субота, 23 листопада 2024 г.
Об атаках на компьютеры и манипуляции сознанием офисных сотрудников

Об атаках на компьютеры и манипуляции сознанием офисных сотрудников

Александр Кардаков

Глава набсовета "Октава Капитал", создатель общественной организации "Гражданская кибероборона"

Представьте. Обычный будний день. Утро. В 9.15 в свой кабинет забегает бухгалтер Наталья. Она немного промокла от дождя и запыхалась. Наталья быстро занимает свое место и включает компьютер. Ей необходимо проверить почту и убедиться, что все спокойно. Последнее письмо - от ее босса Василия Петровича с пометкой "срочно". "Наверняка заметил, что я часто опаздываю. Или последний отчет нужно переделывать", - думает Наталья, и быстро открывает письмо. Она нервничает. В нем текст “Принять в работу срочно". И вложенный файл.

Как думаете велика ли вероятность, что Наталья его не откроет? Что она пойдет к боссу уточнять, действительно ли он отправил ей это письмо? Конечно нет. Наталья клацает мышкой на вложенный файл. Она еще не знает, что сделала и какие последствия грядут.

Есть такой термин – "социальная инженерия". Это способ управления людьми с использованием их слабостей и страхов. Это атака не на компьютер, а на человека. Мошенники, понимая человеческую психологию, заставляют делать то, что необходимо им. Поистине, опасный и разрушительный метод. И урон для бизнеса может исчисляться десятками, и даже сотнями миллионов! А защититься невероятно сложно. Почти невозможно.

Так, четыре из пяти успешных атак на банки за последние три года начались именно с применения методов социальной инженерии. В одном из последних отчетов Verizon отмечается, что каждый четвертый сотрудник открывает письма, в которых используется технология социальной инженерии. Это может быть очень ловким обманом. И попадаются даже самые осторожные.

Подписывайтесь на новости “КиевVласть”
 

Давайте поговорим чуть детальней о том, как это работает. Цели таких атак – разные. Это может быть добыча информации о компании, персональных данных или попытка заразить вирусом компьютеры. Как правило, хакеры "вламываются" к Вам через электронные письма, которые содержат вредоносную ссылку. Такой метод называется фишинг – от английского слова рыбачить. Так мошенники ловят на крючок с наживкой своих жертв.

При этом тема и содержание письма очень волнующие, играющие на человеческих чувствах. А, как мы знаем, например, страх – эмоция крайне сильная. Или жалость. "Письмо счастья" призывает к срочным действиям и человек, растерявшись, нажимает на ссылку, которая ведет его на сайт мошенников.  При таком способе не имеет значения насколько хорошо защищена компания и сколько денег она потратила на кибербезопасность. Вопрос только в том, удастся ли обмануть бухгалтера Наталью.

А профессиональные мошенники обставят все так, что бедная Наталья и не засомневается. Письмо придет якобы с корпоративной почты, будет именное. Все крайне правдоподобно. Это может быть сообщение от начальства. Или повестка в суд. Или уведомление от ее банка. Или.. или.. или.. Вариантов миллион!

Известный мировой производитель решений по обеспечению информационной безопасности компания Proofpoint в своем исследовании Human Factor 2016 называет такие атаки "направлением инфицирования номер один".

При этом, мошенники-рыбаки очень часто используют названия мировых брендов. Например, я недавно читал про случай фишинга в Мексике. Там письма разослали от имени платежной системы Mastercard. Люди получили уведомления, что доступ к их картам был заблокирован, и, чтобы его восстановить необходимо перейти по ссылке и, якобы на сайте платежной системы, обновить информацию о себе. Так мошенники получили доступ к информации о платежных картах людей, включая CVV-код банковской карты.

Еще пример. В октябре набирает обороты и другая фишинг-кампания. У нее очень забавное название. FreeMilk. И очень серьезные последствия. Вирус перехватывает личные переписки людей, а далее, представляясь одной из сторон диалога, вступает в активный разговор и предлагает жертве документы-приманки. Сообщение совершенно не вызывает подозрений. Все крайне продуманно. Каждое письмо подобрано специально под определенную жертву исходя из темы диалога.

В результате, вирус, попадая на компьютер, крадет личные данные и даже делает снимки зараженных экранов.

От этой атаки уже пострадали несколько крупных корпоративных сетей и банковские структуры.

Это один пример из миллиона. Ежедневно где-то кто-то обманывает кого-то с помощью методов социальной инженерии. Тем более, рассылка писем – не единственный инструмент. Существует и целевой фишинг. Когда, например, мошенник лично приходит к Вам в офис якобы наниматься на работу. Во время собеседования он говорит, что забыл резюме, но оно есть на флешке. Сотрудник вставляет переносное устройство в компьютер и все - вирус, который находится на флешке, уже на предприятии.

А недавно разработчики показали, что фишинговая атака может быть произведена и через Ваш телефон! В зоне риска, в первую очередь, пользователи iPhone и iPad, которые привыкли вводить свой е-майл и пароль для совершения разных действий, например, покупок. Идентичный по виду запрос могут отправить на телефон и мошенники. А пользователи введут все данные не задумываясь, просто по привычке.

То есть, черт и правда так страшен, как его малюют. Это ловушка. Ловушка, в которую может попасться каждый.

Так что же делать? Лично я, как IT-эксперт и специалист в сфере защиты информации, рекомендую работодателям регулярно проводить для коллектива ликбез в сфере кибербезопасности. Грамотное и своевременное обучение сотрудников может помочь бизнесу сберечь миллионы.

Александр Кардаков, глава набсовета "Октава Капитал", создатель общественной организации "Гражданская кибероборона"

KиевVласть

Теги: новости киева, защита, кардаков, IT-безопасность, вирусные атаки, социальная инженерия

середа, 17 квітня 2024 г.
18:19
УВАГА!!! КиївВлада переїхала на новий домен
п'ятниця, 12 квітня 2024 г.
20:56
“Українська команда” передала велику партію дронів-літаків легендарному батальйону “Ахіллес”, - Палатний
20:51
Ексміністр оборони Резніков став директором безпекових і оборонних програм в ГО “Український інститут майбутнього”
20:45
Начальник КОВА Руслан Кравченко у Чернівцях взяв участь у Конгресі місцевих та регіональних влад при Президентові України
20:34
На київській ТЕЦ-5 встановлять додаткові генератори
20:20
В Україну повернули тіла 99 полеглих захисників
20:02
У Києві з суботи відновлює роботу автобус № 7 (схема)
19:54
На Бахмутському та Новопавлівському напрямках відбито понад 40 атак, загалом на фронті 81 боєзіткнення, - Генштаб ЗСУ
19:43
Представники громадськості вимагають припинити переслідування антикорупційних активістів та журналістів-розслідувачів
19:31
Відзавтра, 13 квітня, столичний автобус № 35 подовжить свій маршрут до вулиці Гліба Бабіча (схема)
19:13
“Укренерго” організувала для ветеранів війни програму навчання та працевлаштування “Разом”
19:01
На Броварщині витратять 1,86 млн гривень на облаштування дитмайданчиків
18:49
На вулиці Богатирській у Києві до 21 квітня обмужать рух транспорту (схема)
18:36
У Броварах з'явився новий патріотичний стінопис “Обіймаю тебе, моя Україно!”
18:17
Столична влада зупинила проведення аукціону з надання в оренду Житнього ринку
18:04
У реєстрі зниклих безвісти наразі налічується понад 2 тисяч дітей
Календар подій
Підтримка армії та більше коштів на “цивільні” напрямки: Київрада внесла зміни до бюджету-2024 і Програми соцекономрозвитку
12 квітня 2024 г. 15:00
Підтримка армії та більше коштів на “цивільні” напрямки: Київрада внесла зміни до бюджету-2024 і Програми соцекономрозвитку
Столична міськрада 11 квітня 2024 року внесла чергові зміни до бюджету Києва на 2024 рік, а також відкоригувала нову Програму економічного та соціального розвитку (ПЕСР), яка розрахована на 2024-2026 роки. Точний перелік всіх коригувань буде доступний після публікації цих документіві, адже депутати і чиновники погодили внесення до відповідних проєктів рішень численних правок безпосередньо перед їх розглядом в сесійній залі. Між тим, відомо, що дохідну частину бюджету було збільшено до 75,2 млрд гривень, видаткову – до 92,5 млрд гривень. Відповідно, додаткові 995 млн гривень планується витратити по програмі “Захисник Києва”, 79,9 млн – на обладнання опорних пунктів в межах столиці, 459,3 млн гривень – на різні соціальні виплати військовослужбовцям, 30 млн гривень – напряму нададуть Міністерству оборони України в якості субвенції тощо. Не обійшлося і без збільшення витрат на “цивільні” напрямки – ще 89,4 млн було виділено на ремонтні роботи на дорогах, 50,8 млн – на реконструкцію ліфтового обладнання в багатоповерхівках і т.д. Була відповідно відкорегована і нова Програму економічного та соціального розвитку (ПЕСР), яка розрахована на 2024-2026 роки. 
Бюджет Києва дуже скромно поповнився за рахунок оренди та приватизації комунального майна у 2023 році
10 квітня 2024 г. 09:00
Бюджет Києва дуже скромно поповнився за рахунок оренди та приватизації комунального майна у 2023 році
У 2023 році столична влада продемонструвала одні з найгірших результатів наповнення бюджету за рахунок оренди і приватизації комунального майна за останні роки. Як стало відомо, від такої оренди до міської скарбниці надійшло 33,9 млн гривень, що більш ніж в половину менше планових показників, а від продажу комунальної нерухомості – 81,9 млн гривень (плюс ще 18.9 млн гривень, які були перераховані у 2024 році), що набагато менше ніж у попередні роки. Судячи з усього, причиною таких скромних надходжень до міського бюджету є і повномасштабна війна, яка знизила бізнес-активність у столиці, і систематичні порушення процедур і законодавства з боку профільних чиновників КМДА, які кожного року обходяться киянам у десятки мільйонів гривень.