Всемирная пандемия заперла людей дома: большинство компаний перевели сотрудников на удаленную работу, а студенты и школьники отправились на дистанционную учебу. Нагрузка на мировую сеть возросла в разы — популярные платформы вынуждены бороться с наплывом посетителей (так, к примеру, YouTube снизил качество видео), а небольшие и почти забытые виртуальные сервисы снова вернулись на рынок. Однако не только IT-компании рады сложившейся ситуации: данные пришедших в интернет миллионов человек привлекли мошенников и хакеров. Как киберпреступники используют глобальную катастрофу для собственного обогащения и есть ли способы не попасться на их уловки — разбиралась «Лента.ру».
Воздействие страхом
Мошенники приспосабливаются к современным реалиям намного быстрее большинства россиян: пользуясь обстоятельствами, они принялись массово рассылать фальшивые штрафы от имени МВД. Эксперты компании Group-IB сообщили, что 10 апреля злоумышленники распространили через СМС-сообщения и мессенджеры уведомления о штрафах. В послании к адресатам обращались персонально, указывая имя, фамилию и отчество, — а далее уточняли, что получатель обязан оплатить взыскание за нарушение режима самоизоляции. В противном случае авторы сообщения угрожали возбудить уголовное дело. Если жертва перезванивала по указанному номеру, — звонок переадресовывался в справочную службу Министерства внутренних дел.
В пугающем послании были и странные несостыковки: на оплату штрафа жертве давали всего сутки, а средства предлагалось перевести на номер телефона, зарегистрированный в Краснодарском крае. Кроме того, злоумышленники ссылались на некое несуществующее постановление ФСИН номер 168-322: ранее оно же упоминалось в многочисленных мошеннических письмах со «штрафами» за посещение порнографических сайтов.
Помимо этого, в сети фиксируют рост фишинговых страниц и фальшивых рассылок: представляясь сотрудниками банков и государственных учреждений, преступники предлагают потенциальным жертвам компенсации «ущербов», кредитные каникулы или помощь в получении ссуды, содействие в возврате средств за авиабилеты и множество других услуг, вплоть до фальшивых справок о перенесенной коронавирусной инфекции. Еще один распространенный прием — предложение о трудоустройстве на выгодных условиях. По сути, все они направлены лишь на выманивание платежных реквизитов и персональных данных, — в последние годы мошенники хорошо освоили методы социальной инженерии и не упускают возможность их применить.
В МВД также зафиксировали рост краж денег со счетов россиян с помощью вредоносного ПО — в топах самых активных опасных программ на всей планете вновь замечены банковские трояны Dridex и Trickbot. Используя спам-рассылки и фишинг, преступники убеждают жертву установить на телефон или компьютер троян, который собирает платежную информацию и выводит средства со счетов. По данным правоохранительных органов, мошенники нередко используют также «зеркала» банковских сайтов для кражи средств: фишинговую страницу довольно трудно отличить от настоящей — пользователя должны насторожить отсутствие оповещений о входе в личный кабинет и отказ портала в обслуживании клиента. В таких случаях в МВД порекомендовали как можно скорее заблокировать банковский счет. Согласно статистике, более половины мошенничеств в России совершаются с использованием цифровых технологий.
Руководитель отдела аналитики Positive Technologies Евгений Гнедин в беседе с «Лентой.ру» пояснил, что сам пользователь бессилен сделать безопасным интернет-ресурс, где, например, оплачивает покупку, — ответственность за противодействие атакам лежит на владельцах сайтов. Однако каждому стоит внимательно относиться к тем сайтам, где требуются данные банковских карт и персональная информация, сканы личных документов и прочее. Нужно всегда помнить, что любая информация, которую пользователи вводят на страницах сайтов, останется в интернете, а значит, может быть рано или поздно похищена и использована злоумышленниками. И конечно, необходимо устанавливать стойкие уникальные пароли для всех сервисов, а также, если возможно, дополнительно включить двухфакторную аутентификацию.
Освоили киберпреступники и новые виды атак. В конце марта стало известно о хакерах, которые, подобрав пароль к роутеру, изменяют настройки DNS. Ни о чем не подозревающий юзер, заходя в сеть, автоматически попадает на страницу фейкового информационного приложения о COVID-19, якобы разработанного Всемирной организацией здравоохранения. Поддельный ВОЗ настаивает на том, что пользователю необходима программа под названием COVID-19 Inform App, — однако вместо нее он загружает вредоносный троян Oski, который захватит все данные банковских карт, пароли и куки. Позднее полученная информация будет использоваться преступниками для кражи средств, захвата страниц и фишинга.
Пока мошенники общаются с жертвами напрямую, многие хакеры пошли войной на интернет-платформы, хранящие огромные объемы различных данных о сотнях миллионов человек, — от реквизитов карт до паспортных данных и домашних адресов. Нынешние реалии возлагают большую ответственность на сами сервисы: когда почти весь мир переместился в сеть, они не могут обмануть доверие пришедших к ним пользователей. Резкий рост активности юзеров стал для них не только поводом для дальнейшего развития, но и мощнейшим тестом на современность и безопасность. К сожалению, справились не все.
Старый враг
Наиболее востребованным весной 2020 года оказался сегмент видеосвязи, и особенно — продуктов, позволяющих организовывать конференции. Так, к примеру, объем видеозвонков, совершенных в Microsoft Teams, только в марте увеличился на 1000 процентов по сравнению с предыдущими ежемесячными показателями. Многократным ростом могут также похвастаться Skype и Zoom. При таком наплыве пользователей немало преступников вспомнили о старом добром оружии, которое не успело себя показать в прежние времена.
В марте в десятке самых активных опасных программ в России оказался вирус Pykspa, который распространяется через сообщения в Skype. Червь может получить личную информацию пользователей и данные об их контактах. По данным экспертов из компании Check Point Software Technologies, он заставляет приложение рассылать всем адресатам фишинговое сообщение с ссылкой, перейдя по которой новые жертвы скачают Pykspa на свои личные устройства. Под угрозой оказались миллионы пользователей Skype: по состоянию на конец 2019 года мессенджер входил в топ наиболее популярных сервисов среди россиян, уступая лишь WhatsApp, Telegram и Viber.
В последний раз широкая хакерская кампания с использованием этого червя произошла пять лет назад — в 2015-м году. Современную активность вируса можно объяснить лишь новым витком популярности программ для проведения конференций и видеозвонков. Сейчас такие массовые атаки скорее направлены на домашних, а не на корпоративных пользователей, но положение дел может измениться в любой момент. Тем более, что число переходящих на удаленку россиян постоянно растет, — только за несколько недель рекомендованной самоизоляции число работающих дистанционно россиян возросло на 14 процентов.
Крупные сервисы нередко становятся объектами атак. Однако существуют и такие, которые оказались небезопасными и без участия преступников: они оказались не готовы к огромному потоку новых пользователей и не успели вовремя отреагировать. Хакерам осталось лишь эксплуатировать существующие уязвимости.
По ту сторону экрана
Наибольший интерес пользователей всего мира сейчас вызывает сервис Zoom. Его прорыв на рынке нынешней весной кажется почти фантастическим: согласно отчету международной консалтинговой компании IDC (International Data Corporation), число новых пользователей, использующих приложение во всем мире в марте 2020 года, превысило годовой прирост юзеров в 2019-м. Если в декабре ежедневная аудитория программы едва перешагнула порог в 10 миллионов пользователей, то сейчас эта цифра возросла в 20 раз. В марте капитализация Zoom Video Communications выросла за неделю почти вполовину: тогда весь мир, покинув офисы, принялся проводить совещания удаленно.
С этим связана комическая история: в этот период инвесторы случайно в несколько раз подняли цену акций малоизвестного китайского производителя оборудования Zoom Technologies — более чем на 500 процентов. Это произошло потому, что во время биржевых торгов они перепутали краткие биржевые обозначения двух компаний (Zoom для видеоконференций имеет тикер ZM, а китайская компания со штатом всего в 10 человек — Zoom) и купили не те акции. Год назад произошло то же самое: когда Zoom Video Communications вышла на биржу, инвесторы накупили акций Zoom Technologies, подняв их в цене на 47 тысяч процентов.
Первое время перешедшие на удаленную работу сотрудники радовались сложившимся обстоятельствам: вести дела дистанционно казалось несложным. Многих восхищали заново открытые функции: к примеру, в Zoom можно было записать конференцию, чтобы позднее всегда иметь ее под рукой, — на устройстве или в облаке. Программа автоматически присваивала шаблонные названия сохраненным файлам. Аналитики прогнозировали продолжение стремительного роста сервиса, однако на пути восхождения встали проблемы с безопасностью данных.
В конце марта и начале апреля исследователи в области кибербезопасности указали на ряд уязвимостей, которые позволили злоумышленникам украсть информацию о входе пользователя в систему, получить доступ к сообщениям, а также взять под контроль камеры и микрофоны собеседников. Тысячи записей видеозвонков попали в открытый доступ — как рабочие корпоративные конференции, так и частные разговоры. Журналисты издания The Washington Post пообщались с несколькими людьми, чьи разговоры были слиты в сеть, и ни один из них не знал, как это произошло. Предполагалось, что по шаблонным названиям автоматически сохраняющихся разговоров их можно было вручную найти в хранилищах. В похожей ситуации оказалась и безопасность текущих разговоров: ранее сотрудники компании Check Point выяснили, что любой человек мог дистанционно подключиться к случайной конференции, подобрав номер, который сервис ей присвоил. Из-за этого позднее были введены подключения по паролю.
Генеральный директор и основатель Zoom Эрик Юань признался, что его компания оказалась не готова к резкому росту посетителей. Утечки были связаны с тем, что видеозвонкам присваивались открытые идентификаторы, а подключение не было зашифровано. Шифрование данных — одна из слабостей сервиса: видеозвонки не защищены по принципам E2E (end to end, «сквозное» шифрование — в таком случае получить доступ к диалогу могут только его участники), которое реализуется в ряде популярных мессенджеров или в некоторых сервисах видеосвязи, — например, FaceTime. Большинство объясняет это особенностями работы сервиса. При этом на сайте компании указано, что связь в Zoom защищена end-to-end. Американские журналисты выяснили, что в прочтении сотрудников сервиса «сквозное шифрование» означает защиту данных, передающихся между собственными серверами, однако никто не мешает перехватить информацию в момент ее передачи от пользователя на сервер. То есть такие заявления по сути являются ложными, однако привлекают пользователей громкими обещаниями. К тому же многих пользователей смущает, что сотрудники сервиса работают с существующими проблемами лишь после того, как им указывают на эти промахи.
Пока компания не ввела вход в беседу по паролям, по миру прошла волна зумбомбинга — зум-бомбардировок, хулиганских выходок, саботирующих беседу: интернет-тролли подключались к чужим разговорам и мешали им — к примеру, подключали демонстрацию собственного экрана, где транслировали порноролики. Известны также случаи «передачи» записей с нацистской символикой или насилием. Чаще всего жертвами подобных розыгрышей становились чаты студентов и школьников — в Саратове местным школам рекомендовали вовсе отказаться от Zoom-конференций после инцидента с трансляцией порно. Позднее сотрудники компании исправили недочеты, и сейчас для того, чтобы ограничить собеседников от нежелательного контента, достаточно подключить пароль, позволить демонстрацию экрана только организатору беседы и не выкладывать в соцсети ссылки на конференцию.
Но и на этом претензии к сервису не заканчиваются. Эксперты считают, что Zoom навязывает свое приложение пользователям, вынуждая их скачивать программу, а в случае с загрузкой на macOS и вовсе ведет себя как опасная программа — требует, чтобы юзер ввел пароль для получения администраторских прав.
Перечитай, пересмотри
В конце марта британский исследователь Мэтью Хики заявил, что нашел уязвимость в приложении Zoom, которая позволяет с легкостью украсть данные пользователя Windows с помощью URL-ссылки: при попытке юзера перейти по ссылке в чате система выдает зашифрованную информацию о нем, — но ее нетрудно взломать. Буквально на следующий день его коллега Патрик Уордл из Objective-See сообщил, что любой преступник может отредактировать установщик Zoom для macOS таким образом, что сможет не только незаметно записывать все беседы, но и получит доступ ко всей информации, включая камеру и микрофон устройства. Через некоторое время сотрудники сервиса исправили эти уязвимости.
Однако позднее эксперты обнаружили базы учетных записей Zoom в продаже в даркнете: к 13 апреля на хакерских форумах продавалось или раздавалось бесплатно уже более полумиллиона пар логин-пароль вместе с персональными данными юзеров. Специалисты из компании Group-IB сообщили, что ряд продаваемых в сети аккаунтов принадлежит пользователям с почтовым адресом в доменной зоне ru. Предполагается, что полученные данные могут быть использованы для зумбомбинга или как база для новых серьезных киберпреступлений (к примеру, получив логин и пароль от Zoom, преступники могут использовать их для получения контроля над учетными записями в других сервисах и похитить деньги со счета жертвы). Известно, что сенат США, министерство иностранных дел Германии, власти государства Тайвань, а также корпорация SpaceX отказались от использования Zoom, так как сочли его недостаточно безопасным.
Наиболее безобидный покупатель, который может заинтересоваться личными данными, — компании, рассылающие спам-рекламу. Однако точно неизвестно, как захотят распорядиться полученной информацией хакеры и кому им будет выгоднее ее продать. Работа глобальных корпораций и госструктур в онлайне и вовсе может обернуться масштабным промышленным шпионажем, огромными убытками и рисками. Президент группы компаний InfoWatch Наталья Касперская считает, что утечки данных нередко используются для того, чтобы нанести компании репутационный ущерб, — однако, что делать самим пользователям, пока неясно. Потенциально граждан должно защищать государство, но большинство россиян вряд ли будут обращаться за помощью, если их «обидит» зарубежная IT-компания.
По словам эксперта Positive Technologies Евгения Гнедина, если утекла база с личными данными пользователей, — то ее скорее всего уже не удастся вернуть; однако если есть подозрения, что организация тайно раскрывает ваши персональные данные или попросту не защищает их, то каждый вправе обратиться в надзорные органы (Роскомнадзор) с просьбой провести проверку. Компаниям, хранящим данные россиян за рубежом, может грозить штраф: к примеру, в феврале текущего года по решению суда на компании Twitter и Facebook были наложены штрафы в размере четырех миллионов рублей каждый. Федеральный закон о локализации данных вступил в силу почти пять лет назад, и все компании, обрабатывающие персональную информацию российских граждан, обязаны его соблюдать. Сам пользователь, чьи данные были скомпрометированы, также может подать в суд.
Основными причинами утечек пользовательских данных чаще всего становятся превышение полномочий сотрудниками-инсайдерами, обладающими доступом к такой информации, и недостаточно надежная защита данных — уязвимости или ошибки конфигурации. Утечки стали одним из ключевых трендов рынка кибербезопасности в 2019 году, и это связано в том числе с подходом злоумышленников — киберпреступники начали объединять собранные в течение последних лет данные в единый массив для торговли на теневом рынке более полными цифровыми досье. Рецепта, как избежать утечек, нет — однако важно сообщить о произошедшем клиентам компании и предупредить их о возможных рисках, помочь противостоять мошенникам. Это не только спасет пользователей, но поможет сохранить репутацию.