Как злоумышленники используют данные
— Павел, расскажите, чем масштабные утечки данных из баз банков или сотовых операторов грозят обычным людям.
— Если вы имеете в виду те утечки, что были, например, у Сбербанка, то выборка или кусок из такой базы данных может оказаться в продаже в теневом интернете — Даркнете.
Покупают эту информацию разные компании, в том числе другие банки. Для них это потенциальная клиентская база, ведь они видят не только, как зовут человека, но и, допустим, размеры его счетов. Можно звонить и предлагать то, что с большой вероятностью заинтересует.
Такие спам-звонки знакомы почти всем. Лично я каждую неделю получаю по три подобных звонка и понимаю, что мой телефон давно украли из какой-то базы. Мобильные операторы уже предлагают услугу защиты от нежелательных звонков, потому что проблема приобретает огромные масштабы.
То, что личные данные могут быть использованы для мошеннических действий, тоже не исключено. Мы знаем, что огромное количество услуг сейчас можно получить в электронном виде. У многих на слуху история о том, как в Москве мошенники сменили собственника квартиры без присутствия владельца.
Часть удостоверяющих центров, которые выдают электронные подписи, работает недобросовестно. Там не смотрят документы клиентов, не сверяют подпись с паспортом и выдают ключи подставным лицам. С помощью такого ключа можно проводить юридически значимые операции от имени другого человека.
Третий вариант использования украденных данных — политические игры. Например, нужно очернить какую-то публичную фигуру. У него в биографической справке написано, что он окончил такой-то вуз. Кто-нибудь якобы взламывает базу выпускников этого вуза и говорит, что человека в ней нет, или вычеркивает его из реальной базы. А потом сообщает: «Смотрите, он лжец, на самом деле не учился в этом вузе!».
— Сейчас бродит страшилка о том, что мошенники могут оформить кредит на чье-то имя. Это возможно?
— Такая вероятность есть. Банки стали выдавать кредиты онлайн. Единственное, чем себя можно успокоить, их размеры небольшие. Хотя, конечно, для каждого своя сумма критична.
— Когда нужно начинать беспокоиться по поводу утечки личных данных?
— Заранее вы никак не узнаете, что информация о вас куда-то утекла. Только когда мошенники или какие-то компании начнут предпринимать действия. Допустим, звонят вам из банка, клиентом которого вы не являетесь, и говорят, что вам одобрили кредит.
Возникает закономерный вопрос: как этот банк мог проанализировать данные обо мне? Я не госслужащий, информацию о доходах не публикую.
Соглашаться по телефону на предложения, связанные с финансами, не стоит. Если вы хотите сбить мошенников с толку, то отвечайте им, что у вас долги и вы подаете на банкротство. Они извинятся и положат трубку. Реальный банк начнет с вами спорить, ведь обладает достоверной информацией.
Как гражданам защищаться от сетевых мошенников
— Как еще можно себя защитить?
— В случае с некоторыми госуслугами, которые оказывают в электронном виде, можно обратиться в госорган и написать заявление, что без вашего личного присутствия нельзя совершать какие-то операции. Например, открывать юрлицо.
Есть и другие меры предосторожности. В гостиницах задавайте вопрос, зачем сканируют ваш паспорт. Зачастую это действие избыточно, в законодательстве оно не прописано. Гостиницы обязаны сканировать паспорта только иностранных граждан, остальное — их внутренние регламенты.
Я был свидетелем ситуации, когда люди отказывались отдавать паспорт на сканирование. Не видел, чтобы в отеле говорили категорично: «Мы вас не поселим», хотя и спорили. Точно так же паспорт не должны сканировать в бюро пропусков организаций. Достаточно того, что вы его предъявили.
— Безопасники часто ругают обычных юзеров за то, как они обращаются с паролями. Актуальная проблема?
— Да, безусловно. Люди часто ставят один пароль на все сервисы. Знаю по себе, что менять их и следить за ними очень сложно. Однако даже если делать все правильно, то это не исключит того, что пароль украдут.
На устройства пользователей с помощью вирусов ставят зловредный софт, который следит за тем, что человек набирает на клавиатуре. Если вы заходите, например, на сервис онлайн-банкинга, то велика вероятность, что следующая комбинация клавиш будет логином и паролем.
Не факт, что злоумышленники воспользуются этой информацией сразу, сначала они могут копить данные о тысячах клиентов банка. Поэтому периодическая смена пароля дает некоторую безопасность.
Чтобы упростить запоминание пароля, можно придумать правило, по которому вы будете его менять. Условно: первое слово всегда «президент», второе — номер месяца смены пароля, третье — следующий цвет в радуге.
— Но злоумышленники могут раскрыть эту логику.
— Зачастую они тестируют более топорные схемы: имя, год рождения, ближайшие родственники, какие-то примитивные комбинации этих данных.
Мое мнение: пока люди становятся жертвами мошенников не потому, что у какого-то конкретного Ивана Иванова хотели что-то украсть. А лишь потому, что он попал в случайную выборку и машина смогла воспользоваться информацией. Создается бот, который пытается взломать сайт определенного банка, ему подсовывают базу набранных паролей, он перебирает их. Чей-нибудь пароль подходит.
— Со временем это может превратиться в преследование конкретных людей, как показывают в некоторых фильмах? Мне кажется, в обществе появляется такая фобия.
— Есть такое, да. Эта фобия не безосновательна. Думаю, пройдет еще лет пять, и любого человека можно будет «выключить», как в одной из серий «Черного зеркала». Некоторые эпизоды из этого сериала уже стали реальностью. Например, о социальном статусе человека в интернете, исходя из которого ему дают или не дают какие-то блага. В Китае похожая система работает.
С точки зрения безопасности в развитии технологий есть плюсы. Поймать преступников сейчас намного проще, чем 20 лет назад. Правоохранительные органы плотно работают с ИТ. Когда-то Шерлок Холмс говорил, что у любого преступления есть финансовый след, теперь появился цифровой.
С другой стороны, люди боятся. Паникуют из-за того, что телефоны могут записывать их разговоры или делать видеозаписи. И наверное, они правда так делают. Иногда сидишь, общаешься с кем-то, а телефон вдруг говорит: «По вашему запросу ничего не найдено». То есть голосовой помощник сработал на какую-то типовую команду, он слушает и пытается что-то найти в Сети.
Однако, если ты законопослушный гражданин, то, скорее всего, не стоит из-за этого переживать.
Как хакеры атакуют системы крупных компаний
— Как злоумышленникам удается взламывать системы крупных банков? Получается, они уязвимы?
— Лет семь назад госорганы озаботились защитой персональных данных, но она свелась к юридическим аспектам — запрос разрешения на обработку, правила этой обработки и так далее. Закон защищает от человеческого фактора — сотрудникам компаний запретили некорректно обращаться с такого рода сведениями.
Но теперь утечки происходят по другим причинам — техническим, в том числе и из-за неграмотности людей в этой сфере.
Наша компания привлекалась к экспертизе по двум случаям воровства денег из банка. И оба раза виновным признали потерпевшего. В одном случае у человека украли 600 тыс. рублей, и он начал судиться с банком.
Экспертиза показала, что мужчина перепутал сайт своего банка с фишинговым. У него на компьютере не стоял обновленный антивирус, это позволило подгрузить ему в браузер сайт-подделку — полный дубликат настоящего. Человек на нем вводил логин и пароль. С юридической точки зрения он сам отдал личную информацию.
Глобальные утечки данных происходят двумя путями — накопление информации о пользователях с помощью зловредного софта (о чем мы уже говорили) или из-за поражения инфраструктуры компании, о котором она не подозревает. Это может длиться месяцами. У одного нашего клиента зашифровали все корпоративные данные. Причем работа велась так долго, что зашифровали даже резервные копии.
Компания упорно пыталась восстановить информацию. У нее ничего не вышло, пришлось платить выкуп. От подобных вещей защищает непрерывный мониторинг инфраструктуры. Он выявляет нестандартные события — подбор паролей и другие.
Еще интересный пример был в госорганизации. Злоумышленник ничего не шифровал, не воровал, он просто использовал ресурсы для майнинга. Хакер был настолько умен, что подключался к инфраструктуре с 11 до 14 часов, когда идет пик приема граждан. Владельцы системы считали, что им пора ее модернизировать, так как она «не справляется». Выявить, что реально происходит, удалось только благодаря круглосуточному мониторингу.
Сколько денег просят сетевые рэкетиры
— Когда хакеры шифруют информацию и требуют выкуп, можно как-то иначе решить проблему и не платить?
— Первое, что можно сделать — попытаться восстановить информацию с резервных копий — с дневной или недельной потерей данных. У некоторых крупных компаний есть услуга — они расшифровывают информацию, для этого нужны большие вычислительные мощности. Но все больше случаев, когда расшифровать невозможно.
Поэтому многие крупные организации вынуждены платить. Каждый действует исходя из экономической целесообразности: считает, сколько стоит время простоя и какой выкуп предлагается заплатить. Как правило, он намного меньше. Отследить получателей таких платежей нереально, потому что выкуп просят перечислить в криптовалюте.
В последние два года, к нашей радости, рынок безопасности меняется. Раньше нас просили аттестовать предприятие по установленным законом нормативам — «для галочки», а теперь все смещается в сторону защиты от реальных угроз.
— Когда требуют выкуп, о каких суммах идет речь?
— Пример из нашей практики — за каждый зашифрованный сервер просили пять биткоинов. Всего было порядка 20 серверов. Какой был курс биткоина тогда, я уже не помню. Но он точно достигал нескольких тысяч долларов. Суммы доходят до колоссальных. Однако злоумышленник в основном соизмеряет свои запросы с возможностями жертвы.
— Допустим, организация заплатила выкуп. Есть ли гарантии, что у нее снова не попросят денег?
— Нет. Через какое-то время все может повториться. Когда компания платит выкуп, она надеется, что хотя бы получит доступ к своей информации, заберет оттуда нужные файлы и заново создаст инфраструктуру. Некоторые предприятия восстанавливают базу по бумажным документам — решают, что им так проще.
Сейчас в цифровом мире все как в России девяностых: пришел рэкетир, потребовал денег, ты дал, и нет никаких гарантий, что завтра тебя опять не попросят заплатить. Логика такая: заплатил один раз — заплатишь и второй.
— И от этого никак нельзя защититься?
— Инфраструктуру заново построить можно, ввести на ней круглосуточный мониторинг, чтобы не наступить на те же грабли во второй раз. Одним словом, опять же как в девяностые, нужно вставать под чью-то защиту (смеется - прим. ред.)
В Барнауле недавно проходили киберучения для безопасников, там было много кейсов не о технической грамотности, а о так называемой социальной инженерии. Например, приходит вам сообщение на WhatsApp, что информацию компании зашифровали, требуют выкуп, угрожают остановить работу всей системы. Что делать? Пока что в компании все работает, никаких инцидентов нет. Платить или не платить?
Правильный ответ: нужно посмотреть на сообщение и проанализировать его. Понять, живой человек его отправил или бот. Персонализированное это сообщение или массовая рассылка. Мошенники ведь часто обманывают — никакой шифровки данных в реальности нет.
Здесь тоже — как в девяностые: «Дай мне денег, а то ударю!» А ударит ли? То есть многое можно предотвратить, если правильно действовать сразу после угрозы.
В организациях должен быть план действий на случай кибератаки, ровно так же, как на случай пожара. Каждое подразделение должно понимать, что ему делать и кто ответственный. Времени долго размышлять обычно нет.
— Правоохранительные органы задерживают киберпреступников?
— Да, такие случаи были, но задерживают в основном начинающие команды, которые горят на более простых вещах. Серьезные атаки организуют группировки международного масштаба. Где они находятся географически, сказать сложно. И людей, которые занимаются ИТ-преступлениями, скорее всего, сотни или даже тысячи. Они постоянно развиваются. Появляется новая технология, и мошенники сразу придумывают, как ее использовать в своих целях.
Специальный вопрос
— Верите ли вы в то, что закон о суверенном интернете сделает нашу жизнь безопаснее?
— Сейчас государство заявляет о планах организовать защиту многих ведомственных ИТ-систем централизованно. Закон о суверенном интернете — проявление этой же тенденции. Минус здесь заключается в том, что люди в регионах, на местах, сидят и ждут, что о защите их ИТ-ресурсов позаботятся «сверху», а сами ничего не делают. Но централизованные системы создаются не одномоментно, на это уходят годы. За это время многое может случиться.
Если говорить именно о законе о суверенном интернете, то здесь очень велик риск ограничения свободы слова и доступа к полезной информации. При этом технически обойти этот закон можно. Поэтому от реальных угроз он вряд ли защитит.
О чем еще рассказал собеседник
Что известно о Павле Плетневе
Павел Плетнев родился 27 августа 1985 года в Павлодаре. Высшее образование получил на инженерно-физическом факультете АлтГТУ им. Ползунова по специальности САПР. Второе высшее — в том же вузе по направлению «информационная безопасность». Кандидат технических наук по направлению «Системы, сети и устройства телекоммуникаций» СибГУТИ, Новосибирск.
Карьеру начал после окончания второго курса университета в 2005 году с должности системного администратора компании «Корпоративные системы» (сейчас ликвидирована). За четыре года вырос до заместителя коммерческого директора. В 2009 году с четырьмя партнерами основал собственную компанию «Центр информационной безопасности». С 2010 года и до сегодняшнего дня работает ее генеральным директором.
Павел Плетнев женат, воспитывает троих сыновей. В свободное время занимается плаванием, боксом, увлекается парусным спортом.
Самое важное - в нашем Telegram-канале