Налог на беспечность

Руслан Иванов, инженер-консультант компании Cisco

Известно, что злоумышленники часто используют в процессе атак вкупе с вредоносным ПО методы социальной инженерии. Порой они даже специально разрабатывают новые подходы и нанимают профессионалов в области психологии и анализа человеческого фактора.

Письмо от регулятора

Человеческий фактор – многозначный термин, описывающий возможность принятия человеком в конкретных ситуациях ошибочных или алогичных решений. Именно принятие таких решений и интересует киберпреступников. Как добиться того, чтобы сотрудник компании открыл письмо и запустил вредоносное вложение? Раньше потенциальную жертву пытались заинтересовать обещанием финансовой прибыли («нигерийские письма») или заинтриговать сообщением «прекрасной незнакомки, мечтающей познакомиться с мужественным принцем». Со временем эти уловки практически перестали действовать, и злоумышленники поменяли тактику.

Для того чтобы обеспечить гарантированный запуск сотрудником компании зловредного кода, имитируются письма от его родственников, знакомых, коллег и руководителей компаний. А основным хитом остаются сообщения, поступающие, якобы, от рыночных регуляторов – налоговых, финансовых, пенсионных и т.д. Такие письма имеют обратные адреса, очень похожие на настоящие адреса «отправителей», и их зачастую невозможно отличить от рассылок соответствующих органов, которые почти никогда не подписывают свои отправления электронными подписями.

Порой преступные группы используют зараженные машины в сетях предприятий, которым доверяет множество пользователей (операторов связи, управляющих компаний, правительственных агентств и т.п.). Например, письмо с вредоносным кодом поступает в ходе почтовой переписки, в которую вовлечены представители нескольких компаний. Доверия к такому письму – гораздо больше, и вероятность того, что пользователь запустит вредоносный код, очень высока.

Как злоумышленники заставляют пользователей что-то делать в своих интересах, вполне понятно. Они играют на низменных чертах человеческой натуры (лень, похоть, жадность) либо на банальном незнании базовых правил компьютерной гигиены. Очень интересный трюк, который я подсмотрел у одного из коллег-безопасников – у него нет в телефоне контактов, которые бы назывались «Мама», «Папа», «Жена» и т.д. – потому что это первые контакты, по которым пойдут ссылки в случае заражения телефона вредоносным кодом! И почти 100%, что получив правильно составленное сообщение адресат выполнит то, что хотят злоумышленники.

Машина судного дня

Программы-вымогатели (или шифровальщики) являются весьма эффективными инструментами киберпреступников, ведь при очень низких первоначальных затратах удается почти сразу получать легкие деньги. При этом злоумышленник может не обладать специальными знаниями, а шансы его поймать невысоки – оплата обычно производится криптовалютой на обезличенный кошелек, находящийся в третьей стране, да и жертва в большинстве случаев не обращается в правоохранительные органы.

Киберпреступники не гнушаются традиционными подходами бизнеса, выходящего в новые ниши: они изучают рынок и выбирают целевую аудиторию. Затем жертве объявляют цену откупа от фокусной атаки, на порядки меньшую, чем стоимость последствий потери информации или отказа информационной системы.

Для жертвы выплата этого «налога на беспечность» психологически «комфортнее» атаки. К тому же у пострадавшей стороны, фактически, нет выбора: если злоумышленники зашифровали ее информацию (данные БД, файлы на сетевом диске и т.п.) и ультимативно потребовали перечислить им деньги к определенному моменту (зачастую устанавливается время менее трех часов, достаточное для отправки денег, но недостаточное для анализа кода вредоносного ПО), то при невыполнении этого требования данные будут уничтожены.

Программа-шифровальщик действует на манер «машины судного дня» – при прохождении точки невозврата (отсутствия команды на расшифровку или ввода ключа дешифрации) она уничтожает данные автоматически, без команды злоумышленника. Отметим, во многих странах законодательство настолько несовершенно, что сам факт уничтожения информации такой программой не считается составом преступления, а расценивается как обстоятельство непреодолимой силы.

Получается, что злоумышленники почти всегда выигрывают, так как контролируют место и время битвы, а традиционные методы защиты, межсетевые экраны и антивирусы оказываются бессильными. Средства ИБ, естественно, тоже развиваются, но, к сожалению, менее динамично, чем инструментарий киберпреступников. Действительно, вредоносный код может иметь тысячи модификаций, относясь к одному и тому же семейству, а с точки зрения ОС и систем безопасности – даже не являться вредоносным в момент его запуска (не делать ничего предосудительного, маскироваться под работу системных утилит или предоставлять некий полезный функционал). Он может иметь «спящие» исполнительные блоки, которым передается управление при наступлении каких-либо событий – например, при редактировании пользователем пятого документа за неделю в MS Word, открытии двух Excel-таблиц в день и т.п. И обнаруживать такой вредоносный код очень сложно даже с помощью современных специализированных средств, таких как системы статического и динамического анализа кода («песочницы»).

Можно ли бороться с подобным вредоносным ПО и стоящими за ним преступными группами? Да, можно, а вот как – это тема отдельного разговора.

Тэги: 
Оцените материал:
Total votes: 26

Другие статьи
Поделиться:
 
 
Комментарии в Facebook
 

Комментарии на сайте

Аватар пользователя riskmn

Странное чувство после прочтения. Много я "пугалок" перевидал - хочется понять, когда это может (а может никогда) закончится.

Все можно перевернуть изменив ответ в конце статьи:

Можно ли бороться с подобным вредоносным ПО и стоящими за ним преступными группами? Да, можно, а вот как – это тема отдельного разговора.

- с ПО можно не бороться, есть иные методы и более эффективные и, что самое приятное, на порядки менее затратные.

- с ПГ бороться надо обязательно (по определению) и думаю, что это не обсуждается.

А вот ГЛАВНОЕ - при таком взгляде на проблемы - автор призывает вкладывать деньги в бизнес вендоров, а не решать проблемы бизнеса))))

Хорошая попытка. 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.