу. Загрузите компьютер в безопасном режиме без использования сети и попытайтесь деинсталлировать установленное недавно программное обеспечение (зачастую оно деинсталлируется точно так же, как и легитимные программы). В любом случае попытайтесь восстановить свою систему и перевести ее в предыдущее состояние. Если вам это удастся, протестируйте компьютер в обычном режиме и убедитесь в том, что поддельные предупреждения антивируса больше не появляются. Затем проведите полное антивирусное сканирование системы. Зачастую антивирус обнаруживает и другие вредоносные программы, ускользнувшие от вашего взгляда.

2. Нежелательные панели инструментов браузера

Пожалуй, это второй по распространенности признак взлома вашей системы. В браузере появляется множество новых панелей инструментов, названия которых говорят о том, что они призваны помочь вам. Но если вы не уверены, что панель инструментов предлагается надежным поставщиком, имеет смысл избавиться от нее.


Что делать. Большинство браузеров позволяют просмотреть список установленных и активных панелей инструментов. Удалите те из них, которые вам совершенно точно не нужны. При наличии каких-либо сомнений удаляйте панель. Если нежелательная панель инструментов в списке не отображается или удалить ее простыми способами не удается, возможно, ваш браузер поддерживает возможность возврата к настройкам по умолчанию. Если это не срабатывает, попробуйте выполнить те же действия, что и при появлении поддельных антивирусных сообщений. Обычно избежать появления нежелательных панелей инструментов можно в том случае, если у вас установлены все обновления программного обеспечения и нет бесплатных программ, которые устанавливают эти самые панели. Совет: читайте лицензионные соглашения. Информация об установке панелей инструментов чаще всего присутствует в лицензионных соглашениях, на которые большинство пользователей не обращают никакого внимания.

3. Переадресация поисковых запросов в Интернете

Многие хакеры решают свои задачи, перенаправляя ваш браузер не туда, куда вы хотите попасть. За перенаправление пользователей на определенные веб-сайты, хакеры получают деньги. Обычно владельцы этих ресурсов даже не подозревают, что соответствующее перенаправление производится путем внедрения на компьютерах пользователей вредоносных программ.

Зачастую такой тип вредоносных программ можно определить, набрав в интернет-поисковике несколько связанных с ними общеупотребительных слов (например, «puppy» или «goldfish») и проверив, появляются ли в результатах одни и те же сайты – почти никогда не имеющие прямого отношения к указанным словам. К сожалению, сегодня многие переадресованные запросы хорошо скрыты от пользовательских глаз за счет использования дополнительных прокси-серверов, и пользователю никогда не возвращаются никчемные результаты, которые могли бы его насторожить. По сути, если у вас появилась непонятно откуда взявшаяся панель инструментов, значит вас тоже куда-то перенаправили. Хорошо подготовленные в техническом отношении пользователи, желающие убедиться в достоверности получаемых результатов, могут изучить информационные потоки своего браузера и сетевой трафик. Отправляемый и получаемый трафик у скомпрометированных и нескомпрометированных компьютеров всегда заметно отличается.

Что делать. Следуйте инструкциям, которые были приведены выше. Обычно удаления нежелательных панелей инструментов и программ оказывается достаточно, для того чтобы избавиться от вредоносных перенаправлений.

4. Частое появление всплывающих окон

Всплывающие окна помимо того, что являются признаками взлома вашей системы, еще и сильно раздражают. Если браузер внезапно стал выдавать всплывающие окна, которые ранее не появлялись, значит ваша система скомпрометирована. Борьба с обходом запрета браузера от всплывающих окон напоминает борьбу со спамом, только в еще более гипертрофированном варианте.

Что делать. Возможно, очередная рекомендация вызовет у вас ассоциацию с заезженной пластинкой, но нам остается лишь еще раз констатировать, что появление всплывающих случайным образом окон обусловлено одной из уже описанных причин. Поэтому если вы не хотите лицезреть всплывающие окна, в первую очередь нужно избавиться от нежелательных панелей инструментов и других программ.

5. Ваши друзья получают поддельные электронные письма с вашего почтового адреса

Это один из тех сценариев, когда лично у вас все может быть в порядке. Ситуация, при которой наши друзья получают от нас вредоносные электронные письма, распространена достаточно широко. Десять лет назад, когда рассылка вирусов, присоединенных к электронной почте, превратилась в повсеместное явление, вредоносные программы просматривали вашу адресную книгу и отправляли поддельные письма всем адресатам, которые в ней присутствовали.

Сегодня вредоносная электронная почта, как правило, приходит лишь на некоторые адреса из ваших контактов. В этом случае компьютер скорее всего не скомпрометирован (по крайней мере, вредоносной программой, которая охотится за адресами электронной почты). А в поддельных электронных письмах ваш адрес не фигурирует в качестве адреса отправителя (хотя такое тоже происходит не всегда). Возможно, там указано ваше имя, но правильного адреса электронной почты нет.

Что делать. Если кто-то из ваших друзей сообщает о получении поддельного электронного письма, отправленного якобы от вашего имени, запустите на своем компьютере полную антивирусную проверку и займитесь поисками установленных без вашего ведома программ и панелей инструментов. Довольно часто беспокоиться здесь не о чем, но, тем не менее, лишняя проверка не повредит.

6. Ваши пароли в Сети внезапно изменились

Если один или несколько паролей внезапно изменились, скорее всего ваша система взломана (или же взломан интернет-сервис). Чаще всего причиной этого становится ответ пользователя на фишинговое письмо, пришедшее якобы от сервиса, на котором он зарегистрирован. Результатом становится смена пароля без вашего ведома. Злоумышленник получает интересующую его учетную информацию, регистрируется на сервисе от имени пользователя, которому принадлежат похищенные конфиденциальные сведения, меняет пароль (а также другую информацию, чтобы затруднить его восстановление) и использует сервис для кражи денег у пользователя или у его знакомых (выдавая себя за него).

Что делать. Если активность злоумышленников приобрела серьезные масштабы, и они успели добраться до многих из ваших знакомых, немедленно уведомите друзей о том, что ваша учетная запись скомпрометирована. Это нужно сделать, для того чтобы минимизировать урон, нанесенный другим из-за вашей ошибки. Во-вторых, уведомите сервис о своей скомпрометированной учетной записи. Большинство сервисов уже привыкли к вмешательству такого рода и оперативно возвращают учетную запись под ваш контроль. Новый пароль вы получаете уже через несколько минут. У некоторых сервисов соответствующая процедура полностью автоматизирована. А у некоторых имеется даже кнопка «Моего друга взломали», с помощью которой необходимые действия может инициировать ваше доверенное лицо. Это довольно полезно, потому что зачастую друзья узнают о том, что вас взломали, еще раньше вас.

Если скомпрометированные учетные сведения используются на других сайтах, немедленно смените пароли. И в следующий раз ведите себя осторожнее. Сайты никогда не рассылают письма с просьбой указать свою учетную информацию. Если есть какие-то сомнения, заходите на сайт напрямую (а не по ссылке, указанной в электронном письме) и сверьте информацию с той, которая отобразилась на экране вашего компьютера при использовании мер предосторожности. Позвоните в сервис по телефону или напишите электронное письмо, известив поставщика услуг о поступлении фишинговой почты. Рассмотрите возможность перехода на сервисы с двухфакторной аутентификацией. В этом случае украсть вашу учетную информацию будет гораздо труднее.

7. Появление программ, установленных без вашего ведома

Неожиданное и нежелательное появление на компьютере новых программ – явный признак того, что система была взломана. На заре появления вредоносных программ большинство из них относилось к категории компьютерных вирусов, модифицировавших легитимное программное обеспечение. Делалось это в целях маскировки. Сегодня же большинство вредоносных программ распространяется в виде троянов или червей, которые обычно устанавливаются точно так же, как и легитимные программы. Возможно, происходит это потому, что их создатели пытаются балансировать на тонкой грани, за которой начинается их судебное преследование. Они пытаются выдать себя за разработчиков вполне легитимного программного обеспечения. Зачастую нежелательные программы традиционным образом устанавливаются другими программами, поэтому внимательно читайте лицензионные соглашения. В них четко написано об установке одной или нескольких дополнительных программ. Иногда от установки этих дополнительных программ вы можете отказаться, иногда нет.

Что делать. Существует много бесплатных утилит, которые показывают все установленные на компьютере программы и позволяют выборочно деинсталлировать их.

Например, утилита CCleaner не выдает информацию обо всех установленных на компьютере программах, но уведомляет о тех из них, которые автоматически запускаются в момент загрузки ПК. Большинство вредоносных программ относятся именно к этой категории. Труднее всего определить, какие программы являются легитимными, а какие нет. Если у вас есть сомнения, отключите неопознанную программу, перезагрузите ПК и запускайте ее лишь в том случае, если вам понадобятся функции, которые перестали работать.

8. Указатель мыши без вашего участия перемещается между окнами программ, выбирая определенные элементы

Если курсор вашей мыши начинает перемещаться самостоятельно, выделяя при этом какие-то элементы, вас, несомненно, взломали. Указатели мыши довольно часто перемещаются случайным образом – обычно это происходит при возникновении каких-то аппаратных проблем. Но если при этом мышь правильно выбирает элементы интерфейса и запускает определенные программы, во всем этом чувствуется рука автора вредоносных программ.

Атаки подобного рода распространены не так широко, как некоторые другие, но, тем не менее, следует помнить, что хакеры могут взломать ваш компьютер, подождать, пока пользователь перестанет проявлять признаки активности (например, после полуночи) и попытаться похитить ваши деньги. Хакеры получают информацию о банковских счетах и выводят с них деньги, продают принадлежащие вам акции и выполняют другие действия, направленные на то, чтобы облегчить ваш кошелек.

Что делать. Если компьютер ночью неожиданно «оживает», подождите минуту, прежде чем выключить его и попытайтесь определить, что интересует взломщиков. Не позволяйте им ограбить себя, но все же полезно будет посмотреть, за чем они охотятся. Если у вас под рукой есть сотовый телефон, сделайте несколько снимков, чтобы зафиксировать выполняемые операции. Иногда имеет смысл выключить компьютер. Отключите его от сети (или выключите маршрутизатор) и обратитесь к профессионалам. Это как раз тот случай, когда вам понадобится помощь эксперта.

Немедленно измените все свои учетные данные и пароли с использованием другого компьютера. Проверьте историю операций с банковским счетом, ценными бумагами и т.д. Подключите сервисы, которые будут оперативно информировать вас о любых операциях с финансовыми средствами. Если вы стали жертвой такой атаки, надо отнестись к этому со всей серьезностью. Имеет смысл переустановить программное обеспечение компьютера с нуля. Если вы потеряли деньги, пусть представители правоохранительных органов предварительно сделают копии всей информации, хранящейся на компьютере. Оперативно уведомите их о случившемся и напишите соответствующее заявление. При благоприятном исходе компьютерные данные помогут вернуть ваши деньги.

9. Ваше антивирусное программное обеспечение, диспетчер задач и редактор реестра отключены и не запускаются

Велика вероятность того, что компьютер заражен вредоносными программами. Если вы обнаружите, что антивирусное программное обеспечение отключено и не запускается, вероятно, ваша система взломана (особенно если диспетчер задач с редактором реестра тоже не запускаются, исчезают сразу после старта или запускаются в режиме ограниченной функциональности). Скорее всего причиной тому являются вредоносные программы.

Что делать. Поскольку неясно, что именно произошло, следует выполнить полное восстановление системы. Если же вы хотите сначала попробовать что-нибудь менее радикальное, для восстановления утраченной функциональности существует множество различных методов (любой интернет-поисковик выдаст массу ссылок). Перезагрузите компьютер в безопасном режиме и приступайте к нелегкой процедуре. Отдавайте себе отчет в том, что решить все проблемы быстро вряд ли получится. Как правило, прежде чем вы доберетесь до способа, который сработает, несколько попыток закончатся неудачей. Для удаления вредоносной программы попробуйте в первую очередь воспользоваться методами, которые уже были описаны ранее.

10. Деньги с вашего банковского счета исчезли

Речь идет о большой сумме денег. Злоумышленники, промышляющие в Сети, обычно на мелочи не размениваются. Чаще всего они переводят все или почти все средства в какой-нибудь зарубежный банк. Обычно все начинается со взлома вашего компьютера или с вашего ответа на поддельное письмо из банка. Затем злоумышленник заходит на сайт банка в ваш личный кабинет, меняет там контактную информацию и переводит себе крупную сумму денег.

Что делать. В большинстве случаев финансовые институты возмещают нанесенный ущерб (особенно если им удается вовремя остановить транзакцию). В такой ситуации можно считать, что клиенту повезло. Однако довольно часто суды выносят определение, в соответствии с которым вина за взлом возлагается на самого клиента, и тогда право принятия окончательного решения предоставляется самому финансовому институту.

Для того чтобы избежать возможных неприятных последствий, подключите услугу SMS-уведомления об операциях со средствами на вашем банковском счете. Многие финансовые институты позволяют установить пороговое значение для снятия денег, и если этот порог превышен, или деньги выводятся за рубеж, вы получите соответствующее предупреждение. К сожалению, известны случаи, когда злоумышленники перед похищением денег блокировали отправку таких сообщений или изменяли контактную информацию. Поэтому убедитесь в том, что ваш банк в любом случае будет высылать предупреждения по прежнему адресу или пришлет уведомление об изменении контактных сведений.

11. От магазинов приходят жалобы на неоплату ранее отгруженных товаров

В этом случае хакеры взломали одну из ваших учетных записей и совершили ряд покупок, указав свой адрес доставки. Зачастую злоумышленники заказывают массу всего в разных магазинах, каждый из которых, проверив баланс, считает, что у вас на счету достаточно средств. Но когда транзакция проходит окончательно, выясняется, что деньги кончились.

Что делать. Печальная ситуация. Первым делом попробуйте выяснить, каким образом был взломан ваш аккаунт. Если применялся один из методов, описанных выше, выполните соответствующие рекомендации. Смените свои имена пользователя и пароли (не только для взломанной учетной записи), обратитесь в правоохранительные органы, инициируйте возбуждение уголовного дела и внимательно следите за состоянием своих кредитов. Возможно, на аннулирование фальшивых транзакций, выполненных от вашего имени, уйдет несколько месяцев, но большую часть ущерба (а может быть, и все убытки) при этом удастся ликвидировать.

Несколько лет назад вы получили бы негативную кредитную историю, которая тянулась бы за вами десятилетиями. Сегодня же компании и агентства, составляющие отчеты о кредитных историях, уже привыкли к киберпреступности и стремятся урегулировать подобные ситуации. В любом случае, проявляйте активность и старайтесь следовать всем рекомендациям правоохранительных органов, кредиторов и агентств, формирующих кредитные рейтинги.

Три основных способа избежать негативного воздействия вредоносных программ

Не стоит надеяться на появление антивируса, который идеально фильтровал бы все вредоносные программы и блокировал действия хакеров. В первую очередь обратите внимание на признаки и симптомы (перечисленные выше), которые свидетельствуют о взломе вашей системы. Для исключения рисков всегда переустанавливайте все программное обеспечение скомпрометированных компьютеров. После того как ваш компьютер взломан, злоумышленник может делать что угодно и прятаться где угодно. Поэтому лучше все же начать с чистого листа.

В основе большинства взломов лежат три основные причины: необновленное программное обеспечение, запуск троянских программ и ответ на поддельные фишинговые электронные письма. Исключите три эти фактора, и вам в гораздо меньшей степени придется полагаться на точность срабатывания антивирусного программного обеспечения. Удачи.

Особенность целенаправленных атак (APT) заключается в том, что злоумышленников интересует конкретная компания или государственная организация. Это отличает данную угрозу от массовых хакерских атак – когда одновременно атакуется большое число целей и наименее защищенные пользователи становятся жертвой. Целенаправленные атаки обычно хорошо спланированы и включают несколько этапов - от разведки и внедрения до уничтожения следов присутствия. Как правило, в результате целенаправленной атаки злоумышленники закрепляются в инфраструктуре жертвы и остаются незамеченными в течение месяцев или даже лет – на протяжении всего этого времени они имеют доступ ко всей корпоративной информации.

Сложности классификации

Таргетированные или целевые атаки – атаки, направленные в отношении конкретных коммерческих организаций или государственных ведомств. Как правило, такие атаки не носят массовый характер и готовятся достаточно длительный период. Злоумышленники изучают информационные системы атакуемого объекта, узнают, какое программное обеспечение используется в тех или иных целях. Объектами атаки являются весьма ограниченные какими-либо рамками или целями конкретные информационные системы и/или люди. Вредоносное ПО специально разрабатывается для атаки, чтобы штатные антивирусы и средства защиты, используемые объектом и достаточно хорошо изученные злоумышленниками, не смогли обнаружить угрозу. Чаще всего это уязвимости нулевого дня и особые алгоритмы связи с исполнителями/заказчиками атаки.

Юрий Черкас , руководитель направления инфраструктурных ИБ-решений Центра информационной безопасности компании «Инфосистемы Джет» cчитает, что практически постоянная полемика вокруг определения термина «таргетированная атака» затрудняет классификацию этого термина. Он отмечает, что целевая атака использует те же механизмы взлома, что и любая другая (спам , фишинг , заражение часто посещаемых сайтов и т.д.). «На мой взгляд, одним из основных признаков таргетированной атаки является ее явная направленность на конкретную организацию. Например, вирус, написанный для конкретного ПО собственной разработки конкретной организации. Но так бывает далеко не всегда. Хакер может использовать имеющиеся у него наборы эксплойтов и другие инструменты для атаки на компанию-жертву. В этом случае определить, относится ли атака к таргетированной, достаточно сложно, так как для проведения атаки использовались уязвимости распространенных ОС и прикладного ПО», говорит Юрий Черкас .

Сложности при квалификации целевых атак - один из факторов, который не позволяет рассчитать даже их приблизительное количество.

КДУ (Комплексные Долговременные Угрозы)

Большинство специалистов сходится во мнении относительно следующих особенностей целевых так :

  • Это атаки, направленные в отношении конкретных коммерческих организаций, отраслей производства или государственных ведомств.
  • Объектами атаки являются весьма ограниченные какими-либо рамками или целями конкретные информационные системы.
  • Эти атаки не носят массовый характер и готовятся достаточно длительный период.
  • Вредоносное ПО, если оно используется при реализации атаки, специально разрабатывается для конкретной атаки, чтобы штатные средства защиты, достаточно хорошо изученные злоумышленниками, не смогли обнаружить ее реализацию.
  • Для реализации атаки могут использоваться уязвимости нулевого дня.
  • Как правило, целевые атаки используются для кражи информации, которую легко монетизировать, либо для нарушения доступности к критически важной информации.
  • При осуществлении целевой атаки используются те же механизмы взлома, что и при массовых атаках, в частности фишинг. Отличие составляет подготовка атаки с целью предотвращения возможности ее детектирования средствами защиты. Именно применительно к целевым атакам фишинг становится очень актуальной угрозой, поскольку атака в этом случае осуществляется не на абстрактные, а на конкретные физические лица, что может быть учтено методами социальной инженерии.
  • После обнаружения и идентификации целевой атаки, уже по итогам ее осуществления, об угрозе этой атаки становится известно, она переходит в категорию «массовых» - может массово использоваться злоумышленниками. При этом, как идентифицированная, угроза этой атаки уже может детектироваться средствами защиты, одной из задач которых является обеспечение минимальной продолжительности перехода угрозы атаки из категории целевых в массовые.

Фазы целевой атаки

Цели атак

По данным A.T. Kearney:

  • Офис правления компании . Часто аппаратура ненадлежащим образом защищена от физического повреждения (например, со стороны персонала по уборке или техническому обслуживанию помещений).
  • НИОКР . Обычно это отдел, требующий самого высокого уровня защиты, но зачастую он защищен не лучше, чем другие отделы.
  • Центры обработки данных представляют собой надежную среду для размещения частного облака. Проблемой является обеспечение безопасного функционирования многочисленных серверов, а также приложений, работающих на этих серверах.
  • Сеть поставщиков . Из-за расширяющегося применения сетевых решений при работе с поставщиками возникают риски, связанные с тем, что относительно небольшие компании-поставщики, как правило, хуже защищены.
  • Облачные вычисления .В основе своей использование внешнего облака безопасно. Проблемы связаны с тем, что уровень защиты данных зависит от законодательства и что возможен доступ со стороны спецслужб.
  • Производство . Множество старых специализированных систем все чаще объединяется в сети, и их работу трудно отслеживать и контролировать. Атаки злоумышленников в этом случае могут привести к производственным потерям или даже к краху компании.
  • Базы данных обеспечивают безопасное хранение важной информации. Главная слабость – то, что в качестве «инструментов» для проникновения в базы данных взломщики могут использовать администраторов.
  • Конечная продукция , активируемая с помощью информационных технологий. Растущий уровень использования сетевых решений для обеспечения функционирования конечной продукции облегчает проведение кибератак. Дистанционно контролируя устройства пользователей с целью провоцирования поломок, хакеры имеют возможность незаконно получать через эти устройства конфиденциальную информацию. В связи с этим компании может грозить потеря репутации и получение исков от пользователей, ставших жертвами мошенничества
  • Офисные сети . Растущий уровень сетевого взаимодействия, предусматривающего объединение почти всех систем, предоставляет хакеру богатые возможности, если он сумеет проникнуть в сеть
  • Продажи . Утечка маркетинговых планов, информации о ценах и клиентах подрывает репутацию компании и лишает ее конкурентных преимуществ.
  • Мобильные устройства . Покупая смартфоны , доступные на коммерческом рынке, пользователи часто вводят в их память конфиденциальные данные, которые, как правило, без труда могут быть похищены хакерами. Самые испытанные и надежные концепции обеспечения безопасности могут оказаться бесполезными, если сотрудники компании используют собственные мобильные устройства для решения рабочих задач.
  • Интернет-магазины . Для незаконного доступа под видом реально существующих покупателей и совершения мошеннических действий хакеры используют реквизиты кредитных карт и личные данные клиентов.
  • Телефонные звонки . Эксплуатируя готовность людей помогать друг другу, злоумышленники могут использовать телефонные звонки как способ легкого получения нужной информации.

Таргетированные атаки в финансовой сфере

В обзоре о несанкционированных переводах денежных средств в 2014 году, опубликованном ЦБ РФ накануне, отмечается, что 23 кредитные организации сообщили об инцидентах, имеющих признаки целевых атак. Эксперты подсчитали, что инциденты были направлены на списание средств на сумму 213,4 млн рублей.

Все инциденты связаны с вешним воздействием на ИТ-инфраструктуру в том числе и с внедрением вредоносного кода, благодаря которому высокотехнологичные преступники намеревались выводить средства.

Попытки взлома имеют типовые особенности: атака была целевой и учитывала особенности процессов отправки и обработки сообщений в определенной платежной системе; вредоносный код в ряде случаев стандартными средствами антивирусной защиты не выявлялся, несмотря на актуальные антивирусные базы; зафиксированы также факты проникновения хакеров в локальные сети банков, чтобы, в том числе, с помощью попыток внедрения вредоносного кода через электронные сообщения.

Представители банков констатируют: если раньше мошенники предпочитали грабить клиентов, то теперь переключились на более крупную добычу, а именно – на сами финансово-кредитные учреждения.

«Это более сложная процедура, но с точки зрения выгоды хакерам удобнее взламывать банки, где деньги лежат в одном месте. Основной тенденцией становятся так называемые таргетированные атаки. Они готовятся месяцами и в отношении конкретных банков и финансовых организаций. Это реальная угроза, от которой очень сложно защитится даже продвинутым в плане информационной безопасности банкам. Злоумышленники достаточно хорошо изучили банковское ПО, АБС, средства защиты и так далее», - отмечает Юрий Лысенко , начальник управления информационной безопасности банка Хоум Кредит .
С ним соглашается и Станислав Павлунин , вице-президент по безопасности Тинькофф Банка : «Целевые атаки идут бок р бок с социальной инженерией. DDoS-атаки никуда не исчезли, однако работать с ними гораздо проще, чем с вирусами, которые злоумышленники пишут для целенаправленных действий. Стандартные антивирусы не обнаруживают зловредных объектов, которые написаны для объекта атаки. Системы, которые позволяют фиксировать такие целевые атаки на конкретную финансовую организацию и выявлять риски на лету – это другой класс безопасности», - погалает Станислав Павлунин.

В то же время Юрий Лысенко прогнозирует увеличение числа целевых атак на конкретные банки и финансовые организации, системы дистанционного банковского обслуживания и т.д.

Методики целевой атаки

Публично доступная информация о средствах проведения таргетированных атак и расследовании инцидентов (которые имеют признаки целевых атак) позволяют говорить о разнообразии методов. Например, могут использоваться полностью автоматизированные методы, так и телефонные звонки.

Злоумышленники в ходе атаки исследуют различные возможности, чтобы получить доступ к необходимой информации. Может осуществляться прямой физический доступ или атаковаться сотрудники компании, их устройства и учетные записи в интернет-сервисах.

«Существенной проблемой становится безопасность смежных информационных систем – компаний-поставщиков (особенно разработчиков ПО, осуществляющих поддержку своего продукта) и клиентов. Доверенные отношения с ними могут быть использованы для обхода граничных средств защиты. Это значительно расширяет и без того сложный периметр защиты», - говорит Алексей Качалин , заместитель генерального директора компании «Перспективный мониторинг» .

Уйти от попыток таргетированных атак жертве вряд ли удастся. Например, злоумышленник хочет получить доступ к внутренним ресурсам интересующей его компании. Для этой цели злоумышленник может инициировать множество целевых атак, на протяжении нескольких месяцев или лет. Все элементы атаки (сетевые атаки, вредоносное ПО) могут быть предварительно проверены на «заметность» для распространенных методов обнаружения. В случае неэффективности такие элементы модифицируются. Аналогично обновлению антивирусных баз могут обновляться и средства вторжения, в том числе и те, что уже функционируют в захваченной системе.

Дополнительная сложность – продолжительность и интенсивность таргетированной атаки. Подготовка может занимать месяцы, а активная фаза – минуты. «Существует вероятность, что рано или поздно атака удастся. В конце концов проблема 0-day уязвимостей актуальна всегда. Если у вас есть информация, которая стоит 100 млн, то будьте готовы к тому, что найдется кто-то готовый потратить 50 млн на то чтобы ее украсть. Поэтому единственное что можно сделать – это быть готовым к компрометации и иметь инструменты для быстрого обнаружения атаки, ее пресечения и минимизации ущерба», - считает Александр Гостев , главный антивирусный эксперт «Лаборатории Касперского» .

Установление организаторов

Большинство из таргетированных атак обнаруживается постфактум. Самой большой проблемой остается атрибуция – установление организаторов и исполнителей таких атак.

Установление виновника – это чрезвычайно сложная задача, уверены эксперты. В этом процессе необходимо собрать максимальное число факторов, которые бы указывали на причастность хакерской группы определенной национальности или организации к совершению преступления. Для этого необходимо взаимодействие между компаниями, работающими в сфере информационной безопасности , жертвами, правоохранительными органами разных стран и т.д. Но и в этом случае устанавливаются только единицы виновников, чаще всего из-за грубых ошибок атакующих.

«Для определения источника атаки необходимо учитывать множество факторов. Прежде всего, это анализ кода – в нем могут содержаться слова, косвенно указывающие на языковую или национальную принадлежность авторов. Например, русские слова, написанные латиницей, или ошибки, которые обычно свойственны именно русским авторам и т.д. Однако киберпреступники могут намеренно оставлять такие ложные следы, запутывая тем самым следствие», - говорил Александр Гостев .

Более 100 группировок целенаправленно атакуют коммерческие и госорганизации

Эксперты из глобального центра исследований и анализа угроз «Лаборатории Касперского » сообщили летом 2016 года, что в мире активно более 100 групп, организующих кампании кибершпионажа и атаки класса АРТ, и под их прицел попадают коммерческие и государственные организации в 85 странах мира.

По мнению представителей компании, столь динамичное развитие этой угрозы говорит о том, что целевые атаки перестали быть уделом избранных: злоумышленники оптимизируют свои техники и инструменты, и это удешевляет и упрощает организацию вредоносной кампании, что, в свою очередь, способствует появлению новых игроков.

Основная цель атаки класса АРТ - кража конфиденциальной информации, которую впоследствии можно использовать для получения геополитического преимущества или продажи заинтересованным лицам. По наблюдениям «Лаборатории Касперского», наибольшему риску стать жертвой целевой атаки подвергаются правительственные и дипломатические организации, финансовые компании, предприятия, работающие в энергетической и космической отраслях, учреждения в сфере здравоохранения и образования, телекоммуникационные и ИТ-компании, поставщики для вооруженных сил, а также общественные и политические активисты.

«Мы изучаем сложные целевые атаки более шести лет и с уверенностью можем сказать, что в последнее время они все чаще применяются не только для шпионажа, но и для кражи денег. Целевые атаки затрагивают самые разные организации, их жертвой могут стать отнюдь не только государственные учреждения. Не меньший интерес для злоумышленников представляют крупные компании, обладающие ценной интеллектуальной собственностью или имеющие доступ к большим финансовым активам, - рассказал Юрий Наместников, руководитель российского исследовательского центра «Лаборатории Касперского». - В такой ситуации раннее выявление целевой атаки критически важно для любой организации, желающей сохранить свои конфиденциальные данные. Однако с помощью традиционных защитных решений сделать это очень сложно, поскольку злоумышленники часто используют нетривиальные методы и тщательно скрывают свою активность. Так что компаниям могут помочь либо аналитические сервисы, либо специальные решения для выявления целевых атак».

Методы защиты и предотвращения атак

Основными средствами защиты от целевых атак сегодня являются средства детектирования всевозможных аномалий (кода, команд, поведения и т.д.). При этом:

  • Детектирование аномалий в рамках отдельно взятого компьютера, либо корпоративной ИС в целом, осуществляется с целью обнаружения реализуемых, а также частично, либо полностью реализованных атак.
  • Обеспечивается возможность нейтрализации известных атак на ранних стадиях их осуществления – решается задача защиты информации , что обеспечивается возможностью однозначной идентификации выявленной аномалии как события реализации атаки, как следствие, осуществления автоматической реакции на зафиксированное аномальное событие.
  • В отношении неизвестных угроз атак, к которым относятся угрозы целевых атак, детектирование аномалий неизбежно связано с ошибками первого (при поверхностном анализе событий) и второго (при глубоком анализе) рода. В данном случае, особенно при глубоком анализе, а иначе какого-либо смысла детектирование аномалий не имеет, технологически невозможна однозначная идентификация выявленной аномалии как события реализации атаки, в результате чего невозможна и автоматическая реакция на зарегистрированное событие, которое лишь с некоторой вероятностью может являться атакой. Задача детектирования аномалий в данном случае сводится не к защите информации, а к проведению соответствующего дальнейшего исследования по зарегистрированному факту реализации атаки, с целью максимально оперативной однозначной идентификации атаки.
  • После однозначной идентификации аномалии, как атаки (атака становится известной, а ее угроза уже не угроза целевой, а угроза массовой атаки), в отношении этой атаки детектором аномалий уже реализуется защита информации.

Практически все вендоры имеют в своей линейке продукт, который позиционируется как средство защиты от таргетированных атак. К их числу можно отнести FireEye , CheckPoint , McAfee и т.д. Эффективность защиты от таргетированных атак не может всецело определяться только применяемыми техническими средствами.

«Если говорить о технических средствах, то их эффективность будет рассматриваться сквозь призму поставленных компанией целей и задач, что лучше оценивать в рамках проведения пилотных проектов в конкретной среде. Подобно любым решениям продукты по защите от таргетированных атак имеют как свои сильные стороны, так и слабые», - считает Алина Сагидуллина , консультант по информационной безопасности компании «ЛАНИТ-Интеграция» .
Возможность оперативно реагировать на таргетированные атаки имеют центры мониторинга информационной безопасности. Такие центры могут комплексно анализировать состояние атакуемой системы через системы защиты информации; с помощью экспертов, сконцентрированных на анализе информационной безопасности в наблюдаемой системе; при мониторинге фактов компрометации и утечки информации; совокупном анализе крупных информационных систем. «Это позволяет увидеть схожие признаки аномалий в различных сегментах информационной системы», - рассказывает Алексей Качалин .

Технологии защиты от таргетированных атак были и раньше, но сейчас они выходят на новый уровень. В первую очередь речь идет о различных инструментах для выявления аномалий – как на локальных компьютерах, так и на уровне сетевой активности. Задачей таких систем является поиск всего необычного, что происходит, а не поиск вредоносного года. Это объясняется тем, что во многих случаях атакующие могут вообще не использовать вредоносные программы.

«К этим системам добавляется активно развивающийся класс SIEM – «Security information and event management», позволяющий агрегировать вместе поступающие системные события от разных систем защиты (антивирусов , файрволов , эмуляторов, роутеров и т.д.) и видеть в реальном времени все происходящие изменения», - говорит Александр Гостев.

Почему недостаточно традиционных систем защиты

Из-за специфики целенаправленных атак и подготовки к ним, таких как:

  • детальное изучение используемых средств защиты с целью их обхода;
  • написание уникального ПО и закрепление его в инфраструктуре цели;
  • использование в атаках доверенных, но скомпрометированных объектов, не создающих негативный фон;
  • применение мультивекторного подхода к проникновению;
  • скрытность и пр.

Из-за присущих традиционным средствам защиты технологических ограничений:

  • обнаружение направлено только на распространённые (несложные) угрозы, уже известные уязвимости и методы;
  • нет встроенного сопоставления и корреляции детектов в единую цепочку событий;
  • нет технологий выявления отклонений в нормальных активностях и анализа работы легитимного ПО.

Необходим комплексный подход

Deception-ловушки

Новые средства появились и продолжают появляться. Однако их эффективность напрямую зависит от качества их настройки. По словам Юрия Черкаса , основными технологическими направлениями средств защиты являются:

  • песочницы, которые имитируют рабочие станции организации. В песочницах файлы, получаемые из интернета, запускаются и анализируются. Если запускаемый файл влечет за собой деструктивное воздействие, то такой файл определяется как зараженный;
  • анализ аномальной сетевой активности (например, на базе NetFlow), который осуществляется путем сравнения текущей сетевой активности с построенной эталонной моделью сетевого поведения. Например, компьютер или сервер, который всегда коммуницирует с некоторым набором определенных сетевых ресурсов по определенным протоколам, вдруг неожиданно начинает пробовать обращаться напрямую к базам данным;
  • поведенческий анализ рабочих станций, также основанный на сравнении активности рабочих станций с эталонной моделью. Разница в том, что этот анализ осуществляется не на уровне сети, а на уровне самой рабочей станции с помощью агентов. Не так давно появилась интересная технология, которая отслеживает процессы Windows. В случае отклонения от эталонной модели процесс Windows блокируется, тем самым не давая эксплойту выполнить деструктивное воздействие.
«Нюанс в том, что все эти технологии предполагают анализ поведения. В этом случае ошибки 1-го (false positives) и 2-го рода (false negatives) неизбежны, поэтому эффективность сильно зависит от квалификации сотрудников, настраивающих и эксплуатирующих эти решения», - отмечает Юрий Черкас.

Deception - сеть замаскированных сетевых ловушек и приманок, которые разбросаны по всей ИТ-инфраструктуре

Что обеспечит Deception

  • Обнаружение в режиме реального времени целенаправленных атак и атак нулевого дня
  • Защиту реальных ИТ-активов за счет переключения активности атакующих на «ловушки»
  • Защиту ценных данных от «шифровальщиков»
  • Сбор форензики о действиях злоумышленников
  • Отсутствие ложных срабатываний
  • Не использует агентов и не оказывает влияния на работу пользователей и ИТ-сервисов

Результаты

  • Профиль злоумышленника
  • Детализированные методы и инструменты, используемые во время атаки
  • Углубленный анализ (какие цели преследуют хакеры, какую информацию они ищут)
  • История и хронология взлома
  • Источники происхождения злоумышленников на основе их IP-адресов и данных DNS

Ущерб от атак – большая загадка даже для жертв

Подсчитать реальный ущерб от таргетированных атак не представляется реальным: по данным ESET‬ , 66% инцидентов системы безопасности остаются незамеченными многие месяцы. Именно под это и «заточено» сложное вредоносное ПО ‬ для целевых атак: кража данных происходит незаметно, в «фоновом» режиме.

Большое количество атак остается незамеченными. При обнаружении многие компании стараются скрыть факт инцидента и не предавать его огласке. В

В тройке самых приоритетных задач ИТ-менеджеров по сравнению с предыдущим годом произошли кардинальные изменения. 41% опрошенных назвало защиту данных от таргетированных атак главным приоритетом. Год назад этот пункт не входил в список приоритетов ИТ-менеджеров. Прежде всего защиту от целевых атак назвали своим приоритетом представители среднего бизнеса (43%) и крупных предприятий (38%). Малый бизнес вопрос таргетированных атак интересует в меньшей степени (32%).

Сталкивались ли вы когда-нибудь с обманом в интернете, а, может быть, и вовсе становились жертвой такой аферы? Поговорим о том, для чего интернет-мошенники выманивают личную информацию пользователей и какую цель преследует фишинг.

Суть фишинга

Просматривая электронную почту, вы однажды обнаруживаете у себя в ящике письмо – якобы от компании «Microsoft». В нем может быть написано нечто: «Ваш идентификатор электронной почты выиграл призовую сумму в размере 900 тысяч долларов США от компании «Microsoft» на 2017 год. Чтобы получить награду, отправьте свое имя, адрес и номер мобильного телефона».

О, так это же почти миллион! Звучит вроде бы очень заманчиво. Но! Взглянув на адрес отправителя ([email protected]), вы понимаете, что это никакой не «Microsoft» хочет сделать из вас богача…

Это стандартный фишинговый прием. В адресе отправителя указан домен бразильского почтового сервера. Это может быть подделка технической информации письма – так называемых хедеров, или же просто сервер с доменом «.gov.br» (government brasil – «правительство Бразилии») взломан, и теперь его используют злоумышленники.

Какую цель преследует фишинг?

Данные, которыми пытаются завладеть мошенники, – ваши имя и фамилия, адрес и телефонный номер. Также после поступления этой базовой информации, злоумышленники могут просить номер банковской карты и счета, мол, «куда перевести выигранные деньги». С помощью этой информации могут обмануть техническую поддержку банка и попытаться получить доступ к вашим счетам.

Риск – незащищенность вашей персональной информации и потеря денег на вашем счету

Кроме того, мошенники могут продать эту информацию на черном рынке другим злоумышленникам. Такие письма направляются автоматически на сотни тысяч адресов, и если хотя бы несколько тысяч пользователей предоставят свою информацию, а из них удастся получить доступ к нескольким сотням банковских счетов – заработок может быть очень хорошим.

Какие еще методы захвата чужих данных распространены?

Также распространен фишинг с использованием фейковых страниц популярных сервисов. Например, пользователь получает письмо якобы от имени Google, Facebook или какого-то другого сервиса. Это письмо побуждает его перейти по ссылке на фиктивный сайт, который имеет вид настоящего, и там пользователь должен ввести свой настоящий пароль. Злоумышленники путем такого обмана заставляют отдать им пароль. Интересно, что фальшивая фишинговая страница переадресует человека к его настоящей почте, то есть вы и не заподозрите, что ваш пароль уже знает другой.

На какие именно электронные почты чаще всего приходят такие сообщения?

Их рассылают по всей сети. Из опыта работы экспертов цифровой безопасности известно, что сервисы крупных международных компаний, в частности Google, очень хорошо фильтруют массовые фишинговые атаки. Выбирая email-провайдера, учитывайте юрисдикцию компании, предоставляющей эти услуги, и то, где расположены ее почтовые серверы.

Также обратите внимание, защищена эта почта так называемым зеленым замочком – соединением https://.

Как уберечь свои данные от мошенников?

Теперь зная, какую цель преследует фишинг, следует применить следующую стратегию: не отвечать на такие письма, обозначать их как спам.

Следует включить двухфакторную аутентификацию (двухэтапная проверка, подтверждение входа) в почте и во всех соцсетях. Двухфакторная аутентификация означает, что для входа в аккаунт недостаточно только правильно ввести пароль. Надо еще ввести код, который вы получите в смс или при помощи генерирования кодов на смартфоне в приложениях, типа Google Authenticator. Даже если вы отдадите мошенникам свой пароль, они не смогут получить доступ к странице, ну разве что у них в руках будет ваш мобильный телефон.

Для Gmail двухэтапную аутентификацию можно найти на странице https:// myaccount.google.com/security и кликнуть на «двухэтапная проверка». Для Dropbox, Facebook и других соцсетей – поискать в настройках. Также следует установить соответствующее расширение для браузера Google Chrome.

Вирусы - программы, которые могут добавлять вредоносный код в программы, установленные на вашем компьютере. Этот процесс называется заражением.

Основная цель вируса - распространение. В процессе распространения вирусы могут удалить файлы и даже операционную систему, испортить структуру размещения данных, блокировать работу пользователей.

Черви

Черви - вредоносные программы, которые для распространения используют сетевые ресурсы. Название этого класса было дано исходя из способности червей «переползать» с компьютера на компьютер, используя сети, электронную почту и другие информационные каналы.

Черви обладают очень высокой скоростью распространения. Они проникают на компьютер, вычисляют сетевые адреса других компьютеров и рассылают по этим адресам свои копии. Черви также могут использовать данные адресной книги почтовых клиентов.

Представители этого класса вредоносных программ иногда создают рабочие файлы на дисках системы, но могут вообще не обращаться к ресурсам компьютера за исключением оперативной памяти.

Скорость распространения червей выше, чем у вирусов.

Троянские программы

Троянские программы - программы, которые выполняют несанкционированные пользователем действия на поражаемых компьютерах. Например, уничтожают информацию на дисках, приводят систему к зависанию, воруют конфиденциальную информацию и тому подобное.

Данный класс вредоносных программ не является вирусом в традиционном понимании этого термина, то есть не заражает другие программы или данные. Троянские программы не способны самостоятельно проникать на компьютеры и распространяются злоумышленниками под видом «полезного» программного обеспечения. При этом наносимый ими вред может во много раз превышать потери от традиционной вирусной атаки.

Программы-шпионы

Программы-шпионы - программное обеспечение, позволяющее собирать сведения об отдельно взятом пользователе или организации без их ведома. О наличии программ-шпионов на своем компьютере вы можете и не догадываться. Как правило, целью программ-шпионов является:

  • Отслеживание действий пользователя на компьютере.
  • Сбор информации о содержании жесткого диска. В этом случает речь идет о сканировании некоторых каталогов и системного реестра с целью составления списка программного обеспечения, установленного на компьютере.
  • Сбор информации о качестве связи, способе подключения, скорости модема и так далее.

Однако данные программы не ограничиваются только сбором информации, они представляют реальную угрозу безопасности. Как минимум две из известных программ - Gator и eZula - позволяют злоумышленнику не просто собирать информацию, но и контролировать чужой компьютер.

Другим примером программ-шпионов являются программы, встраивающиеся в установленный на компьютере браузер и перенаправляющие трафик. Вы могли сталкиваться с подобными программами, если при запросе одного сайта открывался другой.

Фишинг

Фишинг - вид интернет-мошенничества, целью которого является получение доступа к логинам и паролям пользователей.

Для получения пользовательских данных злоумышленник создает точную копию сайта интернет-банка и составляет письмо, максимально похожее на настоящее письмо от выбранного банка. В письме злоумышленник под видом сотрудника банка просит пользователя подтвердить или изменить свои учетные данные и приводит ссылку на поддельный сайт интернет-банка. Цель такого письма - заставить пользователя нажать на приведенную ссылку и ввести свои данные.

Подробнее о фишинге смотрите в Энциклопедии «Лаборатории Касперского». Информацию по защите от спама и фишинга смотрите на «Лаборатории Касперского».

Руткиты

Руткиты - утилиты, используемые для сокрытия вредоносной активности. Они маскируют вредоносные программы, чтобы избежать их обнаружения антивирусными программами.

Руткиты также могут модифицировать операционную систему на компьютере и заменять основные ее функции, чтобы скрыть свое собственное присутствие и действия, которые предпринимает злоумышленник на зараженном компьютере.

Шифровальщики

Шифровальщики - программы, которые, попадая на компьютер, шифруют ценные файлы: документы, фотографии, сохранения к играм, базы данных и так далее - таким образом, что их нельзя открыть. То есть пользователь не сможет воспользоваться зашифрованными файлами. А за расшифровку создатели шифровальщиков требуют выкуп.

Программы-майнеры

Программы-майнеры - программы, которые без ведома пользователя подключают его устройство к процессу майнинга. По сути, устройство становится частью распределенной сети, вычислительные мощности которой используются для добычи какой-нибудь криптовалюты на счет владельца программы-майнера.

В большинстве случаев майнер попадает на компьютер при помощи специально созданной зловредной программы, так называемого дроппера, главная функция которого - скрытно ставить другое ПО. Такие программы обычно маскируются под пиратские версии лицензионных продуктов или под генераторы ключей активации, которые пользователи ищут, например, на файлообменниках и сознательно скачивают.

hoax

hoax - программы, показывающие ложную информацию пользователю. Основная цель таких программ - вынудить пользователя заплатить за навязанный программу или услугу. Они не причиняют компьютеру прямого вреда, но выводят сообщения о том, что такой вред уже причинен или будет причинен. Другими словами предупреждают пользователя об опасности, которой на самом деле не существует.

К hoax относятся, например, программы, которые пугают пользователя сообщениями о большом количестве найденных ошибок реестра, устаревших драйверах и тому подобное. Их цель - получить от пользователя вознаграждение за обнаружение и исправление несуществующих ошибок.

Спам

Спам - массовая почтовая корреспонденция нежелательного характера. Например, спамом являются рассылки политического и агитационного характера и тому подобное.

  • с предложениями обналичить большую сумму денег;
  • вовлекающие в финансовые пирамиды;
  • направленные на кражу паролей и номеров кредитных карт;
  • с просьбой переслать знакомым, например, письма счастья.

Спам существенно повышает нагрузку на почтовые сервера и повышает риск потери информации, важной для пользователя.

Прочие опасные программы

Разнообразные программы, которые разработаны для создания других вредоносных программ, организации DoS-атак на удаленные сервера, взлома других компьютеров. К таким программам относятся хакерские утилиты (Hack Tools), конструкторы вирусов и тому подобное.



Распространение атак направленного фишинга связанно с их эффективностью и слабой возможности традиционных решений по безопасности противостоять им. В то время как обычная фишинговая атака рассылается массово, атаки направленного фишинга (spear phishing) проводятся против конкретных субъектов.

Spear phishing

В настоящее время растет процентная доля целевых фишинговых атак, организуемых через рассылку писем по электронной почте, в которых можно выделить конкретную организацию или группу лиц. Целевые пользователи получают тщательно разработанные фишинговые сообщения, заставляющие человека вводить конфиденциальные персональные сведения – типа логина и пароля, которые дают доступ к корпоративным сетям или базам данных с важнейшей информацией. Помимо запрашивания учетных данных, целевые фишинговые письма могут также содержать вредоносное ПО.

Направленный фишинг стал самым распространенным типом таргетированной атаки по одной простой причине: эта техника по-настоящему работает, вводя в заблуждение даже тех пользователей, которые серьезно подходят к вопросам безопасности. Она создает для хакеров опорный пункт для проникновения в корпоративную сеть. По данным исследования Check Point, проведенного среди более 10 тысяч организаций по всему миру, в 84% из них за последние 12 месяцев был скачан хотя бы один зараженный документ. Это происходит потому, что злоумышленнику достаточно просто получить представление о компании или о конкретных ее сотрудниках в сети Интернет, а затем написать такое письмо, которое побудит даже самого бдительного работника открыть вредоносное вложение и тем самым инициировать хакерскую атаку.

Цели атаки

Для определения списка целей злоумышленники могут воспользоваться несколькими путями:
  • получить список сотрудников с сайта (уровень доверия информации - очень высокий);
  • получить список сотрудников с помощью социотехнических техник - звонок или обращение по почте (уровень доверия информации - очень высокий);
  • получить ФИО из метаданных документов, размещенных на сайте (уровень доверия информации - высокий);
  • linkedin (уровень доверия информации - средний);
  • пропарсить соцсети (уровень доверия информации - низкий).
Чем выше уровень доверия информации, тем выше вероятность того что этот субъект напрямую связан с интересующей организацией.

После предварительного сбора списка вероятных сотрудников организации производится сбор данных об их сфере деятельности, зонах ответственности и горизонтальных связях. Также производится поиск точки входа для проведения атаки на выбранных субъектов. После анализа полученной информации можно составлять сценарий атаки.

Психология атаки

Нацеленная фишинговая атака всегда содержит проработанные социотехнические методы и приемы манипулирования человеческим сознанием.
С точки зрения психологии атака методами социальной инженерии всегда идет в обход аналитических инструментов разума. Она действует преимущественно на уровне эмоциональной сферы, привычно подавляемой у большинства людей, занятых умственным трудом. Именно поэтому приемы социальной инженерии часто завершаются успехом даже в том случае, когда интеллект атакующего заметно ниже, чем у жертвы.

Высокий IQ мало препятствует обману, поскольку методы СИ бьют по шаблонам поведения, глубинным страхам и выработанным под давлением микросоциума приспособительным рефлексам. Чтобы развитый блок критического восприятия жертвы не мешал атаке, его просто перегружают потоком данных, переключая на анализ второстепенной информации, или используют фактор срочности, чтобы отключить вовсе и заставить действовать необдуманно. Все это похоже на атаку ключевых узлов нейросети.

Один из базовых приемов социальной инженерии- создание дефицита времени, некое событие, на которое жертва должна среагировать немедленно. Срочные решения сложно принимать именно потому, что приходится действовать в условиях нехватки достоверной информации. В таких ситуациях некогда советоваться и проверять все сообщенные атакующим данные, поэтому жертва начинает действовать, руководствуясь сильными чувствами: желанием помочь, стремлением получить признание или поскорее отделаться от неожиданной проблемы. Также часто удается сыграть на жажде легкой наживы, страхе потерять деньги, работу, результаты труда или репутацию.

Жертве могут сказать в лоб, что ситуация срочная, или позволить ей самостоятельно прийти к такому выводу. Второе эффективнее, так как для человека это будет собственная мысль, которая не вызывает сомнений. Именно на нее он будет опираться в своих минимальных рассуждениях, все больше проникаясь доверием к услышанной легенде.

Пример

Объект атаки организация ООО «Ромашка». С сайта компании получены данные о руководителе компании, секретаре и системном администраторе. С помощью телефонного звонка было выяснено ФИО и email главного бухгалтера. Из базы данных ОГРН/ЕГРЮЛ были получены полные реквизиты компании.

Объектами атаки выбраны главный бухгалтер и секретарь, под которых были задействованы следующие сценарии атаки (вектор - электронная почта):
Главный бухгалтер:

  • От: нейтральный адрес, типа %surname%%birthyear%@mail.ru
  • Тема письма: FWD акт сверки
  • Текст письма: Добрый день, ФИО. Согласно предварительной договоренности высылаю акт сверки.
  • Приложение: Акт сверки ООО Ромашка.xls
Секретарь:
  • От: [email protected] (поддельный адрес)
  • Тема письма: Исковое заявление о взыскании долга
  • В Арбитражный суд г. Москвы подано исковое заявление №23401-16 о взыскании долга с ООО «Ромашка», ЕГРЮЛ: ХХХХХХХХХХХХ, ИНН: ХХХХХХХХХХХ, Юридический адрес:, свидетельство о регистрации: ХХХХХХ на основании искового заявления контрагента по взысканию задолженности за оказанные услуги.
  • Исковые требования:
  • В соответствии со ст. 395 ГК РФ за пользование чужими денежными средствами вследствие их неправомерного удержания, уклонения от их возврата, иной просрочки в их уплате либо неосновательного получения или сбережения за счет другого лица подлежат уплате проценты на сумму этих средств.
  • Приложение: судебное решение 23401-16.docx
Атакующим средством может послужить т.н. офисный бэкдор . Системного администратора в момент атаки можно «занять» атакой на сетевой периметр, DoS/DDoS атакой сайта и т.д.

Тренинг персонала

Во многих компаниях проводятся тренинги по повышению осведомленности персонала к социотехническим атакам.

Технические меры защиты от фишинга, такие как фильтрация и анализ почтового/веб трафика, ограничение программной среды, запрет запуска вложений - весьма эффективны, но они не могут противостоять новым угрозам и, что более важно, не могут противостоять человеческой глупости любознательности и лени. Бывали случаи, когда пользователь, будучи не в состоянии открыть/запустить вредоносное содержимое на рабочем месте пересылал его на свой домашний компьютер и запускал, со всеми вытекающими… Поэтому, какую бы основательной не была система технической защиты - не стоит забывать про такой важный фактор как обучение пользователя.

Периодические инструктажи и информационные рассылки являются важной составляющей обучения персонала, но, как показывает практика, их эффективность значительно ниже, нежели обучение сотрудников на собственных ошибках, учитывая фактор вовлеченности в процесс.

Простейшая система, позволяющая провести тестирование и тренинг персонала по выявлению фишинговых атак выглядит следующим образом:

  • Подготовка сценария и шаблонов писем;
  • Рассылка фишинговых писем пользователям;
  • Перенаправление отреагировавших пользователей на специализированную страницу с предупреждением;
  • Статистический учет эффективности атаки.


Скриншот «уведомляющей» страницы, сгенерированный фреймворком sptoolkit. В настоящий момент проект заморожен.

Для облегчения такого рода «учений» можно воспользоваться специализированным фреймворком gophish. Существуют и другие утилиты для облегчения задачи социоинженеру, например setoolkit, но они обладают избыточным функционалом и предназначены скорее для активной атаки. Также есть несколько онлайн сервисов, но они, в основном, англоязычные и не подходят для использования среди русскоговорящих целей фишинговой компании.

Gopgish - мультиплатформенный фреймворк с удобным веб-интерфейсом и простейшим развертыванием. Этот фреймворк разработан на Golang и вероятнее всего не заработает на шаред-хостинге, имейте это ввиду.

С его помощью можно создать фишинговую компанию для определенной группы пользователей:

На фишинговой странице можно «собирать» введенные пользователями данные:

После проведения компании можно оценить её эффективность:

Меры предосторожности

В качестве мер защиты необходимо установить контроль за почтовыми вложениями и ссылками, проводить тренинги с персоналом о наличии новых угроз, соблюдать меры предосторожности и уведомлять о всех подозрительных случаях технический персонал.
Статьи

Рубрика: Образование
Поделиться