Киберпреступники берут в оборот мировые бренды
В 2019 году кибермошенники активно пользовались доверием пользователей к известным ИТ-брендам и уязвимостями облачных сервисов. К таким выводам пришли эксперты компании IBM в своем ежегодном индексе угроз X-Force Threat Intelligence Index 2020. При составлении отчета, с которым ознакомился РБК, компания ежедневно анализировала более 70 млрд событий из сферы информационной безопасности более чем в 130 странах, включая Россию.
Основные выводы исследования — в материале РБК.
Преступники притворяются Google и Amazon
В 2019 году при рассылке фишинговых писем (вид интернет-мошенничества, когда злоумышленник производит рассылку от имени известного бренда или маскирует под его сайт ресурс для получения личных данных пользователя) преступники стали чаще использовать бренды технологических компаний, социальных сетей и стриминговые сервисы. Согласно отчету, 39% инцидентов связано с имитацией доменов Google, 17% — YouTube, 15% — Apple. В топ-10 используемых злоумышленниками брендов также вошли Amazon, Netflix, Spotify, Microsoft, Facebook и принадлежащие ему Instagram и WhatsApp. По мнению экспертов IBM, частое применение одинаковых паролей пользователями для аккаунтов в разных сервисах как раз могло сделать эти бренды главной целью преступных атак.
Как пояснил РБК ведущий советник по вопросам информационной безопасности IBM в России и СНГ Олег Бакшинский, Россия как часть общемирового ИТ-ландшафта всегда испытывает на себе влияние мировых трендов, но с локальной спецификой. «В России также много активных пользователей сервисов Google, Apple и некоторых других международных ИТ-брендов, но и крупные местные бренды также могут являться хорошей приманкой», — отметил Бакшинский.
В марте 2019 года эксперты «Ростелеком-Solar» зафиксировали волну фишинговых рассылок от имени известных российских брендов, включая «Магнит», «Славнефть» и ПИК. Мишенью злоумышленников стали более 50 российских компаний в разных секторах экономики: их сотрудники получали по 10–50 писем в день.
«Методы социальной инженерии традиционно популярны у злоумышленников, так как весьма результативны. Киберпреступники продолжают зарабатывать огромные суммы, подделывая или используя скомпрометированные корпоративные адреса электронной почты для рассылки фишинговых писем. Они выдают себя за представителя доверенной компании, например контрагента, и просят оплатить счет, подменив банковские реквизиты», — пояснил руководитель отдела аналитики информационной безопасности Positive Technologies Евгений Гнедин.
По данным американского Центра приема жалоб на киберпреступления (Internet Crime Complaint Center, IC3), мировые убытки от мошенничеств с использованием корпоративной почты за последние три года составили более $26 млрд. По данным Group-IB, ущерб от финансового фишинга в России за второе полугодие 2018 года и первое полугодие 2019-го составил 87 млн руб.
Ретейл становится популярным у хакеров
Первое место по количеству атак четвертый год подряд занял финансовый сектор. Но в прошлом году на второе место по количеству атак вышел ретейл, за год до того не входивший в тройку наиболее привлекательных для кибермошенников секторов, следует из данных IBM. «Атаки [хакерской группировки] Megacart, затронувшие 80 сайтов интернет-магазинов летом 2019 года, стали одними из наиболее значимых атак в сфере торговли. Целью киберпреступников были личные данные потребителей, данные платежных карт и даже ценная информация программ лояльности. Согласно данным подразделения IBM по реагированию на инциденты безопасности, ретейлеры также подверглись значительному количеству атак вирусов-шифровальщиков», — указано в отчете.
По словам Олега Бакшинского, в России лидерами по числу атак являются преимущественно финансовые компании и бюджетные учреждения. «Сфера ретейла еще редко рассматривается злоумышленниками как высокодоходная и быстро монетизируемая. Но в перспективе двух-трех лет мы будем наблюдать повторение этого тренда и в России, так как конкуренция будет подталкивать ретейлеров к оптимизации через автоматизацию процессов и внедрение все большего числа цифровых технологий», — уверен эксперт.
Технический директор группы компаний «Яндекс.Маркет» Алексей Шевенков отметил, что за последний год наблюдается увеличение атак, связанных с так называемым фродом (вид мошенничества при онлайн-оплате). «Но это объясняется развитием и увеличением популярности нашего сервиса, а не какой-то глобальной тенденцией. Если говорить об атаках, связанных с технологическим стеком, здесь мы не видим каких-то существенной разницы по сравнению с прошлым годом», — сказал Шевенков.
Директор по связям с общественностью Ozon Мария Заикина настаивает, что современные e-commerce-платформы имеют системы защиты от атак на инфраструктуру и попыток проникновения. «И даже в случае успешного взлома инфраструктуры получить данные пользователей массово крайне сложно. Например, в Ozon они хранятся в изолированном сегменте в зашифрованном виде, а доступ к ним не осуществляется напрямую», — рассуждает Заикина. По ее словам, чаще мошенники прибегают к более «таргетированным» способам, стремясь получить данные небольших групп пользователей с помощью социальной инженерии: создают фишинговые сайты и e-mail-рассылки, повторяющие дизайн сайтов и писем известных сервисов, отправляют сообщения якобы от служб поддержки банков или e-commerce-площадок и т.д. Переходя по ссылкам с таких сайтов или рассылок, пользователи вводят данные карт, чтобы оплатить покупку — так информация попадает в руки мошенников. «Мы также призываем наших клиентов быть внимательными при переходе по ссылкам в браузере и использовать разные пароли для различных сервисов», — заключил представитель Ozon.
Преступники пользуются уязвимостью облаков
По оценке IBM, в 2019 году компании чаще сталкивались с проблемами безопасности облачных сервисов. «Из более чем 8,5 млрд взломанных записей в 2019 году 7 млрд (более 85%) были связаны с неправильной настройкой облачных серверов и других некорректно сконфигурированных систем. В 2018 году эта цифра не превышала половины всех взломанных записей», — указано в отчете.
Кибермошенники понимают, что современный бизнес активно использует облачные технологии, и пытаются учитывать особенности таких решений для организации атак, согласен Евгений Гнедин из Positive Technologies. «Например, в первом квартале 2019 года мы отмечали массовые попытки подбора учетных данных пользователей облачных сервисов MS Office 365 и G Suite (набор облачных сервисов от Google. — РБК), в которых злоумышленники использовали недостатки протокола Internet Message Access Protocol (IMAP) для ускорения атаки», — отметил Гнедин.
Сложность обеспечения безопасности облачных систем заключается в том, что в отличие от защиты традиционных корпоративных инфраструктур провайдерам нужно обеспечить удобную и безопасную работу большого числа клиентов и интеграцию с множеством бизнес-систем, пояснил руководитель Центра мониторинга и реагирования на инциденты ИБ Jet CSIRT компании «Инфосистемы Джет» Алексей Мальнев.
По словам руководителя российского исследовательского центра «Лаборатории Касперского» Юрия Наместникова, уязвимости, найденные в облачных сервисах, потенциально позволяют получить доступ к ресурсам не одной компании, а сразу десятков, а иногда и сотен. «А закрыть такие бреши компаниям не всегда удается оперативно», — добавил он.
По предварительным данным iKS-Consulting, в 2019 году объем российского рынка облачных услуг составил 86 млрд руб., что на 25% больше, чем в 2018 году. К 2023 году показатель может достичь 196 млрд руб.
Новые цели
В 2020 году эксперты IBM ожидают рост количества атак и расширения ландшафта угроз. Будет расти количество атак с использованием интернета вещей (IoT). По прогнозу IBM, к концу 2020 года к интернету будет подключено более 38 млрд устройств по всему миру. При этом уже заметно, что интерес злоумышленников сместился с потребительской электроники на промышленное оборудование, которое было вне фокуса атак еще в 2018 году.
Кроме того, киберпреступники будут активнее атаковать сектор здравоохранения. Злоумышленники будут пытаться украсть сведения о пациентах с целью их перепродажи на черном рынке, а также дистанционно блокировать подключенное к Сети медицинское оборудование, чтобы за деньги восстанавливать его работу.