Интернет е голям и измами дебнат отвсякъде

Необичайната 2020 година по принуда премина в ритъма на бурна дигитализация. Тонът бе зададен от коронавируса, а бизнесът и институциите бързо трябваше да се ориентират в новия такт, така че да съхранят дейността си. Същото направиха и хората, които посегнаха към още повече онлайн инструменти – за учене, работа, забавление, пазаруване и пр. А хакерите наостриха слух.

Цялата тази дигитализация беше съпроводена от много и нов тип кибератаки“, коментира пред Economic.bg Любомир Тулев, главен архитект за киберсигурност и бизнес информационна сигурност в Bulpros.
Необходимостта от комуникация…

… изстреля платформите за видеоконферентни разговори в орбита. В края на октомври Zoom например отчита близо 434 000 бизнес клиенти с по над 10 служители, което е с около 485% над нивата спрямо предходната година. Microsoft Teams пък имаше над 115 млн. отделни ежедневни потребители, след като през април, когато вече бяха регистрирани бомбастични ръстове, те наброяваха 75 милиона. Месец след избухването на пандемията, например, компанията регистрира дневен рекорд от 2.7 млрд. минути, прекарани във виртуални срещи.

Огромният прилив на потребители нямаше как да остане встрани от вниманието на престъпния ум. „Забелязахме как различни хакерски групи опитваха да правят фишинг сайтове, имитиращи тези на основните доставчици, като Zoom и Teams, давайки измамното усещане, че това е легитимният сайт на търговеца”, посочва Любомир Тулев.

Инсталирайки си приложение от там, заедно с него потребителят сваля и малуер (от англ. malicious + software, или иначе казано събирателен термин за различни видове зловреден код, б.р.). Попаднал на устройството, вирусът заразява компютъра и отваря отдалечен достъп към него.

Ransomware 2.0

През 2020 г. хакерите трансформираха и една от любимите си атаки, превърнали се в бич за бизнеса. Рансъмуер (от английското ransom – откуп, б.р.) е вид малуер, който шифрова информацията на заразения компютър и чрез него престъпниците изнудват потребителя да им плати откуп срещу предоставянето на ключ за дешифриране. С годините бизнесът намери начин да минимизира щетите и да избегне излишния разход чрез поддръжка на резервни копия на информацията си. Осъзнали това обаче, хакерите също направиха крачка напред.

Достъпвайки машината, те започнаха първо да инфилртират ценната информация, след което криптират файловете и не само че изнудваха жертвите си, но и им показваха, че разполагат с данните им. Така компанията дори да успее да зареди своя бекъп, пак е уязвима, защото информацията вече е в ръцете на хакера, който може да я продаде на конкуренти или в дарк уеб и да монетаризира атаката си“, обяснява Любомир Тулев.

По думите му, ако бекъпът спасяваше положението при Ransomware 1.0, то при 2.0, дори такъв да бъде зареден, информацията вече е в ръцете на друг. Въпрос на време и изобретателност е как тя да бъде използвана срещу компанията.

Единственият полезен ход на действие е изключително добрата превенция.“ 

Два начина на заразяване

Добре известно е, че най-слабата брънка във веригата на сигурността е човекът, затова и служителите са първият канал за достъп. Фишинг имейлите все още са актуални и сработват, независимо колко е говорено за издайническите знаци.

Не е ясно дали хакерите са толкова добри, или хората не са достатъчно обучени.“

„Другата хитрост на хакерите са услугите, изнесени извън организацията. „Компания, която обслужва счетоводството например, има някаква услуга, която е инсталирана в инфраструктурата на клиента и която се достъпва през конкретен порт и протокол. Хакерите изследват точно такива незащитени канали, за да проникнат в системата“, обяснява Любомир Тулев. Все още например има сайтове на държавната администрация, поддържащи http протокол, „което е недопустимо“.

Ярък пример за зависимостта между отделните компании е мащабният пробив към мрежата на SolarWinds, която предоставя услуги за компютърна сигурност и мониторинг. В края на 2020 г. стана ясно, че хакери са извършили сложна атака, чрез която са получили достъп до веригата на доставки на IT компанията. Те са успели да внедрят зловредна програма в сървърите за ъпдейт, отговарящи за подаването на обновления към платформата за мониторинг SolarWinds Orion, която се ползва от хиляди организации. Така зловредната програма достигна до около 18 000 клиенти на SolarWinds, в това число организации от списъка на Fortune 500, като Microsoft, както и до Белия дом и Агенцията за национална сигурност на САЩ.

Колкото и добре да си мислим, че сме защитени – дори да имаме непробиваема крепост, което е невъзможно – голяма част от бизнеса разчита и работи с външни контрагенти. Такъв е случаят със SolarWinds”, коментира Любомир Тулев.

Затова според него е много важно при сключване на договор с доставчик да се изиска от контракторите да имат поне базови защити на собствените си системи.

Индустрии под прицел

Здравният сектор бе един от най-интересните за хакерите през 2020 г. Престъпните им намерения бързо се насочиха към компании, разработващи ваксини, тъй като кражбата на такъв тип интелектуална собственост може да послужи като разменна монета за големи откупи. По думите на Тулев въпреки зачестилите атаки, няма данни за пробиви. „Не така беше ситуацията с болниците. Много от тях станаха жертви, а в Германия дори почина жена заради атакуван сървър“, коментира експертът. 

Ако довчера една хакерска атака се мереше в пари и откупи, тя вече се измерва с човешки животи.“

Електронната търговия не остана по-назад. Преди хакерите се сещаха за онлайн търговците около Черния петък, когато се генерираха огромни покупки и плащания, а през 2020 г. те се оказаха постоянен обект на набези. В тази сфера също се наблюдава еволюция на атаките и Любомир Тулев дава пример с formjacking-а. При него в уебсайт се внедрява зловреден JavaScript, чрез който хакерите успяват да се сдобият с данните за дебитната/кредитната карта на потребителя. 

Когато потребителят е на последния етап и попълва данни за себе си и дебитната си карта, този зловреден JavaScript – в момента, в който се натисне submit, събира цялата тази информация и я праща и на търговеца, но и на хакера. По този начин след това престъпниците могат да продължат да пазаруват електронно, използвайки сметката на жертвата. Този тип измама е еволюиралата форма на някогашните кражби, при които на банкоматите се поставяха скриминг устройства и така се копираха картите на потребителите.

От тогава насам банките взеха редица мерки за подобряването на сигурността, но потреблението се модифицира и пренесе в онлайн среда, а хакерите очевидно намериха как да се възползват.

Тук превенцията и действията трябва да бъдат предприети от страната на търговците, които да инспектират постоянно интегритета на своята уеб апликация, т.е. да инвестират в системи, които да следят сорс кода и в момента, в който той бъде променен, това да може да се засече“, обяснява Любомир Тулев.

Ако през 2020 г. фокусът беше дигитализацията, то сега предстои бизнесът да осъзнае, че трябва да подсигури и своята защита. Много от компаниите ще узреят за облачните услуги, които предоставят много по-голяма гъвкавост.“