Большой криминальный брат

«Не надо разговаривать с мошенником по телефону. Сразу кладите трубку», – дал совет эксперт центра мониторинга внешних цифровых угроз Solar AURA компании «РТК-Солар» Александр Вураско. В силу своей профессии специалист для выявления новых схем мошенничества иногда нарушает правило и ведет беседу, понимая, что после разоблачения мошенники могут начать мстить. И у них есть для этого инструменты. Например, Александру перезванивали и угрожали, что разберутся, называли домашний адрес и даже номер паспорта. Причем на поиск по номеру телефона персональных данных в утекших в интернет базах у преступников уходила пара минут. Угрозы, скорее всего, пустые – мошенники чаще всего находятся в соседнем государстве или в местах не столь отдаленных, но все равно неприятно.

Понятно, что спецслужбы могут узнать о человеке многое, а с началом применения норм «закона Яровой» – почти все. Посты в соцсетях, лайки, просмотренные странички, покупки, геолокация и перемещения – огромные массивы информации позволяют построить профайл человека, понять психологические особенности и интересы. В органах правопорядка, как и везде, могут оказаться нечистоплотные сотрудники, продающие или использующие в своих интересах персональные данные. С ними борется государство, о судебных делах сообщают СМИ. Непривычно, что такие данные все чаще становятся общедоступными, в том числе для криминала, который уподобляется Большому Брату из культового романа Джорджа Оруэлла.

Проблема утечек данных в киберпространстве не новая. Зачастую пользователи сами выкладывают в сеть конфиденциальные документы, программисты помещают на GitHub фрагменты кода коммерческих программ. Летом 2018 г. в поисковой выдаче «Яндекса» появились личные документы пользователей, хранившиеся в сервисе Google Docs. В общем доступе оказались пароли к электронной почте и аккаунтам, телефоны руководителей крупных корпораций, сметы, ответы на тест по информационной безопасности. Даже нашлась сводная таблица петербургских проституток с адресами, ценами и перечнем услуг.

Через несколько часов проблему устранили, но скачанные данные уже разошлись по сети. Вина во многом лежала на самих пользователях, неправильно настроивших режим безопасности в сервисе Google. К вопросам безопасности и сейчас часто относятся халатно – по данным сервиса DLBI (Data Leakage & Breach Intelligence) даже в 2022 г. самыми популярными паролями в мире были «a123456», «123456» и «123456789». Этим пользовались и пользуются хакеры. 

Раньше мотивацией были деньги – атаковали крупные компании с целью получения выкупа за неразглашение украденной информации и финансовые организации для хищения средств. Критическая для бизнеса информация попадала в общий доступ только в том случае, если не удавалось получить выкуп или продать ее конкурентам.

После февраля 2022 г. ландшафт угроз изменился. «Cейчас информация почти моментально оказывается в паблике», – отметил директор центра противодействия кибератакам Solar JSOC компании «РТК-Солар» Владимир Дрюков. Полученные в ходе атак сведения, которые раньше выставлялись на продажу и были доступны ограниченному кругу лиц, теперь становятся общедоступными. 

По оценке экспертов Solar AURA, с начала 2023 г. хакеры выложили в интернет данные 123 российских организаций общим объемом 1,1 Тбайт. Среди информации, украденной с персональных устройств граждан, в открытом доступе обнаружено около 340 млн учетных записей клиентов банков, пользователей онлайн-сервисов и соцсетей.

В представленном «РТК-Солар» отчете о ключевых внешних цифровых угрозах для российских компаний за январь-апрель 2023 г. отмечается, что основной угрозой стал хактивизм – идеологически мотивированные атаки, направленные на нарушение функционирования работы российских государственных структур и бизнеса. Их широкому распространению способствовало появление в открытом бесплатном доступе многочисленных автоматизированных инструментов, облегчающих реализацию типовых кибератак. Это значительно снизило порог вхождения в преступный бизнес и позволило осуществлять технически сложные атаки даже не имеющим опыта злоумышленникам.

В результате не только увеличилось общее количество инцидентов, но и существенно расширился перечень целей атак, в который теперь может попасть любая российская организация независимо от размеров бизнеса. 

76% утечек приходится на базы данных, которые в общей сложности содержат более 300 млн строк, в том числе 61,1 млн адресов электронной почты и 144,3 млн телефонных номеров. Остальные 24% – это массивы документов, украденных с файловых серверов.

Помимо данных, утекших из компаний, есть отдельная прослойка неструктурированных данных, полученных в результате компрометации компьютеров и мобильных устройств физических лиц. Один из каналов – трояны-стилеры, ворующие уже сохраненную на компьютере информацию. Например, записанные в браузере логины и пароли, cookies, файлы с жесткого диска зараженного устройства.

Преступники используют такие записи для поиска и кражи легко монетизируемых аккаунтов, например, учетных записей стриминговых сервисов или игровых платформ. Отработанные логи, уже не представляющие ценности для продажи, размещаются в открытом доступе. Компания «РТК-Солар» проанализировала более 338 млн таких «мусорных» учетных данных от 10 тыс. различных сервисов, опубликованных с начала 2023 г. В результате было выявлено:

Огромный объем опубликованной в общем доступе информации позволяет применять для анализа технологии больших данных. Например, боты по «пробиву» собирают сведения из самых разных баз и формируют на их основе комплексное досье на конкретную персону, которое может использоваться криминальными структурами для шантажа, угроз или атак с помощью средств социальной инженерии. А незамеченная службой безопасности нефтяной компании утечка паролей сотрудников при взломе сервиса доставки еды может стать ключом к атаке на инфраструктуру компании, поскольку люди в разных системах часто устанавливают одинаковые пароли. 

«Для эффективного противодействия кибератакам уже недостаточно установить на периметре организации средства защиты и настроить мониторинг инцидентов. Важно понимать, как компанию видит внешний злоумышленник, что он может найти о свой жертве в даркнете, на форумах, в утечках, как использует ее имя для нелегальных действий. При этом самостоятельный мониторинг глобальной сети на предмет разноплановых угроз крайне сложен для организаций: необходимо иметь доступ к широкому кругу информационных источников и обладать экспертизой в этом направлении. Если раньше мониторинг внешних цифровых рисков был, скорее, эксклюзивной услугой для отдельных заказчиков, то сегодня под ударом абсолютно все отрасли и компании», – отметил В. Дрюков. 

С опубликованными в интернете персональными данными мало что можно сделать. В крайнем случае сменить номер телефона, почтовый ящик, паспорт и жилье. Или просто признать как новую реальность, в которой теперь придется жить. И дальше не забывать использовать средства защиты – антивирусы, разные, сложные и часто меняющиеся пароли, двухфакторную аутентификацию. Все это полностью не спасет от взгляда Большого криминального Брата, но все же усложнит ему жизнь. А компаниям нужно выделять ресурсы на мониторинг внешних цифровых угроз, чтобы оперативно менять пароли сотрудникам, чьи данные попали в сеть, выявлять и закрывать маскирующиеся под ресурсы компании фишинговые сайты, купировать атаки в информационном поле, словом, делать все, чтобы адаптироваться к новому ландшафту угроз.

Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!