Интервью с экспертом Ильей Уразбахтиным — руководителем группы технической экспертизы ИБ «Гарда Технологии»
-Что обычно является целью мошенников?
Конечная цель мошенников — это чаще всего деньги. Отличаются только методы их получения.
Также мошенники ищут возможность получить доступ к ценной информации, но чтобы впоследствии получить финансовую выгоду или преимущество.
В корпоративной среде — это, например, способ борьбы с конкурентами и получения преимуществ на рынке.
- Какие средства они используют для достижения этих целей? Есть ли статистика использования тех или иных средств и их "эффективность"?
Я выделяю 2 подхода мошенников:
Первый, непосредственно связан с денежными операциями, например, оплата каких-либо товаров или услуг в сети. Самый распространённый кейс — мошенничество с платёжными системами и средствами оплаты:
Например, этим летом на популярном сервисе бронирования жилья мошенники регистрировали недвижимость в аренду на российских курортах по крайне привлекательным ценам. В ходе общения с арендодателем жертве под каким-либо предлогом отправляли ссылку на страницу, которая содержала форму оплаты. После перехода по ним жертва видела на странице данные своего аккаунта, фотографии объекта и другие данные, характерные для сервиса. Всё выглядело как настоящий сайт популярного сервиса. На деле — сайт с формой оказывался поддельным, и после оплаты деньги переводились злоумышленникам, а люди оставались без денег и без жилья.
С учётом того, что на российских курортах был ажиотаж в связи с закрытыми границами реальная стоимость аренды недвижимости была очень высока и такие объявления привлекали к себе много внимания, и мошеннические схемы были очень эффективны.
Второй метод — кража конфиденциальных данных и их дальнейшее использование для вымогательства или шантажа.
Один из наиболее действенных методов — использование связки логин и пароль из баз данных с утечками учётных данных каких-либо сервисов.
Мошенники пытаются использовать тот же самый логин и пароль в других сервисах и, к сожалению, им это часто удаётся.
Один из самых лакомых кусков — это получение доступа к электронной почте. К ней обычно привязано множество сервисов, как личных, так и корпоративных, что дает простор для фантазии мошенника.
Пример из опыта.
Злоумышленник получил доступ к электронной почте, использовав учетные данные из «слитой» базы фитнес-приложения. К этому e-mail был привязан аккаунт в instagram.
Мошенник сбросил пароль для аккаунта, получил доступ к личной странице и поменял на ней пароль.
Затем в Stories аккаунта появилась серия роликов из реанимации, где якобы находился родственник владелицы аккаунта, а также информация о сборе средств на срочную операцию. Таким образом, подписчики аккаунта были введены в заблуждение и, находясь в шоке от ситуации, переводили деньги мошенникам.
Также мошенники научились использовать технологию Deep fake, которая позволяет подделывать видеоролики и, например, замещать людей в кадре на любых других.
Это относительно молодой способ мошенничества, но уже очень эффективный и в будущем станет одним из основных инструментов в арсенале злоумышленника.
Кроме вымогательства злоумышленник может использовать полученные данные для шантажа.
Это более жестокий подход, так как мошенник обычно угрожает публично раскрыть конфиденциальные данные, что может повлиять на репутацию человека или целой компании.
Чаще всего мошенники используют личные фотографии, видеозаписи или какую-либо переписку.
Популярный кейс — это взлом iСloud-аккаунтов знаменитостей, с целью поиска обнажённых фотографий. Получив такой контент, злоумышленник может шантажировать владельца и вымогать достаточно крупные суммы денег.
В корпоративном сегменте ситуация похожая, но здесь мошенники используют доступ к ценным данным для других целей, — например, для получения преимущества на рынке.
Пример:
Крупная компания — ТОП 100 продавцов на Amazon подверглась мошенническим действиям со стороны конкурентов.
Злоумышленник, через рассылку фишинговых писем от якобы владельца компании получает доступ корпоративному аккаунту на Amazon.
Далее злоумышленник вставляет запрещённые (стоп) слова в описание на страницах с товарами.
Через какое-то время — строгая система цензуры Amazon блокирует данные товары и их продажу на длительный срок, пока идёт разбирательство — компания несёт убытки, а компания-конкурент получает преимущество.
- На что делается расчёт при использовании тех или иных средств для кражи личных данных, денег и прочего?
Мошенники используют нашу невнимательность к деталям, а также человеческие чувства, такие как жадность или страх, в совокупности с низкой грамотностью в ИБ и отсутствием средств защиты.
Люди чаще всего даже не догадываются о том, какие методы применяют мошенники, а поэтому и не могут их идентифицировать
А если и могут, то не знают, как себя вести в таких ситуациях и какими средствами защищаться.
- Какие аппаратные, программные средства могут быть использованы для предотвращения мошеннических действий? Какова их эффективность?
Каждый учётная запись на любом сервисе в сети должна быть защищена надёжным, а, главное, уникальным паролем.
Поэтому рекомендую использовать менеджеры паролей, а также двухфакторную аутентификацию через специальные приложения (google auth, yandex key и т. д. ), где это возможно.
От перехода на поддельные страницы для физического лица может помочь антивирус, с функцией проверки сайтов на безопасность, а также актуальная версия браузера, например, google chrome, который умеет предупреждать о посещении подозрительных сайтов.
Для защиты компаний от кражи конфиденциальных данных эффективные средства -
это DLP-системы, которые обнаруживают и блокируют передачу коммерческих данных подозрительным адресатам по электронной почте или в мессенджерах.
Кроме того, системы анализа трафика NTA (Network traffic analytics) позволят на уровне сети компании обнаружить и предупредить переходы и отправку конфиденциальных данных на фишинговые сайты без установки какого-либо ПО на устройства.
- Роль человеческого фактора в достижении мошенниками своих целей. Как обезопасить свои данные/деньги и прочие ценные сведения в сети физическим лицам? Какие действия должен предпринимать человек (или не предпринимать), чтобы не стать жертвой мошенников?
Человеческий фактор всегда решающий. Какими бы ни были умными средства защиты ими всё ещё нужно грамотно пользоваться.
Без базовых знаний о мошенничестве все они будут бесполезными.
Базовые рекомендации:
- Не торопись. «Поспешишь — людей насмешишь» гласит народная мудрость. Спешка — это главный помощник мошенника. В спешке люди теряют внимание, которым мошенники и пользуются.
- Золотое правило: «Сомневаешься — проконсультируйся со специалистом». Если появились какие-то сомнения или подозрения, то задайте вопрос тому, кто знаком с этой темой. Вряд ли у вас найдётся специалист по кибербезопасности под рукой, но у сервисов всегда есть службы технической поддержки. Им можно позвонить или написать и уточнить любой вопрос. На крайний случай «погуглите» в интернете, насколько безопасно то, что вы делайте или вам предлагают сделать.
- Не переходить по ссылкам с неизвестным содержимым.
- Используйте средства защиты и здравый смысл.
- Роль государства и регулирующих органов в пресечении действий мошенников в ИТ и последствий их действий: скорость и адекватность реакции на новые «инструменты», законодательная база.
Мошенников в сети крайне сложно идентифицировать, и борьба с ними — непростая задача. Мошенники всегда будут изобретать все новые и новые методы и по итогу будут впереди на один шаг.
Бороться необходимо с неграмотностью населения в области ИБ. Делать это можно, например, через социальную рекламу.
Также владельцы популярных сервисов должны сами заботиться о безопасности своих пользователей. Например, использовать умные алгоритмы идентификации мошеннических аккаунтов и действий.
Помимо этого компании самостоятельно должны заниматься информированием своих пользователей о мошенниках и о том, как и по каким признакам их можно определить.
У государства должна быть роль регулятора таких процессов.