2 сентября 1969 года считается Днем рождения интернета. В этот день Калифорнийский университет в Лос-Анджелесе и Стэнфордский исследовательский институт смогли провести первый сеанс передачи данных с одного компьютера на другой. За полвека великое изобретение человечества стало одной из его главных проблем. Начальник управления информационно-телекоммуникационной инфраструктуры Томского государственного университета Ростислав Гавриленко рассказал в газете Alma mater, как интернет и искусственный интеллект стали главными инструментами мошенников и как эволюционирует рынок обмана.
СМЕНА ТРЕНДОВ
– Ростислав, статистика показывает, что количество интернет-мошенничеств растет в арифметической прогрессии. Какие новые угрозы появляются в этом направлении и чего нам следует ожидать?
– Тренды киберпреступлений напрямую связаны с развитием технологий. Как только появляется что-то новое, мошенники достаточно быстро это новое осваивают. Среди них немало грамотных специалистов в области IT. Можно сказать, что эволюция киберпреступлений идет в ногу с развитием цифровых технологий и подобно истории человечества состоит из определенных эпох. Просто они значительно короче по времени и смена их очень динамична. До 2016 года основным типом преступлений против людей была кража персональных данных и данных кредитных карт. Это касалось как мошенников, работавших в одиночку, так и профессиональных команд, которые продавали данные, украденные у граждан, на рынке DarkNet. Стоит отметить, что в то время большая часть киберпреступлений была направлена против корпораций. В 2016–2017 годах рынок был небольшим и его оборот составлял менее миллиарда долларов.
Основными инструментами, которыми тогда пользовались мошенники, были вирусы-трояны, которые либо скачивались с пользовательскими программами, либо заносились на флешке. Наряду с этим использовались фишинговые ссылки, которые вели на поддельные сайты, где пользователи уже сами вводили и отправляли злоумышленникам свои данные.
Примерно с 2016–2017 годов начинается новая эпоха в развитии киберпреступлений. И это напрямую связано с широким внедрением в нашу жизнь смартфонов. Охота за данными пользователей перешла на эту территорию. Люди устанавливают всё больше приложений, включая банковские, при этом очень часто это делают из непроверенных источников и забывают о необходимости антивирусной защиты на смартфонах. Злоумышленники стали активно пользоваться взломом устройств с помощью не только вирусов-троянов, но и фальшивых приложений, которые, кроме заявленных функций, отправляли мошенникам персональные данные жертвы, включая банковские.
Параллельно эта эпоха отметилась массовыми взломами крупных корпораций (продажа данных базы LinkedIn, Yahoo, Adobe – от $ 10 000 до $ 1 млн за дамп), и полученные данные пользователей опять же использовались для продажи в DarkNet, при этом в сети уже можно было купить полное досье на человека.
ПРИБЫЛЬНЫЙ БИЗНЕС
– Есть ощущение, что сейчас человечество шагнуло в новую эпоху киберпреступлений, появляются усовершенствованные технологии обмана.
– Новая эпоха началась несколько раньше, в 2020 году, одновременно с пандемией. Можно даже сказать, что во многом благодаря ей. Ковид заставил человечество перейти в онлайн-формат и в разы активнее использовать интернет. В это же время произошел новый виток развития технологий, а именно, искусственного интеллекта (ИИ). Суммарно это сильно расширило поле деятельности мошенников. Стали появляться дипфейки (англ. Deepfake, от deep – «глубокий» и fake – «фальшивый»), то есть поддельные сообщения всех форматов: текстовый, аудио и видео. С использованием ИИ стали формироваться индивидуальные фейковые рассылки с сообщениями из разряда «Ваш счет заблокирован, пройдите по ссылке», «Ваши медицинские результаты готовы».
При этом, когда мы говорим индивидуальные, это означает и подделку адресов отправителя, когда письмо подделывается, к примеру, под вид информационного письма именно того банка, в котором у вас есть счет. Но использование ИИ пошло дальше – первый случай дипфейка был зарегистрирован в Арабских Эмиратах. Мошенники сгенерировали голос директора коммерческого банка и украли $ 35 000 000.
Можно сказать, что именно тогда началась эпоха социальной инженерии – нового типа манипулирования людьми. В эти же годы стали формироваться группировки по кибершпионажу и появилась новая бизнес-модель, в рамках которой разработчики вредоносного ПО предоставляют другим злоумышленникам по подписке программы-вымогатели и инфраструктуру для управления ими. Она называется RaaS (Ransomware-asa-Service). Ее осуществляют не одиночки, появились соответствующие синдикаты и группы злоумышленников. Деятельность RaaS может быть нацелена как на отдельную персону, так и на компанию или предприятие, концерн. При этом самому заказчику не требуется серьезных знаний в области IT.
Рынок DarkNet сильно изменился, теперь большую его часть составляет такой вид киберпреступлений, как шифрование данных на серверах компаний. И это оказалось более эффективно, чем продажа данных в даркнет-маркетплейсах, так как не требуется времени на поиск покупателя. Данные организации преступники шифруют прямо на серверах организации и требуют от компании оплату за ключ для расшифровки. В это время способ оплаты за киберпреступления ушел от анонимных счетов в банках в криптовалюту, где практически невозможно идентифицировать стороны расчетов.
Нужно сказать, что формат удаленной работы, на который переходило человечество, очень сильно этому поспособствовал. К примеру, данные, которые раньше находились только во внутренней сети компании, начали пересылаться через мессенджеры и электронную почту. Это сделало их доступными для мошенников, как и информационные системы организации, к которым появилась необходимость удаленного доступа сотрудников.
За очень короткий срок обороты DarkNet увеличились в разы. Уже к 2022 году объем рынка достиг шести миллиардов долларов. Динамика с каждым годом нарастает. Новые технологии этому очень способствуют. ИИ, который может быть очень эффективен и даже незаменим для решения полезных задач, стал главным оружием кибермошенников. Искусственный интеллект все лучше генерирует звук и изображение, причем не только картинки, но и видео.
Думаю, не стоит говорить, какое количество людей попадается на дипфейки, созданные с помощью ИИ. Это не только обычные физические лица, но и сотрудники компаний, предприятий. Несмотря на то, что сейчас много говорят и пишут о важности цифровой гигиены, у многих людей уровень цифровой грамотности остается очень низким. Более того, даже когда в теории человек вроде бы знает, как нужно поступать правильно, на практике он совершает ошибки.
– Почему это происходит?
– Думаю, причин несколько. Во-первых, часто срабатывает эффект неожиданности. Человек торопится – и совершает ошибку. Потом, анализируя свои действия, он может удивляться этому, но в спешке ошибиться очень легко. Второй момент – среди мошенников немало людей, которые обладают навыками психолога и понимают, за какую «ниточку» можно подергать, на что надавить. В преступных группах есть и профессиональные психологи, многие жертвы не могут сопротивляться их воздействию. Наконец, третья причина, пожалуй, самая важная – у пользователей гаджетов и интернета элементарные правила безопасного поведения должны быть закреплены на уровне привычки, даже рефлекса, а этого нет.
УЧИТЕСЬ НА ЧУЖИХ ОШИБКАХ
– Ростислав, какие ошибки в цифровой жизни бывают самыми частыми и чем именно они чреваты?
– Одна из самых частых проблем – это пароль. Он либо очень простой, либо один на все случаи жизни, то есть используется для входа в почту, Госуслуги, соцсети и так далее. При этом многие люди до сих пор не используют двухфакторную идентификацию. В таком случае злоумышленникам намного проще получить доступ к любым данным пользователя. Получив тем или иным способом пароль потенциальной жертвы, мошенники попробуют его для входа на разные ресурсы. Не подошло на Госуслугах – пошли в соцсети. Не получилось там – пошли в личный кабинет налогоплательщика.
Если человек решил не усложнять себе жизнь разными и сложными паролями, то он фактически живет с открытой дверью. Рано или поздно злоумышленники этим воспользуются. Например, взломали почту, потом попытались зайти в ваше финансовое онлайн-приложение. Не получилось, поскольку там другой пароль. Они нажали восстановить пароль, который пришел на вашу же почту, которая была взломана десять минут назад.
Второй момент – сейчас изменилось поведение мошенников. Раньше они воздействовали на жертву через один канал, например, телефонный звонок, или присылали сообщение в мессенджере, почте. Можно было перепроверить подлинность сообщения через другой канал, например, написать другу, который просит взаймы в телеграме, удостовериться – он ли это. Сейчас даже одиночки, не говоря о группах, задействуют все возможные способы. Человеку поступает звонок, тут же приходит «подтверждающее» сообщение на электронную почту, такая же «подтверждающая» информация в мессенджер и так далее. Всё это рассеивает внимание и не дает жертве возможности понять, что происходит, принять правильное решение. Получая информацию из разных источников и не видя противоречий, он воспринимает это как реальность.
– Что делать при таком разгуле киберпреступности?
– Важно на уровне привычки выработать правильное поведение. Не совершайте никаких действий сразу. Например, если вы идёте по улице и вам звонят или пишут, о чем-то просят (что-либо переслать, проголосовать за ребенка в конкурсе и так далее) – совершайте любое действие, только когда вы остановились и подумали. Отложите это на потом. Настоящие важные вопросы, в том числе финансовые, не требуют сиюминутных решений. Если вам позвонили или написали мошенники, то как только вы это поняли – не разговаривайте, положите трубку, закройте чат. Пока вы общаетесь, может идти запись вашего голоса. Злоумышленники сгенерируют с ним аудиосообщение, и все, кто есть в вашей телефонной книге, станут потенциальными жертвами.
Не нужно переходить по случайным ссылкам, не называйте никаких цифр «доставщикам» почты, еды, «представителям» МФЦ, Пенсионного фонда и другим. Если вам поступил звонок из какой-либо организации, важной для вас, у вас спрашивают какие-то данные – возьмите паузу в разговоре. Во время этой паузы найдите на сайте организации контакты и свяжитесь с ней. С высокой долей вероятности окажется, что вам оттуда никто не звонил. Даже пять минут на проверку спасут ваши деньги и данные.
Еще один момент, о котором стоит сказать, – это фишинговые ссылки. Если вы находитесь за компьютером, такую вещь можно вычислить, наведя курсор на ссылку. Как правило, сразу видно, что она не имеет отношения к сервису, за который себя выдает.
Не переходите по случайным ссылкам. Ссылки в SMS, мессенджерах, соцсетях – даже от «знакомого» – могут быть опасны, поскольку его аккаунт могли взломать. Заведите разные пароли на разных ресурсах, используйте двухфакторную аутентификацю (2FA) везде, где это возможно.
ПОИСК СЛАБОГО ЗВЕНА
– С физлицами все более-менее понятно. А как компании и предприятия становятся жертвами мошенников? Ведь сейчас у каждой организации есть специалисты и служба IT-безопасности?
– Чаще всего проблемы возникают по причине человеческого фактора. Хакеры взламывают не внешний контур защиты, который обычно охраняется очень хорошо, а заходят в систему предприятия изнутри, через сотрудника. Вовсе не обязательно он должен быть в сговоре с преступниками. Злоумышленники взламывают личный ресурс сотрудника и уже через него заходят во внутреннюю систему, где разворачивают вредоносное программное обеспечение.
Реже взлом осуществляется с проникновением на предприятие. Происходить это может под разными предлогами – от ремонта кондиционера и доставки воды до клининга и так далее. В наше время происходит взаимодействие со многими службами, специалистов которых мы не знаем в лицо. Поэтому нужно найти способ, чтобы удостовериться, что это действительно тот, кого вы ждете и чью услугу заказали, а не самозванец. Такие люди ищут «слабое звено», например, рабочий компьютер без пароля или незаблокированный пользователем. Кажется абсурдом, но такие вещи всё еще имеют место. Контроль таких вещей – наличия пароля и антивируса – входит в обязанности администратора подразделения.
– На ТГУ тоже идут атаки? Насколько часто?
– Они идут непрерывно, причем, из разных стран. Есть специальные боты, которые совершают попытки входа. Как только мы устанавливаем новый сервис с доступом извне, видим, что его пытаются атаковать. Чтобы обеспечить эффективную защиту, мы производим регулярное обновление программного обеспечения и используем инструменты криптографической защиты. Не только сервисы, но и люди – сотрудники и студенты ТГУ – часто становятся целями мошенников.
Чтобы помочь защититься от злоумышленников, мы постоянно информируем университетское сообщество через разные каналы (соцсети, сайт, газета ТГУ Alma Mater) о новых способах мошенничества и о том, как не попасться на эти уловки. Но цифровой шум, спешка, стресс снижают бдительность. Поэтому в любой ситуации не будет лишним перепроверить, является ли подлинным новый рабочий чат, служебное письмо, сообщение и так далее. Не спешите с действиями, свяжитесь с отправителем и удостоверьтесь в достоверности полученной информации. Бдительность должна присутствовать не только на рабочем месте, но и в повседневной жизни.
– Какой вред могут нанести злоумышленники, кроме кражи или ликвидации ценной информации?
– Если речь идет о промышленном предприятии, то это воздействие может иметь и физический характер. Например, можно вывести из строя установку или остановить участок нефтепровода. Таким образом, невольная и вроде бы не очень серьезная ошибка сотрудника может приводить к многомиллионным потерям, не говоря уже о репутационных. Наверняка, многие читали или слышали о недавних ЧС в Аэрофлоте и крупных сетевых медкомпаниях. Там злоумышленники действовали изнутри системы. Поэтому каждый сотрудник должен быть бдительным и помнить, что слабая защита учетных записей и отсутствие паролей на компьютерах – это та самая лазейка, которую ищут преступники.
НА ЗАРЕ НОВОЙ ЭРЫ ПРЕСТУПЛЕНИЙ
– Скоро начнется новая эра?
– Скорее всего, да.
– Можно дать какой-то прогноз, чего следует ожидать?
– Следующий этап, по прогнозу экспертов, – это выход на новый уровень взлома систем безопасности. Основная причина – использование квантовых компьютеров.
– Звучит как фантастика.
– Вовсе нет. Традиционные криптографические алгоритмы, такие как RSA и ECC (эллиптическая криптография), которые являются основой защищенных коммуникаций, становятся уязвимыми для киберквантовых атак. В мае этого года китайские исследователи из Шанхайского университета впервые разложили 22-битное число RSA с помощью квантового компьютера D-Wave Advantage. Хотя такой ключ слаб по современным меркам, но это серьезный прорыв. В дальнейшем это может сильно ударить по банковской системе, промышленникам и другим сферам.
– Какие новшества еще можно ожидать?
– Скорее всего, это подделка биометрических данных. Такие случаи уже зафиксированы в Китае и ОАЭ.
– Как со всем этим можно бороться?
– Сложно придумать какое-то универсальное решение. Очевидно, что это должен быть комплексный подход. С одной стороны – технологии и грамотность, с другой – правовое регулирование.
– Как правовое регулирование может бороться с IT-мошенниками?
– Правовые механизмы против кибермошенничества включают законы, контроль со стороны госорганов, международное сотрудничество и профилактику. Тут достаточно много законов, подзаконных актов и стандартов, отражающих все аспекты жизни.
Если говорить именно о кибермошенничестве, я бы отметил работу Роскомнадзора с блокировкой мошеннических ресурсов (фишинговые сайты, фейковые онлайн-магазины и системы оплаты, страницы в соцсетях для соционженерии), обязательную идентификацию SIM-карт и запрет на спам-обзвоны. Но отмечу, что обязательный пункт для борьбы с мошенниками – это собственная цифровая грамотность и бдительность. Их нужно развивать. Без этого компонента все остальные будут малоэффективны.