Як заробляють кіберзлочинці: діпфейк-боси і цифрове вимагання

еволюція злому

За останні 15–20 років технології стали доступнішими: секвенування геному на початку

2000-х коштувало $2,7 млрд, а тепер — лише $300,новий iPhone XR сьогодні коштує дешевше, ніж «розкладачка» Motorola у 1996 році. Для того, щоб натренувати просту нейромережу, вже не потрібне професійне обладнання – достатньо ноутбука та базових знань програмування. Доступне залізо, дешеве програмне забезпечення та стабільне зростання кількості інтернет-користувачів стали драйверами цифровізації, але в той же час відкрили нові можливості для кібершахраїв. За даними Національної асоціації міжнародної інформаційної безпеки, тільки в Росії кількість кібератак з 2013 по 2019 роки зросла у 16 ​​разів.

У більшості випадків шахраї використовуютьавтоматизовані скрипти або дешеве шкідливе ПЗ. Наприклад, шкідливу програму Ovidiy Stealer пару років назад можна було придбати всього за 700 рублів: вона дозволяє перехоплювати і пересилати паролі та інші конфіденційні дані. Сьогодні приблизно за таку ж суму на популярних форумах продають її вдосконалену версію. У дарк-інтернеті можна знайти ще більш широкий асортимент інструментів для злому. В цілому, за оцінками Deloitte, примітивні атаки обходяться зловмисникам в $ 34 в місяць, при цьому приносять такі інструменти близько $ 25 тис. Щомісяця.

Аналітики TrendMicro, які вивчали підпільнийринок інструментів для кібервзломщіков, виявили, що шахраї користуються величезною інфраструктурою. Це не тільки пакети орендованих ботнетів, які складаються з тисячі заражених пристроїв, але і абузоустойчівие реєстратори, хостинги і DNS-провайдери, зареєстровані в Белізі, на Сейшелах і Кайманових островах, а також власні in-house дата-центри і віртуальні сервери, щодня мігруючі з одного Цода в інший. Це величезний тіньовий бізнес з різними моделями монетизації, розрахованими на шахраїв різного рівня: від суперпрофі до новачків.

Зловмисники не тільки використовують дедалі більшепотужні інструменти, вони також першими використовують нові технології. Коли число IoT-пристроїв у світі почало зростати, шахраї навчилися підключати чужі домашні відеокамери, термостати та інші побутові прилади до ботнетів. Автори атак не тільки самі використовували технологію, а й почали просувати її у своїй спільноті – це призвело до створення одного з найпотужніших ботнетів – Mirai.

Незахищені IoT-девайси стали ще одним вектором атак для розкрадання даних - наприклад, в 2017 році хакери отримали доступ до мережевої інфраструктури казино, використовуючи підключений до мережі акваріум.

Діпфейк-боси і цифрове вимагання

Нейросети і діпфейкі також стали застосовуватисякіберзлочинцями ще до того, як це стало мейнстрімом. Алгоритми на базі машинного навчання допомагають швидше сканувати дані і знаходити уразливості в системах, а також ефективно управляти ботнетами. ІІ вирішує для зловмисників як тривіальні завдання, наприклад, обходити CAPTCHA або генерувати паролі, так і проводити більш складні атаки - великі кібер-угруповання в більшості випадків використовують ІІ і великі дані для проведення своїх «спецоперацій».

Один з гучних прикладів - використанняголосового діпфейка для крадіжки грошей. Злочинці застосували систему синтезу мовлення і згенерували запис, взявши за основу голос одного з регіональних топ-менеджерів великої компанії. Діпфейк виявився настільки переконливим, що керівництво організації не помітило підміни і виконало вимоги фальшивого боса, який попросив перевести на якийсь рахунок $ 243 тис. За даними Pindrop, з 2013 по 2017 роки число випадків голосового шахрайства зросла на 350%, при цьому тільки в одному з 638 випадків застосовувалися технології синтезу мови.

Популярність криптовалют також допомагаєшахраям: останніми роками зросла популярність вірусів-вимагачів та вірусів-шифрувальників, які блокують доступ до даних доти, доки жертва не заплатить викуп у біткоїнах. За оцінками Accenture, у 2018 році боротьба з цифровими здирниками обходилася компаніям у $646 тис., причому роком раніше цей показник був на 21% меншим. Втім, такі атаки ведуть не лише до фінансових та репутаційних втрат. Так, у вересні у лікарні Дюссельдорфського університету одна з пацієнток не змогла отримати екстрену допомогу через те, що клініка призупинила роботу внаслідок атаки вірусу-вимагача.

Багато атаки стали можливі завдяки пандемії:використовуючи «вірусний» інфопривід, шахраї маніпулювали жертвами. Рекордне зростання спроб кібервзлома зафіксували в ФБР, Інтерполі, Microsoft та інших найбільших корпораціях, у багатьох великих банках, в тому числі і в Росії. За деякими оцінками, випадки використання одних тільки вірусів-вимагачів підскочили на 800% в період пандемії. Найбільші атаки на Twitter, Honda, Garmin і Marriott відбулися в цьому році. Це пов'язано не тільки з маніпуляціями на темі пандемії, а й підвищеної психологічної вразливістю - а саме цим обумовлений успіх багатьох кібератак.

Фішинг як прихована загроза

Незважаючи на еволюцію інструментів злому, 91%Кібератак починається з цільового фішингу: зловмисники використовують методи соціальної інженерії. Може здатися, що цей вектор атак досить добре вивчений, адже про такі прийоми постійно говорять і пишуть: банківські програми розповідають про хитрощі телефонних шахраїв, а компанії регулярно розсилають співробітникам методички з антифішингу.

Але головна проблема фішингових загроз пов'язана з їхеволюцією - тактики постійно змінюються, а злочинці шукають нові підходи і прийоми впливу на людей, задіюючи актуальні психологічні вектори як тригери. Наприклад, вони кваплять з прийняттям рішень, обіцяють вигоду, просять про допомогу або грають на цікавості, але незграбні атаки з відвертими маніпуляціями вже залишаються в минулому: до них вдаються лише зловмисники нижчого рівня. Найефективніші фішингові схеми постійно змінюються, так що розпізнати їх стає все складніше.

Чотири ключових тренда в розвитку фішингу

  1. Фішинг як сервіс.З'являється все більше сервісів, які працюютьза моделлю Phishing-as-a-Service. За умовні $30 на місяць шахрай оформляє підписку на шкідливе програмне забезпечення і запускає свій «бізнес». Йому не доводиться винаходити сценарії для атак, створювати фальшиві лендинги та контент – за нього вже виконали частину роботи. Залишається лише вибрати жертву та ініціювати атаку.
  2. «Омніканальний» фішинг.Сучасні шахраї не обмежуються однимлистом на електронну пошту: вони одночасно надсилають SMS, телефонують, надсилають повідомлення в месенджерах, тобто працюють за омніканальною моделлю. Визначають, де знаходиться цільова аудиторія, та йдуть їй назустріч. Наприклад, використовують чати в онлайн-іграх: у період пандемії кількість таких атак зросла на 54%. Зловмисники не просто закидають жертву оповіщеннями, вони опрацьовують детальний сценарій на різних рівнях.
  3. Фішинг від імені керівниківШахраї вибудовують багаторівневі схеми:для початку захоплюють облікові записи співробітників, використовуючи прийоми соціальної інженерії або знаходячи уразливості поштових серверів. Потім вони визначають, які акаунти належать людям на керівних позиціях, і вже від їхнього імені запускають розсилку листів. Оскільки вони мають доступ до конфіденційних даних топ-менеджменту, шахраям простіше створювати переконливі повідомлення, наприклад, вести переговори з партнерами або давати доручення співробітникам. За такою складною схемою працює, наприклад, угруповання Pawn Storm, яка полює за даними високопоставлених осіб.
  4. Фішинг як початковий кібератаки вектор.Сам по собі вкрадений обліковий запис не завждиє цінністю для зловмисника. Отримуючи доступ до системи за допомогою фішингу, шахраї запускають цільове шкідливе програмне забезпечення або найпростіших шифрувальників. Фішинг допомагає швидше проникнути в інфраструктуру, тоді як пошук та експлуатація технічних уразливостей зажадали б більше часу та ресурсів.

Наздогнати і перегнати

Через постійну еволюцію фішингу технічних заходівта універсальних правил захисту від шахраїв, які можна застосувати та вивчити раз і назавжди, не існує. Допомогти може лише постійна практика та моніторинг трендів, причому це стосується й інших видів кіберзагроз, які також постійно еволюціонують. Організація технічних заходів захисту — це завдання фахівців з інформаційної безпеки, але від рядових співробітників компанії також залежить, наскільки успішною буде «оборона».

Чек лист. Що потрібно зробити кожної компанії, щоб захистити бізнес від кіберзлочинців

  1. Слідкуйте за трендами:які технології використовують кіберзлочинці, які вразливості експлуатують, яку риторику обирають під час спілкування з жертвами, які актуальні інфоприводи використовують і які психологічні вектори задіяють, щоб отримати довіру.
  2. Регулярно оновлюйте ПО і застосовуйте всі доступні вам технічні заходи захисту.
  3. Організуйте імітовані атаки для своїх співробітників, не обмежуйтесь лише теоретичним навчанням.
  4. Пам'ятайте, що ви завжди можете стати метою атаки,і думайте на кілька кроків вперед. Враховуйте, що коли про метод атаки вже пишуть ЗМІ, технологію вже розтиражували і зупинити її впровадження буде складно. Нові прийоми шахраїв не відразу отримують широкий розголос, а про інциденти знають тільки інсайдери - варто знайти джерела такої інформації і першими дізнаватися про майбутні загрози.

Читайте також:

На загрозливому Землі астероїд Апофіс помітили небезпечне явище. Що відбувається?

Вчені з'ясували, чому діти є найнебезпечнішими переносниками COVID-19

Що виявив зонд Parker Solar Probe, підлетів максимально близько до Сонця