Всемирная пандемия заперла людей дома: большинство компаний перевели сотрудников на удаленную работу, а студенты и школьники отправились на дистанционную учебу. Нагрузка на мировую сеть возросла в разы — популярные платформы вынуждены бороться с наплывом посетителей (так, к примеру, YouTube снизил качество видео), а небольшие и почти забытые виртуальные сервисы снова вернулись на рынок. Однако не только IT-компании рады сложившейся ситуации: данные пришедших в интернет миллионов человек привлекли мошенников и хакеров. Как киберпреступники используют глобальную катастрофу для собственного обогащения и есть ли способы не попасться на их уловки — разбиралась «Лента.ру».
Мошенники приспосабливаются к современным реалиям намного быстрее большинства россиян: пользуясь обстоятельствами, они принялись массово рассылать фальшивые штрафы от имени МВД. Эксперты компании Group-IB сообщили, что 10 апреля злоумышленники распространили через СМС-сообщения и мессенджеры уведомления о штрафах. В послании к адресатам обращались персонально, указывая имя, фамилию и отчество, — а далее уточняли, что получатель обязан оплатить взыскание за нарушение режима самоизоляции. В противном случае авторы сообщения угрожали возбудить уголовное дело. Если жертва перезванивала по указанному номеру, — звонок переадресовывался в справочную службу Министерства внутренних дел.
В пугающем послании были и странные несостыковки: на оплату штрафа жертве давали всего сутки, а средства предлагалось перевести на номер телефона, зарегистрированный в Краснодарском крае. Кроме того, злоумышленники ссылались на некое несуществующее постановление ФСИН номер 168-322: ранее оно же упоминалось в многочисленных мошеннических письмах со «штрафами» за посещение порнографических сайтов.
Помимо этого, в сети фиксируют рост фишинговых страниц и фальшивых рассылок: представляясь сотрудниками банков и государственных учреждений, преступники предлагают потенциальным жертвам компенсации «ущербов», кредитные каникулы или помощь в получении ссуды, содействие в возврате средств за авиабилеты и множество других услуг, вплоть до фальшивых справок о перенесенной коронавирусной инфекции. Еще один распространенный прием — предложение о трудоустройстве на выгодных условиях. По сути, все они направлены лишь на выманивание платежных реквизитов и персональных данных, — в последние годы мошенники хорошо освоили методы социальной инженерии и не упускают возможность их применить.
В МВД также зафиксировали рост краж денег со счетов россиян с помощью вредоносного ПО — в топах самых активных опасных программ на всей планете вновь замечены банковские трояны Dridex и Trickbot. Используя спам-рассылки и фишинг, преступники убеждают жертву установить на телефон или компьютер троян, который собирает платежную информацию и выводит средства со счетов. По данным правоохранительных органов, мошенники нередко используют также «зеркала» банковских сайтов для кражи средств: фишинговую страницу довольно трудно отличить от настоящей — пользователя должны насторожить отсутствие оповещений о входе в личный кабинет и отказ портала в обслуживании клиента. В таких случаях в МВД порекомендовали как можно скорее заблокировать банковский счет. Согласно статистике, более половины мошенничеств в России совершаются с использованием цифровых технологий.
Руководитель отдела аналитики Positive Technologies Евгений Гнедин в беседе с «Лентой.ру» пояснил, что сам пользователь бессилен сделать безопасным интернет-ресурс, где, например, оплачивает покупку, — ответственность за противодействие атакам лежит на владельцах сайтов. Однако каждому стоит внимательно относиться к тем сайтам, где требуются данные банковских карт и персональная информация, сканы личных документов и прочее. Нужно всегда помнить, что любая информация, которую пользователи вводят на страницах сайтов, останется в интернете, а значит, может быть рано или поздно похищена и использована злоумышленниками. И конечно, необходимо устанавливать стойкие уникальные пароли для всех сервисов, а также, если возможно, дополнительно включить двухфакторную аутентификацию.
Освоили киберпреступники и новые виды атак. В конце марта стало известно о хакерах, которые, подобрав пароль к роутеру, изменяют настройки DNS. Ни о чем не подозревающий юзер, заходя в сеть, автоматически попадает на страницу фейкового информационного приложения о COVID-19, якобы разработанного Всемирной организацией здравоохранения. Поддельный ВОЗ настаивает на том, что пользователю необходима программа под названием COVID-19 Inform App, — однако вместо нее он загружает вредоносный троян Oski, который захватит все данные банковских карт, пароли и куки. Позднее полученная информация будет использоваться преступниками для кражи средств, захвата страниц и фишинга.
Пока мошенники общаются с жертвами напрямую, многие хакеры пошли войной на интернет-платформы, хранящие огромные объемы различных данных о сотнях миллионов человек, — от реквизитов карт до паспортных данных и домашних адресов. Нынешние реалии возлагают большую ответственность на сами сервисы: когда почти весь мир переместился в сеть, они не могут обмануть доверие пришедших к ним пользователей. Резкий рост активности юзеров стал для них не только поводом для дальнейшего развития, но и мощнейшим тестом на современность и безопасность. К сожалению, справились не все.
Наиболее востребованным весной 2020 года оказался сегмент видеосвязи, и особенно — продуктов, позволяющих организовывать конференции. Так, к примеру, объем видеозвонков, совершенных в Microsoft Teams, только в марте увеличился на 1000 процентов по сравнению с предыдущими ежемесячными показателями. Многократным ростом могут также похвастаться Skype и Zoom. При таком наплыве пользователей немало преступников вспомнили о старом добром оружии, которое не успело себя показать в прежние времена.
В марте в десятке самых активных опасных программ в России оказался вирус Pykspa, который распространяется через сообщения в Skype. Червь может получить личную информацию пользователей и данные об их контактах. По данным экспертов из компании Check Point Software Technologies, он заставляет приложение рассылать всем адресатам фишинговое сообщение с ссылкой, перейдя по которой новые жертвы скачают Pykspa на свои личные устройства. Под угрозой оказались миллионы пользователей Skype: по состоянию на конец 2019 года мессенджер входил в топ наиболее популярных сервисов среди россиян, уступая лишь WhatsApp, Telegram и Viber.
В последний раз широкая хакерская кампания с использованием этого червя произошла пять лет назад — в 2015-м году. Современную активность вируса можно объяснить лишь новым витком популярности программ для проведения конференций и видеозвонков. Сейчас такие массовые атаки скорее направлены на домашних, а не на корпоративных пользователей, но положение дел может измениться в любой момент. Тем более, что число переходящих на удаленку россиян постоянно растет, — только за несколько недель рекомендованной самоизоляции число работающих дистанционно россиян возросло на 14 процентов.
Крупные сервисы нередко становятся объектами атак. Однако существуют и такие, которые оказались небезопасными и без участия преступников: они оказались не готовы к огромному потоку новых пользователей и не успели вовремя отреагировать. Хакерам осталось лишь эксплуатировать существующие уязвимости.
Наибольший интерес пользователей всего мира сейчас вызывает сервис Zoom. Его прорыв на рынке нынешней весной кажется почти фантастическим: согласно отчету международной консалтинговой компании IDC (International Data Corporation), число новых пользователей, использующих приложение во всем мире в марте 2020 года, превысило годовой прирост юзеров в 2019-м. Если в декабре ежедневная аудитория программы едва перешагнула порог в 10 миллионов пользователей, то сейчас эта цифра возросла в 20 раз. В марте капитализация Zoom Video Communications выросла за неделю почти вполовину: тогда весь мир, покинув офисы, принялся проводить совещания удаленно.
С этим связана комическая история: в этот период инвесторы случайно в несколько раз подняли цену акций малоизвестного китайского производителя оборудования Zoom Technologies — более чем на 500 процентов. Это произошло потому, что во время биржевых торгов они перепутали краткие биржевые обозначения двух компаний (Zoom для видеоконференций имеет тикер ZM, а китайская компания со штатом всего в 10 человек — Zoom) и купили не те акции. Год назад произошло то же самое: когда Zoom Video Communications вышла на биржу, инвесторы накупили акций Zoom Technologies, подняв их в цене на 47 тысяч процентов.
Первое время перешедшие на удаленную работу сотрудники радовались сложившимся обстоятельствам: вести дела дистанционно казалось несложным. Многих восхищали заново открытые функции: к примеру, в Zoom можно было записать конференцию, чтобы позднее всегда иметь ее под рукой, — на устройстве или в облаке. Программа автоматически присваивала шаблонные названия сохраненным файлам. Аналитики прогнозировали продолжение стремительного роста сервиса, однако на пути восхождения встали проблемы с безопасностью данных.
В конце марта и начале апреля исследователи в области кибербезопасности указали на ряд уязвимостей, которые позволили злоумышленникам украсть информацию о входе пользователя в систему, получить доступ к сообщениям, а также взять под контроль камеры и микрофоны собеседников. Тысячи записей видеозвонков попали в открытый доступ — как рабочие корпоративные конференции, так и частные разговоры. Журналисты издания The Washington Post пообщались с несколькими людьми, чьи разговоры были слиты в сеть, и ни один из них не знал, как это произошло. Предполагалось, что по шаблонным названиям автоматически сохраняющихся разговоров их можно было вручную найти в хранилищах. В похожей ситуации оказалась и безопасность текущих разговоров: ранее сотрудники компании Check Point выяснили, что любой человек мог дистанционно подключиться к случайной конференции, подобрав номер, который сервис ей присвоил. Из-за этого позднее были введены подключения по паролю.
Генеральный директор и основатель Zoom Эрик Юань признался, что его компания оказалась не готова к резкому росту посетителей. Утечки были связаны с тем, что видеозвонкам присваивались открытые идентификаторы, а подключение не было зашифровано. Шифрование данных — одна из слабостей сервиса: видеозвонки не защищены по принципам E2E (end to end, «сквозное» шифрование — в таком случае получить доступ к диалогу могут только его участники), которое реализуется в ряде популярных мессенджеров или в некоторых сервисах видеосвязи, — например, FaceTime. Большинство объясняет это особенностями работы сервиса. При этом на сайте компании указано, что связь в Zoom защищена end-to-end. Американские журналисты выяснили, что в прочтении сотрудников сервиса «сквозное шифрование» означает защиту данных, передающихся между собственными серверами, однако никто не мешает перехватить информацию в момент ее передачи от пользователя на сервер. То есть такие заявления по сути являются ложными, однако привлекают пользователей громкими обещаниями. К тому же многих пользователей смущает, что сотрудники сервиса работают с существующими проблемами лишь после того, как им указывают на эти промахи.
Пока компания не ввела вход в беседу по паролям, по миру прошла волна зумбомбинга — зум-бомбардировок, хулиганских выходок, саботирующих беседу: интернет-тролли подключались к чужим разговорам и мешали им — к примеру, подключали демонстрацию собственного экрана, где транслировали порноролики. Известны также случаи «передачи» записей с нацистской символикой или насилием. Чаще всего жертвами подобных розыгрышей становились чаты студентов и школьников — в Саратове местным школам рекомендовали вовсе отказаться от Zoom-конференций после инцидента с трансляцией порно. Позднее сотрудники компании исправили недочеты, и сейчас для того, чтобы ограничить собеседников от нежелательного контента, достаточно подключить пароль, позволить демонстрацию экрана только организатору беседы и не выкладывать в соцсети ссылки на конференцию.
Но и на этом претензии к сервису не заканчиваются. Эксперты считают, что Zoom навязывает свое приложение пользователям, вынуждая их скачивать программу, а в случае с загрузкой на macOS и вовсе ведет себя как опасная программа — требует, чтобы юзер ввел пароль для получения администраторских прав.
В конце марта британский исследователь Мэтью Хики заявил, что нашел уязвимость в приложении Zoom, которая позволяет с легкостью украсть данные пользователя Windows с помощью URL-ссылки: при попытке юзера перейти по ссылке в чате система выдает зашифрованную информацию о нем, — но ее нетрудно взломать. Буквально на следующий день его коллега Патрик Уордл из Objective-See сообщил, что любой преступник может отредактировать установщик Zoom для macOS таким образом, что сможет не только незаметно записывать все беседы, но и получит доступ ко всей информации, включая камеру и микрофон устройства. Через некоторое время сотрудники сервиса исправили эти уязвимости.
Однако позднее эксперты обнаружили базы учетных записей Zoom в продаже в даркнете: к 13 апреля на хакерских форумах продавалось или раздавалось бесплатно уже более полумиллиона пар логин-пароль вместе с персональными данными юзеров. Специалисты из компании Group-IB сообщили, что ряд продаваемых в сети аккаунтов принадлежит пользователям с почтовым адресом в доменной зоне ru. Предполагается, что полученные данные могут быть использованы для зумбомбинга или как база для новых серьезных киберпреступлений (к примеру, получив логин и пароль от Zoom, преступники могут использовать их для получения контроля над учетными записями в других сервисах и похитить деньги со счета жертвы). Известно, что сенат США, министерство иностранных дел Германии, власти государства Тайвань, а также корпорация SpaceX отказались от использования Zoom, так как сочли его недостаточно безопасным.
Наиболее безобидный покупатель, который может заинтересоваться личными данными, — компании, рассылающие спам-рекламу. Однако точно неизвестно, как захотят распорядиться полученной информацией хакеры и кому им будет выгоднее ее продать. Работа глобальных корпораций и госструктур в онлайне и вовсе может обернуться масштабным промышленным шпионажем, огромными убытками и рисками. Президент группы компаний InfoWatch Наталья Касперская считает, что утечки данных нередко используются для того, чтобы нанести компании репутационный ущерб, — однако, что делать самим пользователям, пока неясно. Потенциально граждан должно защищать государство, но большинство россиян вряд ли будут обращаться за помощью, если их «обидит» зарубежная IT-компания.
По словам эксперта Positive Technologies Евгения Гнедина, если утекла база с личными данными пользователей, — то ее скорее всего уже не удастся вернуть; однако если есть подозрения, что организация тайно раскрывает ваши персональные данные или попросту не защищает их, то каждый вправе обратиться в надзорные органы (Роскомнадзор) с просьбой провести проверку. Компаниям, хранящим данные россиян за рубежом, может грозить штраф: к примеру, в феврале текущего года по решению суда на компании Twitter и Facebook были наложены штрафы в размере четырех миллионов рублей каждый. Федеральный закон о локализации данных вступил в силу почти пять лет назад, и все компании, обрабатывающие персональную информацию российских граждан, обязаны его соблюдать. Сам пользователь, чьи данные были скомпрометированы, также может подать в суд.
Основными причинами утечек пользовательских данных чаще всего становятся превышение полномочий сотрудниками-инсайдерами, обладающими доступом к такой информации, и недостаточно надежная защита данных — уязвимости или ошибки конфигурации. Утечки стали одним из ключевых трендов рынка кибербезопасности в 2019 году, и это связано в том числе с подходом злоумышленников — киберпреступники начали объединять собранные в течение последних лет данные в единый массив для торговли на теневом рынке более полными цифровыми досье. Рецепта, как избежать утечек, нет — однако важно сообщить о произошедшем клиентам компании и предупредить их о возможных рисках, помочь противостоять мошенникам. Это не только спасет пользователей, но поможет сохранить репутацию.