Дмитрий Борощук, исследователь IT-безопасности: «IT-система имеет одну уязвимость — человека»
В первом полугодии со счетов россиян, по данным ЦБ, было похищено около 4 млрд рублей. Мошенники активизировались в сферах онлайн-покупок и сервисов дистанционных услуг. О том, как меняется киберпреступность, рассказывает исследователь в сфере безопасности Дмитрий Борощук.
— Дмитрий, представляя себя на конференции по противодействию страховому мошенничеству, вы сказали, что за деньги клиентов занимаетесь «взломом» их систем безопасности. То есть находите уязвимости, которые предстоит устранить. Финансовые организации приходилось «взламывать»? Кто лучше защищен?
— Давайте начнем с того, что я занимаюсь не «взломом» как таковым, а поиском вероятных путей, которыми могут воспользоваться злоумышленники, чтобы нанести вред компании. И тут вопрос не только во внешних атаках условных хакеров — защищенность зависит от типов атак, которые могут провести злоумышленники, и информации, которую они могут получить.
По опыту могу сказать, что ни одна организация не является абсолютно защищенной.
— Можно ли сказать, что крупные финансовые организации более защищены?
— Нет, от размера компании защищенность не зависит. Она в большей степени зависит от заинтересованности владельцев компании в собственной безопасности. Для некоторых проблемы информационной безопасности вообще не существует до того момента, как наступает какой-то случай. И таких компаний достаточно много. К сожалению, они превалируют. По крайней мере, в России.
— Если составить условный рейтинг популярности взломов, какие войдут в первую тройку?
— На первом месте, разумеется, фишинг (на почту приходит письмо с внешне безобидным файлом или просьбой авторизоваться, пользователь открывает его и тем самым запускает вредоносный исполняемый код, который может скрытно собирать, изменять или уничтожать информацию о компании и ее сотрудниках, подготавливая тем самым почву для более серьезной атаки, например для автоматизированной кражи денежных средств. — Прим. ред.). Этот метод не требует конкретного взлома, атака наиболее простая в реализации, но эффективна с точки зрения КПД. На втором месте — рассылка вирусов-шифровальщиков. Эта атака не целевая, также рассылаются письма со встроенным вирусом, открыв которые человек запускает вирус в сеть, он шифрует содержимое жестких дисков на компьютерах компании. На третьем месте — вывод инсайдерами какой-то информации вовне с целью ее продажи.
Вывести непосредственно деньги — это более сложно и опасно для злоумышленников, чем украсть информацию: одно дело — перевести деньги со счета на счет, и совсем другое — вывести, чтобы потом обналичить и оставить при этом минимум следов. А торговля инсайдерской информацией, как то паспортные данные, номера счетов, — это наиболее популярная вещь в Darknet.
— То есть хакеры только воруют эту информацию, но самостоятельно ее не используют?
— Знаете, история про пресловутых хакеров больше маркетинговая. Если посмотреть на статистику, то хакеры, то есть люди с глубокими знаниями в определенных сферах, превалируют в случаях атак примерно в 5%. В остальных случаях действуют обычные мошенники, которые умеют пользоваться каким-то уже готовым инструментом. Называть их хакерами я бы постеснялся. Просто сейчас модно вуалировать любые вещи атаками хакеров: упал какой-то сервис — виноваты злобные хакеры, украли деньги со счета — тоже хакеры постарались. На самом деле всегда есть некая причинно-следственная связь: выгодополучатель, исполнитель, мотив. И тут не обязательно быть хакером, достаточно просто уметь использовать какой-то инструмент, например систему, которая позволяет рассылать вирусы-шифровальщики, или фишинговую платформу, которая рассылает письма от каких-то реальных сервисов. Используют их потому, что модель взаимодействия человека с различными аспектами его жизни по большей части перешла в «цифру» и других способов, кроме как использовать компьютер, планшет или телефон, попросту не осталось.
Офис дома, мошенники в гостях
— Пандемия ускорила переход продаж финансовых продуктов и услуг в онлайн. Мошеннические схемы как-то изменились?
— Да. Люди вышли из условно защищенного пространства офисов, которое делают сетевые специалисты компании, и осели в квартирах, домах или на дачах. И тот самый рубеж безопасности расширился на домашние компьютеры или рабочие, которые уже находятся не внутри предприятия, а вне его. Если посмотреть на статистику — значительно увеличилось количество фишинговых рассылок, причем массово начали красть учетные записи, как от личных страниц в соцсетях или почты, так и от корпоративных систем, в которых люди работают. И это, наверное, превалирует. Вторая угроза, которую мы наблюдаем, — это взлом роутеров. Та самая коробочка, которая без проводов раздает вам дома Интернет, — это вход в ваше личное информационное пространство, в котором «живут» телевизоры, компьютеры, у кого-то система «умный дом», видеокамеры. Если злоумышленник попадает внутрь вашей домашней сети, он может делать многое, что приведет к утечке важной информации.
— Как именно?
— Например, многие люди любят пользоваться недорогими видеонянями или камерами наблюдения, которые смотрят в «облако», а через него в телефоны владельцев. Получить к ним доступ очень легко, потому что люди элементарно не меняют стандартные пароли. Есть такой поисковый сервис Shodan — это аналог Google для Интернета вещей. Если сделать в нем целенаправленный запрос, например «посмотреть видеокамеры», то увидим массу видеокамер, которые либо без пароля вообще, либо со стандартными паролями типа admin12345. Можно легко слушать и видеть человека.
— И что это дает злоумышленнику?
— Существует масса способов навредить человеку, не крадя деньги с его счета. Доступ к видеокамерам дает возможность злоумышленнику узнать ваши привычки, имена детей, собак, хомячков и в дальнейшем это использовать, начиная от подбора пароля и заканчивая банальным шантажом.
— Кто чаще попадается на удочку кибермошенников: физлица или бизнес?
— Я бы не отделял физлиц от бизнеса, если они работают в бизнесе. Основной вектор атак — это человек, как наиболее простой и эффективный.
— В первом полугодии ЦБ зафиксировал более 360 тысяч несанкционированных операций в банках. В 80% случаев злоумышленники звонили пострадавшим якобы от лица различных финансовых структур. Допустим, у мошенников есть Ф. И. О. и номер банковской карты пользователя. Но ведь, чтобы списать деньги, нужен еще и телефон человека, на который банк присылает код подтверждения операции. Или мошенники уже научились перехватывать эти сообщения?
— Давайте разделим вопрос на две части. Первая — что может сделать условный грабитель, имея Ф. И. О., номера банковской карты клиента и телефона. Массовый способ мошенничества за последний год — звонки от мнимого кол-центра. Вам сообщают, что ваши деньги куда-то только что пытались перевести, и предлагают помощь. При этом мошенники оперируют данными, которые должны быть известны только банку. Это пример фишинга в реальной жизни: клиента банка подводят к тому, чтобы он вошел в систему и перевел деньги на какой-то, условно, «резервный» счет.
Вторая часть вопроса — можно ли перевести деньги, не имея доступа к телефону клиента. На самом деле получить к нему доступ проще, чем думают многие. Например, если телефон заражен RAT (инструмент удаленного управления), то есть в нем установлена программа удаленного доступа к телефону, она может перехватывать СМС и другие сообщения, показывать, на какие сайты вы заходите, и т. д. Попадает на телефон такая программа так же, как и любая другая: переходите по присланной кем-то ссылке, она вас куда-то перенаправляет, а в это время на телефон устанавливается программа. Кстати, в последнее время мнимые «кол-центры» предлагают клиентам банков поставить на телефон вполне легальную программу удаленного управления, например TeamViewer. Под предлогом того, что «не волнуйтесь, мы сейчас за вас все сделаем». Ну а дальше проводят за клиента определенные операции в его «Клиент — банке».
Еще один способ получить доступ к вашему телефону — перевыпустить вашу сим-карту под предлогом ее утери. Делается это по подложной копии паспорта, где на ваше фото наклеивается фото злоумышленника, и с привлечением менеджеров телефонной компании или сотового ретейла. Это редкие случаи, но они имеют место.
— Но ведь если сим-карту перевыпускают, то оригинал блокируют. Абонент же это заметит.
— Но у злоумышленников будет время, чтобы успеть списать деньги со счета. На это нужно 3—4 минуты.
О цифровых валютах
— Какие угрозы могут поджидать покупателя криптовалют?
— Его могут просто «кинуть». Криптовалюты находятся в сером правовом поле на территории России, и, как при любом новом явлении, человека легко обмануть. Это такая же история, как при обновлении внешнего вида купюр, когда мошенники стараются выдать свою подделку за новую валюту. С криптовалютами то же самое: можно обмануть при покупке, при обмене, обменять их по совершенно грабительскому курсу, да вариантов существует масса. Тут как с обычными деньгами. Методологически в схемах мошенничества никакой разницы нет.
— То есть неискушенному в этой сфере потребителю сложно себя обезопасить?
— Да.
— Как считаете, обрадуются кибермошенники появлению в перспективе цифрового рубля?
— Наверное, да. Появится новый способ обмана граждан.
— Что проще, на ваш взгляд, — украсть миллиард или уводить со счетов небольшие суммы, но часто?
— Небольшие суммы, потому что это малозаметно. Человек может просто не обратить внимания, что с его счета списали некрупную сумму. Кроме того, человеческая сущность такова, что если сумма списанных средств для него копеечная, он не станет связываться с полицией. Если рассматривать это явление как массовое, то удобно воровать маленькие суммы и много раз.
Преступление и наказание?
— Можете из своей практики привести самый яркий пример мошенничества?
— Пожалуй, когда собственника предприятия обманул его же главный бухгалтер. Это была многоходовая схема с появлением на предприятии нового главного бухгалтера, через какое-то время он инициировал замену системного администратора, естественно, на своего человека, таким образом они получили возможность, во-первых, увести деньги, во-вторых, скрыть следы этого преступления.
— Дмитрий, как проводятся расследования киберпреступлений?
— Я уже говорил, что киберпреступление больше маркетинговое понятие и сложно говорить, что существует специальная методика проведения расследования таких дел. Все зависит от желания пострадавшего заниматься этим. В России органы правопорядка пока не готовы к массовому расследованию подобных дел. Если у человека украли деньги с карты, а точнее, не украли, а он сам перевел их куда-то под воздействием мошенников, то чаще всего это заканчивается двумя словами: «сам виноват». Человек же сам перевел, никто его не заставлял это делать, а то, что его убедили это сделать, — ну, сам дурак.
Если говорить о крупных делах, то существуют частные компании, которые специализируются на расследовании таких дел, доводя их до финальной стадии. То есть либо находят причастного к киберпреступлению человека и передают его заказчику, либо готовят документы для суда. И тут тоже многое зависит от судьи и того, насколько он готов вникать в такие дела.
— Ежегодно со счетов россиян и бизнес-структур мошенники уводят миллиарды рублей. Почему возвратить удается лишь 10% от украденного?
— Хотя мы уже довольно плотно перешли в электронный формат денежных отношений, но мало дел доходит до суда — они разваливаются на стадии следствия, из-за отсутствия возможности найти концы. Квалифицированных кадров для расследования таких дел для силовых структур не готовят, хотя государство периодически говорит о необходимости такого обучения. Специализирующиеся на таких расследованиях частные структуры могут найти концы преступления и вычислить мошенника. Но что с ним делать дальше? Можно отдать его в руки полиции, но смогут ли они понять, что сделал мошенник, или будут его, условно говоря, «колоть» на чистосердечное признание? Если в отношении мошенника сам пострадавший будет применять силовые методы, то мошенник может написать на него заявление, и тогда потерпевший и виновник поменяются местами. Это вопрос несовершенства нашего законодательства.
Человеческий фактор
— Как много времени уходит на расследование кибермошенничества?
— По-разному. От нескольких дней до нескольких месяцев, иногда больше. Но в большинстве случаев я и моя команда в меньшей мере занимаемся расследованиями, а больше — профилактикой, проверками систем безопасности. Проводим проверки компаний после обучения персонала противодействию фишинговым атакам. С ними никак нельзя бороться, кроме как информированием людей о том, как это бывает и к чему приводит, и дальнейшей провокацией для «закрепления рефлекса». Для этого целенаправленно рассылаем фишинговые письма, которые после ввода человеком логина и пароля сообщают ему, что он только что открыл доступ к системе и помог обокрасть своего работодателя на крупную сумму денег. Или моделируем рейдерский захват и смотрим, как реагируют на него системный администратор, бухгалтер, коммерческий директор, линейный персонал.
Был у нас клиент, который сразу заявил, что у него все хорошо с безопасностью: вся бухгалтерия на удаленном сервере, у секретаря есть кнопка отключения электричества и обесточиваются все компьютеры, сотрудники знают, какие пароли «съедать», какие выбрасывать в окно. О предстоящей проверке знал только собственник компании, и, когда мы ее начали, оказалось, что тревожная кнопка, которая должна была отрубить систему, неизвестно у кого находится и кто должен на нее нажимать — неизвестно. Обесточивание системы не помогло, потому что в изъятом роутере с простым паролем находились пароли от VPN-сервисов и криптоключи. На компьютерах в бухгалтерии, где не должны были сохраняться документы, они сохранялись — ну это же удобно сохранить на своем диске, а не где-то там в «облаке». То есть можно было, просто изъяв оборудование, получить приостановку бизнеса и нанести вред компании — как финансовый, так и юридический, не говоря уже о репутационном.
— Почему собственник компании обратился за проверкой, если считал, что у него все хорошо?
— Скорее всего, он потратил крупную сумму на все эти мероприятия по безопасности, и ему хотелось убедиться в их эффективности. Можно ведь закопать в безопасность кучу денег, но это окажется бессмысленным. А можно потратить небольшие деньги, которые обезопасят процентов на 90 лучше, чем крупные коммерческие решения. Причина в том, что за любыми техническими решениями стоит человек, который ими управляет или настраивает. Если у него недостаточно компетенций, то все это бессмысленно.
— Какой бизнес чаще занимается выстраиванием систем безопасности?
— Средний. Он сейчас пытается выжить, несмотря на политическую и экономическую ситуацию. Крупный бизнес, как правило, достаточно бюрократичен, и, чтобы принять какие-то решения, нужно получить массу согласований. Если что-то случается, самая популярная отговорка, что виноваты злобные хакеры и давайте закопаем кучу денег в систему защиты от них. Для этого покупается «железо», к которому нужно потратить еще деньги, чтобы настроить его работу, потому что, к сожалению, волшебной кнопки «сделать все хорошо» не существует. А деньги заканчиваются быстро, и настраивать приходится сисадмину, который это «железо» первый раз в жизни видит. Через какое-то время все забывается, «железо» где-то пылится, условно защищая от хакеров.
— А самая уязвимая часть пользователей — это физлица?
— Они всегда были самой уязвимой частью, что в кибербезопасности, что в реальной жизни. Любой мошенник рассчитывает на незнание или некомпетентность своей цели. И здесь не имеет значения, как подойти: вживую, или через телефонную связь, или через компьютер с помощью почты, или через сайт, подделав на нем форму ввода данных о клиенте. Это все тот же самый мошенник, с определенным набором навыков, с помощью которых он воздействует на свою жертву. Человек может стать жертвой какой-то случайной атаки — например, атака вирусов-шифровальщиков в большинстве случаев нецелевая. Получилось — отлично, нет — ну и ладно. Возможна и целевая атака, когда в конкретного человека кидают фишинговые письма, пытаются взломать аккаунт. Но в большинстве случаев злоумышленники действуют наудачу, а не адресно.
Опасная биометрия
— Антивирусы способны защитить?
— Антивирус может показать, что вы заходите на опасный сайт, но психология человека такова, что когда он видит в браузере надпись «сайт может быть опасен», он все равно на него зайдет. И пока человеку не покажешь, чего он может лишиться, на практике, все будет бесполезно. Любая информационная система, какой бы защищенной она ни была, имеет одну большую уязвимость — человека. Если нет возможности взломать компьютерную систему, а чаще всего такой возможности нет, если соблюдены все условия обеспечения безопасности (шифрование, длинные пароли, многофакторная авторизация), то основным вектором атаки для злоумышленников будет человек, который знает пароль от этой системы. Поэтому большинство сервисов идут сейчас по пути, чтобы человек не знал идентификатор. Это многофакторная защита: первый — пароль, второй фактор — биометрия, третий фактор — какой-либо технический идентификатор. И не использовать их по отдельности, а только в некой системе. Тогда это будет способ, сильно ограничивающий неправомерный доступ.
Система банковской аутентификации постепенно идет в распознавание лиц. Хотя это тоже небезопасно в дешевых технологических решениях (а на тендерах чаще всего закупаются именно такие), потому что можно показать фото лица или видеозапись его в смартфоне и пройти аутентификацию. У меня есть знакомые девушки-сестры с разницей в пару лет, в «статике» на фото они сильно похожи, а в движении — разные. Но их телефоны считают, что это одно и то же лицо. Это как раз та история, с которой мы, скорее всего, столкнемся, если будут массово внедрять биометрию при операциях с деньгами.
— Но создатели проекта биометрии заверяли, что невозможно будет пройти идентификацию по фото или видео.
— Это будет в большей степени зависеть от вопроса внедрения. Вот у меня в ноутбуке система идентификации, как в iPhone, где на лицо проецируется красный светодиод в определенные точки и специальная инфракрасная камера это считывает. Отличная вещь. Если показать фотографию или видео с телефона с моим лицом, он не запустится. Но существуют и другие решения, как в недорогом телефоне китайского производителя, который не может делать трехмерную карту лица и поэтому пытается различить по фотографии, которую делает сам. А чтобы понять, что ему показывают не фото, а живого человека, нужно моргнуть или улыбнуться — это дополнительный фактор, чтобы доказать, что это не фейк. Но я могу таким же образом в камеру телефона показать и видео. А поскольку многие решения воплощаются, исходя из низкого ценника, то вся биометрия на первоначальном этапе будет нести риски. Дальше сложно прогнозировать, как будет: либо человечество откажется от такого способа идентификации, посчитав его недостаточно защищенным, либо будет вынуждено переходить на более дорогостоящие системы.
— Я сдала биометрию и теперь буду переживать.
— Не стоит. В России еще никто до конца не знает, как пользоваться биометрией. Все говорят, что это отличная вещь и сейчас уже начнем определять клиентов исключительно по биометрии, но завершенных защищенных решений просто не существует в природе. Биометрические данные собирают: образец голоса, отпечатки пальцев, образец лица в виде фотографии. Но фото — это немного иное, как я уже говорил выше.
Еще один серьезный вопрос, что эти данные практически никак не защищены внутри компании, которая занимается их обработкой. Это огромный вектор для утечек. Уже сейчас самыми частыми нарушителями являются сотрудники сотового ретейла и банков, продающие в Darknet детализацию действий клиентов. Около трети таких утечек — это телефонные номера, включая детализацию вызовов, и паспортные данные, поскольку их легко монетизировать. Из них мошенникам достаточно просто получить любую важную информацию о клиенте — отчет по вашим расходам и поступлениям на карту, например, стоит около 30 тысяч рублей.
— Это по расценкам Darknet?
— Да. Получить доступ к системе «Безопасный город» стоит около 25 тысяч рублей. Камеры на подъездах, конечно, не могут со стопроцентной точностью идентифицировать, что это условный Вася Пупкин, но, как только в систему загрузить фото «Василия», она покажет все места, где это лицо было зафиксировано.
— И как мошенники монетизируют эту информацию?
— В основном этим пользуются либо службы безопасности, либо детективы, если, например, стоит задача поймать неверного супруга. Монетизировать эту базу можно по-разному — например, шантажом. Определить места передвижения человека — сейчас это делается при помощи биллинга, который показывает каждый звонок и каждый сеанс соединения телефона с сетью, таким образом, легко проследить человека во времени и пространстве. И это проблема, потому что такая информация доступна работникам компаний. Компания просто не в состоянии проверять каждый сеанс запроса работником этой информации. А он может приторговывать ею.
— Способ хранения биометрических данных предусматривает, что запись голоса, фото и отпечатки хранятся в разных базах и они обезличены. Совместить их невозможно, по крайней мере, для мошенников, пожелавших украсть базы данных. В чем тогда угроза?
— Разбросанную по разным местам информацию можно получить, но это займет больше времени и больше затрат для мошенника или того, кто хочет ее получить. Тут вопрос, насколько в вас, как в цели, кто-то заинтересован, то есть что с вас можно получить. И это не обязательно деньги — это может быть способ влияния или шантажа и т. д.
Бессимптомная болезнь
— Дайте совет: если есть подозрения, что домашний компьютер или смартфон взломали, что делать? Звонить в банк, чтобы заблокировали счета, искать IT-специалиста, чтобы все починил, или обращаться в полицию?
— Однозначно в первую очередь в банк, чтобы заблокировать карточки и доступ в интернет-банк. А дальше все зависит от угрозы: если речь идет о бизнесе, то лучше нанять специалистов в сфере расследования и провести внешний аудит безопасности, а потом уже, в зависимости от того, украли что-то или нет, обращаться в полицию. Но в полицию лучше обращаться тогда, когда уже собрана доказательная база.
— Есть какие-то признаки, по которым можно определить, что компьютер взломан?
— Их может не быть совсем. Если мошенник работает профессионально и знает хотя бы основы программирования, то пользователь никак не заметит, что в его компьютере или смартфоне поселилась вредоносная программа. И бессмысленно впадать в паранойю, что, мол, у меня начал быстро разряжаться телефон, значит, кто-то скачивает мою информацию. Это не так.
— То есть узнать о взломе можно только по его последствиям?
— Да, узнаете, когда с вашей карты попытаются списать деньги.
Беседовала Ольга КОТЕНЕВА, Banki.ru
Источник: