Language switcher

Вы здесь

Тенденции и наблюдения в киберпространстве – Ежеквартальный обзор, III квартал 2020 г.

Пользуйтесь приложением HOIA для оповещения о коронавирусе, но не забывайте обновлять свой телефон

Ситуация

С 20 августа жители Эстонии могут добровольно загрузить мобильное приложение HOIA, цель которого — помочь предотвратить распространение коронавируса с помощью пользователей приложения. Приложение уведомляет пользователя, если он находился в тесном контакте с носителем коронавируса. Телефоны пользователей с таким приложением обмениваются через Bluetooth анонимными кодами, а телефон человека, который указал, что он заболел коронавирусом, уведомит всех, кто находился с ним в тесном контакте. Ни одно государственное учреждение Эстонии, разработчики приложений или производитель телефонов не могут узнать, кто с кем находился в тесном контакте, или кто указал себя в качестве заболевшего. Кроме того, в уведомлении не указывается, когда и как долго длился контакт с коронопозитивным человеком, поэтому невозможно определить, кто мог быть инфицирован. Таким образом, создатели программы еще на этапе написания приложения учли защиту личных данных — приложение полностью конфиденциальное. 
 
Приложение также успешно прошло соответствующее тестирование безопасности.

Точно так же другие государства-члены Евросоюза подошли к разработке аналогичных приложений (сейчас 16 приложений находятся в стадии разработки, а четыре — в стадии завершения). Эти приложения тоже базируются на передаваемых через Bluetooth кодах и возможных предупреждениях. Следующим шагом является создание возможности взаимодействия между приложениями в разных государствах-членах для достижения ситуации, когда, например, приложение HOIA будет работает в Германии, и наоборот. Это означает, что соответствующая информация будет оперативно распространяться в случае поездок, что значительно улучшит ситуацию в области общественного здравоохранения. Это, в свою очередь, улучшит картину опасности во всем Евросоюзе и позволит более эффективно координировать действия в ЕС для предотвращения распространения вируса. Приложения касательно COVID, базирующиеся на технологии Bluetooth, используются и во многих других странах, таких как Сингапур, Индия, Израиль, Соединенные Штаты Америки и Австралия.
Более подробные вопросы и ответы о приложении HOIA можно найти здесь.
 

Оценка RIA

Единственный значительный риск кибербезопасности для приложения HOIA — это необходимость держать Bluetooth смартфона всё время включенным. Потенциальные уязвимости безопасности Bluetooth обсуждаются уже на протяжении многих лет, о них много писалось.
 
Для обычного пользователя эти риски можно снизить до разумного уровня. Для этого основой всему – своевременное и регулярное обновление программного обеспечения мобильного телефона. Важно регулярно обновлять как операционную систему телефона, так и используемые приложения. С точки зрения безопасности в целом, а не только в контексте приложения HOIA, небезопасно использовать устройства, которые больше не поддерживаются производителем и которые, следовательно, не получают обновления безопасности.
 
К такой категории относятся модели старше Apple iPhone 6S или iPhone SE (2016). Для Android-устройств картина более сложная и многоликая, поскольку их следует оснащать патчами безопасности всего в течение 2-3 лет с момента первого выпуска модели. В обновленных телефонах шансы использовать уязвимости Bluetooth минимальны, поскольку производители регулярно их исправляют.

Учитывая нарастающее распространение коронавируса и рост числа заболевших в последние недели, а также приближение обычного т. н. сезона вирусов, RIA рекомендует всем внести свой вклад в борьбу с вирусом – загрузить и пользоваться приложением HOIA. Как правило, мы рекомендуем не использовать устройства, программное обеспечение которых уже нельзя обновить. Однако, если вы всё же пользуетесь относительно старой моделью устройства, то вам следует быть более осторожными как в отношении передачи данных, так и в отношении Bluetooth. Однако в настоящее время мы полагаем, что польза для общества и борьбы с вирусом в результате использования приложения HOIA перевешивает теоретические риски использования Bluetooth (до сих пор в CERT-EE не было зарегистрировано ни одного инцидента, связанного с Bluetooth).

Кибермошенничество и атаки с целью выкупа продолжаются

Ситуация

Что случится, если день выплаты зарплаты наступил, а деньги так и не поступили на счет? Что произойдет, если окажется, что партнер, который в отправленном на прошлой неделе письме попросил оплатить счета на новый расчетный счет, так и не получил перечисленную сумму? Что, если, придя на работу утром, вы обнаружите, что программа-вымогатель зашифровала данные на вашем компьютере и серверах и требует биткойны на десятки тысяч евро для восстановления данных?

В течение последнего квартала мы каждую неделю получали по несколько сообщений о мошенничестве с зарплатными счетами, мошенничестве со счетами и атаках с вымогательствами. Убытки варьируются от нескольких тысяч до нескольких десятков тысяч евро. Самый крупный разовый ущерб составил 41 000 евро для партнера одного предприятия из Южной Эстонии в результате мошенничества со счетами.

Хотя мошенники нацелены как на крупные, так и на мелкие компании, общее правило заключается в том, что чем меньше предприятие, тем меньше внимания уделяется кибербезопасности, и тем легче атаковать такое предприятие. Большинство мошенников подходят к вопросу рационально: их цель заключается в том, чтобы получить как можно больший доход, потратив при этом как можно меньше времени и денег. Как и предприятия, которых они атакуют, мошенники тоже ищут простые и эффективные решения.
 
Многие жертвы кибермошенничества в Эстонии — это малые и средние предприятия, у которых нет отдельного менеджера по информационной безопасности или ИТ команды. Но и они могут лучше защитить себя: всё начинается с осведомленности о таких схемах мошенничества. Поэтому в сентябре мы запустили предназначенную для них профилактическую кампанию, цель которой заключается в том, чтобы привлечь внимание к наиболее распространенным видам мошенничества.

Оценка RIA

У нас нет наивного предположения, что благодаря информационной кампании к концу октября эстонские предприятия будут в полной безопасности. Чем более цифровым является общение внутри предприятия и связь с внешним миром, тем выше становится вероятность мошенничества в Интернете.
 
Мошенничество с банковскими счетами могут даже упроститься: проникновение в чужие ИТ-системы может быть относительно сложным, дорогостоящим и трудоемким занятием, есть риск обнаружения и предотвращения атаки. Намного проще отправить электронное письмо бухгалтеру фирмы или начальнику отдела кадров с просьбой поменять номер банковского счета, на который перечисляется заработная плата. Изменить имя отправителя письма — дело считанных секунд. Изменить адрес отправителя чуть сложнее, но порой для успешного исхода мошенничества в этом даже нет необходимости. В большинстве случаев получатель письма не утруждает себя проверкой адреса отправителя, если его имя знакомо. Аналогичная логика применима и к мошенничеству со счетами: мы видели схемы, где даже не пытаются получить доступ к переписке электронной почты, а просто отправляют письма на основе общедоступных данных ряду предприятий с предложением изменить номер банковского счета.
 
Однако, что касается программ-вымогателей, то здесь стоит быть готовым к куда более серьезным убыткам, поскольку в результате успешных атак многие жертвы по всему миру решили заплатить преступникам, в результате чего группировки вымогателей смогли значительно усовершенствовать свою тактику. Сейчас наиболее эффективная защита от атак программ-вымогателей — это резервное копирование всех важных данных (в том числе в варианте офлайн). Однако для предотвращения атак важно быть в курсе фишинговых страниц и вышеупомянутых вирусных писем в стиле Emotet, использовать многофакторную аутентификацию и поддерживать свои системы в обновленном состоянии. 
О киберугрозах для предприятий с рекомендациями по защите можно прочитать здесь.

Губительное действие трояна Emotet мы увидим только в будущем

Ситуация

Снова активизировавшаяся во всем мире вирусная сеть Emotet в августе начала обширно распространяться и по киберпространству Эстонии. Мы получили сообщения о более чем сотне случаев заражения в различных секторах: торговля, транспорт, строительство. Затронуто также одно небольшое правительственное учреждение. Emotet в основном распространяется через документы, приложенные к электронным письмам (реже через ссылки), с использованием контактов и бесед, уже найденных в зараженных учетных записях. Мы видели разные варианты:

От знакомого человека или учреждения в продолжение прежней переписки приходит электронное письмо, с вложением и кратким сообщением, например, на английском языке: «Please confirm» (Пожалуйста, подтвердите) или «I would like to seek your advice on this» (Прошу совета по этому поводу). В некоторых случаях электронное письмо состояло из предыдущего разговора, который был просто повторно отправлен вместе с вложением. Вложение с виду кажется обычным файлом Word, который при открытии показывает, что определенное содержимое макроса отключено. Чтобы включить его, нужно сделать еще один клик (по-английски «Enable Content» – Разрешить содержимое). 

Во втором варианте для открытия вложения требовалось дополнительное нажатие под тем предлогом, что документ был создан в операционной системе iOS, которой на компьютере пользователя не было. В третьем варианте нужно было нажать «Enable editing» (Разрешить редактирование), а затем «Enable content» (Разрешить содержимое), поскольку документ якобы был создан с помощью мобильного приложения Windows 10. В любом случае открытие вложения и выполнение необходимых кликов заражает компьютер вредоносным ПО. При этом для Emotet характерно то, что изначально пользователь не замечает никаких видимых признаков заражения.
 
Emotet — это вирус-троян, используемый для загрузки другого вредоносного ПО, т. н. банкеров на зараженное устройство. Доступ позволяет красть данные, например, содержимое вашего почтового ящика, и использовать эти данные для распространения вредоносных программ. Зараженные устройства образуют бот-сети, которые перепродаются в качестве услуги другим группировкам злоумышленников для проведения кибератак различного масштаба и цели.

Оценка RIA

Цель трояна Emotet сейчас, похоже, заключается в как можно более масштабном распространении, особенно за счет того факта, что отправитель электронного письма и тема на первый взгляд кажутся знакомыми и надежными, как и расширение вложенного файла. Поскольку Emotet часто распространяется путем повторной пересылки уже состоявшихся переписок, то содержание электронного письма может быть на эстонском языке и вполне знакомым. Наиболее эффективные антивирусные программы часто могут обнаружить вложения с трояном Emotet, так что они даже не доходят до конечного пользователя, но вредоносное ПО способно быстро менять свои характеристики. Поэтому для предотвращения масштабного распространения необходимо, чтобы люди были осведомлены и соблюдали осмотрительность.
 
Риски заражения этой вредоносной программой весьма многолики. Раньше Emotet использовался, например, для установки вирусов Trickbot и Qbot, которые крадут банковские данные пользователей, а также проводят атаки вирусами-вымогателями. Однако может быть и другое дорогостоящее последствие: утечка данных. Поскольку для распространения Emotet использует захват переписок в электронной почте и данных, может случиться так, что личные данные и переписка, имеющиеся в распоряжении зараженного предприятия, начнут бесконтрольно распространяться. В любом случае предприятия обязаны уведомлять Инспекцию по защите данных об инцидентах с личными данными.
 
Однако по рассылкам новых электронных писем нельзя распознать все зараженные устройства — риск утечки данных или атаки с целью вымогательства может реализоваться только спустя какое-то время, когда преступники будут иметь четкое представление об организации, в которой было задействовано их вредоносное ПО. Пока что сложно оценить, сколько инцидентов с вредоносным ПО начнет происходить в будущем в результате нынешней волны Emotet.

 

Все идет хорошо:

В июне мы опубликовали оценку угроз протокола маршрутизации для рисков BGP и рекомендовали предприятиям использовать иерархическую систему открытых ключей RPKI (англ. Resource Public Key Infrastructure) для снижения рисков. Сегодня использование RPKI существенно возросло: если в конце июня только 25% всех IP-адресов Эстонии были защищены RPKI, то сегодня этот показатель увеличился почти до 75%. Это делает киберпространство Эстонии менее уязвимым для взлома протокола маршрутизации.  

Можно лучше:

В первом квартале года мы признали, что многие уведомления, которые CERT-EE отправляет телекоммуникационным предприятиям, поставщикам веб-услуг и операторам своих сетей о злоупотреблениях в этих сетях и различных уязвимых устройствах или настройках, зачастую не доходят до конечного потребителя. К сожалению, на сегодняшний день ситуация существенно не улучшилась. Каждую неделю мы получаем сообщения об инцидентах, которые можно было бы предотвратить, если бы указанные в уведомлениях уязвимости или заражение были своевременно устранены. Мы рекомендуем уделять больше внимания уведомлениям CERT-EE, поскольку тем самым вы впоследствии сэкономите свое время и нервы.

 

Жители Эстонии ведут себя более осознанно в плане кибербезопасности, но процесс этот медленный

Второй год подряд в опросе Департамента статистики «Информационные технологии в домохозяйстве» жителей Эстонии опрашивали об их привычках к кибергигиене. Сравнивая годы, мы можем оценить, как эти привычки изменялись.

 Что вы делали в Интернете или в приложении в личных целях для обеспечения безопасности или конфиденциальности? 

1. Проверка ссылок и вложений перед их открытием в неожиданных письмах или полученных от неизвестных отправителей письмах

70,6%
(+8,2)

2.Укрепление паролей или использование разных паролей (включая пароли длиннее и сложнее, чем минимальные требования, регулярное изменение паролей и т. п.) 67,3%
(+3,2)
3.Использование программ или приложений безопасности (например, антивирус, антишпионское ПО, брандмауэр)  57%
(-10,9)
4.Избегание использования Интернета на чужом компьютере или смарт-устройстве  54,2%
(+9,6)
5.Тщательное изучение информации о предприятии/поставщике услуг в Интернете перед использованием/заказом их нового устройства/приложения/услуги (например, интернет-магазин, приложение для такси)  43,1%
(+3,3)
6.Изменение настроек безопасности интернет-браузера/социальной сети/приложений 28,3%
(-0,3)
 

Ни одно из вышеперечисленных 

12,9%
(-0,1)

 

 


 

More news on the same subject

24.10.2020

Четыре рекомендации предпринимателям по предотвращению кибератак

24.10.2020 Количество кибератак в Эстонии растет, и они ежедневно беспокоят местных предпринимателей. Преступники становятся все более изощренными, и поэтому предприятия должны уделять все больше внимания защите своих сотрудников, имущества и репутации. Эксперт по информационной безопасности Департамента государственной информационной системы по кибербезопасности Йоосеп Сандер Юхансон дал руководителям предприятий четыре рекомендации по предотвращению кибератак.

19.10.2020

Третья волна вирусных программ поразила Эстонию – всегда проверяйте адрес отправителя, прежде чем что-то нажимать!

16.10.2020 – Как показывает мониторинг Департамента государственной инфосистемы и информация, полученная от партнеров, вредоносная программа Emotet, скрывающаяся за документами, файлами или ссылками в электронной почте, продолжает массово заражать компьютеры в Эстонии.