26 ноября в Минске пройдет ежегодная конференция A1 Tech Day 2024. Она ориентирована на специалистов в области IT, кибербезопасности и цифровых инноваций. Планируется выступление экспертов в разных областях. Мы задали несколько вопросов одному из спикеров: это Сергей Солдатов, руководитель Центра кибербезопасности «Лаборатории Касперского».

— Из-за каких действий пользователи могут попасться на удочку мошенников? Как сейчас выглядит рейтинг самых популярных уловок?

— Мы работаем в области кибербезопасности в первую очередь организаций, поэтому наша команда в основном наблюдает атаки на корпоративных пользователей. Однако встречаются и случаи, когда атака направлена на пользователя за пределами корпоративной сети и в нерабочее время. В том числе с целью далее получить доступ в корпоративную сеть.

Сам текст фишингового письма может быть тщательно подготовлен, относиться к ситуации в компании в данный момент (например, имитировать корпоративные информационные рассылки, сообщения от подразделений ИТ или ИБ). Он может быть и рассылкой «на удачу», сделанной в том числе с использованием алгоритмов больших языковых моделей (LLM).

В последнее время инструментов фишинга стало больше. Довольно часто наблюдаются рассылки через популярные мессенджеры (Telegram, WhatsApp или Viber). Мой топ уловок в рассылках выглядит следующим образом (от наиболее успешных к наименее):

• Имитация внутрикорпоративных рассылок: от отдела кадров, от ИТ-департамента, от ИБ, информационные рассылки.
• Cообщение от неизвестного отправителя, но с релевантным контентом: например, шаблон резюме для соискателя (если жертва ищет работу), резюме соискателя (если жертва - нанимающий менеджер или рекрутер).
• Поддельное сообщение: якобы от коллеги или подрядчика.

— В последнее время стали чаще появляться сообщения об угоне аккаунтов в Telegram. Что с этими данными будет дальше, для чего их пытаются угнать? Какие еще новые завуалированные формы манипуляций используют недоброжелатели, чтобы добраться до юзерских данных?

— Telegram – удобный инструмент, и, как следствие, он широко используется для абсолютно различных целей: как полноценная социальная сеть, как новостной агрегатор, а кто-то его использует даже для рабочих коммуникаций. В итоге в Telegram накапливается огромное количество информации. Взломанная учетная запись может позволить злоумышленникам как спланировать целевую атаку, так и напрямую использовать Telegram как средство коммуникации в атаках — например, воспользоваться доверительными отношениями или для целевого фишинга.

В нашей практике нередко встречались случаи, когда от скомпрометированного аккаунта в Telegram жертвы получали правдоподобные сообщения с предложениями о чем-либо.

Помимо скомпрометированных аккаунтов, мошенники широко используют подложные, выдавая себя за какую-либо личность — например, руководителя жертвы или работника отдела кадров. При этом вышедший на связь контакт может выглядеть вполне правдоподобно, а задаваемые им вопросы могут показаться адекватными ситуации.

— «Не переходите по сомнительным ссылкам, даже если их прислал знакомый», «используйте двухфакторную аутентификацию и не вводите пароли на незнакомых сайтах». Эти рекомендации уже достаточно привычны, их приводят, комментируя запросы вроде «Проголосуйте за племянницу в конкурсе» или «Вас [по Viber] беспокоит сотрудник органов». На какие паттерны в общении обращать особое внимание, чтобы не попасть в похожую ситуацию?

— Маркеров можно выделить много, однако все они не будут универсальными и могут меняться в зависимости от схемы мошенничества. Из основного можно выделить следующие.

• Срочность, паника – что-то требуется сделать срочно. Например, перевести деньги на «защищенный счет» или выполнить перевод по номеру телефона.
• Манипуляции типа «цыганского гипноза»: «забалтывания», когда жертве сообщают множество незначительных фактов, возможно, даже не имеющих смысла. Человек пытается разобраться в этом потоке информации и теряет фокус, отчего растет вероятность совершения необдуманных действий.
• «Эмоциональные качели» — когда во время разговора мы то сильно напрягаемся, то расслабляемся («выдыхаем»). В этом случае под влиянием сильных эмоций наше здравомыслие притупляется.
• Изоляция – попытка убедить, что разговор должен остаться «конфиденциальным», что ситуация «весьма секретна», что «в соответствии со статьей… в случае разглашения нам грозит…». Таким образом пытаются оставить один на один с проблемой, без возможности хотя бы с кем-то посоветоваться.

Попытки выяснить какую-то информацию - пожалуй, самый главный маркер. Выведать обычно хотят код из SMS, «сверить» данные паспорта или номера социального страхования. В таком случае неустановленному собеседнику нельзя сообщать информации больше, чем ему известно на момент начала разговора.

— Антивирусы на смартфоне. Стоит ли к ним прибегать и защиту какого рода они способны обеспечить? И в принципе способны ли?

— Я не вижу принципиальной разницы между смартфоном и компьютером: и то и другое устройство — автоматизированное средство обработки информации. А раз так, оба устройства следует защищать. Модели нарушителя для смартфона и мобильного компьютера очень похожи. Поэтому и средства защиты для них будут отличаться незначительно.

Я не люблю слово «антивирус», поскольку сейчас понятие современной киберзащиты вышло далеко за рамки этого понятия и вирусы — не единственный вид угрозы.

Современное решение endpoint protection (EPP) включает в себя антивирусный компонент лишь как один из множества защитных технологий. Современные EPP способны обеспечить защиту от любых угроз, вредоносность которых технически может быть распознана автоматически, в том числе с использованием облачных технологий и алгоритмов машинного обучения.

— Для уменьшения рисков «утечки данных» бизнесу, как правило, предлагают регулярно обновлять ПО, не пренебрегать патчами системы безопасности, создавать резервные копии и дублировать их в «облака». А что делать обычным юзерам — рекомендации выше не избыточны?

— На самом деле обычным пользователям домашних компьютеров следует быть еще более внимательными. Корпоративные рабочие станции располагаются внутри сетевого периметра и поэтому совокупно более защищены. Принято считать, мотивация атакующих выше в случае атак на корпоративные системы, а домашние будто никому не нужны. Это не так, и мы на практике не раз видели, когда корпоративные сети были скомпрометированы через атаки на корпоративные мобильные устройства именно в момент их нахождения за пределами корпоративной сети.

Если смотреть на вопрос шире, то хорошо спланированные целевые атаки будут сфокусированы именно туда, где уровень защищенности ниже. А это, скорее всего, как раз будет устройство за периметром корпоративной сети в нерабочее время. Поэтому организациям важно защищать любые устройства сотрудников, которые могут иметь доступ к корпоративной сети, а также проводить тренинги по повышению уровня цифровой грамотности, чтобы минимизировать возможность успешной атаки, связанной с человеческим фактором.

— Как происходит анализ угроз со стороны специалистов по безопасности (что и как они делают)?

— В составе нашего SOC есть подразделение, занимающееся исследованием угроз с целью развития нашей телеметрии и правил обнаружения. О нем и поговорим.

Источником идей для создания логики обнаружения угроз может быть что угодно, но в первую очередь анализируются сценарии, использование которых наблюдалось в реальных атаках. Информация черпается как из публичных отчетов лидеров рынка, так и из внутренней практики проектов расследования инцидентов, оценки компрометации, анализа защищенности, а также из инцидентов, наблюдаемых при работе.

Выбранные сценарии и/или инструменты тестируют в лабораторных условиях, анализируют — в частности, в вопросе, за что можно зацепиться при построении логики обнаружения.

На один и тот же сценарий атаки обычно разрабатывается несколько правил с использованием разных технологий: можно сделать правила на инструменты, можно — на поведение атакующего и дальнейшее развитие, для класса атак, при наличии достаточной обучающей выборки можно подготовить ML-модель (работающую на основе алгоритмов машинного обучения).

Есть о чем рассказать? Пишите в наш телеграм-бот. Это анонимно и быстро

Перепечатка текста и фотографий Onlíner без разрешения редакции запрещена. ga@onliner.by