Вирусные атаки: Откуда берется киберпреступность и что с ней делать

Киберпреступники ежегодно "зарабатывают" сотни миллиардов долларов. Киберпреступность вышла из-под контроля. Она повсюду. Преступники крадут миллиарды записей по всему миру, включая информацию о страховках и банковских данных. Самое тревожное в этой ситуации то, что в большинстве случаев о похищении данных сообщается спустя месяцы после их кражи.

Бывший вице-президент IBM Security, а ныне CEO компании CynergisTek Калеб Барлоу говорит, что на киберпреступность нужно реагировать такими же коллективными усилиями, как на кризисы в здравоохранении, и делиться своевременной информацией о том, кто инфицирован и как распространяется болезнь. Если кто-то этого не делает, он становится частью проблемы.

Многие думают, что киберпреступность — это в основном шпионаж или деятельность правительств. Отчасти это верно. Шпионаж — это принятая международная практика. Но в данном случае это лишь небольшая часть проблемы. Как часто мы слышим о преступлении, о котором говорят: "Это результат изощренной атаки правительства"? Часто причиной являются компании, которые не хотят признать, что обладают слабыми системами защиты.

Откуда "растут ноги" киберпреступности?

По оценкам ООН, 80% атак совершаются сложно организованными и очень изощренными преступными группами. На данный момент они представляют собой одну из крупнейших нелегальных сфер бизнеса в мире, с оборотом, доходящим до нескольких сотен миллиардов долларов в год. Это больше, чем ВВП 160 стран, включая Ирландию, Финляндию, Данию и Португалию.

Как действуют эти преступники? Калеб Барлоу рассказывает, что какое-то время назад исследователи безопасности IBM "наблюдали за обычной, но очень сложной банковской троянской программой Dyre Wolf. Dyre Wolf попадает в ваш компьютер, когда вы нажимаете на ссылку в письме-приманке, которого, вероятно, у вас не должно быть. Затем вирус сидит и ждет. Он ждет, пока вы зайдете в свой банковский аккаунт. Как только вы это сделали, плохие парни проникают в него, крадут ваши учетные данные и затем используют их для кражи ваших денег. Это звучит ужасно, но на самом деле в сфере безопасности такая форма атаки — обычное дело. Однако у Dyre Wolf были две абсолютно разных личности — одна "личность" занималась небольшими операциями, но, когда дело доходило до крупных банковских переводов, эта "личность" превращалась в другую.

Вы начинаете процесс запуска банковского перевода, и в браузере появляется экран вашего банка, указывающий на то, что есть проблема с вашим аккаунтом и что вам нужно немедленно позвонить по определенному номеру в отдел банка по мошенничеству. Вы берете телефон и звоните. И после прохождения обычных голосовых подсказок вы попадаете на англоговорящего оператора. "Здравствуйте, Кооперативный банк "Алторо". Чем я вам могу помочь?". Вы проходите через обычный процесс, как и всякий раз, когда звоните в банк: называете свое имя и номер счета, проходите через проверки безопасности, чтобы подтвердить вашу личность. Многие из нас могут не знать, что многие банковские переводы больших сумм требуют присутствия двух человек для завершения процедуры перевода, поэтому оператор просит вас позвонить второму человеку и совершает такую же процедуру проверок и контроля.

Звучит хорошо, верно? Но есть проблема: вы говорите не с банком. Вы говорите с преступниками. Они создали англоязычный справочный центр, поддельный банковский сайт. И это было сделано настолько безупречно, что за один раз они переводили от полумиллиона до полутора миллионов долларов за одну операцию.

Эти криминальные организации работают словно упорядоченный законный бизнес. Их сотрудники работают с понедельника по пятницу и не работают по выходным. Откуда мы это знаем? Мы знаем это, потому что исследователи безопасности замечают повторяющиеся скачки в работе вредоносных программ в пятницу вечером. Плохие парни, после долгих выходных с женами и детьми, возвращаются, чтобы посмотреть на свои успехи".

Больше всего времени преступники проводят в Dark Web. Этот термин используется для описания безымянного подполья Интернета, где воры могут работать анонимно и не быть обнаруженными. Здесь они торгуют своими вирусными программами и делятся информацией о новых техниках атаки. Там можно купить все: от вируса базового уровня до гораздо более продвинутой версии. Там даже может быть золотой, серебряный и бронзовый уровни обслуживания. Вы можете проверить рекомендации. Вы даже можете купить вирусы с гарантией возврата денег, если атака была неудачной. Эти пространства, эти рынки, выглядят как платформы Amazon или eBay. Вы видите товары, цены, рейтинги и отзывы.

Как остановить эпидемию?

Вряд ли удастся узнать имена конкретных преступников — они работают анонимно и за рамками закона. Вряд ли удастся наказать виновных. Поэтому "нам нужен совершенно другой подход", считает Барлоу. "Этот подход должен быть сконцентрирован на идее о том, что нам нужно поменять экономику для плохих парней".

Что является главным приоритетом, когда мир пытается остановить эпидемии тяжелейших болезней: вируса Эболы, птичьего гриппа и т.п.? Знание того, кто заражен и как распространяется болезнь. Правительства, частные организации, больницы, врачи — все отвечают открыто и быстро. Это коллективные и бескорыстные усилия для остановки распространения болезни на месте и информирования всех незараженных о том, как защититься или сделать прививку.

К сожалению, в кибератаках этого нет. Организации, наоборот, стараются максимально скрыть информацию. Почему? Потому что они обеспокоены конкурентным преимуществом, судебными процессами или правовыми нормами. Необходимо эффективно демократизировать данные о разведывательных мероприятиях по угрозам, нужно заставить все организации открыться и поделиться тем, что есть в их арсенале информации. Плохие парни действуют быстро, хорошие парни должны действовать быстрее. И лучший способ сделать это — открыться и поделиться данными о том, что происходит.

Если оперативно делиться информацией, это действует как прививка. А если не делиться, это повышает шансы, что на других людях могут использоваться те же методы атак. Но здесь есть даже бо́льшая выгода. Разрушая схемы преступников, заранее информируя людей, которым они хотят навредить, можно разрушить их планы и репутацию, обрушить их рейтинги и отзывы. Чтобы сделать первый шаг в изменении экономики для преступников, в конце 2015 года компания IBM сделала то, что не вписывалось ни в какие стандарты рынка — она опубликовала свыше 700 терабайт актуальных баз данных об угрозах, включая информацию об атаках в реальном времени, которые могут быть использованы для остановки киберпреступлений на месте. Примерно через год к этому движению присоединились более 4000 организаций, включая половину списка Fortune 100.

Калеб Барлоу уверен, что "у всех есть возможность остановить это, и мы все уже знаем как. Все, что нужно сделать, — посмотреть на то, как действует здравоохранение, отвечая на эпидемии. Проще говоря, нам надо быть открытыми и сотрудничать".

Читайте также: Не зацепись: "Фишинг" — популярное оружие для кибератак