Что такое веб-угрозы или онлайн-угрозы?

Определение веб-угроз

Веб-угрозы, или онлайн-угрозы, – это категория рисков кибербезопасности, связанных с использованием интернета, которые могут вызывать нежелательные события или действия.

Веб-угрозы могут возникать вследствие уязвимостей систем конечных пользователей, ошибок разработчиков/операторов веб-сервисов или уязвимостей в самих веб-сервисах. Независимо от причин веб-угрозы, ее последствия могут нанести ущерб как физическим лицам, так и организациям.

Этим термином, как правило, обозначают следующие категории сетевых-угроз (но не только их).

Угрозы для частных сетей: направлены на локальные сети, подключенные к глобальному интернету. Типичным примером таких сетей являются домашние проводные и беспроводные сети, корпоративный интранет и национальные интранеты.
Угрозы для хостов: направлены на отдельные хост-устройства, подключенные к сети. Под термином хост часто понимают корпоративные конечные устройства или персональные устройства, такие как мобильные телефоны, планшеты и традиционные компьютеры.
Угрозы для веб-серверов: направлены на специализированное оборудование или программное обеспечение, которое обслуживает сетевую инфраструктуру и онлайн-сервисы.

Что такое веб-угрозы?

Веб-угрозы – это опасности, которые подстерегают людей и компьютерные системы в интернете. К числу этих опасностей относятся и такие хорошо известные угрозы, как фишинг и компьютерные вирусы. Но к этой же группе можно отнести и другие угрозы, например кражу данных офлайн.

Веб-угрозы – это не только те угрозы, которые действуют во время онлайн-активности пользователя или устройства. К ним относятся и угрозы, так или иначе использующие интернет для нанесения ущерба. Хотя не все веб-угрозы создаются преднамеренно, многие из них предназначены для того, чтобы вызвать следующие события (или потенциально могут вызвать их):

отказ в доступе – блокировка доступа к компьютеру и/или онлайн-сервисам;
получение доступа – несанкционированное или нежелательное проникновение в личный компьютер и/или онлайн-сервисы;
несанкционированное или нежелательное использование компьютера и/или онлайн-сервисов;
несанкционированное раскрытие конфиденциальной информации (например, такой как фотографии, учетные данные аккаунтов или важная государственная информация);
несанкционированное или нежелательное внесение изменений в компьютерные системы и\или онлайн-сервисы.

За последние годы количество веб-угроз значительно увеличилось. Развитие таких технологий, как умные устройства и высокоскоростной мобильный интернет, приводит к появлению постоянно действующего вектора онлайн-угроз, таких как вредоносное ПО, онлайн-мошенничество и т. п. А темпы внедрения веб-технологий в такие области, как коммуникации и повышение продуктивности, с помощью интернета вещей (IoT) опережают заботу о безопасности пользователей.

Мы все больше зависим от интернета в нашей повседневной жизни, и наши шансы подвергнуться атаке злоумышленников в Сети возрастают в геометрической прогрессии. Иллюзия комфорта и отсутствие осторожности при пользовании интернетом вызывают озабоченность и создают все новые риски для конфиденциальности и безопасности.

И хотя веб-угрозы в основном направлены на компьютеры, в конечном итоге долгосрочные последствия этих угроз испытывают на себе люди.

Из чего состоят веб-угрозы?

Для того чтобы веб-угроза стала поводом для беспокойства, должны сложиться определенные обстоятельства.

Вот несколько основных компонентов любой веб-угрозы.

Мотив угрозы – причина или цель, которая мотивирует агента угрозы на причинение вреда. Некоторые агенты угрозы могут действовать ненамеренно или автономно. В этом случае у них может вообще отсутствовать мотив.

Агент угрозы –кто-то или что-то, кто может совершить негативные действия. При этом интернет может быть как вектором, так и целью угрозы.

Уязвимость – неосторожное поведение человека, несовершенство технологии или что-то другое, что может способствовать вредоносному проникновению или другому инциденту безопасности.

Последствия угрозы – негативные результаты, возникшие вследствие использования агентом угрозы одной или нескольких уязвимостей.

При взаимодействии этих компонентов угроза превращается в атаку на компьютерные системы. Причиной запуска угрозы могут быть деньги, слежка, получение информации, месть, диверсия и многое другое.

Агенты угрозы – это, как правило, лица с преступными намерениями. Если говорить шире, это кто-то или что-то, кто может совершить действия, которые преступник использует в своих целях. Некоторые агенты угрозы, такие как разрушительные явления природы, действуют вообще без участия человека.

Перечислим типы агентов угрозы.

«Неодушевленный» агент. Это, например, вредоносный код (вирусы, черви, скрипты), природные явления (погода, природные явления), сбой в работе оборудования (электрические сети, телекоммуникации), отказ технологий (аппаратное и программное обеспечение), физические факторы (высокие температуры, вода, механическое воздействие).
Человек, действующий умышленно. Такой агент преследует злые намерения. Он может быть внутренним (сотрудник, подрядчик, член семьи, друг, знакомый) и внешним (хакер-профессионал или любитель, официальное лицо или агентство, конкурирующее предприятие).
Человек, действующий неумышленно. Действия такого агента вызваны человеческой ошибкой, небрежностью или недосмотром. Как и в предыдущем случае, такие агенты могут быть как внутренними, так и внешними.

Уязвимости – это слабые места, используя которые, агент угрозы может управлять в своих целях другими субъектами или объектами. Уязвимости можно рассматривать как веб-угрозу и одновременно как фактор, который создает другие угрозы. Уязвимостью обычно становится какая-либо человеческая слабость или техническая недоработка, которые могут привести к проникновению в систему, ее неправомерному использованию или полному уничтожению.

Последствиями угрозы могут стать раскрытие конфиденциальной информации, обман пользователей, нарушение работы компьютерных систем или перехват прав доступа. Вот некоторые типичные последствия веб-угроз:

репутационные потери: утрата доверия клиентов и партнеров, попадание в черный список поисковой системы, диффамация и т. д.;
нарушение рабочих процессов: простои, блокировка доступа к онлайн-сервисам, таким как социальные сети или мессенджеры и т. д.;
кража финансовой информации, идентификационных данных, конфиденциальных данных клиентов и т. п.

Киберпреступники используют любую уязвимость операционной системы или приложения для совершения атаки. Однако большинство из них разрабатывают угрозы для атак наиболее популярных операционных систем или приложений, в том числе:

Java. Поскольку приложения Java установлены более чем на 3 млрд устройств, работающих на разных операционных системах, злоумышленники создают эксплойты, нацеленные на специфические уязвимости Java на различных платформах или в операционных системах.
Adobe Reader. Эта программа часто подвергается атакам злоумышленников, поэтому Adobe разработал для нее инструменты для защиты от эксплойтов. Тем не менее, Adobe Reader по-прежнему остается любимой мишенью хакеров.
Windows и Internet Explorer. До сих пор существуют эксплойты, нацеленные на уязвимости, которые были обнаружены еще в 2010 г., в том числе уязвимость MS10-042 в механизме проверки обращений в Windows Help and Support Center и MS04-028, связанная с некорректной обработкой JPEG-файлов.
Android. Киберпреступники используют эксплойты для получения прав администратора. После этого они получают почти неограниченный контроль над устройством.

Как распространяются веб-угрозы?

Самые опасные веб-угрозы путешествуют по Сети, чтобы атаковать как можно больше систем. Для достижения своих целей агенты угроз обычно комбинируют манипуляцию человеком и технические приемы.

Такие веб-угрозы распространяются через многочисленные каналы коммуникации, существующие в интернете. Более масштабные угрозы осуществляются через глобальный интернет, более узконаправленные атакуют непосредственно частные сети.

Обычно такие угрозы распространяются через онлайн-сервисы. Злоумышленники любят размещать их в тех местах, где пользователи будут чаще с ними сталкиваться. Часто посещаемые сайты, платформы соцсетей, онлайн-форумы и почтовые серверы идеальны для размещения веб-угроз.

Если пользователи переходят по вредоносным ссылкам, загружают вредоносные файлы, оставляют конфиденциальные данные на веб-сайтах или отправляют их в сообщениях, они становятся жертвами злоумышленников. Такие действия могут привести к заражению вредоносным ПО и дальнейшему распространению веб-угроз среди других пользователей и в других сетях. Часто ничего не подозревающие пользователи сами становятся агентами угрозы.

Как обнаружить веб-угрозы

Несмотря на то что число веб-угроз стремится к бесконечности, все же можно выделить несколько их общих признаков. Однако чтобы обнаружить веб-угрозу, потребуется бдительность и внимательность к мельчайшим деталям.

Некоторые веб-угрозы явно нацелены на веб-инфраструктуру. Это, например, угрозы, связанные с воздействием высоких температур и воды. Их легче всего предусмотреть. Чтобы выявить другие, потребуется большая внимательность. Будьте максимально осторожны во время онлайн-серфинга или обмена цифровыми сообщениями.

Вот на что нужно обращать внимание.

Грамматические ошибки. При подготовке атаки злоумышленники не всегда уделяют должное внимание качеству сообщений или веб-контента. Обращайте внимание на опечатки, пунктуационные ошибки и неправильное построение фраз.
URL. Вредоносные ссылки могут быть не видны пользователям и скрываться под другим текстом, наложенным поверх них. Наведите курсор на текст, чтобы проверить, куда в действительности ведет ссылка.
Плохое качество изображений. Наличие изображений низкого качества или изображений, отличающихся от официальных, может быть признаком вредоносной веб-страницы или сообщения.

Типы веб-угроз

Мы уже упоминали о том, что для реализации веб-атак злоумышленники обычно используют манипуляцию людьми и различные технические приемы. Имейте в виду, что веб-угрозы могут накладываться одна на другую, а иногда возникают одновременно. Вот наиболее распространенные типы веб-угроз.

Социальная инженерия

С помощью методов социальной инженерии злоумышленники обманом вынуждают пользователей совершить действия, противоречащие их собственным интересам. Для этого они обычно входят в доверие к пользователям и вводят их в заблуждение. Вот некоторые разновидности такого метода.

Фишинг. Злоумышленники представляются сотрудниками официальных организаций, чтобы выманить у своих жертв персональные данные.
Атаки «на водопое» (watering hole attack). Злоумышленники используют популярные веб-сайты, чтобы обмануть пользователей и заставить их раскрыть информацию.
Сетевой спуфинг. Злоумышленники организуют поддельные точки доступа, которые имитируют настоящие.

Вредоносный код

Сюда входят вредоносные программы и скрипты (строки команд программирования), которые служат для создания или использования технических уязвимостей. Если социальная инженерия отвечает за человеческий фактор в запуске веб-угроз, то вредоносный код – за технический. Угрозы на основе вредоносного кода включают в себя в том числе следующие.

Атаки с помощью инъекций: внедрение вредоносных скриптов в легитимные приложения и веб-сайты. В качестве примеров можно привести SQL-инъекции и межсайтовый скриптинг (XSS).
Ботнеты: захват пользовательских устройств с целью их объединения в сеть с аналогичными «зомби»-устройствами и удаленного автоматизированного использования. Такие сети злоумышленники организуют для ускорения спам-кампаний, атак вредоносного ПО и т. п.
Шпионское ПО: программы слежения, которые мониторят действия пользователя на компьютере. Типичный пример шпионского ПО – клавиатурные шпионы.
Компьютерные черви: скрипты, которые запускаются, тиражируются и распространяются автономно, без помощи сопутствующей программы.

Эксплойты

Эксплойты предназначены для умышленного использования уязвимостей, что может приводить к нежелательным инцидентам.

Брутфорс-атака: попытка вручную или с помощью автоматических инструментов пробить брешь в защите или использовать какие-либо уязвимости. Обычно эти атаки включают генерацию всех возможных паролей к персональному аккаунту пользователя.
Спуфинг: маскировка реальной идентичности для манипулирования легитимными компьютерными системами. В качестве примеров можно привести IP-спуфинг, DNS-спуфинг и отравление кеша.

Киберпреступность

Термин «киберпреступность» относится к любой противоправной деятельности, совершаемой посредством компьютера. И для осуществления своих планов злоумышленники часто используют интернет.

Кибербуллинг: психологическое насилие с использованием угроз и преследования.
Несанкционированное раскрытие данных: раскрытие конфиденциальной информации, в том числе данных электронной переписки, интимных фотографий или значимых корпоративных данных.
Киберклевета, или кибердиффамация: подрыв репутации физического лица или организации с использованием интернета. Это может быть дезинформация (намеренное распространение ложной или неточной информации) или распространение непроверенной информации по ошибке.
APT-атаки (целевые продолжительные атаки повышенной сложности): проникновение вредоносных агентов в частную сеть и установка долговременного доступа. Для использования уязвимостей системы и получения такого доступа злоумышленники комбинируют методы социальной инженерии, внедрение вредоносного кода и другие типы угроз.

Обычно под веб-угрозами понимают вредоносные программы, которые могут атаковать пользователей во время работы в интернете. Эти использующие браузер угрозы включают целый спектр вредоносных программ, специально предназначенных для заражения компьютеров пользователей. Основным инструментом таких заражений через браузер является набор эксплойтов, которые позволяют киберпреступникам инфицировать компьютеры, если:

– на них не установлено защитное ПО;

– установленные на них популярные ОС или приложения имеют уязвимости, вызванные тем, что пользователь вовремя не установил обновление или производитель ПО не успел выпустить свежий патч.

Эксперты в области защитных решений Kaspersky Internet Security идентифицировали вредоносные программы, которые злоумышленники активнее всего используют в своих атаках. В этот список вошли следующие типы веб-угроз.

Вредоносные веб-сайты. Специалисты «Лаборатории Касперского» идентифицируют такие сайты с помощью методов облачного эвристического анализа. Большинство вредоносных URL ведут на сайты, содержащие эксплойты.
Вредоносные скрипты. Хакеры внедряют вредоносные скрипты в код легитимных веб-сайтов, безопасность которых была нарушена. Такие скрипты используются для осуществления атак путем скрытой загрузки (drive-by attacks). При этом посетители веб-сайтов незаметно перенаправляются на вредоносные онлайн-ресурсы.
Скрипты и исполняемые PE-файлы. Они позволяют:
загружать и запускать другие вредоносные программы;
переносить вредоносный код, способный похищать данные из банковских приложений и аккаунтов в соцсетях, а также логины и пароли к другим онлайн-сервисам.
Троянцы-загрузчики. Эта разновидность троянских программ доставляет на компьютеры пользователей различное вредоносное ПО.
Эксплойты и наборы эксплойтов. Они используют уязвимости и пытаются обойти средства интернет-защиты.
Рекламное ПО. Оно часто устанавливается на компьютер пользователя в момент загрузки бесплатного или условно-бесплатного ПО.

Примеры веб-угроз

Среди многочисленных примеров веб-угроз наиболее известны следующие.

Программа-вымогатель WannaCry

В мае 2017 г. программа-вымогатель WannaCry разошлась по множеству сетей и заблокировала бессчетное количество компьютеров, работающих под Windows. Эта угроза оказалась особенно опасной, поскольку интернет-червь WannaCry мог распространяться абсолютно автономно. Для распространения вредоносного кода программа использовала уязвимость языкового модуля Windows.

Утечка фото знаменитостей из ICloud

Жертвами этой целевой фишинговой атаки стали многочисленные знаменитости – пользователи iCloud. Взлом их аккаунтов в конечном итоге привел к несанкционированной утечке огромного количества личных фотографий.

И хотя организаторы были найдены и привлечены к ответственности, жертвы атаки до сих пор страдают от последствий публикации их интимных фотографий без разрешения владельцев. Эта фишинговая атака стала самой знаменитой атакой десятилетия.

Как защититься от веб-угроз

Большинство веб-угроз действуют успешно благодаря двум главным факторам:

человеческие ошибки;
технические уязвимости.

Чтобы полностью защититься от веб-угроз, нужно найти способ прикрыть эти слабые места.

Вот несколько общих советов и для конечных пользователей, и для провайдеров веб-услуг.

1. Всегда создавайте резервные копии. Вся ценная информация должна копироваться и храниться в безопасном месте, чтобы предотвратить потерю данных в случае инцидента безопасности. Создавайте резервные копии содержимого веб-сайтов, жестких дисков и даже данных, хранящихся на веб-серверах.

2. Настройте мультифакторную аутентификацию (MFA). MFA позволяет добавить к традиционному паролю дополнительные способы аутентификации пользователя. Организациям следует настроить дополнительный инструмент защиты для конечных пользователей и убедиться, что его используют сотрудники.

3. Проводите проверку на наличие вредоносного ПО. Регулярное сканирование защитит ваши компьютерные устройства от заражения. Все личные устройства можно защитить с помощью такого антивирусного решения, как Kaspersky Total Security. Конечные устройства и компьютерные сети предприятий также требуют защиты.

4. Регулярно обновляйте операционную систему, программы и инструменты. Компьютерные системы становятся более уязвимыми, если на них не установлены патчи, закрывающие ошибки программирования. Разработчики регулярно тестируют ПО на наличие слабых мест и выпускают исправления. Устанавливая эти исправления, вы защищаете себя.

Но комплексная безопасность должна начинаться на уровне поставщиков услуг, таких как владельцы веб-сайтов и операторы серверов. Вот какие меры предосторожности им следует принять для улучшения защиты.

1. Мониторить веб-трафик для оценки его нормального объема и выделения закономерностей.

2. Установить файерволы для фильтрации и блокировки несанкционированных веб-соединений.

3. Распределить сетевую инфраструктуру для децентрализации хранения данных и сервисов. Это включает резервное копирование различных ресурсов и ротацию серверов по географическому принципу.

4. Внутреннее тестирование для поиска незакрытых уязвимостей. Это может включать тестовую атаку собственных систем с помощью инструментов для SQL-инъекций.

5. Правильная конфигурация уровней доступа и управления сессиями.

Пользователям следует защищать себя с помощью следующих действий.

1. Сканировать загружаемые файлы на наличие вредоносного ПО.

2. Проверять ссылки перед тем, как нажать. Переходить по ссылкам только убедившись, что они ведут на безопасный и надежный ресурс.

3. Использовать сложные, надежные пароли и не использовать один и тот же пароль дважды. Установить надежный менеджер паролей, чтобы сохранять пароли и управлять своими аккаунтами.

4. Ограничить количество попыток авторизации, чтобы блокировать аккаунт после определенного числа попыток входа.

5. Обращать внимание на признаки фишинга в текстах, электронных письмах и других средствах коммуникации.

В 2021 году защитные решения «Лаборатории Касперского» получили две награды AV-TEST за производительность и уровень онлайн-защиты. Во всех тестах они показали отличные результаты.

Полезные ссылки: