Пять простых способов потерять данные и деньги

Бизнес

Хотя обычно мы пишем о том, как защитить свою информацию от угроз, сегодня для разнообразия мы пойдём другим путём и перечислим некоторые проверенные и популярные способы потерять и данные, и даже, возможно, деньги. Речь пойдёт, преимущественно, о рисках для частных пользователей, однако, учитывая, что свои привычки они приносят и на работу, корпоративная инфраструктура оказывается перед теми же угрозами.

1. Поддаться на социальную инженерию и/или фишинг…

…То есть попросту проявить доверчивость или излишнее любопытство, вследствие которых запустить, например, сомнительное вложение в электронном письме или пройти по ссылке на вредоносный сайт (и ввести там, например, свои логин и пароль к какому-нибудь сервису, который этот самый сайт и имитирует).

Ущерб гарантирован, его размеры зависят лишь от того, что конкретно нужно было атакующим.

Социальная инженерия — один из самых старых и, как ни парадоксально, до сих пор весьма эффективных способов получения несанкционированного доступа к информационным ресурсам. Атака в подобных случаях направлена не собственно на информационные системы, а на их операторов, то есть на людей.

Этот метод активно использовали и используют распространители почтовых червей и троянцев, обманом заставляющие пользователей запускать подозрительные вложения или кликать по сомнительным ссылкам. Подробное описание метода можно прочитать здесь.

Фишинг и спиэр-фишинг — вид интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей. Это достигается путём проведения рассылок электронных писем, например, от имени популярных брендов, а также личных сообщений внутри различных сервисов, например, от имени банков или внутри социальных сетей. В письме часто содержится прямая ссылка на сайт, внешне неотличимый от настоящего, либо на сайт с редиректом. После того как пользователь попадает на поддельную страницу, мошенники пытаются различными психологическими приёмами побудить пользователя ввести на поддельной странице свои логин и пароль, которые он использует для доступа к определённому сайту, что позволяет мошенникам получить доступ к аккаунтам и банковским счетам. Или в корпоративную инфраструктуру.

Фишинг — это одна из разновидностей социальной инженерии, и его эффективность определяется уровнем осведомлённости потенциальных жертв об основах сетевой безопасности. Интернет-сервисы никогда не рассылают писем с просьбами сообщить свои учётные данные, пароль и прочее, но про это знают далеко не все. Хотя, как правило, сервисы вполне открыто предупреждают, что их сотрудники никогда и ни при каких обстоятельствах не станут спрашивать пароли ни по почте, ни по телефону.

Из последних громких примеров успешного проведения фишинговых кампаний — последние «геройствования» Сирийской электронной армии: большую часть своих взломов они осуществляли именно с помощью фишинга.

2. Ввести платёжные реквизиты на поддельном сайте банка

Логическое следствие из первого пункта, идеальный для мошенников вариант развития событий. Объёмы ущерба ограничены только объёмом средств, находившихся на счету, к которому злоумышленники получили доступ. Впрочем, возможно, хакерам все деньги и не понадобились, и они решили оставить хоть что-нибудь, чтобы потом вернуться ещё.

Хакеры — публика ушлая, копии банковских сайтов делают умело, однако обнаружить их поддельную природу, как правило, относительно просто: все платёжные сервисы используют защищённые протоколы соединения при проведении операций, так что если в адресной строке — не https, а просто http, то это уже обман. Грамматические и орфографические ошибки на сайтах также могут выдавать их фальшивую природу. Как ни крути, главным оружием противодействия тут будет человеческая внимательность.

С другой стороны, антивирусные компании и производители браузеров постоянно отслеживают появление новых вредоносных ресурсов в сети, и защитные решения и популярные браузеры снабжены антифишинговыми средствами, равно как и инструментами борьбы с вредоносным ПО. Увы, это не отменяет необходимости соблюдать бдительность.

Ну, а если серьёзно, то около 62% людей, опрошенных в ходе летнего исследования, проведённого B2B International совместно с «Лабораторией Касперского», заявили, что сталкивались с попытками финансового мошенничества. Из них 30% получали фишинговые сообщения якобы от своих банков, 10% были перенаправлены на подозрительные веб-сайты.

4% потеряли деньги в результате онлайнового мошенничества. 41% жертв так и не смогли вернуть все свои деньги.

45% опрошенных уверены, что банк обязан возмещать им потери подобного рода, но это далеко от истины.

И 42% пользователей убеждены, что банки должны предлагать своим клиентам бесплатное защитное ПО, но почему-то не предлагают.

3. Установить фальшивый антивирус

Тоже популярный способ отъёма денег у доверчивых: как следует из вышеупомянутого исследования B2B, 21% опрошенных так или иначе сталкивались с лжеантивирусами. Размеры ущерба варьируются. Почти с гарантией фальшивый антивирус постарается содрать с пользователя деньги за «лицензию» (в размере от 30 до 70, а иногда и более долларов). В этом году был отмечен случай, когда вредоносная программа Android.Fakedefender выдавала себя за антивирус, а потом блокировала устройство так же, как программа-вымогатель, и требовала денег, опять же за «лицензию».

Лжеантивирусы зачастую являются многоцелевыми троянцами, которые при попадании на компьютер берут пользователя на испуг уведомлениями (больше похожими на истеричные выкрики), что весь его компьютер или гаджет буквально зарос всякой заразой. Некоторые такие лжеантивирусы способны удалять с устройства настоящие антивирусные программы.

Как они попадают на пользовательские устройства? Вот наиболее типичный случай:

Мошенники (речь идёт о преступной группе Innovative Marketing, Inc, которой принадлежит авторство таких программ, как WinFixer/XPAntivirus и множества их «родичей») создали 7 поддельных рекламных агентств, которые от имени крупных рекламодателей покупали легальные площадки для размещения своих материалов. Их реклама содержала хитроумный скрипт, который при проверке контента хостером никак себя не обнаруживал, а срабатывал только в браузере посетителей, перенаправляя их на одну из страниц IM. Страница выводила тревожные сообщения, имитировала сканирование пользовательской системы и воспроизводила список угроз, якобы в ней обнаруженных. Весь этот спектакль разыгрывался с единственной целью — запугать посетителя и заставить выложить 30-70 долларов за право установить «спасительный антивирус» на своем компьютере.

Судя по тому, что мошенники заработали к 2010 году порядка 180 млн долларов, недостатка в доверчивых и пугливых в мире нет.

4. Пользоваться одними и теми же простыми паролями для множества ресурсов и никогда их не менять

Надёжный способ потерять всё. Надёжный и многократно проверенный многочисленными жертвами, не желающими запоминать или записывать десятки паролей от всех своих бесчисленных аккаунтов. Размеры ущерба определяются количеством аккаунтов, до которых смогут добраться злоумышленники.

Простые пароли — райский плод для хакеров, особенно не очень технически продвинутых. Пароли, повторенные многократно на разных ресурсах, в том числе связанных с финансовой деятельностью, — так тем более. Пользователи, ведущие особо активную сетевую жизнь, вынуждены заводить десятки, если не сотни паролей, и многие готовы выходить из положения наиболее простым способом — использовать одни и те же кодовые слова к нескольким ресурсам сразу. Общеизвестно, что это нарушение техники сетевой безопасности, но тут включаются старые мифы: «Да кому я нужен» и «Есть более интересные жертвы». Согласно исследованию B2B International, 23% опрошенных действительно считают, что никогда не станут мишенью для кибератаки.

Но на деле это именно мифы. Ну, или оправдания, чтобы….

5. …Не принимать никаких мер по обеспечению дополнительной защиты

То есть не ставить ни брандмауэров, ни защитных решений, предполагать, что самые популярные ресурсы обязательно представляют собой неприступные для злоумышленников крепости и так далее.

Отсутствие защиты от вредоносного ПО, согласно данным из исследования B2B International, стало причиной финансовых потерь для 36% опрошенных. Это необязательно была прямая кража денег: речь могла идти, например, о расходах на ремонт мобильных устройств, выведенных из строя вредоносными программами. Но, в сущности, какая разница, на что уходят деньги?

При этом 11% пользователей из числа тех, кто всё-таки установил средства защиты на свои устройства, признали, что сделали это уже после того, как случился инцидент.

Это, естественно, далеко не все способы «потерять всё», можно найти и многие другие при желании, а точнее, при нежелании тратить время на то, чтобы обеспечить себе защиту. Сделать это несложно, расходы на защитные решения окупаются сторицей, но, как говорил Джон Армстронг, нельзя помочь человеку против его желания.