В мире наблюдается динамичный рост кибератак. По данным «Лаборатории Касперского», каждый день регистрируется порядка 400 тысяч новых зловредных файлов, о существовании которых ранее не было известно ничего. Цели киберпреступников остаются неизменными — частные компании и государственные организации, критическая инфраструктура и промышленность. О том, как выглядел ландшафт киберугроз в 2023 году, в интервью InfoCity рассказывает Мушвиг Мамедов, официальный представитель «Лаборатории Касперского» в Азербайджане.
— В этом году «Лаборатория Касперского» довольно часто публиковала информацию о поведении детей в интернете. Были затронуты интересы подрастающего поколения к социальным сетям, игровым платформам и т.д. С какой целью проводились ваши исследования?
— Защита детей от негативного влияния в интернете, наряду с защитой корпоративных и частных пользователей, — одно из основных направлений деятельности «Лаборатории Касперского» в Азербайджане. Мы не только предлагаем защитное решение для родительского контроля Kaspersky Safe Kids, но стараемся понять, какие проблемы существуют в области защиты детей в интернете и как с ними справляются родители. Для этого мы проводим регулярные исследования и опросы. Это прекрасный способ держать руку на пульсе и возможность понять, как интернет влияет на юных пользователей, на каких платформах они проводят свое свободное время и чем интересуются. Все это помогает смоделировать или спрогнозировать потенциальные киберриски, с которыми дети могут столкнуться в Сети.
Вопросы, которые мы задаем родителям при проведении подобных исследований, призваны отразить ситуацию в самых разных сферах онлайн-жизни, ведь их результаты помогут взрослым подобрать ключ к пониманию интересов своих детей и сделать цифровой мир для них более безопасным. Например, в этом году мы выяснили, что более четверти родителей в Азербайджане вовсе не обсуждали с детьми правила безопасности в Сети, и это при том, что у каждого пятого ребенка есть собственные страницы в социальных сетях. Выяснилось, что лишь половина респондентов (53%) в курсе, какая информация об их детях есть в открытом доступе в этих источниках. 75% родителей в Азербайджане не спрашивают у детей разрешения на размещение информации о них в интернете, но при этом сами родители могут страдать овершерингом.
Почти каждый второй азербайджанский родитель выкладывает у себя на странице в социальных сетях фотографии, видео детей или посты о них (41%), упоминают об их увлечениях в своих постах (35%), выкладывают истории из жизни детей (29%), их имена (25%), геолокацию мест, в которых были сделаны фотографии (20%), и названия учебных заведений (15%).
Конечно, подобные данные помогают чуть лучше понимать не только поведение детей в интернете, но и их взаимоотношения с родителями, что, в свою очередь, помогает нам разрабатывать более современные методы реагирования. Но в то же время доступ к таким объемам разносторонней информации получают и злоумышленники, которые могут использовать ее в корыстных целях.
Сейчас многие разработчики предлагают решения родительского контроля, но Kaspersky Safe Kids выигрывает по многим показателям. И основное преимущество в том, что наше предложение не привязано непосредственно к оператору мобильной связи или провайдеру домашнего интернета. Наше решение защищает детей от самых разных угроз, помогает ограничивать время, которое они проводят с гаджетом. К тому же оно гибкое: настройки и ограничения можно менять в зависимости от возраста ребенка или пожеланий родителя.
— Сегодня основной киберугрозой как для конечных пользователей, так и предприятий являются программы-вымогатели. Или вы наблюдаете смену трендов?
— Пока что мы не наблюдаем спада активности в атаках программ-вымогателей. И зачастую среди распространенных целей шифровальщиков оказываются не конечные пользователи, а бизнес. Тактика и цели злоумышленников в каждом случае отличаются. Сейчас я бы отметил новый тренд, когда злоумышленники не только требуют выкуп за расшифровку данных, но и порой угрожают обнародовать полученную информацию. В качестве примера могу привести одну из самых активных в мире групп программ-вымогателей LockBit, которая неоднократно публиковала данные, украденные у крупных компаний в разных странах. А недавно наши исследователи обнаружили, что теперь LockBit может атаковать и macOS.
Из тенденций последнего года можно выделить также то, что некоторые злоумышленники переключились с финансово-мотивированной деятельности на деструктивную. То есть, теперь они преследуют цель нарушить работу компании и производственные процессы, зашифровав данные без возможности восстановления.
Для рядовых же пользователей наиболее опасными остаются «классические» угрозы — фишинг, социальная инженерия, вредоносное программное обеспечение. Чтобы им противостоять, необходимо не терять бдительность, о чем мы вспоминаем при каждой нашей беседе. Не переходите по неизвестным ссылкам, не доверяйте слишком выгодным предложениям, регулярно меняйте пароли и обновляйте программное обеспечение. Также стоит уделять особое внимание тому, что вы размещаете в Сети. Не менее важно использовать и надежное решение для защиты своих данных.
— Как вы оцениваете уровень осведомленности пользователей об инструментах и подходах, используемых злоумышленниками?
— Даже самая совершенная система защиты может оказаться бесполезной, если корпоративные пользователи не соблюдают базовые правила кибербезопасности или не осознают значение потенциальных угроз. Поэтому роль человеческого фактора в таких вопросах сложно переоценить. Согласно данным нашего исследования «Информационная безопасность бизнеса», в 2021-2022 гг. в секторе малого и среднего бизнеса во всем мире по вине сотрудников произошло около 22% всех утечек. Что бы вы понимали, насколько это внушительный показатель, отмечу, что обычные кибератаки стали причиной утечек конфиденциальных данных лишь в 9% случаев.
Сотрудники компаний могут непреднамеренно спровоцировать серьезный инцидент кибербезопасности по разным причинам. Например, они могут долго не обновлять корпоративное программное обеспечение, в котором были обнаружены уязвимости; использовать слабые пароли от аккаунтов, которые легко угадать методом перебора; перейти по ссылкам из фишинговых писем или открыть вредоносное вложение; попасться на уловки злоумышленников, которые применяют методы социальной инженерии.
В большинстве случаев речь идет о низкой цифровой грамотности или игнорировании ее важности. Поэтому одним из наиболее действенных методов борьбы с этой проблемой является регулярное проведение корпоративных тренингов по кибербезопасности среди сотрудников, повышение квалификации профильных специалистов и внедрение защитных решений. Последние выступают в некотором роде подстраховкой и еще одним «слоем защиты», ведь на 100% избавиться от человеческого фактора невозможно. Специальные программы позволят свести к минимуму возможные последствия из-за ошибки сотрудника, совершенной по причине незнания правил информационной безопасности или по невнимательности.
— С какими вызовами мир сталкивается из-за повсеместного распространения умных устройств и как следует обеспечивать безопасность на этом уровне?
— Этот тренд представляет собой реальную опасность, так как количество умных устройств экспоненциально растет. Например, портал Statista дает прогноз, что к 2030 году оно превысит 29 млрд. И вы только представьте уровень угрозы, если первые массовые атаки на Интернет вещей с использованием вредоносного программного обеспечения были зафиксированы еще в 2008 году. За 15 лет подобных атак становилось только больше. В новом отчете «Лаборатории Касперского» «Обзор угроз для IoT-устройств в 2023 году» наши исследователи рассказали про сотни обнаруженных в даркнете объявлений о продаже услуг по проведению DDoS-атак с использованием умных устройств, конкуренции между атакующими за контроль над зараженными гаджетами и топ-стран, откуда чаще всего пытаются заражать IoT-устройства.
По данным аналитиков сервиса Kaspersky Digital Footprint Intelligence, одна из наиболее востребованных услуг в даркнете, связанных с Интернетом вещей, — DDoS-атаки. Упоминания ботнетов на основе умных устройств, которые используются для проведения подобных атак, стали чаще встречаться в объявлениях на различных теневых форумах. Всего за первую половину 2023 года наши аналитики обнаружили в даркнете более 700 (!) таких объявлений. Цена этой услуги зависит от множества факторов, влияющих на сложность атаки, среди которых наличие у жертвы защиты от DDoS, наличие капчи и JavaScript-верификации. В общей сложности стоимость подобной атаки варьируется в пределах от 20 долларов за сутки до 10 тысяч долларов за месяц. В среднем в изученных объявлениях такая услуга предлагалась за 63,5 доллара за сутки или 1350 долларов за месяц. Продаются в даркнете и услуги по взлому устройств Интернета вещей. В частности, злоумышленники ищут соответствующие эксплойты к уязвимостям нулевого дня. В числе прочих типов вредоносного программного обеспечения, нацеленного на Интернет вещей, я бы отметил программы-вымогатели, майнеры и инструменты для смены DNS-сервера. Кроме того, иногда зараженные устройства используются в качестве прокси-серверов — промежуточных узлов в сети, перенаправляющих трафик злоумышленника через себя, таким образом затрудняя его отслеживание.
Набирает популярность в различных промышленных отраслях и такой класс устройств, как IIoT (Industrial Internet of Things). Безусловно, внедрение подобных решений помогает бизнесу работать более эффективно, дает возможность использования предиктивной аналитики, а также позволяет масштабировать свой бизнес и открывает новые перспективы. Однако внедрение подобных устройств несет потенциальные риски увеличения площади поверхности атак. Поэтому мы не только призываем производителей ставить в приоритет кибербезопасность как потребительских, так и промышленных устройств Интернета вещей, но и предлагаем пользователям IIoT-устройств собственную защищенную операционную систему KasperskyOS, предназначенную для промышленного Интернета вещей.
— В последнее время злоумышленники стали активно прибегать к подготовке новых кибератак с использованием искусственного интеллекта. Как должен выглядеть ответ компаний, специализирующихся на обеспечении кибербезопасности? И как к этому должны готовиться отделы информационной безопасности на предприятиях?
— Откровением в этом году стал тот факт, что злоумышленники, как и добропорядочные пользователи, могут использовать нейросети для повышения своей эффективности, например, чтобы писать фишинговые письма или тот же программный код. Специалисты Kaspersky Digital Footprint Intelligence, которые занимаются мониторингом теневых форумов и даркнета, нередко встречают на таких площадках обсуждения использования того же ChatGPT в зловредных целях. Но в данном случае речь идет именно о повышении эффективности и небольшом снижении порога входа, так что радикальных изменений для ландшафта киберугроз генеративные нейросети пока не несут.
Другого рода угрозой является использование нейросетей, которые могут генерировать изображения и видео. К ним относятся в том числе и алгоритмы, создающие дипфейки — видео-подделки, в которых лицо одного человека накладывается на видео с другим человеком. Увы, это позволяет, например, развернуть травлю против человека в интернете. С другой стороны, злоумышленники могут использовать дипфейки для создания видео с известными личностями для того, чтобы под видом официальных конкурсов завлекать людей на мошеннические сайты. Наконец, угрозой для бизнеса могут стать голосовые дипфейки — подделки голоса.
Технологии машинного обучения применяются в «Лаборатории Касперского» уже многие годы для решения самых разных задач. Это и детектирование вредоносных файлов, и защита от спама, и блокирование фишинговых ссылок, и другие, более узкоспециализированные области. Например, алгоритмы машинного обучения обрабатывают сотни тысяч подозрительных веб-страниц ежедневно, анализируют их с точки зрения подозрительности ссылки или схожести со страницами популярных сервисов, и таким образом защищают пользователей от интернет-мошенников. Кроме того, примером взаимодействия человека и «машины» является компонент автоматического анализа в сервисе Kaspersky Managed Detection and Response, который предназначен для защиты IT-инфраструктуры бизнеса. Системе подается большое количество событий, которые сервис регистрирует на компьютерах в сети компании. Алгоритм машинного обучения обрабатывает все эти события, выделяет из них максимально интересные для специалистов по информационной безопасности и при этом убирает те, которые явно не походят на вредоносную активность. Благодаря этому не только снижается нагрузка на профильных сотрудников, которым передаются только наиболее интересные события, но и уменьшается время обработки событий, которые могут свидетельствовать о кибератаке.
— Фиксировала ли «Лаборатория Касперского» в уходящем году принципиально новые виды кибератак?
— Все новое — это хорошо забытое старое. С точки зрения обеспечения информационной безопасности организаций меняются технические средства, появляются новые уязвимости в прикладном программном обеспечении, новые инструменты, которые продаются и покупаются, но чего-то концептуально нового за последний год не появилось. Могу отметить, что в уходящем году мы отмечали активизацию фишинговых атак через мессенджеры, особенно через Telegram-каналы с последующей кражей аккаунта.
Еще одним любопытным способом обмана стал QR-фишинг. В 2023 году «Лаборатория Касперского» обнаружила почти 9 тысяч писем с использованием вредоносных QR-кодов. В отличие от фишинговых ссылок распознать вредоносный QR-код достаточно сложно, поскольку его анализ требует дорогой и ресурсоемкой технологии компьютерного зрения, а визуально он ничем не отличается от любого другого QR-кода. Злоумышленники используют QR-коды, чтобы спрятать за ними фишинговые страницы, на которых под различными предлогами выманивают данные пользователей. Например, весной этого года наши эксперты обнаружили новые рассылки писем, в рамках которых атаки проводились с целью украсть логины и пароли корпоративных пользователей продукции Microsoft. Жертву уведомляли о том, что пароль от рабочего почтового аккаунта скоро станет недействительным, а чтобы сохранить доступ к учетной записи, рекомендовалось отсканировать QR-код, который направлял на поддельную форму входа в аккаунт. Если человек вводил на открывшемся ресурсе свои данные, — атакующие получали доступ к учетной записи.
— И, по традиции, я попрошу вас озвучить, какие тенденции в сфере информационной безопасности и кибербезопасности будут основными в ближайшие годы?
— Рассказать о наших прогнозах на 2024 год мы сможем в декабре, так что следите за новостями. Но уже сегодня можно предположить, что все более распространенными будут становиться атаки с использованием нейросетей для более персонализированных подходов в социальной инженерии. Можно прогнозировать рост бюджетов на обеспечение кибербезопасности организаций и рост понимания значимости киберграмотности населения и сотрудников предприятий, так как участия человеческого фактора даже с развитием искусственного интеллекта избежать не удастся. Что же касается специалистов по кибербезопасности, то им придется столкнуться с более тяжелыми нагрузки, поскольку ландшафт угроз становится все более изощренным, а это приведет к растущей зависимости от «мягких» навыков, таких как межличностное общение, выстраивание отношений и решение проблем.