Фишинги, трояны, DDoS-атаки: как Татарстан адаптируется к новым реалиям кибербезопасности

«С начала этого года мы ощутили рост сообщений в соцсетях и Telegram-каналах о различных утечках информации»

Вебинар «Точка невозврата» прошел в преддверии международного осеннего форума Kazan Digital Week. Руководитель группы аналитики Центра предотвращения киберугроз CyberART Ксения Рысаева начала рассказ с того, как эксперты в Татарстане моделируют поведение киберпреступников.

По ее словам, сегодня перед специалистами, ответственными за ИТ-инфраструктуру, стоит непростая задача по обеспечению киберустойчивости. К тому же она осложняется уходом с российского рынка зарубежных вендоров, дефицитом кадров, нарушением цепочек поставок оборудования и пристальным вниманием со стороны недружественных стран. Новая реальность требует от государства и бизнеса гибкости, быстрой реакции и принятия нестандартных решений.

Ксения Рысаева отметила, что цели хакерских атак в 2022 году были расширены. Если раньше СМИ довольно редко подвергалось атакам, то в этом году они участились. В целом целями хакеров в этом году стали сайты госучреждений и порталы услуг, органов госвласти, крупные предприятия, университеты и СМИ.

«Все мы помним DDoS-атаки на порталы госучреждений и сайты госуслуг, на университеты. Я думаю, в особенности это заметили абитуриенты, которые пытались создать заявку», — уточнила спикер.

По словам Рысаевой, с начала 2022 года в России произошло более 30 утечек данных. «С начала этого года мы ощутили рост сообщений в соцсетях и Telegram-каналах о различных утечках информации. Произошли утечки данных „Яндекс.Еды“, „Почты России“, „Деливери клаба“, СДЭКа и еще у ряда крупных компаний», — отметила докладчик.

Ксения Рысаева пояснила, что основную угрозу кибербезопасности сегодня представляют следующие факторы. Это вирусы и вредоносное программное обеспечение, хакер-группы и энтузиасты, недобросовестная конкуренция, внутренние злоумышленники (инсайдеры), иностранные спецслужбы.

«Из хакерских групп самая популярная на сегодняшний день – „IT-армия Украины“, которая публикует инструкции, как совершать атаки. Цель инсайдеров — перевести людей на „темную сторону“. Эта ситуация возникла после 24 февраля», — отметила специалист.

Мотивами хакеров являются нанесение финансового ущерба, хактивизм, нанесение репутационного ущерба, challenge (когда хакеры, по словам докладчика, атакуют «по приколу»).

На первом месте среди самых распространенных типов атак остается DDoS-атака, которая направлена на вычислительную систему с целью довести ее до отказа. На втором — подмена содержимого информационного ресурса и размещения на нем какого-либо вызывающего сообщения с целью пропаганды и нанесения репутационного ущерба владельцу. Популярностью пользуется внедрение вредоносного ПО в информационную систему организаций для проникновения в инфраструктуру либо осуществления деструктивных действий. Для внедрения ПО злоумышленники используют метод социальной инженерии, отправляя жертвам электронные фишинговые письма, содержащие вредоносные вложения. Их цель — кража учетных данных.

«Самый яркий инцидент был связан с атакой на „Мираторг“, когда хакеры атаковали информационные ресурсы мясного холдинга, нарушив деятельность некоторых его предприятий. Об этом стало известно в марте этого года. Для атаки был использован „Троян“, который шифрует файлы в дисковой системе зараженных компьютеров. В результате содержащиеся в компьютере данные невозможно прочесть и использовать», — сообщила специалист.

Мошенники рассылают счета, квитанции, договоры с поддельными реквизитами

Отвечая на вопросы зрителей, Ксения Рысаева подняла тему, насколько быстро блокируются фейковые страницы и в какой степени владельцы сайтов заинтересованы в сотрудничестве.

«Насколько быстро — зависит от владельцев сайтов: иногда они не слишком заинтересованы. Фейковые страницы продолжают свое существование, однако мы видим, что в последнее время владельцы начали погружаться в информационную безопасность, блокируют фейковые страницы. Но как быстро они их блокируют, так же быстро они появляются вновь. Это такой процесс: кто быстрее и больше успеет», — отметила спикер.

Замруководителя центра предотвращения киберугроз CyberART ГК Innostag Максим Акимов дополнил, что специалисты отслеживают поддельные фишинговые сайты, информируют о них заказчиков, но вопрос осложняется взаимодействием нескольких структур по блокировке сайтов.

«Можно обратиться в Роскомнадзор, у них есть специальная форма для обращения, можно в Национальный координационный центр по компьютерным инцидентам, но самое действенное — это обращаться к регистратору домена. Гораздо сложнее, если регистраторы не российские. Самое главное, необходимо доказать, что страница фейковая, угрожает репутации и причиняет вред. Регистратор не всегда идет навстречу. Если Роскомнадзор заблокирует страницу, то блокировку можно обойти через VPN или proxy, и люди сами становятся жертвами из-за того, что не отключают VPN и переходят по ссылкам», — предупредил он.

В качестве примера Максим Акимов привел ситуацию, когда мошенники рассылали от имени заказчиков счета, квитанции, договоры с поддельными реквизитами. «У нас стоит мониторинг, мы выявили этот фишинговый сайт. Однако практика пока показывает, что за один день этот вопрос решить не удается», — отметил он.

Руководитель группы аналитики Ксения Рысаева добавила, что зачастую практикуется создание фейковых страничек в социальных сетях. «Буквально вчера была создана страничка моей знакомой, и там была информация о биткоинах. Я написала ей, спросила, твоя ли эта страница. Она опровергла и попросила меня „пожаловаться“. Такие методы в соцсетях тоже стали популярными», — отметила Ксения Рысаева.

Также эксперт посоветовала руководителям компаний и организаций системно проводить учения с фишинговыми рассылками, чтобы знать процент сотрудников, которые не следуют принципу Zero Trust («нулевое доверие»), а заодно покажут уровень цифровой грамотности работников и нужно ли его повышать.

Никогда не отвечайте «да» незнакомому номеру

В новых реалиях кибербезопасности необходимо соблюдать концепцию Zero Trust («нулевое доверие»), которая по своей сути означает полное отсутствие каких-либо доверенных зон. Ксения Рысаева дала ряд советов жителям Татарстана, как не попасться на удочку мошенников.

По ее словам, многие люди хранят банковские данные в браузерах или приложениях. С одной стороны, это упрощает процесс заказов и покупок в интернет-магазинах, когда не нужно тратить время на ввод информации, однако это небезопасно.

«У меня так: окно в режиме „инкогнито“, ввожу свои данные и, естественно, не сохраняю их в браузере. Это требует времени, но так я чувствую себя более защищенной», — рассказала о своем опыте специалист.

Спикер также посоветовала обращать внимание на адреса сайтов: даже одна буква, один символ может считаться за фишинговый (поддельный) сайт. Также необходимо смотреть на дизайн сайта. Несмотря на то что злоумышленники хорошо копируют стиль сайта, некие подозрительные детали все же можно выделить.

Еще один важный момент: при звонках с незнакомых номеров важно не говорить «да». Звонившие могут называть себя представителями банков, сотрудниками МВД, ФСБ и т.д. «Я заменяю „да“ синонимами. Есть такая предпосылка, что голос могут записать, ведь сейчас у нас везде есть биометрические данные, и использовать эту фразу „да“ в своих целях», — рассказала Рысаева.

«Если вам позвонили с незнакомого номера от какой-либо организации, лучше найти номер этой организации в интернете и позвонить им, спросить, действительно ли был звонок и с какой целью. Также если вы получаете письма или сообщения от своих коллег, родственников, друзей с просьбой „скинуть деньги“, то лучше переспросите у них самих по другим каналам. Допустим, если вам написали в соцсети „ВКонтакте“, позвоните, спросите, действительно ли это он написал», — посоветовала она.

Новый вид мошенничества с «промокодами» на кредитках

Жертвами злоумышленников в Сети становятся люди всех возрастов. Совсем недавно мошенники разработали свежую схему, как заполучить данные карт владельцев через их детей.

По словам Максима Акимова, среди злоумышленников эта тема «выстрелила» недавно, и, как правило, ее жертвами становятся дети, которые много времени проводят в виртуальном пространстве.

«Публикуется сообщение в Telegram-каналах, где говорится, что если у ваших родителей есть такие карты, и, соответственно, прилагается фотография кредитной карты, то поздравляем — эта карта с промокодом. Чтобы забрать промокод, нужно тихо взять карту у родителей, сфотографировать с двух сторон, чтобы все циферки было видно. Как только скинете, вам придет промокод, вы его введете и получите premium-доступ», — объяснил схему действия злоумышленников эксперт.

Спикер отмечает, что тема актуальная и продолжает набирать обороты. «Надо заниматься с детьми, донести до них хотя бы минимум знаний в области информационной безопасности. И на самом деле, это касается не только детей, но и людей любого возраста, в том числе пожилых», — посоветовал эксперт.