Trend Micro составила список трендов киберпреступности, и выглядит он неоднозначно. В одном ряду оказались очевидно перспективный DeepFake и давно ставший общим местом Malware-as-a-Service. Но чего действительно стоит ждать? Разберем по порядку – от наименее до наиболее актуальных тенденций.

(Дисклеймер: рейтинг субъективный и может не совпадать с мнением коллег).

5. Самый сомнительный пункт списка – массовый переход на блокчейн для сделок в дарквебе. Авторы оригинального исследования утверждают, что с его помощью кибердельцы будут уходить от услуг администраторов, которые закладывают маржу с каждой купли-продажи на своих площадках. Как по мне, это противоречит сразу по двум «традициям» темной сети. Во-первых, анонимности. Все сильные стороны блокчейна не очень коррелируют с ней и не дают ту неуловимость, которую хотели бы иметь при сделках участники. Во-вторых, вере, что площадки выступают гарантом сделок. Репутация – главный их капитал, «кидать» клиентов им невыгодно. Да и в «белом» сегменте ничего лучше еще не придумали (вспомните Яндекс или Авито с услугой «безопасная сделка»). И вряд ли в ближайшем будущем от формата откажутся по обе стороны интернета.

4. MaaS (malware as a service) просто нельзя назвать новым трендом – первые предпосылки к его появлению звучали еще в нулевые, в 2012 году стали известны исходники Citadel – вредоноса с полным сервисом вполне традиционного для MaaS вида, на тот момент уже зрелого и популярного. Получается, идее уже как минимум с десяток лет. Недавно она пережила ренессанс, когда стали популярны вирусы-шифровальщики и услуги по их «сопровождению». Но и здесь сервисная модель – скорее рутина, чем прорывная новинка теневого рынка.

3. В уязвимости интернета вещей тоже, по большому счету, нет ничего нового. Но перчинку вносит стремительный переход на 5G. Логика простая: чем быстрее и доступнее интернет, тем больше устройств будут с ним работать. В то же самое время новые скорости доступа в сеть прибавят мощности атакам с использованием этих устройств (надеюсь, вы ещё не забыли Mirai?). Благо, уязвимости, как со стороны пользователей, так и производителей, в них давно известны. Сейчас дело за законодателями: если производителей гаджетов обяжут «обнулять» предустановленные логин и пароль после первого включения устройства, пользователям придется относиться к защите чуть серьезней. Но уже этот шаг избавит нас от кучи гаджетов с парами «admin:admin». Подобный закон уже приняли в Калифорнии, если опыт масштабировать, реальная опасность атак на IoT снизится.

2. Глобализация охватит первичное звено теневого рынка – сегмент взлома и продажи данных. Для покупателей тоже потихоньку стираются границы, но для многих типов «торгующихся» данных ограничения сохранятся. Например, информацию о пользователях арабских стран или Кореи невозможно выгодно реализовать, не зная особенностей местного рынка и менталитета – значит, покупать ее по-прежнему будут в основном локально. Территориальная привязка в даркнете до последнего сохранится для стран, где в ходу максимально отличные от латиницы системы письменности (например, иероглифы). Но и они откроются для глобальных продавцов – ведь технически нет разницы, с какой стороны границы «ломать» пользователей из нужной страны.

1. DeepFake – однозначный лидер любых прогнозов, и верю, что технология получит распространение: она доступна уже сейчас, и порог «входа» продолжает быстро снижаться. Уже говорят о нейросетях, которые способны сгенерировать фейк по одному кадру. Спрос на технологию огромный, как ей противостоять – пока неизвестно. Универсального рабочего инструмента борьбы нет, а предлагаемые варианты невыгодно отличаются от DeepFake и по качеству, и по трудности в реализации. Возможно, вскоре появится некий «Shazam» для видео, который будет распознавать «первоисточник» кадров. Его можно было бы поставить на вооружение крупным хостингам, чтобы автоматически банить фейковые ролики и новостные сюжеты. Но пока до этого далеко – скорее можно ожидать, что DeepFake будет популяризироваться и далее, пока не перейдёт условную черту, после которой государства спешно начнут действовать.

Еще о двух пунктах скажу отдельно, слишком они неоднозначные.

Во-первых, я с трудом верю в массовое клонирование SIM-карт. Но надеюсь, что угроза получит распространение. И тут никакого парадокса: чем быстрее атака станет популярной, тем скорее с ней начнут бороться. Пока большинство сервисов (особенно платежных) привязаны к двухфакторной авторизации, противопоставить свопингу нечего: онлайн-банкинг посчитает легитимной любую операцию, подтвержденную по смс. Доказать, что ее совершили мошенники, довольно сложно, а урон может быть весьма ощутимым. Вот яркий пример – на днях в Испании раскрыли группу хакеров, которые всего за несколько успешных атак с «клонированием» SIM-карт украли у жертв больше 500 тыс. евро. Распространение сдерживает только сложность в реализации схемы: нужно получить доступ к телефону, паспортным данным жертвы, ее учетке в онлайн-банкинге, плюс желательно заручиться помощью инсайдера у оператора связи и надежно скрыть следы. Поэтому метод непопулярен, а значит, банкам и телеком-операторам не с руки перестраивать процессы в пользу безопасности – переходить на многофакторную авторизацию или усложнять замену SIM-карт (хотя это стоило бы сделать всё равно).

Во-вторых, я не стал бы пророчить Африке и прочим развивающимся регионам пьедестал новых лидеров киберпреступности. Активность хакеров и мошенников повышается везде, куда приходят доступный интернет и дешевые гаджеты. Поэтому логично ждать глобального роста кибератак без территориальной привязки. Особенно если верить в успех проектов, которые обещают всему миру бесплатный скоростной доступ в Сеть (к примеру, Starlink Илона Маска). Так стоит ли точить пики в сторону Третьего мира, если опасность будет повсюду? 

Автор - Алексей Дрозд, начальник отдела ИБ «СёрчИнформ».