Кейсы 30 октября 2020

Как зарабатывают киберпреступники: дипфейк-боссы и цифровое вымогательство

Далее

С каждым годом инструменты для организации кибератак становятся все более доступными, дешевыми и простыми в использовании. Сегодня средние месячные затраты на самые простые средства взлома составляют порядка $34, тогда как доход от них составит более $25 тыс. Это позволяет мошенникам с минимальным опытом и ресурсами атаковать как рядовых пользователей, так и крупные корпорации. Директор компании «Антифишинг» Сергей Волдохин рассказал, как эволюционируют киберугрозы и как научиться быстро реагировать на изменения — на технологическом и на психологическом уровне.

Эволюция взлома

За последние 15–20 лет технологии стали более доступными: секвенирование генома в начале 2000-х стоило $2,7 млрд, а теперь — всего $300, новый iPhone XR сегодня стоит дешевле, чем «раскладушка» Motorola в 1996 году. Для того, чтобы натренировать простую нейросеть, уже не требуется профессиональное оборудование — достаточно ноутбука и базовых знаний программирования. Доступное железо, дешевое ПО и стабильный рост числа интернет-пользователей стали драйверами цифровизации, но в то же время открыли новые возможности для кибермошенников. По данным Национальной ассоциации международной информационной безопасности, только в России число кибератак с 2013 по 2019 годы выросло в 16 раз.

В большинстве случаев мошенники используют автоматизированные скрипты или дешевое вредоносное ПО. Например, вредоносную программу Ovidiy Stealer пару лет назад можно было приобрести всего за 700 рублей: она позволяет перехватывать и пересылать пароли и другие конфиденциальные данные. Сегодня примерно за такую же сумму на популярных форумах продают ее усовершенствованную версию. В дарк-вебе можно найти еще более широкий ассортимент инструментов для взлома. В целом, по оценкам Deloitte, примитивные атаки обходятся злоумышленникам в $34 в месяц, при этом приносят такие инструменты около $25 тыс. ежемесячно.

Аналитики TrendMicro, которые изучали подпольный рынок инструментов для кибервзломщиков, обнаружили, что мошенники пользуются огромной инфраструктурой. Это не только пакеты арендованных ботнетов, которые состоят из тысячи зараженных устройств, но и абузоустойчивые регистраторы, хостинги и DNS-провайдеры, зарегистрированные в Белизе, на Сейшелах и Каймановых островах, а также собственные in-house дата-центры и виртуальные серверы, ежедневно мигрирующие из одного ЦОДа в другой. Это огромный теневой бизнес с различными моделями монетизации, рассчитанными на мошенников разного уровня: от суперпрофи до новичков.

Злоумышленники не только используют все более мощные инструменты, они также первыми берут на вооружение новые технологии. Когда число IoT-устройств в мире начало расти, мошенники научились подключать чужие домашние видеокамеры, термостаты и другие бытовые приборы к ботнетам. Авторы атак не только сами использовали технологию, но и начали продвигать ее в своем сообществе — это привело к созданию одного из самых мощных ботнетов — Mirai.

Незащищенные IoT-девайсы стали еще одним вектором атак для хищения данных — например, в 2017 году хакеры получили доступ к сетевой инфраструктуре казино, используя подключенный к сети аквариум.

Дипфейк-боссы и цифровое вымогательство

Нейросети и дипфейки также стали применяться киберпреступниками еще до того, как это стало мейнстримом. Алгоритмы на базе машинного обучения помогают быстрее сканировать данные и находить уязвимости в системах, а также эффективно управлять ботнетами. ИИ решает для злоумышленников как тривиальные задачи, например, обходить CAPTCHA или генерировать пароли, так и проводить более сложные атаки — крупные кибергруппировки в большинстве случаев используют ИИ и большие данные для проведения своих «спецопераций».

Один из громких примеров — использование голосового дипфейка для кражи денег. Преступники применили систему синтеза речи и сгенерировали запись, взяв за основу голос одного из региональных топ-менеджеров крупной компании. Дипфейк оказался настолько убедительным, что руководство организации не заметило подмены и выполнило требования фальшивого босса, который попросил перевести на некий счет $243 тыс. По данным Pindrop, с 2013 по 2017 годы число случаев голосового мошенничества выросло на 350%, при этом только в одном из 638 случаев применялись технологии синтеза речи.

Популярность криптовалют также помогает мошенникам: в последние годы выросла популярность вирусов-вымогателей и вирусов-шифровальщиков, которые блокируют доступ к данным до тех пор, пока жертва не заплатит выкуп в биткоинах. По оценкам Accenture, в 2018 году борьба с цифровыми вымогателями обходилась компаниям в $646 тыс., причем годом ранее этот показатель был на 21% меньше. Впрочем, такие атаки ведут не только к финансовым и репутационным потерям. Так, в сентябре в больнице Дюссельдорфского университета одна из пациенток не смогла получить экстренную помощь из-за того, что клиника приостановила работу в результате атаки вируса-вымогателя.

Многие атаки стали возможны благодаря пандемии: используя «вирусный» инфоповод, мошенники манипулировали жертвами. Рекордный рост попыток кибервзлома зафиксировали в ФБР, Интерполе, Microsoft и других крупнейших корпорациях, во многих крупных банках, в том числе и в России. По некоторым оценкам, случаи использования одних только вирусов-вымогателей подскочили на 800% в период пандемии. Крупнейшие атаки на Twitter, Honda, Garmin и Marriott произошли в этом году. Это связано не только с манипуляциями на теме пандемии, но и повышенной психологической уязвимостью — а именно этим обусловлен успех многих кибератак.

Фишинг как скрытая угроза

Несмотря на эволюцию инструментов взлома, 91% кибератак начинается с целевого фишинга: злоумышленники используют методы социальной инженерии. Может показаться, что этот вектор атак достаточно хорошо изучен, ведь о таких приемах постоянно говорят и пишут: банковские приложения рассказывают об уловках телефонных мошенников, а компании регулярно рассылают сотрудникам методички по антифишингу.

Но главная проблема фишинговых угроз связана с их эволюцией — тактики постоянно меняются, а преступники ищут новые подходы и приемы воздействия на людей, задействуя актуальные психологические векторы как триггеры. Например, они торопят с принятием решений, сулят выгоду, просят о помощи или играют на любопытстве, но топорные атаки с откровенными манипуляциями уже остаются в прошлом: к ним прибегают только злоумышленники низшего уровня. Самые эффективные фишинговые схемы постоянно меняются, так что распознать их становится все сложнее.


Четыре ключевых тренда в развитии фишинга

  1. Фишинг как сервис. Появляется все больше сервисов, которые работают по модели Phishing-as-a-Service. За условные $30 в месяц мошенник оформляет подписку на вредоносное ПО и запускает свой «бизнес». Ему не приходится изобретать сценарии для атак, создавать фальшивые лендинги и контент — за него уже выполнили часть работы. Остается лишь выбрать жертву и инициировать атаку.
  2. «Омниканальный» фишинг. Современные мошенники не ограничиваются одним письмом на электронную почту: они одновременно присылают SMS, звонят по телефону, отправляют сообщения в мессенджерах, то есть работают по омниканальной модели. Определяют, где находится целевая аудитория, и идут ей навстречу. Например, используют чаты в онлайн-играх: в период пандемии число таких атак выросло на 54%. Злоумышленники не просто забрасывают жертву оповещениями, они прорабатывают детальный сценарий воздействия на разных уровнях.
  3. Фишинг от имени руководителей. Мошенники выстраивают многоуровневые схемы: для начала захватывают учетные записи сотрудников, используя приемы социальной инженерии или находя уязвимости почтовых серверов. Затем они определяют, какие аккаунты принадлежат людям на руководящих позициях, и уже от их имени запускают рассылку писем. Поскольку они имеют доступ к конфиденциальным данным топ-менеджмента, мошенникам проще создавать убедительные сообщения, например, вести переговоры с партнерами или давать поручения сотрудникам. По такой сложной схеме работает, например, группировка Pawn Storm, которая охотится за данными высокопоставленных лиц.
  4. Фишинг как начальный вектор кибератаки. Сам по себе украденный аккаунт не всегда представляет ценность для злоумышленника. Получая доступ к системе с помощью фишинга, мошенники запускают целевое вредоносное ПО или простейших шифровальщиков. Фишинг помогает быстрее проникнуть в инфраструктуру, тогда как поиск и эксплуатация технических уязвимостей потребовали бы больше времени и ресурсов.

Догнать и перегнать

Из-за постоянной эволюции фишинга технических мер и универсальных правил защиты от мошенников, которые можно применить и выучить раз и навсегда, не существует. Помочь может только постоянная практика и мониторинг трендов, причем это касается и других видов киберугроз, которые тоже постоянно эволюционируют. Организация технических мер защиты — это задача специалистов по информационной безопасности, но от рядовых сотрудников компании тоже зависит, насколько успешной будет «оборона».


Чек-лист. Что нужно сделать каждой компании, чтобы защитить бизнес от киберпреступников

  1. Следите за трендами: какие технологии используют киберпреступники, какие уязвимости эксплуатируют, какую риторику выбирают при общении с жертвами, какие актуальные инфоповоды используют и какие психологические векторы задействуют, чтобы заполучить доверие.
  2. Регулярно обновляйте ПО и применяйте все доступные вам технические меры защиты.
  3. Организуйте имитированные атаки для своих сотрудников, не ограничивайтесь только теоретическим обучением.
  4. Помните, что вы всегда можете стать целью атаки, и думайте на несколько шагов вперед. Учитывайте, что когда о методе атаки уже пишут СМИ, технологию уже растиражировали и остановить ее внедрение будет сложно. Новые приемы мошенников не сразу получают широкую огласку, а об инцидентах знают только инсайдеры — стоит найти источники такой информации и первыми узнавать о будущих угрозах.

Читайте также:

На угрожающем Земле астероиде Апофис заметили опасное явление. Что происходит?

Ученые выяснили, почему дети являются самыми опасными переносчиками COVID-19

Что обнаружил зонд Parker Solar Probe, подлетевший максимально близко к Солнцу