исследования «СёрчИнформ», с начала 2017 года каждая четвертая кредитно-финансовая организация в России столкнулась с утечкой данных. Причем в 61% случаев конфиденциальную информацию пытались украсть рядовые сотрудники.
Угроза смешанного типа
Внешняя атака, особенно сложная, чаще всего невозможна без участия внутреннего сообщника с легальным доступом к корпоративной инфраструктуре. Чаще всего сотрудники помогают преступникам из меркантильных соображений. Однако пара «хакер – инсайдер» отнюдь не всегда образуется на добровольных началах. Злоумышленники прибегают к методам социальной инженерии, чтобы превратить сотрудника в невольного соучастника преступной схемы. Чаще всего используется фишинг: преступники обманом убеждают жертву перейти по ссылке или открыть вложение к письму, тем самым запустив вредоносное ПО. Кроме того, используется «подмена личности» – преступник действует якобы от имени партнера или известного жертве игрока.
Старый новый фишинг
Два года назад в России стала набирать силу тенденция, в рамках которой киберпреступники атакуют сами банки, а не клиентов. Распространенный вариант атаки – письма с трояном. Пользователь открывает письмо и запускает зараженное вложение, злоумышленник проникает в сеть, получает доступ к корсчету и отправляет платежное поручение.
Фишинг для взлома банковских систем использовала хакерская группировка Anunak, атаковавшая более 50 банков и пять платежных систем в России и странах бывшего СССР. За неполные два года преступники похитили около миллиарда рублей.
Сбербанк разослал «учебное» фишинговое письмо от имени Германа Грефа, которое открыли 80% сотрудников
Не так давно Сбербанк разослал «учебное» фишинговое письмо от имени Германа Грефа, которое открыли 80% сотрудников. Фокус на фишинге не случаен. Эта техника социального взлома давно известна и хорошо изучена, но все еще востребована у злоумышленников.
Эксперты Google и Калифорнийского университета в Беркли представили итоги исследования, согласно которым фишинг возглавляет тройку наибольших угроз для пользователей. Авторы исследования изучили массив данных, включая учетные записи и пароли, украденные с помощью кейлоггеров, полученные методами фишинга и скомпрометированные в результате утечек. Исследователи пришли к выводу, что вероятность удачного взлома учетной записи жертвы фишинга в 400 раз выше, чем учетной записи случайного пользователя Google.
Опасность фишинга еще и в том, что метод постоянно трансформируется. Команда PhishMe обратила внимание на новую технику атак – селфи с документами. Нестандартная фишинговая кампания была нацелена на пользователей PayPal. Архитекторы атаки вели жертв на поддельный сайт платежной системы и предлагали «верифицировать аккаунт»: предоставить адрес, реквизиты банковской карты и фотографии с удостоверением личности в руках.
Жертвами и объектами манипуляций сотрудники становятся вне зависимости от уровня компьютерной грамотности или позиции в банке
Жертвами социальной инженерии и объектами преступных манипуляций сотрудники становятся вне зависимости от уровня компьютерной грамотности или позиции в банке. Еще семь лет назад ИБ-специалист проанализировал базу спам-фильтра своей компании и обнаружил, что «письма счастья» охотно рассылали сотрудники различного ранга. Среди отправителей значились главный специалист отдела учета внутрибанковских операций, финансовый аналитик и замдиректора по экономике и финансам, а среди компаний – ВТБ 24, «Открытие», «ЛУКОЙЛ» и «Газпром». Безобидные, на первый взгляд, «письма счастья» несут скрытую угрозу. С их помощью социальные инженеры прощупывают почву: ищут потенциально ненадежных и легко поддающихся влиянию сотрудников.
Открытая вербовка
Если повлиять на сотрудника нелегко, в ход идут другие методы, с помощью которых мошенники превращают сотрудников банков в сообщников. Например, открытая вербовка. По словам заместителя начальника Главного управления безопасности и защиты информации Банка России Артема Сычева, преступников прежде всего интересуют банковские специалисты, которые в силу должностных полномочий влияют на принятие решений, в том числе и в сфере информационной безопасности.
Согласно отчету о монетизации инсайдерской деятельности в «темном» Интернете, начиная с 2015 года в течение 12 месяцев объем переписки профессиональных мошенников с инсайдерами в «темной» Паутине удвоился. Пик пришелся на конец 2016 года. На досках объявлений ищут кассиров с доступом к данным банковских карт, сотрудников, готовых открыть доступ в IT-систему, или просят назвать имена коллег, которых можно шантажировать. На форумах активно обсуждают инсайдерскую торговлю.
Профессиональный мошенник объясняет сотруднику алгоритм действий и обещает семизначную сумму
В примерах переписок, приведенных в исследовании, профессиональный мошенник объясняет сотруднику алгоритм действий и обещает семизначную сумму за обеспечение долгосрочного доступа к компьютерам, через которые осуществляется управление учетными записями и обрабатываются банковские переводы.
Легкость, с которой обычные пользователи попадают в «темный» Интернет, означает, что масштабы вербовки будут увеличиваться. Эксперты предупреждают о взрывном росте инсайдерских угроз в ближайшем будущем.
Шантаж
Вербовка сотрудников нередко сопровождается шантажом. Нацеленные на взлом банков мошенники в отличие от классических шантажистов требуют не денежный выкуп, а данные рабочей учетной записи или связку «логин – пароль» от корпоративного почтового ящика.
Компромат мошенники ищут в ранее украденных базах данных и социальных сетях. В Интернете доступны десятки бесплатных парсеров для сбора информации из соцсети «ВКонтакте», включая непубличную личную информацию, лайки, комментарии, членство в закрытых группах, участие в голосованиях, аккаунты в других социальных сетях. Платные версии позволяют узнать еще больше, а стоят от нескольких сотен до нескольких тысяч рублей.
Более изощренный способ заключается в том, чтобы «имплантировать» в ПК жертвы программу-шпион для сбора информации. Первый троян, использующий методы социальной инженерии для сбора компрометирующих сведений, обнаружили исследователи из Diskin Advanced Technologies в середине 2016 года. Вредоносное ПО распространялось через игровые площадки и сайты «для взрослых». Оказавшись на компьютере жертвы, троян в том числе включал веб-камеру, чтобы записывать видео без ведома пользователя.
Страховка от инсайдеров
Технические средства помогут взять под контроль каналы коммуникации: корпоративную почту, мессенджеры, съемные устройства хранения. Например, на возможную проблему укажет взрывной рост количества сообщений между двумя пользователями, не связанными рабочими отношениями. Сигналом тревоги для службы безопасности станут и попытки сотрудников получить доступ к конфиденциальной информации в обход правил, и регулярное присутствие на рабочем месте в нерабочие часы без веских причин.
Сотрудники с финансовыми проблемами, алкогольной, наркотической или игровой зависимостью, нелояльным отношением к начальству легче поддаются манипуляциям
Чтобы застраховаться от последствий социальной инженерии, ИБ-специалисты самостоятельно формируют так называемые группы риска. Сотрудники с финансовыми проблемами, алкогольной, наркотической или игровой зависимостью, нелояльным отношением к начальству легче поддаются манипуляциям, потому их действия требуют более тщательного контроля.
В группу риска выделяют и сотрудников, посещающих специализированные ресурсы, например с инструкциями по обходу блокировок или руководством по использованию Tor. Маркерами подозрительного поведения служат поисковые запросы типа «как открыть удаленный доступ к ПК» или «как определить факт контроля».
Помогают предвосхищать инциденты нетехнические средства, в первую очередь – обучение персонала правилам ИБ. Например, после экспериментальной фишинговой рассылки Сбербанк создал обучающую игру для сотрудников. И в течение года количество реагирующих на подобные сообщения снизилось до нескольких процентов.
Все отчетливее видно, что самое слабое звено – человек
В финансовой сфере подход к безопасности давно сформировался: банки не жалеют денег на защиту, используют передовые разработки с элементами искусственного интеллекта и машинного обучения, внимательно относятся к актуальным угрозам. Технологии совершенствуются, и обмануть машину становится все сложнее. На этом фоне все отчетливее видно, что самое слабое звено – человек.
Проблема в том, что только 18% компаний (результаты опроса Gartner) реализуют стратегию защиты от внутренних угроз и обнаружения инсайдеров, вольных или невольных. Специалисты рекомендуют воспитывать культуру поведения пользователей, обучать сотрудников правилам информационной безопасности и настаивать на последовательном исполнении корпоративной политики.
Во время обучения и тестирования системы на сопротивляемость «социальному взлому» важно учитывать одну важную деталь. «Просвещая» пользователей о методах работы хакеров, следует избегать разглашения внутренних ИБ-практик. Чем меньше сотрудник знает о способах защиты, тем защита эффективнее. Пользователю просто нечего будет сообщить злоумышленнику как добровольно, так и под давлением.