2020 год прымусіў нас вывучыць такія новыя словы, як «фішынг», «вишинг» і нават «шкімер» (Не блытаць са «скримером»). Кіруючыся прынцыпам «Папярэджаны – значыць узброены», Мы звярнуліся да начальніка ўпраўлення інфармацыйнай бяспекі Белгазпрамбанка Аляксандру Латушка, які ў даступнай форме (ад перадумоў да мер абароны), у выглядзе лаканічных пастулатаў распавёў пра тое, як пазбегнуць крадзяжу грошай з рахункаў прадпрыемства.
Перадумовы
Усе кампаніі (ад ІП да карпарацый) карыстаюцца паслугамі кіравання рахункамі прадпрыемства праз сістэмы банкаўскага забеспячэння (СДБО).
Доступ да СДБО ажыццяўляецца праз Інтэрнэт.
Інтэрнэт паўсюдны.
Рахункі юрыдычных асоб прывабней для махляроў. На іх акумулююцца значныя сродкі, праўзыходныя рэшткі на рахунках фізічных асоб.
Лічбавыя тэхналогіі ва ўсім свеце ў 2020 годзе
Уразлівасці
Сайты, праграмы, людзі – ўразлівыя для Кібератакі.
Розныя кампаніі марнуюць розныя бюджэты на киберзащиту.
Людзі маюць «прыроджаныя» уразлівасці, абумоўленыя даверам або прагай нажывы.
Сродкі
Велізарная колькасць інфармацыі даступна вялікай колькасці людзей. Інструментар для Кібератакі на парадак танней даходу ад паспяховых Кібератакі. Колькасць выканаўцаў расце. Адпаведна, кошт Кібератакі падае. З прычыны вялікай колькасці патэнцыйных ахвяр – складанасць можа быць абраная атакуючым.
Расцэнкі карыстацкіх дадзеных на рынку кіберзлачынцаў:
Вынік
У цяперашні час выразна відаць расслаенне кампаній па ступені пабудовы сістэм абароны. З аднаго боку - гэта тэлекамунікацыйныя кампаніі, банкі, разгалінаваныя / размеркаваныя карпарацыі, для якіх ІТ – гэта ключавая складнік бізнесу. З іншага боку прадпрыемства, якія рэалізуюць ахоўныя меры з-за рэгуляторных патрабаванняў або па рэшткавым прынцыпе. Для іх ІТ – не крытычны, але дапаможны.
Кибермошенники, вынікаючы па прынцыпе найменшага супраціву, атакуюць часта як раз другое, атрымліваючы выгаду за кошт колькасці «узломаў».
У агульным выпадку паслядоўнасць шляху такая:
1. Кібергрупоўка замаўляе праграму / шпіён (RAT — абрэвіятура англ. Remote Access Trojan, у перакладзе — «Траян аддаленага доступу» ці «сродак аддаленага кіравання»), Якая некаторы час не выяўляецца антывірусным праграмным забеспячэннем, і прызначана для прадастаўлення аддаленага доступу да кампутара, на якім ўсталяваная.
2. Распрацоўшчык ажыццяўляе распрацоўку RAT ў адпаведнасці з заданнем (распрацоўшчык можа быць цалкам легальны).
3. RAT перадаецца «фішэрам»Фішэры ажыццяўляюць дастаўку дадзенага ПА на ПК ахвяры. Варыянты дастаўкі: з дапамогай электроннага ліста. (на малюнку ніжэй), З дапамогай напрамкі ахвяры на падроблены сайт.
4. Ахвяра, пры недастатковым узроўні абароненасці( пры нізкім узроўні сродкаў абароны ахвяры кошт RAT можа не перавышаць некалькіх дзесяткаў у.а. і істотна даражэць, калі ў ахвяры выкарыстоўваюцца хоць бы простыя антывірусы) і нізкім узроўні навучання ў галіне інфармацыйнай бяспекі( неабходная складаная падрыхтоўка лісты, каб яго адкрыў і выканаў навучаны работнік ахвяры) ажыццяўляе запуск RAT на сваім ПК.
5. Кібергрупоўка атрымлівае пад свой кантроль кампутар ахвяры і вывучае ІТ-інфраструктуру кампаніі, паступова прасоўваючыся да ПК (паўтараючы крок 3-4 ужо ад імя калегі), з якога ёсць доступ да СДБО.
6. На кампутары з СДБО махляр чакае і запісвае дзеянні работніка ахвяры, разумеючы, як той здзяйсняе плацяжы. Гэтак жа запісваюцца ўсе паролі.
7. Пры надыходзе патрэбнага моманту махляр блакуе працу карыстальніка ахвяры (паказваецца якая-небудзь карцінка на ўвесь экран – «Ідзе абнаўленне сістэмы. Ня выключайце ПК») І ў гэты час здзяйсняюцца пераклады ў СДБО. Пры гэтым махляр выкарыстоўвае падгледжаныя паролі, у плацяжах паказваюцца прызначэння, раней выкарыстаныя работнікам, а сумы таксама ў рамках звычайных. Адзінае адрозненне – кошт атрымальніка (можа быць лікам разліковай банкаўскай карты саўдзельніка \ падстаўной асобы).
8. Банк бачыць даручэнні ад ахвяры, правярае іх сапраўднасць, але бо выкарыстаны правільныя паролі і ключы – абавязаны выканаць якое паступіла даручэнне.
9. Кібергрупоўка ажыццяўляе далейшыя пераклады і атрымання наяўных сродкаў.
P.S. Выкарыстоўваючы аналагічны шлях, кібергрупоўкі могуць выкарыстоўваць іншыя інструменты \ шкоднаснае ПА і зарабляць, патрабуючы выкуп: за вяртанне выкрадзенай інфармацыі або за вяртанне пароляў, якія былі змененыя, або за расшыфроўку кампутараў.
Меры абароны
НЕАБХОДНА: выкарыстоўваць збалансаваную, якая адказвае наяўных рызыках сістэму киберзащиты: антывірус, персанальны міжсеткавы экран, абнаўляць праграмы і аперацыйную сістэму, рэзерваваць крытычную інфармацыю і г.д.. Нельга спадзявацца толькі на сістэмы абароны трэцяга боку, правайдэра або банка.
НЕАБХОДНА: навучаць работнікаў прадпрыемства правільнага выкарыстання крытычных рэсурсаў (Інтэрнэт, пошта, зменныя носьбіты).
НЕАБХОДНА: навучаць работнікаў правільным дзеянням у крызісных сітуацыях («выдерни электронны ключ, калі ПК паводзіць сябе няправільна», «адключы сеткавай провад, калі курсор рухаецца сам», «патэлефануй у банк, калі бачыш чарнавік плацяжу, які не рабіў»).
