Распространение COVID-19 положительно сказалось не только на бизнесе сервисов доставки и онлайн-развлечений: киберпреступники тоже остались в выигрыше. Они быстро подстроились под ситуацию повсеместного введения удалённой работы и стали использовать слабо защищённые системы и неосторожность сотрудников в своих целях.
Специалисты Digital Security выделили наиболее распространённые в период пандемии атаки и подготовили ряд советов, которые помогут улучшить безопасность. Ведь эти три месяца стали неким тест-драйвом удалённой работы, и всё больше компаний принимают её как допустимый формат на постоянной основе.
На связи с хакерами
Когда собраться на мозговой штурм или разбор полетов в офисе стало не просто сложно, а невозможно, на помощь пришли разнообразные инструменты связи для проведения конференций и групповых звонков. Проблема лишь в том, что эти помощники ставят под угрозу приватность сотрудников и конфиденциальную информацию.
Как и в любом софте, в сервисах видеоконференцсвязи есть уязвимости, которые могут найти и проэксплуатировать злоумышленники, а популярность сервиса лишь повышает градус внимания к нему.
Всем известный Zoom испытал это на себе: мошенники стали маскировать свои сайты под сервис с целью кражи паролей пользователей, данных кредитных карт и другой персональной информации. Этичные хакеры тоже начали активно исследовать Zoom, но уже с благими намерениями. Они выявили уязвимости, позволяющие подключаться к чужим конференциям без приглашения, собирать информацию и копировать файлы, которыми обменивались участники. Некоторые уязвимости Zoom закрыл. Вопрос в том, какое количество уязвимостей еще осталось и благополучно эксплуатируется мошенниками.
По мнению ведущего пентестера Digital Security Ильи Булатова, утечки информации в большинстве случаев происходят по вине самих пользователей, которые расшаривают скриншоты или записи конференции и ставят слабые пароли для доступа к ним. Вину с вендоров за уязвимости в софте никто не снимает. Если не тестировать свой софт самостоятельно, это наверняка сделают другие.
Как не допустить постороннего
Несмотря на все недостатки, даже в IT-сообществе продолжают использовать Zoom. Конечно, есть альтернативы, например, Google Hangouts, Whereby, Gotomeeting и другие. Но ни один сервис не обеспечит стопроцентную защищённость ваших данных, поэтому важно соблюдать элементарные правила информационной безопасности.
Постарайтесь выбрать решение, которое сможете развернуть своими силами внутри компании. В таком случае подключение и все коммуникации будут проходить через ваш сервер, а не через чужой.
Если сервис позволяет установить пароль для допуска в комнату видеоконференции, пользуйтесь этой возможностью. Не расшаривайте скриншоты конференций в соцсетях, как бы ни хотелось показать успех командной работы на удалёнке. И самый, казалось бы, очевидный, но важный момент: избегайте передачи ценных документов в комнатах конференций.
В стабильной работе ОТКАЗАНО
DoS-атаки (они же Denial of Service, или «отказ в обслуживании») злоумышленники могут устроить ради развлечения, по заказу конкурента или с целью шантажа и вымогательства.
Иногда проблема ограничивается состоянием «сайт упал» и решается довольно быстро, но иногда грозит серьёзными трудностями вплоть до полной остановки рабочих процессов на неопределённый срок. Так, в условиях удалённой работы злоумышленник может парализовать деятельность компании, атаковав VPN-сервис.
Чаще всего жертвами становятся онлайн-магазины и организации, предоставляющие услуги онлайн. Случается, что под удар попадают и государственные учреждения. Например, в феврале и марте подобным атакам подверглось Министерство здравоохранения и социальных служб США. Официальные лица США высказали подозрения, что ситуация могла являться частью кампании, направленной на сокрытие официальных данных о пандемии и распространение ложной информации.
Длительность большинства атак составляет меньше часа, а в некоторых случаях атака может продолжаться более суток. Обычно факт DoS выявляется быстро, но есть прецеденты, когда негативные последствия флуд-атаки всплывали спустя время при получении счёта от интернет-провайдера. Неприятный момент в том, что в условиях удалёнки оперативное устранение проблемы затруднено, а чем дольше длится атака, тем выше нанесённый ущерб.
Как не довести до отказа
Межсетевые экраны для защиты частных сетей, фильтрация трафика, выявление и устранение ошибок в системах, своевременная установка обновлений – всё это верные методы противодействия DoS.
Помимо этого, специалисты Digital Security советуют тестировать критичные для вашего бизнеса сервисы на устойчивость к DoS-атакам, выявлять предельные нагрузки на канал и корректировать настройки оборудования, если необходимо.
Я у мамы социальный инженер
Атаки социальной инженерии – популярный и эффективный хакерский инструмент. Атакующий получает доступ к конфиденциальной информации путём психологического воздействия, т.е. его жертвой изначально становится не компьютер пользователя, а сам пользователь.
В условиях нескончаемого потока новостей тревожность людей значительно повысилась. Как известно, тревога не идёт на пользу бдительности.
Существуют различные формы атак социальной инженерии. За время карантина участились случаи e-mail фишинга. Здесь очень важен контекст – на чём может сыграть атакующий. Взволнованный ситуацией в мире пользователь становится более доверчивым и менее разборчивым. Это самое подходящее время для киберпреступников, чтобы, выдав себя за авторитетное лицо, прислать письмо с фишинговой ссылкой и заставить жертву перейти по ней.
Мошенники неоднократно производили рассылки от имени ВОЗ с просьбой перечислить средства на борьбу с коронавирусом. Стоит уточнить, что Всемирной организацией здравоохранения действительно был создан фонд для сбора средств на борьбу с пандемией, однако к подобным рассылкам она не имеет никакого отношения.
Другой пример из недавних фишинговых кампаний: письмо было написано от IT-специалистов организации с поддельных email-адресов. Отправитель давал сотруднику ссылку якобы для доступа к новой конфигурации домашней сети VPN.
Не ловись, рыбка
Все мы остро реагируем на ситуации, которые касаются нашего здоровья и здоровья наших близких, экономической стабильности и других важных аспектов жизни. Однако старайтесь сохранять бдительность и доверяйте только проверенным источникам информации.
Обращайте внимание на адреса отправителей, не переходите по ссылкам в подозрительных письмах и не загружайте вложения.
Если вы руководитель, попросите специалистов ИБ-отдела рассказать сотрудникам о фишинговых рассылках и о методах реагирования на атаки. Если таких специалистов в компании нет, вам может быть полезен гид по безопасности электронной почты, в котором собраны базовые правила, понятные любому пользователю.
Действия злоумышленников, разумеется, не ограничиваются перечисленными в этой статье. Тем не менее, многих негативных последствий можно избежать, если знать о возможных угрозах и следовать рекомендациям специалистов.
Будьте в безопасности!