Пароль "admin": хакеры способны взломать e-gov и получить доступ к военным объектам

Однако чужой горький опыт не учит ни граждан, ни госорганы, ни предприятия, и они по-прежнему пренебрегают кибергигиеной, а потом сокрушаются о потерянных деньгах. Плохая новость – уязвимы не только кошельки, но и стратегически важные объекты, от которых зависят наши жизни.

Заманивают Лас-Вегасом

Об этом “КАРАВАНУ” рассказали эксперты по кибербезопасности. Представитель “Лаборатории Касперского” в Центральной Азии Валерий ЗУБАНОВ сообщил, что в период пандемии COVID-19 количество кибератак на клиентов банков в Казахстане увеличилось в 3 раза.

– В это время резко возросло количество безналичных платежей через мобильные банковские приложения, чем и воспользовались злоумышленники. Часто они подключали удаленный доступ к устройствам пользователей, в том числе мобильным, и таким образом производили операции по снятию денег, – сказал эксперт.

По данным Зубанова, в этот период на одного казахстанского пользователя Интернета после звонков от киберпреступников приходилось в среднем 10,5 тысячи тенге ущерба.

– С одной стороны, активизация мошенников в Сети подстегивает развитие вопросов кибергигиены, люди начинают критично относиться к подозрительным звонкам и непонятным ссылкам. Но ситуация далека от совершенства: некоторые пользователи, например, до сих пор не ставят пароль на мобильные телефоны и компьютеры, – отметил специалист.

Как рассказал Зубанов, киберпреступления в основном происходят по 3 моделям.

– По первой злоумышленник компрометирует сотрудника компании, приглашая, например, банковского работника из региона на международную конференцию в Лас-Вегас. Далее пользователю предлагают зарегистрироваться, для чего нужно открыть вложение.

Как только сотрудник его скачает, он открывает преступникам бэкдор (от англ. back door – “черный ход”), через который они получают несанкционированный доступ к данным или к удаленному управлению операционной системой, – описал алгоритм киберпреступления собеседник “КАРАВАНА”. – А так как филиал региональный, там наверняка работал системный администратор из головного офиса, который оставил цифровой след – отпечатки суперпользователя (специальный аккаунт, владелец которого имеет право на выполнение всех без исключения операций. – Прим. авт.). И злоумышленник через эту уязвимость сам становится суперпользователем, загружает вредоносные программы, создает сервер резервного администрирования, сканирует сеть и получает доступ к серверу по управлению банкоматами.

Дальше нанятые исполнители с большими клетчатыми сумками подходят к банкомату, связываются с “кукловодом”, находящимся в другой стране, сообщают о местонахождении – и банкомат выдает им купюры.

После деньги переводятся в биткойны, используют и другие способы по отправке средств организатору.

У каждого – свои роли

По второй модели атакующие нацелены на клиентов банка – пользователей мобильных приложений. Специальные программы позволяют выявить вредоносную активность и на основе поведенческой биометрии понять – сам пользователь осуществляет транзакции или это делает другой человек средствами удаленного доступа. В случае каких-либо отклонений транзакция блокируется.

Третья модель – когда злоумышленники атакуют сервисы банка и не пускают легитимных пользователей в онлайн-банкинг, шантажируют финансовый институт.

– Допустим, вы бухгалтер и вам надо сдавать налоговый отчет. Вы заходите в приложение, сервис недоступен, потому что забит зомби-компьютерами и ботами. Вы бежите к банковскому отделению, где уже толпятся люди. Сотрудники отвыкли от таких очередей, слышен негатив от клиентов, в соцсетях негодуют, банк несет потери, – описал сценарий развития событий в результате кибератаки Валерий Зубанов.

Есть ли критически важное время для ликвидации последствий кибератак и минимизации потерь?

– Иногда время есть, иногда нет, и счет идет на минуты. Хакеры тоже люди, они ленятся, порой пребывают в депрессии. В целом, исходя из того, какая кибергруппировка атакует, эксперты предугадывают сценарии их действий. Одиночек на этом рынке почти не осталось – киберпреступники объединяются в ОПГ, в которых четко распределены роли: кто-то занимается хищением персональных данных, другой специализируется на их покупке и продаже, третий умеет эти данные монетизировать. Еще один участник пишет красивые письма, которые пользователи захотят открыть. Есть разработчики зловредных инструментов, помогающих обходить системы защиты. Это целая отрасль, – подчеркнул Зубанов.

Кому пандемия, кому – мать родна

Самыми дорогими киберинцидентами для крупного бизнеса Казахстана в этом году стали утечки данных из электронных систем. Ущерб от одного такого инцидента превышает 1 миллион долларов. Далее идут целевые атаки, когда злоумышленники нападают на конкретную компанию (потери – 900 тысяч долларов), и атаки на цепочки поставок, когда злоумышленник получает доступ к сети компании через сторонних поставщиков (ущерб в целом – более 700 тысяч долларов).

Для сектора МСБ самыми дорогими стали инциденты, произошедшие из-за нарушения сотрудниками политик кибербезопасности, атаки криптомайнеров и атаки партнеров, с которыми компания обменивается цифровыми данными. Сумма потерь по итогам одной кибератаки для МСБ – более 105 тысяч долларов.

Кстати, именно последний тип – через подрядчиков – оказался наиболее дорогостоящим среди компаний по глобальной статистике. Средний размер ущерба – 1,4 миллиона долларов. С подобными преступлениями столкнулись 32 процента организаций по всему миру.

Прибавил работы киберэкспертам и массовый переход на удаленный формат работы в период пандемии.

– Незащищенная организация деятельности сотрудников, которые подключались к рабочей сети из дома с незапароленных устройств, увеличила уровень кибершпионажа компаний. Проблемой стало и то, что работодатели позволили сотрудникам использовать личные устройства для рабочих целей. И если ранее фишинговые письма (уведомления, направленные киберпреступниками якобы от имени банков и других организаций о необходимости передать/обновить личные данные. – Прим. авт.) выуживали персональные данные, то сейчас это может привести к компрометации корпоративных данных, – рассказал “КАРАВАНУ” исследователь угроз информационной безопасности Дмитрий ГАЛОВ.

Риски несет и активное использование нерегламентированного софта (программного обеспечения) компании для рабочих целей. За вами следят: как узнать, что твой смартфон стал шпионом

– Сотрудники пользуются мессенджерами, колл-конференциями, Skype, Zoom, шеринговыми системами (когда коллеги делятся файлами и т. п.), это удобно, но опасно: если раньше данные передавались по локальной сети организации, то сейчас они находятся в открытом доступе, и компания не может проверить, например, запаролен архив или нет. А потом происходит утечка данных, – рассказал эксперт.

В целом с момента начала пандемии COVID-19 киберпреступники активно эксплуатировали эту тему: рассылали письма якобы от имени ВОЗ о разработке вакцин, просили внести пожертвования, сообщали о социальных выплатах. Запускались также поддельные сайты по доставке продуктов и прочих товаров, поддельные стриминговые сервисы (платформа по подбору фильмов, игр и т. д. через смартфон, ноутбук или компьютер).

Почем медицинские карты?

Актуализировалась за последнее время и кража медицинских данных.

– Если лет 10 назад они заносились на бумажный носитель, и тетя в регистратуре постоянно теряла вашу карточку, то сейчас данные оцифрованы. На Западе активен рынок перепродажи медицинских записей, включающих сведения о здоровье, болезнях пациента, его адрес, место работы, контакты родственников. Злоумышленники продают полную медкарту или первую страницу, цена – от 1 до 30 долларов, – поделился с нами прайсом Дмитрий Галов. – Банковские данные продают по 6–20 долларов – в зависимости от страны. Также предлагают селфи с документами. Многие компании сейчас не требуют личного физического обращения клиента – достаточно предоставить сканированные копии документов, удостоверяющих личность, и селфи с ними. Здесь цены – от 5 до 20 долларов в зависимости от региона. Эта криминальная бизнес-индустрия держится на том, что многие до сих пор используют один и тот же пароль для различных сервисов. В целом глобальный ущерб от кибератак в текущем году уже достиг 6 триллионов долларов, – сообщил эксперт.

Атаковать – проще простого

Президент Центра анализа и расследования кибератак (ЦАРКА) Олжас САТИЕВ рассказал, что по результатам анализа защищенности веб-ресурсов госорганов в прошлом году эксперты выяснили – все домены госорганизаций имеют проблемы с защищенностью и высокий риск эксплуатации веб-уязвимостей. Со всех ресурсов утекает информация об аккаунтах и паролях. Подтверждение тому – свежая кибератака на официальные страницы сайта премьер-министра в соцсетях.

– В конце прошлого года мы запустили пилотный проект “BugBounty”: независимые эксперты по кибербезопасности находят уязвимости и получают вознаграждение. В проекте зарегистрировано почти 600 исследователей, которые составили более 1 тысячи отчетов об уязвимостях в казахстанском сегменте Интернета.

Среди критических кейсов: атаки на практически любой домен в зоне .kz, утечка данных клиентов в одном из крупнейших банков страны, 60 уязвимостей в электронном правительстве РК, утечка медицинской информации и доступ к военным объектам, – сообщил промежуточные итоги глава ЦАРКА.

Так, незащищенность портала egov.kz позволяла получить доступ либо удалить любой файл в “Моих документах” любому другому пользователю.

Не составило экспертам труда попасть и в административную панель управления системой жизнеобеспечения стохааклицы.

– Они увидели все данные по водоснабжению, трафику воды, теоретически могли переключать показатели. Если бы то же самое сделали злоумышленники, Нур-Султан остался бы без воды. В 2 министерствах можно было зайти на совещания (онлайн. – Прим. авт.). Специалисты даже получили доступ к КПП одного из военных объектов! Зачастую пароль на ресурсах был “админ админ”, – рассказал о выявленных “дырах” Сатиев.

Слабые места нашли специалисты и в ходе онлайн-переписи населения, завершившейся на днях. На соответствующем ресурсе можно было зарегистрироваться под данными постороннего человека.

– По другому кейсу один из участников проекта сдал ПЦР-тест. Когда он перешел по ссылке, чтобы узнать результат, увидел другие справки.

В целом эксперт обнаружил медицинские данные порядка 7 миллионов казахстанцев. Среди них были сведения о заболеваниях, передающихся половым путем…

– Мы оперативно сообщили о ситуации всем, кто попал в поле зрения киберэкспертов, ошибки исправили. Но ведь, возможно, кто-то до нас получил эту информацию… – резонно заметил глава ЦАРКА.

Но есть и хорошие новости: в глобальном индексе киберготовности Казахстан поднялся со 118-го на 31-е место. А еще с нового года цифровой грамотности будут обучать казахстанских первоклассников.

– Важно как можно раньше обучить детей основам цифровой грамотности, цифровой гигиены и информационной безопасности, – сообщила председатель комитета дошкольного и среднего образования МОН Гульмира КАРИМОВА.

НУР-СУЛТАН