Прорывные технологии защиты. Часть 2

Логотип компании
Прорывные технологии защиты. Часть 2
В идеале работа сессионного антифрода не должна быть заметна пользователю вообще — ни на уровне времени входа, ни на уровне трафика.

В предыдущей статье мы подробно рассказывали об актуальных киберугрозах для бизнеса, теперь поговорим о рисках для пользователей. Давайте сразу договоримся, что мы с вами — не те ребята, которые интересны киберпреступникам для проведения целевой атаки. Никто не будет писать специальное вредоносное программное обеспечение под кражу видео с моего телефона, потому что я не известный футболист. Никто не будет пытаться внедрить сложную шпионскую программу, чтобы читать мою личную переписку, потому что я не оппозиционный журналист. Никто не будет пытаться незаметно годами отслеживать мою корпоративную почту, потому что я не технический директор крупного российского инженерного бюро, чьи разработки могут быть интересны условным северокорейцам.

С другой стороны, атаки на физические лица, как и любые другие атаки, развиваются, и злоумышленники используют все новые техники и тактики.

Фишинг, как техника кражи логинов, паролей, личных данных и данных банковской карты, существовал, кажется, всегда, но в последнее время видоизменился.

Вы наверняка натыкались на распространяемые через мессенджеры сообщения типа «Крупный ретейлер празднует свой день рождения и платит всем клиентам по 10 тысяч рублей за прохождение опроса». Получив в очередной раз такое сообщение, посмотрите, как выглядит ссылка у вас и, например, у вашего коллеги. Спойлер: пусть и не сильно, но они будут отличаться. Современные фишинговые ссылки подстраиваются под операционную систему (не важно, заходит получатель с компьютера или телефона) и регион жертвы, а в случае несовпадения какого-нибудь из этих параметров происходит редирект на официальный сайт компании, бренд которой используется для атаки.

Все это делается для того, чтобы фишинг было сложнее выявить (и впоследствии заблокировать). А если ссылки дольше работают, жертв будет больше, все просто.

Подготовленный читатель сейчас скажет: «А ни я, ни мои коллеги точно не будут вестись на эти непонятные рассылки и кликать по непонятным ссылкам». К сожалению, статистика говорит об обратном, а определенные особенности жизни современного человека (я про пандемию, конечно) лишь ухудшают ситуацию. В условиях работы на удаленке количество жертв фишинга постоянно увеличивается, потому что фишинговые ссылки банально сложнее распознать на телефоне, а, будем откровенными, при работе из дома не все из нас постоянно находятся за рабочим ноутбуком.

Помимо очевидной внимательности к деталям и аккуратности при вводе своих персональных данных единственный существующий способ остановить распространение фишинговых ссылок — их превентивная блокировка.

Для этого необходимо несколько вводных данных:

1. Во-первых, необходимо видеть всю инфраструктуру злоумышленников, которую они готовят к атаке.

С этим справляются системы киберразведки. Как пример, на рисунке ниже виден графический анализ из системы киберразведки Group-IB Threat Intelligence & Attribution:


Прорывные технологии защиты. Часть 2. Рис. 1

Графический анализ сетевой инфраструктуры из системы киберразведки Group-IB Threat Intelligence & Attribution

Красным кружком я выделил основной домен, используемый для фишинга (он же скрыт вверху в строке поиска), а все остальные зеленые кружки — фишинговые ссылки, используемые для редиректа и связанные с основным доменом через регистрационный email. Что интересно, внизу на скрине можно увидеть маленький красный кружок, которым в системе Group-IB Threat Intelligence & Attribution обозначается программное обеспечение, используемое злоумышленниками. В данном случае это абсолютно легитимный инструмент Keitaro, который маркетологи применяют для сегментации и анализа трафика.

2. Определили, что злоумышленники создали кучу вредоносных ссылок, нужно их как-то заблокировать.

Есть несколько коммерческих компаний в России, которым разрешена досудебная блокировка вредоносных доменов. Например, CERT-GIB — Центр реагирования на инциденты киберюезопасности. Как это работает: специалисты Group-IB видят, что определенный ресурс в Интернете распространяет вредоносное программное обеспечение или на нем используются инструменты для фишинга, и пишут запрос в Координационный центр, по которому в течение нескольких часов происходит блокировка этого ресурса.

Если злоумышленники насоздавали фишинговых ресурсов не в зоне .ru и .рф, помогает взаимодействие между государственными и коммерческими CERT’ами по всему миру. Так специалисты CERT-GIB помогают блокировать вредоносные сайты в своей зоне ответственности и обращаются за помощью к специалистам CERT в других странах.

Все это позволяет сократить время работы фишинговых ресурсов до минимума.

С точки зрения компаний, гораздо эффективнее отслеживать использование своего бренда при создании мошеннических ресурсов, предотвращая и репутационные, и финансовые потери. С этим эффективнее всего справляются решения для мониторинга и блокировки нелегитимного использования бренда (например, Group-IB Digital Risk Protection).

Читайте также
Российская индустрия программного обеспечения в 2023 году показала рост на 19,4% и достигла оборота 1,983 трлн рублей, что стало возможным благодаря активной внутренней поддержке и политике импортозамещения. Опрос более 300 компаний, проведенный ассоциацией «РУССОФТ», отразил ключевые тенденции отрасли: рост внутреннего спроса, падение экспортных доходов и кадровый дефицит, а также отметил направления для дальнейшего развития и выхода на новые рынки. IT-World разбирается, каким станет российский рынок ПО в ближайшие годы и какие вызовы ему предстоит преодолеть?

Фишинг, при всей его опасности, хотя бы можно увидеть обычным пользовательским взглядом. Осторожный, скажем так, пользователь внимательно изучит адресную строку сайта, прежде чем вводить какие-то свои персональные данные. Но что делать, если сайт — абсолютно легитимный?

В последнее время злоумышленники активно используют JS-снифферы для кражи персональных данных пользователей на легитимных ресурсах. Все, что для этого нужно, — получение злоумышленником доступа к сайту, после чего он внедряет несколько строк кода, позволяющих перехватывать вводимые пользователем данные: номера банковских карт, имена, адреса, логины, пароли и т. д.

С точки зрения обычного пользователя, получение доступа к чужому сайту очень непростая задача, но системы управления внешней поверхностью атаки (например, AssetZero от Group-IB) регулярно «наблюдают» ситуации, когда при создании того или иного домена применяются стандартные пары логин/пароль (просто, потому что так удобнее, зачем запоминать кучу паролей, правда?), и злоумышленники путем обычного перебора подбирают логин и пароль и могут использовать данный ресурс в своих интересах.

Защита пользователей своего сайта — в данном случае задача исключительно компании, и только постоянный контроль за своими активами вкупе с оценкой возможного направления атаки — обязательное условие.

Также для получения личных и банковских данных жертвы злоумышленники используют методы социальной инженерии, звоня и представляясь всем известными сотрудниками службы безопасности какого-либо банка, а в последнее время — следователями.

Кажется, что про все эти методы мошенничества знают все, но, к сожалению, злоумышленники используют новые подходы, и на их уловки попадается все больше людей.

В данном случае есть простая рекомендация — не разговаривать со «службой безопасности банка», если есть хоть какие-то подозрения, что это мошенники. Но серьезные фразы вроде «Сейчас переключу вас на представителя Центробанка» и «Прокуратуре Москвы нужна ваша помощь в поимке мошенников» зачастую снижают бдительность жертвы. Учитывая, что мошеннические операции приносят достаточно большую головную боль клиентским отделам и настоящим службам безопасности банков, все больше финансовых структур начинают использовать так называемый сессионный антифрод. Суть его в том, что по совокупности нестандартных для пользователя действий, банк принимает решение о блокировке или дополнительном подтверждении той или иной операции.

Давайте на примере. Звонит представитель «службы безопасности банка» и рассказывает, что ваши средства кем-то переведены на другой счет или «под угрозой», и для того, чтобы их уберечь, необходимо воспользоваться безопасным счетом, для этого нужно включить на телефоне громкую связь и зайти в свое банковское приложение. Стандартная, в общем-то, история, и уже на этом этапе банк должен насторожиться, «видя» на уровне сессионного антифрода, что мобильным приложением банка пользуются во время длительного (что тоже подозрительно) телефонного разговора.

Далее «сотрудник банка» просит проверить свой телефон на наличие каких-то вирусов, скачав приложение по запросу «Бесплатная поддержка» в Google Play или App Store. Попробуйте ввести на своем телефоне такой запрос, и вы увидите, что первые несколько приложений, выдаваемых Google Play и App Store, — средства удаленного доступа, которые после их установки позволят злоумышленнику получить доступ к вашему телефону. И продвинутые решения уровня сессионного антифрода «видят» установленные приложения, которые потенциально могут использоваться злоумышленниками.

После этого наступает финальный этап мошенничества. Злоумышленник, получив доступ к телефону жертвы через средство удаленного доступа, просит, продолжая разговор, предлагает положить телефон экраном вниз. На этом моменте сессионный антифрод высокого уровня (например, Group-IB Fraud Hunting Platform) выдает сразу несколько подозрительных критериев, фиксируя, что во время длительного разговора происходит использование мобильного приложения банка на телефоне, лежащим экраном вниз (срабатывает датчик приближения, который нужен, чтобы гасить экран телефона, когда вы подносите его к уху) и с установленным средством удаленного доступа. Банк, по установленным для себя действиям в такой ситуации, или блокирует эту операцию, или замораживает ее до дополнительного подтверждения действий клиента.

Если же злоумышленник украдет у вас телефон, сессионный антифрод позволит понять, что мобильным приложением банка пользуетесь не вы, сравнивая ваши стандартные действия и действия злоумышленников. Вплоть до того, что, если у преступника сила нажатия мощнее, чем у вас, сессионный антифрод «увидит», что изменилось пятно нажатия на экран, и не пустит злоумышленника в банковское приложение.

Помимо улучшенной защиты от популярных способов мошенничества, к сессионному антифроду есть одно немаловажное требование — не усложнять пользование мобильным приложением банка. В идеале работа сессионного антифрода не должна быть заметна пользователю вообще — ни на уровне времени входа, ни на уровне трафика.

Все это касается в первую очередь физических лиц, но те же техники и тактики злоумышленников, которые мы с вами рассмотрели выше, могут использовать и для атак на компании.

Итак, мы рассмотрели основные киберугрозы, которым могут быть подвержены и физические, и юридические лица. Хотя я перечислил много страшных кейсов, у меня не было задачи вас напугать. Грамотная защита на уровне компании помогает избежать большинства из существующих проблем, а грамотно выстроить ее всегда помогут специалисты Group-IB.

Опубликовано 28.03.2022

Похожие статьи