IT. А чего боишься ты?

Расскажу небольшую предысторию. Сижу я как-то на работе, никого, как говорится, не трогаю, пишу письмо. Отвлекаюсь на вопрос нашего редактора, начинаю что-то ему говорить, поворачиваюсь к экрану — и застываю от ужаса. На экране монитора в открытом окне Аутлука сам собой набирается текст. Как будто кто-то невидимый печатает на моем компьютере. Печатает, стирает, правит написанное и, главное, делает это невероятно быстро. Я начинаю негодовать и зову коллег посмотреть на это чудо. А текст между тем продолжает сам собой набираться, обрывисто, с паузами разной длины. Я вглядываюсь, как буквы складываются в слова, и начинаю понимать, что это текст, который я произношу вот прямо сейчас, обращаясь к коллегам. Как будто кто-то незримый стенографирует все, что я говорю. И становится мне, граждане, жутковато…

Кажется, нас уже ничем не напугаешь, все перевидали в нашем насквозь диджитализированном мире. Ан нет, не все: ловите список самых страшных IT-угроз современности (по мнению наших экспертов).

Глубокие нейронные сети

Двойник

Ритм жизни настолько ускорился, что многие не отказались бы от двойника, к примеру чтобы отправить его на работу, а самому отдохнуть пару деньков. Скоро, с развитием нейронных сетей, это станет реальностью. Останется ли в этой реальности место человеку?

С помощью популярной технологии Deepfake можно очень реалистично подделать лицо и мимику человека на видео. Качество такой подмены превзошло все ожидания и уже пользуется огромной популярностью. Пока это кажется дико забавным всем, кроме одного директора крупной компании, у которого с помощью похожей технологии украли 220 000 €, только эмулировали не изображение, а звук голоса. Злоумышленники отдали пару распоряжений на перевод денег. Сотрудник, отдавший приказ, разговаривая с «директором» по телефону, не заметил подмены.

Все еще хотите себе двойника?

Вы крупная рыба? Тогда мы плывём к вам!

Работаете на высокой должности и постите в Инстаграм сториз с экзотического острова? А может быть, посетили очередной дорогой ресторан и оставили отзыв в соцсетях? И конечно, как любой профессионал, обновляете страничку в LinkedIn? Не думайте, что ваш высокий интеллект не позволит клюнуть на удочку очередного спам-письма! Злоумышленники с помощью искусственного интеллекта научились генерировать персональные письма крупным финансовым игрокам, основанные на данных из соцсетей. У такого спам-письма максимальная вероятность, что его откроют. Что, если очередной отель, в котором вы останавливались на выходных, пришлет вам фото якобы забытой вами вещи в номере? Попадетесь ли вы на крючок?

Что делать? В случае с фейковым звонком от директора виноват не только доверчивый сотрудник, но и сам принятый в компании регламент подтверждения. Необходимо обучать сотрудников основам кибербезопасности и, конечно, прописать четкую и безопасную схему подтверждения распоряжений. Чтобы избежать «вэйлинга» (фишинг «крупной рыбы», от англ. whale — кит), мы рекомендуем проверять адрес отправителя и не открывать сомнительные письма. Если очень хочется открыть что-то подозрительное в почте, можно завести виртуальную машину в облаке.

Все это zero click

Примерно такое количество нажатий в мобильном девайсе вам понадобится, чтобы вас взломали. Вы можете не нажимать на подозрительные ссылки, не открывать вложения — вирус сам найдет вас, например, в виде вредоносной гифки. Так произошло с уязвимостью в WhatsApp, которая срабатывала автоматически, как только пользователь заходил в галерею приложения.

В этом году пользователям «везло» на подобные уязвимости нулевого клика. Наш мир скукоживается до размеров экрана смартфона, мы отказываемся от десктопных и веб-приложений в пользу мобильных, и хакеры чувствуют этот тренд и переквалифицируются: засылают гифку-троян в приличный мессенджер, а то и похуже… Пару месяцев назад в одном из самых защищенных мессенджеров Signal обнаружили уязвимость, которая позволяла включать у владельца приложения микрофон и натурально подслушивать его и окружающих. Уязвимость срабатывала, когда в момент входящего звонка владелец смартфона не брал трубку. Трубка «бралась» сама — и начинала транслировать разговор всех, кто находился вблизи девайса со скомпрометированным приложением.

Остерегайтесь подделок

Представьте, что вы признаетесь своей девушке в любви, а она в ответ неожиданно посылает вас куда подальше и разрывает с вами отношения. Что встало на вашем пути: более удачливый соперник? будущая теща? перепады настроения? Это хакеры. Эксперты нашли уязвимость в WhatsApp, которая позволяет подделывать сообщения. Вы пишете один текст, хакер меняет его на совершенно противоположный по смыслу, получатель видит подделку и реагирует неожиданно для вас. Если нужно сказать что-то действительно важное, скажите это при встрече.

Взлом на хайпе

Вновь взлетевшее на вершину хит-парада приложение FaceApp незамедлительно превратилось в преступное орудие хакеров: на фальшивых сайтах в сети предлагалось бесплатно установить якобы премиум-версию приложения. При попытке ее скачать пользователи «подписывались» на платный софт и рекламу, на них начинала сыпаться куча уведомлений о выигрышах в лотерею, статусе миллионного посетителя и т. п., и в конечном итоге пользователь вместе с обычным FaceApp мог получить в нагрузку вредонос, просто от невнимательности случайно кликнув на навязчивую рекламу. Злоумышленники распространяли ВПО, размещая ссылки на скачивание фейкового FaceApp через YouTube.

Что делать? Настоятельно рекомендуем скачивать приложения только из официальных магазинов, не выдавать приложениям опасные разрешения и вовремя обновлять ПО.

Кто боится умного унитаза

В октябре более полутора тысяч экспертов по кибербезопасности из 14 стран поделились своими страхами относительно интернета вещей в опросе компании nCipher. Эксперты опасаются, что IoT-устройства попадут под контроль злоумышленников, боятся шпионажа через подключенные к интернету устройства, а также что хакеры-шутники взломают их подключенные унитазы. Стараясь изо всех сил не думать про то, как злоумышленники могут использовать уязвимости умного унитаза, мы не на шутку испугались, что именно такие фобии одолевают специалистов по кибербезопасности в наши дни. Что ж, спишем все на профдеформацию. Нет, все равно не получается…

Выбора нет?

Готовь сани летом, а урну для голосования за год. В 2020 году в США пройдут президентские выборы. По этому случаю пентестеры вовсю тестируют урны для умного голосования. На конференции по кибербезопасности DEF CON группа этичных хакеров протестировала несколько вариантов машин для голосования и смогла взломать каждый из них. Слабые пароли по умолчанию и ненадежное шифрование позволили хакерам получить доступ к устройствам. Пентестеры отметили, что компьютеры может взломать любой киберзлодей, получивший к ним доступ, а если работники избирательного участка ошибутся в настройках, это можно сделать и удаленно.

Что делать? Разработчикам нужно проводить анализ защищенности сайтов и разрабатывать их с учетом требований к ИБ, а не только к функциональности. 

Онлайн-засада

Любите покупать в онлайн-магазинах все от индейки по акции до авиабилетов? А кто же не любит! Современно, удобно, но… опасно: покупатели, использующие банковские карты для оплаты онлайн, рискуют столкнуться с таким явлением, как софтверные скиммеры. Под скиммерами мы привыкли понимать маленькие устройства, которые хакеры устанавливают в банкомате для перехвата данных карт пользователя. Такой способ сейчас не в моде, да и банки давно научились с ним справляться. Возможно, поэтому хакеры и потянули свои лапы к онлайн-торговле и при охоте за банковскими данными используют софтверный аналог скиммера, или JavaScript-сниффер. Это несколько строчек кода, который внедряется преступниками на сайт для перехвата вводимых пользователем данных: номеров банковских карт, логинов, паролей, имен и фамилий. Ужас в том, что хакеры эксплуатируют старые уязвимости, а малварь умеет так отлично мимикрировать под реальный код, что ее очень трудно распознать даже экспертам. Возможно поэтому специалисты совсем недавно обратили внимание на такого рода тактику хакеров. А между тем жертвами JavaScript-снифферов уже стали клиенты авиакомпании British Airways, американского дистрибьютора билетов Ticketmaster и посетители британского сайта компании FILA. Все еще ждете киберпонедельника?

Что делать? Владельцам сайтов необходимо регулярно проводить анализ кода и устранять уязвимости, чтобы сайт не могли взломать, устанавливать WAF. В случае со снифферами важно понимать, что хакеры, как правило, не взламывают сайт в лоб, чтобы вписать туда код, они взламывают разные плагины для CMS и внедряют вредоносный код в них. А ничего не подозревающие администраторы сайтов просто загружают себе эти плагины: так сниффер распространяется сразу по огромному количеству сайтов, и преступникам не приходится взламывать каждый из них по отдельности. Поэтому разработчикам CMS и плагинов нужно очень внимательно относиться к безопасности своих систем.

Кошмарный сон CISO

Представьте, что вы директор по информационной безопасности. Вы знаете, что архитектура безопасности в вашей компании выстроена близко к идеалу, средства защиты настроены грамотно, у вас прекрасно организованная сегментация сети, и все вроде бы спокойно… Но по ночам вы просыпаетесь в холодном поту. Потому что из-за плотного взаимодействия с контрагентом, будь то дочерняя организация, партнер или сервисное предприятие, некоторых «пользователей со стороны» приходится пропускать в инфраструктуру по стабильному каналу связи с ненулевыми привилегиями… И снится вам, талантливому директору по информационной безопасности уважаемой компании, полный взлом сети «дочки» из-за творящегося в этой сети бардака с безопасностью, повлиять на который вы не в силах…

Полное собрание данных

Утечки данных — настоящий бич современности. Более половины всех киберпреступлений совершаются с целью кражи информации. Новости об утечках в средних и крупных компаниях перестают быть чем-то неординарным. В открытом доступе оказываются данные пользователей мобильного фитнес-приложения, номера паспортов пассажиров крупной авиакомпании и даже персональные данные жителей целой страны. Эту информацию предприимчивые жулики могут затем продать на специализированных теневых форумах. Согласно нашему исследованию, стоимость одного набора паспортных данных в дарквебе колеблется в районе 2 $. Cкажете, негусто? А если объединить данные нескольких утечек, произошедших за последние несколько лет, в одну базу и продать оптом? Именно так работает феномен «утечки данных неясного происхождения». Преступнику, распространяющему за деньги такие цифровые досье, вовсе не нужно быть хакером, достаточно просто грамотно переработать информацию об утечках в той или иной компании, клиенты которой расставались со своими данными несколько лет подряд, сами того не ведая, — и прощай ее репутация!

Как остановить распространение украденных данных? Как защитить пользователей? Как спасти репутацию бизнеса? На все эти вопросы предстоит искать ответ компаниям, пострадавшим от утечек. Минимизировать риски поможет только зрелый комплексный подход к безопасности — от повышения security awareness сотрудников до жесткого разграничения прав доступа к данным и применения наиболее продвинутых практико-ориентированных средств кибербезопасности.

Сам себе угроза

Когда первый ужас от встречи с «компьютером-стенографистом» прошел, мы развеселились — принялись читали ему стихи и даже звали на обед. Все сказанное послушно записывалось и отображалось на мониторе. Невидимый стенографист оказался двоечником и сходство было очень приблизительным, но все-таки было понятно, что это наша собственная речь в режиме реального времени преобразуется в текст. Но, черт возьми, как?!… А вот как.

Пару лет назад мне на рабочий компьютер установили программу для перевода речи в текст. Программа, прямо скажем, оказалась слабовата, лицензию продлевать не стали, а вот снести софтину забыли. Понадобилось чуть менее двух лет, чтобы я случайно набрала на клавиатуре нужную комбинацию клавиш и вызвала позабытую программу из небытия. Она запустилась, услышала меня через лежащую на столе гарнитуру, принялась распознавать мою речь и послушно записывать в окошке неотправленного письма. Думаю, это был какой-то баг, потому что программа не могла работать, без лицензии запустить ее не получилось бы. А еще банальная неосмотрительность: ненужную программу все-таки нужно было удалить, а гарнитуру отключать. Часто мы сами являемся причиной собственных проблем, в том числе связанных с информационными технологиями, сами провоцируем собственные страхи.

Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.