17.04.2022
Киберугрозы новой реальности
Прорывные технологии защиты
Антон Чумаков
Продуктовый аналитик департамента сетевой безопасности Group-IB
Ежедневно новостные ресурсы публикуют данные из свежих отчетов специалистов по информационной безопасности, рекомендации от производителей средств защиты и самые громкие случаи кибератак. Самое интересное, что, читая все это, российские сотрудники уверенно заявляют: «Это не касается моей компании: где мы, а где — условный Acer с выкупом за расшифровку в 50 миллионов долларов. И меня тоже не касается: я же умный и не поверю телефонным мошенникам». По этой же причине у многих складывается ощущение, что ажиотаж вокруг информационной безопасности нагнетается искусственно, например теми же производителями средств защиты. Ну и всем известно, что «безопасников» нередко именуют «продавцами страха».
В этой статье разберемся, какие киберугрозы угрожают бизнесу и обычным пользователям — и угрожают ли вообще.
В этой статье разберемся, какие киберугрозы угрожают бизнесу и обычным пользователям — и угрожают ли вообще.
Начнем с киберугроз для компаний
Одной из причин успеха программ-вымогателей стала модель RaaS (Ransomware-as-a-Service — шифровальщик как услуга), максимально упрощающая злоумышленникам заражение компании-жертвы и позволяющая даже преступникам без технических знаний проводить целевые атаки и монетизировать свое ремесло.
Разработчики вредоносного программного обеспечения (ВПО) с удовольствием сдают его в аренду, зарабатывая на проценте от выкупа, который платят жертвы. А для масштабирования подобного «бизнеса» разработчики или операторы ВПО запускают «партнерские программы» (RaaS). В партнерки могут вступать злоумышленники самого разного масштаба, например так называемые продавцы доступов. Эти киберпреступники, как правило, сканируют открытые порты, получают доступ к инфраструктуре компании и затем продают его в андеграунде шифровальщикам или получают процент от выкупа в ходе успешной атаки.
Но вернемся к аренде ВПО. Ниже пример партнерки:
Разработчики вредоносного программного обеспечения (ВПО) с удовольствием сдают его в аренду, зарабатывая на проценте от выкупа, который платят жертвы. А для масштабирования подобного «бизнеса» разработчики или операторы ВПО запускают «партнерские программы» (RaaS). В партнерки могут вступать злоумышленники самого разного масштаба, например так называемые продавцы доступов. Эти киберпреступники, как правило, сканируют открытые порты, получают доступ к инфраструктуре компании и затем продают его в андеграунде шифровальщикам или получают процент от выкупа в ходе успешной атаки.
Но вернемся к аренде ВПО. Ниже пример партнерки:
Как видно на изображении, партнер может настроить все условия для ВПО, включая операционную систему жертвы, стоимость, валюту выкупа и время действия скидки.
Остается вопрос, как злоумышленник занесет это арендованное ВПО в инфраструктуру жертвы
Злоумышленники используют несколько стандартных путей:
Почтовый трафик
Бухгалтер компании-жертвы получает письмо под названием «Акт бухгалтерской сверки за Q4.2021», содержащее вложение с вредоносным ПО. История закончится хорошо, если это ВПО известно специалистам по кибербезопасности: бухгалтер откроет документ, но антивирус увидит ВПО и заблокирует его запуск.
Гораздо интереснее, когда ВПО не содержит вредоносной нагрузки (при успешном закреплении в системе оно получит его с командного сервера злоумышленников позже). В таком случае необходимо понять, как этот незнакомый документ будет себя вести. Для таких целей используются решения класса «песочница», позволяющие проверить объект или ссылку на объект в изолированной среде. На рынке достаточно много песочниц от разных производителей, но у всех есть особенности, влияющие на достоверность их вердикта.
Злоумышленники эти особенности знают и активно используют средства для обхода песочниц и детектирования попадания в песочницу.
В первом случае хакеры присылают запароленный архив, предлагая для его открытия использовать сложный пароль, содержащийся даже не в этом письме, а в последующей цепочке писем. Условный бухгалтер получает письмо с актом бухгалтерской сверки в запароленном архиве, а следующим письмом или через одно-два письма ему приходит пароль для открытия. Единичные песочницы, например Threat Hunting Framework Polygon от Group-IB, проверяют последующую цепочку писем, чтобы выдать достоверный вердикт по вложению в первом письме. В остальных случаях песочница не может открыть архив и по истечении времени делает вид, что письмо не содержит ВПО, и спокойно передает его бухгалтеру.
Также злоумышленники размещают в письме ссылку, якобы ведущую на акт бухгалтерской сверки, и присылают письмо в нерабочее время. При этом в момент попадания письма в песочницу ссылка пустая, поэтому песочница выдает вердикт «письмо легитимное» и пропускает его в почтовый ящик бухгалтера. Когда же бухгалтер придет на работу, злоумышленник разместит по этой ссылке ВПО, которое жертва благополучно скачает. К сожалению, не все песочницы перепроверяют пустые ссылки, при том что только перепроверка позволит выдать достоверный вердикт (THF Polygon от Group-IB выполняет перепроверку).
Если ВПО все-таки попало в песочницу, то его задача — понять, что оно находится в изолированной среде (на настоящей, а эмулированной инфраструктуре) и не проявлять себя как вредоносный объект (иначе не удастся заразить устройство). Для этого современное ВПО проверяет параметры системы, реагируя на странные ситуации, например когда компания российская, клавиатура почему-то только английская, а IP находится на восточном побережье США. Сюда же относятся ситуации, когда рабочая станция технически слабая даже для корпоративного компьютера (жесткий диск на 20 ГБ, одноядерный процессор, минимум оперативной памяти). Задача песочницы высокого уровня — полностью соответствовать рабочим станциям в инфраструктуре заказчика.
С учетом работы на удаленке, многие заказчики рассматривают облачную защиту почтового трафика. При выборе такого решения важно убедиться, что оно защищает не только от известных угроз, но и способно выявлять неизвестные, противодействуя средствам обхода песочницы, которые мы рассмотрели выше. Одно из таких решений — Group-IB Atmosphere. Оно в режиме реального времени анализирует и блокирует письма, содержащие вредоносные объекты и ссылки:
Гораздо интереснее, когда ВПО не содержит вредоносной нагрузки (при успешном закреплении в системе оно получит его с командного сервера злоумышленников позже). В таком случае необходимо понять, как этот незнакомый документ будет себя вести. Для таких целей используются решения класса «песочница», позволяющие проверить объект или ссылку на объект в изолированной среде. На рынке достаточно много песочниц от разных производителей, но у всех есть особенности, влияющие на достоверность их вердикта.
Злоумышленники эти особенности знают и активно используют средства для обхода песочниц и детектирования попадания в песочницу.
В первом случае хакеры присылают запароленный архив, предлагая для его открытия использовать сложный пароль, содержащийся даже не в этом письме, а в последующей цепочке писем. Условный бухгалтер получает письмо с актом бухгалтерской сверки в запароленном архиве, а следующим письмом или через одно-два письма ему приходит пароль для открытия. Единичные песочницы, например Threat Hunting Framework Polygon от Group-IB, проверяют последующую цепочку писем, чтобы выдать достоверный вердикт по вложению в первом письме. В остальных случаях песочница не может открыть архив и по истечении времени делает вид, что письмо не содержит ВПО, и спокойно передает его бухгалтеру.
Также злоумышленники размещают в письме ссылку, якобы ведущую на акт бухгалтерской сверки, и присылают письмо в нерабочее время. При этом в момент попадания письма в песочницу ссылка пустая, поэтому песочница выдает вердикт «письмо легитимное» и пропускает его в почтовый ящик бухгалтера. Когда же бухгалтер придет на работу, злоумышленник разместит по этой ссылке ВПО, которое жертва благополучно скачает. К сожалению, не все песочницы перепроверяют пустые ссылки, при том что только перепроверка позволит выдать достоверный вердикт (THF Polygon от Group-IB выполняет перепроверку).
Если ВПО все-таки попало в песочницу, то его задача — понять, что оно находится в изолированной среде (на настоящей, а эмулированной инфраструктуре) и не проявлять себя как вредоносный объект (иначе не удастся заразить устройство). Для этого современное ВПО проверяет параметры системы, реагируя на странные ситуации, например когда компания российская, клавиатура почему-то только английская, а IP находится на восточном побережье США. Сюда же относятся ситуации, когда рабочая станция технически слабая даже для корпоративного компьютера (жесткий диск на 20 ГБ, одноядерный процессор, минимум оперативной памяти). Задача песочницы высокого уровня — полностью соответствовать рабочим станциям в инфраструктуре заказчика.
С учетом работы на удаленке, многие заказчики рассматривают облачную защиту почтового трафика. При выборе такого решения важно убедиться, что оно защищает не только от известных угроз, но и способно выявлять неизвестные, противодействуя средствам обхода песочницы, которые мы рассмотрели выше. Одно из таких решений — Group-IB Atmosphere. Оно в режиме реального времени анализирует и блокирует письма, содержащие вредоносные объекты и ссылки:
01
Кстати, если вы скептически относитесь к возможности атаки через электронную почту — попробуйте бесплатный тест для оценки ее защищенности. Мы создали специальный тест с говорящим названием Trebuchet (требушет — это средневековая метательная машина гравитационного действия для осады городов, которая пробивает защиту). В рамках теста ваша электронная почта должна будет выдержать более 40 сценариев атак, учитывающих техники и тактики злоумышленников, использовавшиеся на февраль 2022 года.
Второй вектор атаки — веб-трафик
Сотрудник компании во время обеда или командировки решил посмотреть фильмы в интернете, ввел в поисковике «смотреть кино бесплатно без регистрации и смс», кликнул по первой же ссылке, обнаружил кучу новинок в отличном качестве и для просмотра решил скачать проигрыватель с этого сайта. Для защиты от данного вектора атаки необходимы средства анализа трафика. Их задача — выявлять аномалии в трафике на периметре (подключение к интернету) и внутри сети (взаимодействие между рабочими станциями). Продвинутые средства анализа трафика (такие как THF Sensor от Group-IB) отслеживают даже те подозрительные ситуации, когда подключение происходит к нескомпрометированному сайту.
02
Третий вектор атаки — USB
Вы наверняка слышали про случаи, когда злоумышленники раскидывали флешки с логотипом компании-жертвы возле офиса этой компании и оставляли их на столе в корпоративной столовой. Расчет в данной ситуации на то, что сотрудник поднимет флешку, принесет в офис и вставит в свой рабочий компьютер, заразив инфраструктуру.
Хакерская группа FIN7 отправляла компаниям в США посылки с вредоносными USB-устройствами. Когда получатель подключал USB-накопитель к своему компьютеру, хакеры получали административный доступ к системе. Затем участники FIN7 использовали различные инструменты и запускали вымогательское ПО BlackMatter и REvil в скомпрометированной сети.
Конечно, вы можете сказать, что некоторые компании до сих пор используют блокировку USB-портов как средство защиты, но данный способ усложняет многие бизнес-процессы.
Для защиты от атаки через рабочие станции необходимы решения класса EDR (Endpoint Detection & Response), некоторые из которых (например, THF Huntpoint от Group-IB) позволяют не только блокировать известное ВПО, но и отслеживать аномальные активности на рабочих станциях, связывая разбросанные по времени события в цепочку и на основе этого выдавая вердикт о вредоносной активности.
Хакерская группа FIN7 отправляла компаниям в США посылки с вредоносными USB-устройствами. Когда получатель подключал USB-накопитель к своему компьютеру, хакеры получали административный доступ к системе. Затем участники FIN7 использовали различные инструменты и запускали вымогательское ПО BlackMatter и REvil в скомпрометированной сети.
Конечно, вы можете сказать, что некоторые компании до сих пор используют блокировку USB-портов как средство защиты, но данный способ усложняет многие бизнес-процессы.
Для защиты от атаки через рабочие станции необходимы решения класса EDR (Endpoint Detection & Response), некоторые из которых (например, THF Huntpoint от Group-IB) позволяют не только блокировать известное ВПО, но и отслеживать аномальные активности на рабочих станциях, связывая разбросанные по времени события в цепочку и на основе этого выдавая вердикт о вредоносной активности.
03
Четвертый путь — получение доступа к инфраструктуре жертвы через активы этой жертвы
Специалисты по информационной безопасности регулярно наблюдают ситуации, когда активы компании недостаточно защищены и этим пользуются злоумышленники. В среде хакеров есть даже специальные подразделения, которые мониторят интернет-пространство на предмет незащищенных активов, а потом продают к ним доступ через подобные ресурсы:
04
Данный сайт — лишь один из примеров продажи доступа к выделенным серверам. Есть множество подобных ресурсов, специализирующихся на продаже доступов к серверам с открытыми портами 3389 (для RDP) и 443 (для HTPPS), а не только 25- и 80-портами, как на изображении.
При этом, как вы видите, стоимость доступа в районе $20, и в итоге мы приходим к очень простой схеме вовлечения, когда злоумышленник, не обладая никакими техническими навыками, берет в аренду ВПО и внедряет его в инфраструктуру жертвы, заплатив за это сумму, несоизмеримую с выкупом, который он благодаря этому получит.
Так как компании постоянно создают новые активы (зачастую вынужденно из-за перевода сотрудников на удаленку), необходим постоянный мониторинг защищенности инфраструктуры. Это возможно через решения нового класса External Attack Surface Management, которые позволяют отслеживать изменения в инфраструктуре и показывать существующие уязвимости и проблемы. Решения высокого уровня данного класса (как Group-IB AssetZero) еще и дают объективную оценку защищенности и рекомендации по ее улучшению.
При этом, как вы видите, стоимость доступа в районе $20, и в итоге мы приходим к очень простой схеме вовлечения, когда злоумышленник, не обладая никакими техническими навыками, берет в аренду ВПО и внедряет его в инфраструктуру жертвы, заплатив за это сумму, несоизмеримую с выкупом, который он благодаря этому получит.
Так как компании постоянно создают новые активы (зачастую вынужденно из-за перевода сотрудников на удаленку), необходим постоянный мониторинг защищенности инфраструктуры. Это возможно через решения нового класса External Attack Surface Management, которые позволяют отслеживать изменения в инфраструктуре и показывать существующие уязвимости и проблемы. Решения высокого уровня данного класса (как Group-IB AssetZero) еще и дают объективную оценку защищенности и рекомендации по ее улучшению.
Теперь о киберугрозах для обычных пользователей
Сразу договоримся, что мы с вами не те ребята, которые интересны киберпреступникам для проведения целевой атаки. Никто не будет писать специальное вредоносное программное обеспечение под кражу видео с моего телефона, потому что я не известный футболист. Никто не будет пытаться внедрить сложную шпионскую программу, чтобы читать мою личную переписку, потому что я не оппозиционный журналист. Никто не будет пытаться незаметно годами отслеживать мою корпоративную почту, потому что я не технический директор крупного российского инженерного бюро, чьи разработки могут быть интересны условным северокорейцам.
С другой стороны, атаки на физические лица, как и любые другие атаки, развиваются и злоумышленники используют все новые техники и тактики.
Фишинг как техника кражи логинов, паролей, личных данных и данных банковской карты существовал, кажется, всегда, но в последнее время изменился.
Вы наверняка натыкались на распространяемые через мессенджеры сообщения типа: «Крупный ритейлер празднует свой день рождения и платит всем клиентам по 10 тысяч рублей за прохождение опроса». Получив в очередной раз такое сообщение, посмотрите, как выглядит ссылка у вас и, например, у вашего коллеги. Спойлер: пусть и не сильно, но они будут различаться. Современные фишинговые ссылки подстраиваются под операционную систему (не важно, заходит получатель с компьютера или телефона) и регион жертвы, а в случае несовпадения какого-то из этих параметров происходит редирект на официальный сайт компании, бренд которой используется для атаки.
Все это делается для того, чтобы фишинг было сложнее выявить и впоследствии заблокировать. А если ссылки дольше работают, жертв будет больше — все просто.
С другой стороны, атаки на физические лица, как и любые другие атаки, развиваются и злоумышленники используют все новые техники и тактики.
Фишинг как техника кражи логинов, паролей, личных данных и данных банковской карты существовал, кажется, всегда, но в последнее время изменился.
Вы наверняка натыкались на распространяемые через мессенджеры сообщения типа: «Крупный ритейлер празднует свой день рождения и платит всем клиентам по 10 тысяч рублей за прохождение опроса». Получив в очередной раз такое сообщение, посмотрите, как выглядит ссылка у вас и, например, у вашего коллеги. Спойлер: пусть и не сильно, но они будут различаться. Современные фишинговые ссылки подстраиваются под операционную систему (не важно, заходит получатель с компьютера или телефона) и регион жертвы, а в случае несовпадения какого-то из этих параметров происходит редирект на официальный сайт компании, бренд которой используется для атаки.
Все это делается для того, чтобы фишинг было сложнее выявить и впоследствии заблокировать. А если ссылки дольше работают, жертв будет больше — все просто.
Подготовленный читатель сейчас скажет: «Ни я, ни мои коллеги точно не будем вестись на эти непонятные рассылки и кликать по непонятным ссылкам». К сожалению, статистика говорит об обратном, а особенности современной жизни, связанные с пандемией, лишь ухудшают ситуацию. При удаленке количество жертв фишинга постоянно увеличивается, потому что фишинговые ссылки сложнее распознать на телефоне, а дома не все постоянно находятся за рабочим ноутбуком.
Помимо внимательности к деталям и аккуратности при вводе персональных данных, единственный способ остановить распространение фишинговых ссылок — превентивно их блокировать.
Для этого необходимо несколько вводных данных:
Для этого необходимо несколько вводных данных:
1
Во-первых, нужно видеть всю инфраструктуру, которую злоумышленники готовят к атаке.
С этим справляются системы киберразведки. На картинке ниже представлен графический анализ из системы киберразведки Group-IB Threat Intelligence & Attribution:
Красным кружком выделен основной домен, используемый для фишинга (он же скрыт вверху в строке поиска), а все остальные зеленые кружки — фишинговые ссылки, используемые для редиректа и связанные с основным доменом через регистрационный email. Что интересно, внизу на скрине можно увидеть маленький красный кружок, которым в системе Group-IB Threat Intelligence & Attribution обозначается программное обеспечение, используемое злоумышленниками. В данном случае это абсолютно легитимный инструмент Keitaro, который маркетологи используют для сегментации и анализа трафика.
2
После того, как мы определили, что злоумышленники создали кучу вредоносных ссылок, нужно их как-то заблокировать.
Есть несколько коммерческих компаний в России, которым разрешена досудебная блокировка вредоносных доменов. В их числе Центр реагирования на инциденты кибербезопасности CERT-GIB. Как это работает: специалисты Group-IB видят, что определенный ресурс в интернете распространяет вредоносное программное обеспечение или на нем используются инструменты для фишинга, и пишут запрос в координационный центр, по которому в течение нескольких часов ресурс блокируют.
Если злоумышленники создавали фишинговые ресурсы не в зоне .ru и .рф, помогает взаимодействие между государственными и коммерческими CERT по всему миру. Так, специалисты CERT-GIB помогают блокировать вредоносные сайты в своей зоне ответственности и обращаются за помощью к специалистам CERT в других странах.
Если злоумышленники создавали фишинговые ресурсы не в зоне .ru и .рф, помогает взаимодействие между государственными и коммерческими CERT по всему миру. Так, специалисты CERT-GIB помогают блокировать вредоносные сайты в своей зоне ответственности и обращаются за помощью к специалистам CERT в других странах.
Все это позволяет сократить время работы фишинговых
ресурсов до минимума.
ресурсов до минимума.
Для компаний
Компаниям гораздо эффективнее отслеживать использование своего бренда при создании мошеннических ресурсов. Это позволит предотвратить и репутационные, и финансовые потери. Эффективнее всего с такой задачей справляются решения для мониторинга и блокировки нелегитимного использования бренда, например Group-IB Digital Risk Protection.
Фишинг, при всей его опасности, хотя бы можно увидеть обычным пользовательским взглядом. Осторожный пользователь внимательно изучит адресную строку сайта, прежде чем вводить персональные данные. Но что делать, если сайт абсолютно легитимный?
В последнее время злоумышленники активно используют JS-снифферы для кражи персональных данных пользователей на легитимных ресурсах. Все, что злоумышленнику для этого нужно, — получить доступ к сайту и внедрить несколько строк кода, позволяющих перехватывать вводимые пользователем данные: номера банковских карт, имена, адреса, логины, пароли и т.д.
Фишинг, при всей его опасности, хотя бы можно увидеть обычным пользовательским взглядом. Осторожный пользователь внимательно изучит адресную строку сайта, прежде чем вводить персональные данные. Но что делать, если сайт абсолютно легитимный?
В последнее время злоумышленники активно используют JS-снифферы для кражи персональных данных пользователей на легитимных ресурсах. Все, что злоумышленнику для этого нужно, — получить доступ к сайту и внедрить несколько строк кода, позволяющих перехватывать вводимые пользователем данные: номера банковских карт, имена, адреса, логины, пароли и т.д.
Для пользователей
С точки зрения обычного пользователя, получить доступ к чужому сайту — очень непростая задача. Но системы управления внешней поверхностью атаки, в том числе AssetZero от Group-IB, регулярно наблюдают ситуации, когда при создании домена используются стандартные пары логин-пароль (просто потому, что так удобнее: зачем запоминать кучу паролей, правда?). Тогда злоумышленники обычным перебором подбирают логин и пароль и используют данный ресурс в своих интересах.
В данном случае защита пользователей сайта является обязанностью компании, которой принадлежит этот сайт, и для этого необходим постоянный контроль за своими активами вместе с оценкой возможного направления атаки.
Также для получения личных и банковских данных злоумышленники используют социальную инженерию, звоня и представляясь сотрудниками службы безопасности банка, а в последнее время — следователями. Кажется, что про эти методы мошенничества знают все, но, к сожалению, злоумышленники используют новые подходы и на их уловки попадается все больше людей.
В данном случае есть простая рекомендация: не разговаривать со «службой безопасности банка», если есть хоть какие-то подозрения, что это мошенники. Но серьезные фразы вроде «сейчас переключу вас на представителя Центробанка» или «прокуратуре Москвы нужна ваша помощь в поимке мошенников» зачастую снижают бдительность жертвы. Учитывая, что мошеннические операции приносят большую головную боль клиентским отделам и настоящим службам безопасности банков, все больше финансовых структур начинают использовать так называемый сессионный антифрод. Его суть в том, что по совокупности нестандартных для пользователя действий банк принимает решение о блокировке или дополнительном подтверждении той или иной операции.
В данном случае защита пользователей сайта является обязанностью компании, которой принадлежит этот сайт, и для этого необходим постоянный контроль за своими активами вместе с оценкой возможного направления атаки.
Также для получения личных и банковских данных злоумышленники используют социальную инженерию, звоня и представляясь сотрудниками службы безопасности банка, а в последнее время — следователями. Кажется, что про эти методы мошенничества знают все, но, к сожалению, злоумышленники используют новые подходы и на их уловки попадается все больше людей.
В данном случае есть простая рекомендация: не разговаривать со «службой безопасности банка», если есть хоть какие-то подозрения, что это мошенники. Но серьезные фразы вроде «сейчас переключу вас на представителя Центробанка» или «прокуратуре Москвы нужна ваша помощь в поимке мошенников» зачастую снижают бдительность жертвы. Учитывая, что мошеннические операции приносят большую головную боль клиентским отделам и настоящим службам безопасности банков, все больше финансовых структур начинают использовать так называемый сессионный антифрод. Его суть в том, что по совокупности нестандартных для пользователя действий банк принимает решение о блокировке или дополнительном подтверждении той или иной операции.
Пример
Звонит представитель «службы безопасности банка» и рассказывает, что кто-то перевел ваши средства на другой счет или они находятся под угрозой и для того, чтобы их уберечь, необходимо воспользоваться безопасным счетом. Для этого нужно включить на телефоне громкую связь и зайти в свое банковское приложение. Стандартная история, и уже на этом этапе банк должен насторожиться, видя на уровне сессионного антифрода, что мобильным приложением банка пользуются во время длительного телефонного разговора (что тоже подозрительно).
Далее «сотрудник банка» просит проверить свой телефон на наличие вирусов, скачав приложение «Бесплатная поддержка» в Google Play или App Store. Если вы введете это название, то увидите, что первые несколько приложений, выдаваемых сторами, — это средства удаленного доступа, которые позволят злоумышленнику получить доступ к вашему телефону. И продвинутые решения сессионного антифрода видят установленные приложения, которые могут использоваться злоумышленниками.
После этого наступает финальный этап мошенничества. Злоумышленник, получив доступ к телефону жертвы через средство удаленного доступа, просит, продолжая разговор, положить телефон экраном вниз. На этом моменте сессионный антифрод высокого уровня (например, Group-IB Fraud Hunting Platform) выдает сразу несколько подозрительных критериев, фиксируя, что во время длительного разговора происходит использование мобильного приложения банка на телефоне, лежащем экраном вниз (срабатывает датчик приближения, который нужен, чтобы гасить экран телефона, когда вы подносите его к уху) и со скачанным средством удаленного доступа. Банк, по установленным для себя действиям в такой ситуации, блокирует эту операцию или замораживает ее до дополнительного подтверждения действий клиента.
Если же злоумышленник украдет у вас телефон, то сессионный антифрод позволит понять, что мобильным приложением банка пользуетесь не вы, сравнивая ваши стандартные действия и действия злоумышленников. Вплоть до того, что если преступник нажимает на экран сильнее, чем вы — сессионный антифрод увидит, что изменилось пятно нажатия на экран, и не пустит злоумышленника в банковское приложение.
Звонит представитель «службы безопасности банка» и рассказывает, что кто-то перевел ваши средства на другой счет или они находятся под угрозой и для того, чтобы их уберечь, необходимо воспользоваться безопасным счетом. Для этого нужно включить на телефоне громкую связь и зайти в свое банковское приложение. Стандартная история, и уже на этом этапе банк должен насторожиться, видя на уровне сессионного антифрода, что мобильным приложением банка пользуются во время длительного телефонного разговора (что тоже подозрительно).
Далее «сотрудник банка» просит проверить свой телефон на наличие вирусов, скачав приложение «Бесплатная поддержка» в Google Play или App Store. Если вы введете это название, то увидите, что первые несколько приложений, выдаваемых сторами, — это средства удаленного доступа, которые позволят злоумышленнику получить доступ к вашему телефону. И продвинутые решения сессионного антифрода видят установленные приложения, которые могут использоваться злоумышленниками.
После этого наступает финальный этап мошенничества. Злоумышленник, получив доступ к телефону жертвы через средство удаленного доступа, просит, продолжая разговор, положить телефон экраном вниз. На этом моменте сессионный антифрод высокого уровня (например, Group-IB Fraud Hunting Platform) выдает сразу несколько подозрительных критериев, фиксируя, что во время длительного разговора происходит использование мобильного приложения банка на телефоне, лежащем экраном вниз (срабатывает датчик приближения, который нужен, чтобы гасить экран телефона, когда вы подносите его к уху) и со скачанным средством удаленного доступа. Банк, по установленным для себя действиям в такой ситуации, блокирует эту операцию или замораживает ее до дополнительного подтверждения действий клиента.
Если же злоумышленник украдет у вас телефон, то сессионный антифрод позволит понять, что мобильным приложением банка пользуетесь не вы, сравнивая ваши стандартные действия и действия злоумышленников. Вплоть до того, что если преступник нажимает на экран сильнее, чем вы — сессионный антифрод увидит, что изменилось пятно нажатия на экран, и не пустит злоумышленника в банковское приложение.
Помимо улучшенной защиты от популярных способов мошенничества, к сессионному антифроду есть одно немаловажное требование: не усложнять пользование мобильным приложением банка. В идеале работа сессионного антифрода должна быть для пользователя вообще незаметна — ни на уровне времени входа, ни на уровне трафика.
Все это касается в первую очередь физических лиц, но те же техники и тактики, которые мы рассмотрели выше, злоумышленники могут использовать для атак на компании.
Все это касается в первую очередь физических лиц, но те же техники и тактики, которые мы рассмотрели выше, злоумышленники могут использовать для атак на компании.
Итак, мы рассмотрели основные киберугрозы, которым могут подвергаться физические и юридические лица. Хотя я перечислил много страшных кейсов, у меня не было задачи вас напугать. Грамотная защита на уровне компании помогает избежать большинства проблем, а выстроить ее всегда помогут специалисты Group-IB.
Если материал вам понравился, расскажите о нём друзьям!
Другие интересные статьи:
Узнавайте первыми
о новейших киберугрозах и расследованиях
*Нажимая «Подписаться», вы соглашаетесь на получение новостей компании,
защиту и обработку своих персональных данных в соответствии с ФЗ РФ
защиту и обработку своих персональных данных в соответствии с ФЗ РФ
Предотвращение
Реагирование
Расследование
Продукты
Threat Intelligence & Attribution
Threat Hunting Framework
Fraud Hunting Platform
Digital Risk Protection
Anti-Piracy
Threat Hunting Framework
Fraud Hunting Platform
Digital Risk Protection
Anti-Piracy
Компания
Связаться с нами
Круглосуточная линия +7 495 984-33-64
Электронная почта
info@group-ib.ru
info@group-ib.ru
Адрес офиса
Москва, улица Шарикоподшипниковская, д.1, БЦ «Прогресс Плаза», 9 этаж
Москва, улица Шарикоподшипниковская, д.1, БЦ «Прогресс Плаза», 9 этаж
