Чтобы подвести ИБ-итоги 2021 года я решил посмотреть на актуальные угрозы с точки зрения того, насколько они массовые и часто встречаются. Для пользователей и бизнеса актуальной угрозой по-прежнему остается мошенничество с вымоганием денег, персональных и платежных данных. Только теперь злоумышленники играют по новым сценариям.
Актуальные угрозы для обычных людей
В 2021 мошенники продолжают использовать социальную инженерию для выманивания денег, только схемы приобретают причудливые формы. К примеру, как только россияне стали настороженно относиться к звонкам от «служб безопасности банков», злоумышленники решили представляться работниками правоохранительных органов. Даже у подкованных иногда не хватало знаний «распознать» мошенничество, ведь мошенники атаковали по самым разным каналам – через сайты и по телефону. Пока что им проще обманывать людей напрямую и по старинке, поэтому простых телефонных атак по-прежнему много.
Преступники продолжают использовать каждый информационный повод, чтобы обмануть пользователей: волну ввода QR-кодов, выплаты, услуги и прочее. Мы сами фиксировали всплеск фишинговых ипотечных сайтов на фоне продления программы льготной ипотеки и фейковые выплаты жертвам мошенничества якобы от лица «Газпрома». Также наблюдали рост доменов, мимикрирующих под сайт Газпрома – тогда россиянам предлагали прибыльно продавать газ за границу, примечательно, что мошенники даже использовали рекламу в Google и в Youtube, чтобы привлечь внимание к фейковым сайтам. А перед началом отопительного сезона в рунете появилось несколько десятков мошеннических сайтов, названия которых были похожи на названия сайтов московских энергетических компаний. Большинство таких фишинговых сайтов собирали пользовательские данные для перепродажи и наполнения ранее собранных баз.
В первую очередь мошенники рассчитывают на невнимательных пользователей, которые не могут отличить фишинговые сайты от не фишинговых и не понимают, как преступники могут использовать их данные, оставленные на таких сомнительных сайтах.
Что касается принципиально новых видов атак, то отнесу к ним атаки на голосовых помощников. Чат-боты, голосовые помощники и ассистенты стали инструментом, с помощью которого мошенникам удается получать информацию о пользователях. К примеру, в крупном банке произошел случай: мошенники звонили с номера жертвы, подменяя его, затем их приветствовал голосовой помощник сразу по имени-отчеству, предлагал выполнить некоторые действия, а потом предоставлял мошенникам всю информацию по остатку по счету пользователя. После того, как злоумышленникам становилось известно, какими суммами располагает жертва, звонили уже ей, применяя методы социальной инженерии.
Я бы присматривался к этому направлению мошенничества, оно имеет шансы на рост из-за того, что бот-сервисов становится все больше. Голосовых помощников разрабатывают люди, закладывая в сценарий их работы определенную логику, и иногда сценарий задан некорректно – тогда мошенники могут воспользоваться этими «пробоинами».
Актуальные угрозы для бизнеса
В 2021 году удаленка уже не вызывает паники, часть сотрудников вернулись в офисы, но всё же многие компании решили оставить сотрудников работать из дома. Проблема в том, что многие до сих пор не прописали регламенты работы на удаленке, а дома риски пострадать от атак, даже простых, гораздо выше.
В 2021 году в бизнесе угрозы остаются базовыми: либо это взлом, либо атака через фишинговые рассылки. И последнее целиком зависит от человеческого фактора. Более 70% сотрудников российских компаний уязвимы перед фишинговыми письмами. Работники открывают мошеннические письма и заражают инфраструктуру компании вирусами-шифровальщиками. Злоумышленники не только шифруют данные, но и требуют за них выкуп. Если компания выкуп не платит, то украденные данные опубликуют в открытом доступе. Но тенденция показывает, что даже если выкуп все-таки выплачивают – мошенники всё равно сливают украденное в Интернет. Технической защиты от фишинговых атак не существует, поэтому вопрос обучения сотрудников основам киберграмотности встает острее. Мы сами в ходе нашего курса обучили уже больше 20 тысяч госслужащих.
Чего ожидать
В 2022 году тенденция на атаки с помощью методов социальной инженерии в целом сохранится, и популярность подобных технологий не упадёт из-за соотношения эффективности и дешевизны атаки. Любой новый информационный повод будет побуждать злоумышленников создавать фишинговые сайты и придумывать новые сценарии для атак. Поэтому можно прогнозировать волны атак, например, к ближайшему киберпонедельнику или к распродажам на 8 марта и 23 февраля.
Атаки с использованием технологий deepfake будут усложняться и изменяться. Deepfake выйдут на новый уровень с точки зрения формирования виртуальной личности, неотличимой от человеческой, поэтому призываем учиться их распознавать. Еще в прошлом году с помощью технологии злоумышленники атаковали компанию, тогда руководителю компании позвонил его «коллега» и попросил оплатить счет за несуществующую услугу. Пока в 2021 году были только штучные инциденты с deepfake, но о какой-то тенденции говорить пока рано. Для мошенников создавать высокотехнологичные подделки видео и голоса – дорого и трудозатратно. Но уже понятно, что точечные атаки с помощью фейков наиболее опасны для бизнеса и знаменитых людей.
По-прежнему вызывают опасения создание больших баз биометрии, без ужесточения ответственности при обработке такой информации риски утечек «лиц», «отпечатков» и «роговиц глаз» могут быть катастрофичными для пользователей. Подобных законов в 2021 году не появилось.
Пока мы видим, что государство озадачено попытками решить наиболее громкую проблему – социальной инженерии. В 2021 году появились инициативы, которые должны оградить граждан от потери денег, часть из них получит воплощение в 2022-м.
Так, 1 декабря 2021 года вступил в силу закон о блокировке операторами связи звонков и SMS-сообщений из-за рубежа в Россию по подменным номерам. Да и уровень мгновенных финансовых операций в России настолько вырос, что Центробанк предложил внести изменения в систему возврата денежных средств и переводов между счетами. Но вместе с нововведениями пользователям придется отказаться от уже привычной простоты денежных переводов. К примеру, согласно еще одной инициативе ЦБ, россиянам дадут возможность добровольно отказаться от дистанционных банковских услуг. Будем наблюдать, как это повлияет на количество пострадавших от мошенничества.
Что касается бизнеса, нагрузка на службы информационной безопасности сейчас вырастает в разы, обеспеченность кадрами и защитными программами недостаточная. Поэтому будет расти тренд на различного рода MSSP-модели решения проблем: аутсорсинг в чистом виде, облачное разворачивание решений, подписки на защитное ПО. Уже есть тренд, и будет нарастать, на появление центров компетенций, информационной безопасности, а также киберполигонов, на которых будут имитироваться атаки и способы защиты от них. Мой прогноз, что эти полигоны будут создаваться и развиваться в формате государственно-частного партнерства.
Что еще заметно, так это то, что «удаленка», наконец, сформировала для всех нас тренд на повышение осведомленности и ИБ-грамотности. Я вижу запрос на повышение киберграмотности и считаю, что позже этот запрос приведет к тому, что сформируется системный подход к обучению граждан основам ИБ-культуры. К примеру, Минцифры опубликовало проект правил на предоставление субсидий на разработку и реализацию программ для повышения ИБ-грамотности населения.
Подпишитесь на нашу рассылку и получите
свод правил информационной безопасности
для сотрудников в шуточных