Обзор новостей информационной безопасности с 10 по 16 февраля 2023 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Обнаружена фишинговая кампания, в которой использовалась взломанная почта регистратора доменов Namecheap.

Особенности кампании

1. Фишинговые письма исходили от email-платформы SendGrid, которая исторически использовалась Namecheap для отправки уведомлений и маркетинговых писем.
2. Письма маскировались под уведомления от DHL или MetaMask. Например, письма от фальшивого DHL якобы содержали счета за доставку, которые нужно было оплатить для завершения доставки посылки. На самом деле встроенные в эти послания ссылки вели на фишинговую страницу, где у жертв пытались похитить данные.

3. Фейковое письмо от MetaMask имитировало запрос о необходимости проведения проверки KYC (Know Your Customer, «знай своего клиента»), а в противном случае работа кошелька якобы была бы приостановлена.

4. Такие письма содержали маркетинговую ссылку Namecheap (https://links.namecheap.com/), которая перенаправляла жертв на фишинговую страницу, выдающую себя за сайт MetaMask. На этой странице пользователю предлагали ввести свою seed-фразу или приватный ключ.

После того, как получатели странных писем начали жаловаться на происходящее в Twitter, глава Namecheap Ричард Киркендалл (Richard Kirkendall) подтвердил, что учетная запись компании была скомпрометирована, а теперь отправка почты через SendGrid срочно отключена на время проведения расследования. Однако позже этот твит был удален.

Атака могла быть связана с недавним отчетом CloudSek, где исследователи предупреждали о раскрытии ключей API Mailgun, MailChimp и SendGrid в мобильных приложениях.

Позже представители Namecheap опубликовали официальное заявление, согласно которому системы компании не были взломаны, а возникшая проблема была связана с неназванной сторонней системой, которую регистратор использовал для работы с почтой.

Организаторы новой фишинговой кампании предлагают всем желающим платные услуги по регистрации аккаунтов в недоступной в России нейросети ChatGPT.

Особенности кампании

1. Доступ к ChatGPT в России продают и через чат-боты в Telegram, и на досках объявлений (классифайдах).
2. Аферисты предлагают пользователю временный зарубежный номер для регистрации, после чего аккаунт угоняют.
3. Также жертва может перевести деньги за покупку уже существующего аккаунта или за помощь в его регистрации, но так и не получить доступа к нему.
4. Стоимость услуг может начинаться от 11 руб. за покупку номера для самостоятельной регистрации и достигать 400 руб. за уже готовый аккаунт.

Если в декабре 2022 г. в российских доменных зонах было зарегистрировано три домена, ассоциированных с ChatGPT, то в январе 2023 их было уже 17, а в первые недели февраля — 41.

Атаки и уязвимости

Компания Cloudflare сообщила о крупнейшей в истории DDoS-атаке, мощность которой в пике достигала 71 миллиона запросов в секунду (requests per second, RPS).

В компании рассказали, что атака состояла из нескольких мощных волн. Большая часть атак достигли пика в пределах 50-70 миллионов запросов в секунду, а самая крупная из них превысила 71 миллион запросов в секунду. Это крупнейшая HTTP DDoS-атака за всю историю, более чем на 35% превышающая предыдущий зарегистрированный в июне 2022 года рекорд, составлявший 46 миллионов запросов в секунду.

Такие атаки обычно называют «объемными» (volumetric) и они отличаются от классических DDoS-атак тем, что в этом случае злоумышленники сосредотачиваются на отправке как можно большего количества нежелательных HTTP-запросов на сервер жертвы, чтобы загрузить его ЦП и оперативную память, мешая пользователям использовать целевые сайты.

Предыдущий рекорд был зафиксирован Google летом 2022 года. Тогда неназванный клиент Google Cloud Armor подвергся DDoS-атаке по протоколу HTTPS, которая достигла мощности 46 млн запросов в секунду.

По данным аналитиков Cloudflare, новая рекордная атака исходила более чем с 30 000 IP-адресов, принадлежащим нескольким облачным провайдерам. DDoS был направлен против ряда целей, среди которых игровые провайдеры, платформы облачных вычислений, криптовалютные компании и хостеры.

Инциденты

Неизвестные злоумышленники выставили на продажу дамп интернет-магазина ru.puma.com, принадлежащего сбежавшему из России спортивному бренду «PUMA».

В SQL-дампе содержится около 327 тыс. записей зарегистрированных пользователей и покупателей:

• 🌵 ФИО,
• 🌵 адрес эл. почты,
• 🌵 телефон,
• 🌵 адрес доставки,
• 🌵 дата рождения,
• 🌵 хешированный (SHA-256 с солью) пароль,
• 🌵 пол.

Дамп датируется 16.05.2022.

В открытом доступе опубликована информация, принадлежащая предположительно платёжной платформе «Mandarin» (mandarin.io).

Для скачивания доступно два файла. В первом — данные 16304 пользователей:

• 🌵 логин,
• 🌵 адрес эл. почты,
• 🌵 хешированный (Drupal 7) пароль,
• 🌵 дата создания профиля и последнего входа в систему (с 04.09.2015 по 22.04.2022).

Во втором — 2 714 047 строк, содержащих:

• 🌵 ФИО,
• 🌵 телефон (1,036,917 уникальных номеров),
• 🌵 серия/номер паспорта,
• 🌵 СНИЛС,
• 🌵 ИНН,
• 🌵 дата создания/изменения (с 17.12.2018 по 02.04.2021).

Член парламента Великобритании Стюарт Макдональд заявил, что его почту взломали и похитили письма. Он подозревает, что к инциденту причастны русские хакеры и опасается, что украденная информация будет обнародована.

Взлом произошел 13 января, когда политик получил на свой телефон уведомление о новом электронном письме от коллеги. Письмо пришло с официальной почты и не вызвало подозрений. В сообщении было упомянуто, что к письму приложен защищенный паролем документ, который содержит новости относительно Украины.

Когда Макдональд попытался открыть документ, его перенаправило на страницу входа в учетную запись электронной почты. После ввода пароля он увидел пустую страницу.

Через некоторое время Макдональд попросил коллегу отправить письмо еще раз, но тот сообщил, что никаких писем не отправлял. Впоследствии у политика возникли проблемы с доступом к личному аккаунту, так как его заблокировали из-за подозрительной активности.

Из-за вымогательской кибератаки город Окленд, штат Калифорния, США, объявил чрезвычайное положение и отключил все IT-системы.

Временно исполняющий обязанности городского администратора Г. Гарольд Даффи объявил чрезвычайное положение в связи с продолжающимися последствиями перебоев в работе сети. Решение принято для того, чтобы городские власти Окленда могли ускорить выполнение заказов, закупку материалов и оборудования, а также при необходимости активировать аварийно-спасательные службы.

Пока неизвестно, кто совершил кибератаку, получила ли администрация требования выкупа и были ли укражены данные из скомпрометированных систем.

Атака также затронула соседний город Модесто и привела к отключению IT-системы полицейского управления на несколько дней , в результате чего департамент принял решение перейти на использование портативных радиостанций, ручек и бумаги при патрулировании города.

Хакеры заблокировали работу сервисов и похитили данные клиентов мультинациональной авиакомпании Scandinavian Airlines.

В результате кибератаки веб-сайт и мобильное приложение авиакомпании некоторое время были недоступны, а данные клиентов скомпрометированы.
Карин Найман, официальный представитель SAS, призвала клиентов временно прекратить использование веб-сайта и мобильного приложения, пока специалисты не смогут остановить атаку и устранить её последствия.

Представители местных новостных изданий пытались открыть веб-сайт SAS после заявления Найман и обнаружили, что домашняя страница сайта загружается корректно. Однако при попытке выполнить поиск или забронировать рейс, сайт выдаёт только голый HTML-код:

Национальное информационное агентство Швеции сообщило, что из-за хакерской атаки целостность внутренних баз данных компании была нарушена. В связи с этим клиенты, которые пытались войти в мобильное приложение SAS под своими данными, попадали в чужие учётные записи.

Компания Community Health Systems (CHS) сообщила, что стала жертвой хакерской группировки Clop.

Атака была нацелены на уязвимость нулевого дня в платформе передачи файлов GoAnywhere MFT от Fortra, которой пользовалась CHS. В результате утечки данных пострадала личная и медицинская информация почти миллиона пациентов.

«Хотя расследование все ещё продолжается, компания считает, что атаки не оказали влияния ни на одну из информационных систем компании и не было никаких существенных сбоев в бизнес-операциях компании, включая оказание помощи пациентам. Что касается личной и медицинской информации, скомпрометированной в результате взлома, по оценкам компании, в настоящее время эта атака могла затронуть около миллиона человек», — говорится в заявлении CHS.

Компания также добавила, что будет предлагать услуги по защите от кражи личных данных и уведомлять всех пострадавших лиц, чья информация была раскрыта в результате взлома.

В результате атаки вымогательской группировки на поставщика медицинских услуг Regal Medical Group была украдена личная и защищённая медицинская информация более 3,3 миллионов человек.

Инцидент произошел 1 декабря 2022 года, но был обнаружен только неделю спустя. Кроме Regal Medical Group затронуты медицинская организация Lakeside и Greater Covina Medical Group.

1 февраля Regal Medical Group начала рассылать письма с информирующими уведомлениями, адресованные пострадавшим лицам. В письмах компания сообщала людям, что их личные данные были скомпрометированы в результате инцидента кибербезопасности.

Затронутые данные включают полные имена, адреса прописки, даты рождения, номера телефонов, номера социального страхования, информацию о диагнозе и лечении, номера участников плана медицинского страхования, результаты лабораторных анализов, сведения о рецептах и отчеты о радиологии. Список весьма обширный.

Жертва атаки не раскрыла тип программы-вымогателя, который использовался в кибератаке, и был ли выплачен выкуп киберпреступникам. В письме-уведомлении упоминается, что компания работала со специалистами для восстановления доступа к затронутым системам. Это предполагает, что вместо оплаты выкупа компания решила просто восстановить резервные копии.

В результате кибератаки компания Pepsi Bottling Ventures пострадала от утечки данных.

Злоумышленникам удалось внедрить вредоносное ПО во внутренние системы компании, а затем извлечь конфиденциальные данные.

«Согласно данным предварительного расследования, неизвестная сторона получила доступ к внутренним IT-системам примерно 23 декабря 2022 года. Установила вредоносное ПО и выгрузила определенную информацию, содержащуюся в этих системах», — говорится в уведомлении об инциденте.

Внутреннее расследование показало, что в утечке содержалась следующая информация:

• Полные имена;
• Домашние адреса;
• Финансовая информация (включая пароли, PIN-коды и коды доступа);
• Идентификационные номера, выданные правительством штата и федеральным правительством, и номера водительских прав;
• Идентификационные карты;
• Номера социального страхования;
• Паспортные данные;
• Цифровые подписи;
• Информация, связанная с пособиями и трудоустройством.

В ответ на этот инцидент компания внедрила дополнительные меры сетевой безопасности, сбросила все пароли и проинформировала правоохранительные органы. В настоящее время проверка потенциально затронутых записей и систем всё ещё продолжается, а их работоспособность временно приостановлена.

Крупнейшая сеть книжных магазинов в Канаде, Indigo Books & Music, подверглась кибератаке.

Cайт компании перестал работать, расплатиться за покупки можно только наличными. Представители Indigo не исключают, что хакеры могли похитить данные клиентов.

Indigo объявила, что «технические проблемы» препятствуют доступу к сайту, а покупатели в физических магазинах могут расплатиться только наличными. Кроме того, в компании сообщили, что транзакции с подарочными картами временно невозможны, а также ожидаются задержки с доставкой онлайн-заказов.

Вскоре представители Indigo объяснили, что компьютерные системы компании пострадали от кибератаки, и в настоящее время ведется расследование инцидента, к которому привлечены сторонние ИБ-эксперты.

Сотрудник Reddit попался на фишинг, и своими действиями вызвал компрометацию документов, личных данных сотрудников и партнеров.

Киберпреступники использовали фишинговую приманку для сотрудников Reddit с целевой страницей, имитирующей сайт внутренней сети Reddit. На этом сайте злоумышленник пытался украсть учетные данные сотрудников и токены двухфакторной аутентификации.

После того, как один сотрудник стал жертвой фишинговой атаки, хакер смог проникнуть в системы Reddit, которые содержали внутренние документы, различные информационные панели и бизнес-системы. По словам компании, основные производственные системы не затронуты. Также остались в безопасности платежная информация, пароли и показатели эффективности рекламы.

Расследование инцидента показало, что украденные данные включают в себя персональную информацию «сотен» партнеров компании, рекламодателей, а также нынешних и бывших сотрудников. Reddit утверждает, что украденная информация не была опубликована в Интернете.

Reddit узнал о взломе после того, как сотрудник самостоятельно сообщил об инциденте команде безопасности компании. Стоит отметить, что у затронутого сотрудника была включена многофакторная аутентификация, что является обязательным в Reddit.

Обзор новостей информационной безопасности с 3 по 9 февраля 2023 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Зампред Банка России рассказал о мошеннической схеме с QR-кодами в общественных местах.

Схема кампании

1. Мошенники расклеивают объявления с QR-кодами. Для этого выбираются территории, где объявления очень заметны, но при этом их размещение трудно контролировать — на стенах домов, в подъездах, на остановках, на парковках.

2. В объявлениях предлагается получить бесплатную консультацию о гарантированной социальной выплате.
3. Когда человек сканирует QR-код, он попадает в чат-бот в мессенджере.
4. Чат бот сообщает, что человеку якобы положена выплата — пособия для социально незащищенных, выплаты студентам, семьям с детьми
5. Далее злоумышленники под предлогом оформления якобы полагающейся выплаты запрашивают у человека личные и финансовые сведения. На самом деле эта информация нужна им для хищения денег с карты.

Россиян предупреждают о новом мошенничестве от имени Росфинмониторинга.

Схема действий преступников

1. Гражданам от имени Росфинмониторинга поступают сообщения о мнимом взыскании денежных средств, находящихся на счетах, в связи с нарушением законодательства о противодействии легализации преступных доходов.
2. В некоторых случаях в таких сообщениях присутствует имитация символики и печатей ведомства.
3. После рассылки писем потерпевшему предлагается оплатить некий комиссионный сбор, якобы для того, чтобы сохранить хотя бы часть имеющихся денежных средств.
4. После уплаты «сбора» к преступникам попадают не только деньги, но и данные банковской карты и персональная информация жертв.

Эта же схема используется как часть многоступенчатой кампании. На первом этапе доверчивых граждан заманивают в финансовые пирамиды, забирая у них последние деньги. Когда потерпевшие начинают требовать вернуть похищенное, мошенники сообщают им о «блокировке счетов Росфинмониторингом» и требуют внести деньги якобы для оплаты комиссии за разморозку операций.

Новая кампанию QBot, получившая название «QakNote», использует вредоносные вложения Microsoft OneNote для заражения систем банковским трояном.

Схема кампании

1. Операторы вредоноса рассылают два варианта фишинговых писем.
2. Первый вариант содержит ссылку, по которой получателю предлагается загрузить вредоносный файл OneNote с расширением .one. Фамилия получателя повторяется в теме письма, но в остальном сообщения довольно безличны.

3. Второй вариант использует «внедрение в цепочку сообщений». Участиники существующей переписки получают ответное сообщение (якобы от пользователя зараженного компьютера) с прикрепленным вредоносным блокнотом OneNote.
4. Тематика этих сообщений может быть самой разнообразной — все, что окажется в почтовом ящике зараженного компьютера. Но, несмотря на это, их легко найти, поскольку все вложения называются либо ApplicationReject_#####(Jan31).one, либо ComplaintCopy_#####(Feb01).one (где ##### — случайное пятизначное число).

5. Чтобы сделать эти атаки еще более убедительными, злоумышленники встраивают поддельную кнопку в документе OneNote, которая якобы загружает документ из облака.

6. При нажатии кнопки запускается встроенное HTA-вложение. И хотя пользователь увидит предупреждение о риске запуска вложений, всегда есть вероятность, что жертва проигнорирует его.

7. Сценарий в HTA-файле использует легитимное приложение «curl.exe» для загрузки DLL-файла Qbot в папку «C:\ProgramData», которая затем выполняется с помощью «Rundll32.exe».

8. Полезная нагрузка QBot внедряется в диспетчер вспомогательных технологий Windows (Windows Assistive Technology manager, «AtBroker.exe»), чтобы скрыть свое присутствие и избежать обнаружения антивирусным ПО.

Атаки и уязвимости

Опасная уязвимость в программируемых логических контроллерах OMRON позволяла без аутентификации считывать и менять произвольную область памяти контроллера.

Уязвимость получила идентификатор CVE-2023-22357 и набрала 9,1 балла из 10 по шкале CVSS v3, что означает критический уровень опасности. Ошибка позволяла считывать и менять произвольную область памяти контроллера, что могло привести к перезаписи прошивки, отказу в обслуживании или выполнению произвольного кода.

Уязвимые контроллеры OMRON серии CP1L используются для управления компактными машинами, а также быстрого построения систем автоматизации. ПЛК применяются, например, для управления конвейерами и станками, телемеханикой трубопроводных узлов на ГРЭС, микроклиматом на фермах, системами контроля качества продукции, автоматическими машинами упаковки и в других сферах.

Критическая уязвимость в Jira Service Management Server и Data Center компании Atlassian позволяет неаутентифицированному злоумышленнику выдать себя за других пользователей и получить удаленный доступ к системам.

Свежая проблема получила идентификатор CVE-2023-22501 (9,4 балла по шкале оценки уязвимостей CVSS) и представляет собой нарушение в работе аутентификации.

Имея в Jira Service Management доступ на запись к User Directory и включенную исходящую почту, злоумышленник может получить доступ к токенам регистрации, отправленным пользователям с учетными записями, которые никогда не использовались для входа в систему.

Инциденты

Хакерская атака вызвало падение стоимости акций британской инжиниринговой компании Morgan Advanced Materials.

10 января компания обнаружила несанкционированный доступ к своей сети. Уже в феврале стало известно, что речь идёт об атаке программы-вымогателя.

Представители компания заявили, что все её производственные площадки работают, хотя некоторые процессы пока происходят в ручном режиме, поскольку некоторые внутренние системы пока не удалось восстановить. Специалисты активно над этим работают, параллельно внедряя облачные решения для управления ресурсами предприятия.

После того, как компания 7 февраля сообщила, что «исключительные расходы, связанные с инцидентом, могут составить от 8 до 12 миллионов фунтов стерлингов, включая оплату услуг специалистов, а также расходы, связанные с восстановлением ряда систем в Morgan Group» акции Morgan Advanced Materials (тикер MGAM) на лондонской бирже упали на 5%

Причиной падения стала реакция инвесторов: узнав о незапланированных расходах и ожидаемом снижении доходов, они стали активно продавать акции.

Вымогатели LockBit взяли на себя ответственность за кибератаку на ION Group, британскую компанию-разработчика программного обеспечения.

Продукты ION Group используются финансовыми учреждениями, банками, корпорациями для торговли, управления инвестициями и анализа рынка.

31 января 2023 года компания раскрыла инцидент в коротком заявлении , в котором говорилось, что атака повлияла на ION Cleared Derivatives, подразделение ION Markets.

«ION Cleared Derivatives, подразделение ION Markets, столкнулось с событием кибербезопасности, начавшимся 31 января 2023 года, что повлияло на некоторые из его сервисов; все затронутые серверы сейчас отключены, восстановление служб продолжается», — говорится в сообщении компании.

Однако атака оказала более глубокий эффект, чем сообщила ION Group. Крупные клиенты, которые используют услуги ION Group в Соединенных Штатах и Европе, были вынуждены перейти на ручную обработку сделок, что привело к значительным задержкам.

Иранские правительственные хакеры Neptunium взломали сайт французского сатирического издания Charlie Hebdo и украли данные 200 тыс. подписчиков.

В январе 2023 года некто, скрывающийся под ником Holy Souls, выставил на продажу информацию о подписчиках Charlie Hebdo, оценив дамп в 20 BTC (примерно 340 000 долларов США на тот момент). Тогда французское новостное издание Le Monde подтверждало подлинность попавшей в руки хакеров информации.

Среди опубликованных образцов были обнаружены имена, номера телефонов, адреса, email-адреса и многое другое. Holy Souls рекламировал украденные данные на YouTube, на нескольких хакерских форумах, а также активно размещал сообщения об утечке в социальных сетях.

Эта атака и последующая за ней утечка данных произошли после решения журнала провести конкурс карикатур, в котором читателям предлагалось представить рисунки, высмеивающие верховного лидера Ирана Али Хаменеи. Выпуск с карикатурами-победителями должны были опубликовать в начале января, приурочив его к восьмой годовщине теракта и нападения на офис издания.

Итальянское агентство национальной кибербезопасности заявило о «массированной кибератаке с использованием программ-вымогателей».

Технические специалисты выявили десятки национальных систем, которые могут быть затронуты вредоносной программой.

По информации газеты Il Messaggero, глобально насчитывается несколько тысяч взломанных серверов. Самый сильный ущерб нанесен Франции. В Италии десятки организаций пострадали от вредоноса. По данным источника, число затронутых организаций будет расти.

В настоящий момент технические специалисты работают над локализацией и ликвидацией последствий кибератаки.

Цюрихский университет, крупнейшее высшее учебное заведение Швейцарии, стал объектом «серьезной кибератаки», которая произошла на фоне волны взломов европейских немецкоязычных вузов.

На момент публикации этой новости веб-сайт университета до сих пор недоступен, но телефонная линия с пресс-службой работает. В официальном заявлении представитель университета описал инцидент как часть вредоносной кампании, направленной на образовательные и медицинские учреждения Европы.

Университет заявил, что уже усилил меры и отразил атаки с помощью внутренних ресурсов и внешней поддержки. Скомпрометированные учетные записи и системы изолированы.

Представителям университета неизвестно о том, были ли какие-либо внутренние данные зашифрованы или извлечены. Тем не менее, все необходимые организации были проинформированы и привлечены к расследованию.

Главная проблема информационной безопасности — не баги, эксплойты или несовершенства софта. Гораздо важнее особенности человеской психики, уязвимости людей.

В подкасте «Цифровые уязвимости и критическое мышление» Александр Головин и директор Антифишинга Сергей Волдохин обсудили, почему критическое мышление становится всё важнее для безопасности компаний и бизнеса. Мы подготовили расшифровку подкасты для тех, кто предпочитает текстовый формат.

Послушать подкаст

Насколько все плохо

О том, что с безопасностью всё плохо, говорят те, кто продает продукты и хочет продать побольше и подороже.

Правда в том, что в нашей стране воспринимают ИБ как что-то отдельное, как что-то, чем надо специально заниматься. Людей, которые этим занимаются, воспринимают практически как сотрудников органов.

На самом деле ИБ — это своего рода гигиена, цифровой иммунитет. Если с иммунитетом все в порядке, не приходится думать, куда и какой лимфоцит должен бежать, чтобы вы не заболели гриппом.

Иммунитет в ИБ — это процессы, в том числе ИТ-процессы, бизнес-процессы, выстроенные с учётом того, что какие-то вещи могут пойти не так, и для таких случаев разработан понятный и эффективный набор мероприятий.

Настоящая проблема состоит в том, что процессы ИБ далеко не всегда выстроены с учётом бизнеса. Безопасники сфокусированы на угрозах и том, в чем они разбираются.

К счастью, сейчас ситуация меняется. Безопасники нового поколения дружат с разработчиками и бизнесом, вникают в то, как работает компания, умеют разговаривать на одном языке с руководством и обычными сотрудниками и становятся тем самым цифровым иммунитетом. В этом смысле ситуация намного лучше, чем 10 лет назад.

Цифровой иммунитет

Нарушение конфиденциальности — попытки доступа к информации ограниченного доступа — пароли, базы данных клиентов, персональные данные, сведения, составляющие государственную или банковскую тайну.

Атаки на целостность — попытки изменить данные, которые не должны меняться без исполнения специальных процедур или распоряжения уполномоченных лиц

Нарушение доступности — например, вывод из строя систем, сайтов или приложений, так что пользователи не могут воспользоваться какими-либо сервисами.

Почему все это возникает? По классике безопасники говорят об уязвимостях, имея в виду программные уязвимости. Так действительно бывает, но атакующие пользуются не только ими. В 70% хакеры используют уязвимости в человеческой психологии — то, как люди мыслят, как реагируют, как действуют в тех или иных обстоятельствах, а также уязвимости в процессах. В результате обычные сотрудники делают то, что требуется для атаки — отдают свой пароль мошенникам, меняют записи в базе данных или открывают доступ к системе посторонним.

Модели угроз

Нарушения целостности, доступности и конфиденциальности принято описывать моделями угроз. Есть активы, в них есть потенциальные уязвимости и вот что может пойти не так. Задача безопасника — свести к минимуму возможность инцидента или минимизировать его последствия, если всё-таки атака оказалась успешной.

Причина инцидентов — злой умысел или случайность?

Возможно и то и другое. Инциденты могут быть как результатом действий злоумышленников, так и следствием человеческой ошибки. Действия хакеров могут выступить триггером, но даже в этом случае большая часть неприятных последствий возникнет из-за невнимательности, неумения адекватно выполнять свою работу.

Например, это сетевой инженер, который решил обновить прошивку на сетевых устройствах, но не сделал резервную копию. И когда что-то пошло не так, не  смог откатить настройки, обрушив работу всей распределенной сети компании в нескольких городах. Является ли это инцидентом безопасности? Да, потому что нарушена доступность. Но источник инцидента — не действия киберпреступников, а самоуверенность и недостаточный профессионализм конкретного сотрудника, то есть человеческий фактор.

Давай прицельно поговорим про уязвимости. Меня зацепили твои слова о том, что главная уязвимость — это люди. И тут на сцену выходит то самое критическое мышление. Как связана безопасность и критическое мышление?

Критическое мышление — чрезвычайно важная для безопасности вещь, фундамент. Если бы критическому мышлению учили безопасников и пользователей, которым приходится сталкиваться с угрозами, было бы намного меньше инцидентов.

Подтверждение этого — фраза известного социнженера Кевина Митника:

Если бы люди просто перезванивали тому, кто их о чем-то просит по телефону, это сняло бы 80% проблем.

Критическое мышление нужно безопасникам, чтобы смотреть на системы, с которыми они работают, максимально объективно и адекватно оценивать вероятности тех или иных событий, не доверяя оценкам вендоров.
Точно также поможет критическое мышление обычным людям. Например, если бы сетевой инженер, о котором мы говорили, критически оценил то, что собирается сделать, проблем бы не возникло.

Представим себе, например, разработчика, который собирается установить новую версию приложения заказчику в продуктивную среду. Но предварительное тестирование выявило незначительную ошибку, для исправления которой нужно буквально исправить пару символов. И разработчик предлагает команде тестирования подождать минутку, пока он внесет исправление, а потом все-таки поставить обновление в продуктивную среду. Потому что следующее технологическое окно будет только через неделю, и ждать столько нецелесообразно.

Команда тестирования соглашается на нарушение регламента, разработчик исправляет ошибку, но вносит другую. Обновление ставят, а утром клиент оказывается один на один с неработающей системой. И все потому, что люди нарушили установленный регламент, в соответствии с которым выявленная ошибка — стоп-фактор, после которого обновление откатывается и не устанавливается.

Третий пример про обычных пользователей. Безопасники часто говорят: «Ну вот это наш сотрудник сделал по невнимательности — отправил секретный документ, передал пароль, запустил вредоносную программу на своём компьютере». И это дурацкое «по невнимательности» — кажется, что безопасник стоит в белом пальто и говорит: «Да ты идиот, как ты мог открыть это письмо, видно же, что оно мошенническое!» Но человек этого не понял. Тут критическое мышление очень пригодилось бы

Знаний недостаточно

Один из компонентов критического мышления — знания. Умение отличить вредоносный файл от счета на оплату выглядит как вполне обычное знание.
Знание — сила. Но это не все, что нужно человеку. Часто мошенники действую так, чтобы человек не успел подумать и пройти по рациональному пути, воспользоваться знаниями. Мы называем это психологическими векторами атак.

Психологические вектора атак — это эмоции, которые у человека стараются вызвать. В эти моменты человек не может думать рационально, действует импульсивно. И только выполнив нужное преступникам действие, он вспомнит о том, что проходил курс, и нужно было действовать иначе. Поэтому одних знаний недостаточно.

Диспозиция/Предустановки/Убеждения

Например, врач знает, что нужно мыть руки перед какой-то процедурой. Но он может это не делать, хотя знает, что нужно. Чтобы он делал это, нужно сформировать у него правильные намерения/убеждения.

Получается, что я не только при любом звонке из банка должен думать, что это мошенники, а даже при получении письма от руководителя считать, что это атака.
Если мы говорим про нормальных людей, для которых безопасность не является профессия, их диспозиция иная. У них нет предустановки, что кругом враги/мошенники. Именно поэтому они называют по телефону код для входа на госуслуги или в онлайн-банк, после чего лишаются денег.

Какая предустановка могла бы помочь предотвратить такие ситуации? Что любой звонящий — мошенник? С таким убеждением крайне сложно жить.
Решение проблемы — выработка навыков.

Невидимая горилла

Вспомним известный эксперимент, в котором участникам дали задание считать, сколько раз мяч переходит от команды к команде во время баскетбольного матча. Во время матча на поле выводили огромную гориллу. И большая часть наблюдателей её не заметили, потому что их внимание было занято подсчётом передач мяча.

Кто те люди, которые все-таки увидели гориллу? Мы говорим про критическое мышление, про то, что знаний недостаточно, что требуются навыки. Гориллу смогли увидеть люди, которые постоянно смотрят спортивные соревнования, и для них отслеживание мяча, которое требовали от участников эксперимента, не столь трудозатратно, как для нетренированных людей. У них оставался ресурс внимания, чтобы не только увидеть, у какой команды мяч, но и заметить гориллу на поле.

Кажется, что предустановки «подозревать всех и вся», которыми мы можем снабдить человека, сделают его параноиком либо превратят в безопасника.
Наш подход — формирование навыков, которые пригодятся в реальной ситуации, помогут людям сделать то, что нужно, а не то, что хотят от него мошенники.

Еще один наглядный пример, подтверждающий, что знаний недостаточно.

У нас есть клиент, крупный банк. Там работает сотрудник, который непосредственно запускает имитированные фишинговые атаки для тренировки навыков пользователей. Он стоит за спиной у коллеги, который отправляет очередную тренировочную атаку на тысячи сотрудников. Видит содержимое письма с этой атакой. Потом идет в свой кабинет, садится за компьютер, открывает почту, видит в ней новое письмо и попадается на атаку, рассылку которой только что наблюдал. Это был настоящий вау-эффект для него, а главный вывод заслуживает повторения: знаний недостаточно.
Профессиональный безопасник с 10-летним стажем, эксперт, который знал об атаке, согласовывал её и видел ее рассылку, буквально через несколько минут попался на неё.
В атаке шла речь о рефинансировании ипотеки для сотрудников банка по очень выгодной ставке. Для него это было чрезвычайно актуально, поэтому рациональное мышление отключилось.

Какие навыки защитят?

А что же за навык нужен, чтобы не попасться? Научить людей правильно открывать письма в почтовом клиенте?

Нет. Сейчас есть тысячи способов коммуникации и обучать каждому каналу или контексту коммуникации просто нереально. С одной стороны, нужно закрыть самые актуальные каналы. Но намного важнее научить человека критически мыслить. Мы пока не изобрели формата, который можно было бы дать людям как вакцину, чтобы сделать критическое мышление дефолтным даже в сложных ситуациях.

Критическое мышление — это фундамент. Человек должен чувствовать и осознавать давление, что его торопят, давят авторитетом, разжигают любопытство.

Нужен некий метанавык, рефлексия, выявление эмоций, которые ты почувствовал, через которые тебя пытаются стриггерить, подтолкнуть к какому-то действию.

Как взламывают соцсети

Через интересный комментарий от симпатичного человека противоположного пола. Там закрытый профиль, в комментарии к которому ссылка на фишинговый сайт якобы соцсети с доступным для общения профилем. Там жертву просят войти со своим логином и паролем. На такую атаку попадаются даже сотрудники соцсетей.

Найти настоящие уязвимости крайне сложно, это требует высокого уровня технической грамотности. Поэтому все взломы идут через социальную инженерию.

Атаки на людей как разновидность маркетинга

Все эти схемы взлома людей напоминают маркетинговые манипуляции. Мегасделки на букмекерском сайте, игра на психологических механизмах и т. п. Только взлом чужих аккаунтов мы считаем недопустимым, а вот рекламу шампуня с использованием психотехник вполне принимаем, хотя по сути это работает точно также.

Есть такая разновидность маркетинга, как account-based маркетинг (ABM) — целевой маркетинг. этом проводится глубочайший OSINT человека, с которым требуется установить контакт и получить результат, например, согласовать закупку. Работа ABM-профи очень напоминает работу мошенников, взламывающих людей.

Здесь сложно провести разделение. С первого взгляда кажется, что если нет вредоносного содержимого, это вроде бы и не атака. Но на самом деле и в атаках вредоносные файлы присутствуют далеко не всегда. В хороших целевых атаках используются реальные логины и пароли, легальные системные инструменты и т. п.

Кто-то скажет, что разница между ABM и хакерами в целях, но и тут всё неоднозначно. Финансовые цели присутствуют и в том и в другом случае.

#Законное мошенничество с сертификатом
Небольшой фитнес-центр получил от крупнейшего российского выгодное предложение принять участие в тендере на тренировки для сотрудников. Какое-то время шли переговоры, согласование. В списке необходимых для заключения контракта документов был сертификат участника некой российской ассоциации фитнес-центров. Владельцы фитнес-центра задали вопрос, где его получить, и получили предложение поискать в Яндексе.

Поиск выдал некую компанию, которая всего за 50 тыс. рублей — ничтожную по сравнению с суммой потенциального контракта сумму — выдала «необходимый» сертификат. При этом был заключён официальный договор, выдана красивая бумага. После получения оплаты тендер с ретейлером неожиданно отменился. Владельцы фитнеса остались с бумажкой и без денег, которые были для них довольно значимыми.

Однако если рассмотреть ситуацию в целом, мошенничество налицо. Жертву заманили выгодным контрактом, продали сертификат, который ни для чего не пригодится. Однако с правовой точки зрения все законно. Договор — оплата — услуга. Поэтому схема работает и сейчас.

Cамая важная разница между мошенничеством и маркетингом в том, получает ли человек обещанную ценность.