Эскалация ситуации вокруг Украины, сопровождаемая информационным шумом, стала удобным подспорьем для киберпреступников. Хакерское сообщество уже пригрозило атаками на государственные ресурсы. Более того, новостную повестку активно используют мошенники, предлагающие «спасти» активы и спекулирующие на помощи пострадавшим. Подробнее — в материале «Известий».
Кто такие Anonymous
В пятницу, 25 февраля, хакерская группировка Anonymous объявила России кибервойну из-за спецоперации на Украине. Об этом представители сообщества написали в своем официальном Twitter-аккаунте.
В понедельник, 28 февраля, атаке подверглись некоторые новостные издания, включая ТАСС, «Коммерсант», «РИА Новости» и Forbes. Послание о жертвах украинской армии, всплывающее на заглавной странице порталов, сопровождалось иконкой данной группировки.
Anonymous имеет на своем счету ряд успешных атак на сайты правительств и международных организаций, поэтому игнорировать их заявления не стоит, отмечает ведущий аналитик центра мониторинга и реагирования на инциденты компании «Инфосистемы Джет» Дмитрий Лифанов. Ранее «анонимусы» подготовили атаки на департамент полиции Миннеаполиса, Банк Америки, сайт премьер-министра Австралии, PayPal и Visa.
— В настоящий момент множество ресурсов российских компаний и государственных организаций сталкиваются с DDoS-атаками, попытками взлома публичных ресурсов, вбросами недостоверной информации об организациях и данных, якобы украденных у них, — говорит Дмитрий Лифанов.
По замечанию экспертов Group-IB, Anonymous представляют собой не какую-то конкретную группу хакеров, а децентрализованное движение хактивистов. Хактивизм — это синтез социальной активности и хакерства. В связи с этим DDoS-атаки, взломы сайтов или публикации собственных радикальных текстов преследуют одну цель: привлечь к своей деятельности максимальное внимание. Именно поэтому жертвами активистов становятся государственные учреждения, крупный околоправительственный бизнес, СМИ, а поводом для атак — войны, политические или религиозные конфликты, массовые беспорядки.
— Anonymous действуют следующим образом: сначала они в публичных сообществах (например, в Twitter) призывают к атакам на определенные организации в рамках той или иной кампании. Для того чтобы пользователи легко могли идентифицировать эти атаки, они обычно используют специальные метки под каждое событие и хештег Anonymous. К этим кампаниям могут присоединиться молодые хакеры без профессиональных навыков и умений. Сила подобных акций именно в массовости хактивистов. А учитывая доступность различных средств как для DDoS-атак, так и для пентестинга (проверки ресурсов на уязвимости), их жертвами легко могут стать слабо защищенные ресурсы, — пояснили «Известиям» в Group-IB.
Руководитель аналитического центра компании Zecurion Владимир Ульянов соглашается: Anonymous не столько группировка, сколько сообщество без жесткой структуры и вертикали управления. По его мнению, не факт, что все «анонимусы» поддерживают генеральную линию, объявленную несколько дней назад в Twitter.
Велика ли опасность
Степень хакерской угрозы будет зависеть от того, кто именно займется подготовкой атак, считает руководитель отдела продвижения продуктов компании «Код Безопасности» Павел Коростелев.
— Обычно это «киберхулиганы». Вряд ли кто-то серьезный станет участвовать в нападении, хотя для ресурсов со слабой защитой это потенциально неприятная возможность, — оговаривается собеседник.
Также эксперт добавляет: в последние дни крайне тяжело отличить реальные атаки и просто массовые запросы пользователей, например, по отношению к сайтам банков и их мобильным приложениям. Люди массово заходят на порталы, отчего те периодически «падают».
Если же дело доходит до реальных акций, то не всегда понятно, кто именно стоит за взломом сервисов. Каждый конкретный случай необходимо изучать отдельно, говорит Владимир Ульянов. Ту же мысль приводят в Group-IB:
— Опасность состоит в том, что под прикрытием Anonymous могут действовать другие группировки, в том числе прогосударственные хакерские группы (State-Sponsored), нацеленные на объекты критической инфраструктуры.
По мнению Павла Коростелева, куда опаснее тот факт, что текущая история может стать прецедентом кибервойны, когда конкретное подразделение вооруженных сил будет работать на остановку, а то и на уничтожение критической информационной инфраструктуры вероятного или в нашем случае уже реального противника:
— Потенциально это серьезная проблема, потому что в таких делах у атакующего больше шансов, чем у защищающегося. Это будет первой проверкой и показателем того, насколько хорошо готовы российские организации в контексте соответствующих законодательных требований.
Как действуют мошенники
Первые дни неопределенности и истерии в социальных сетях аферисты также использовали с толком. На фоне дискуссий о возможном отключении России от SWIFT злоумышленники запустили волну спекуляций.
SWIFT — крупнейшая межбанковская структура для передачи информации и совершения платежей. К системе подключены свыше 11 тыс. участников в 200 странах и территориях. В 2014 году России уже грозили изоляцией. Но пока единственным прецедентов является отключение от SWIFT банков Ирана в 2012-м.
Так или иначе инфошум вокруг финансовых ограничений стал плодородной почвой для мошенников. По данным ОНФ, граждане массово сообщают о звонках, рассылках электронных писем и SMS с предложением немедленно перевести деньги на «резервный защищенный счет».
Павел Коростелев из «Кода безопасности» объясняет активизацию мошенников следующим образом: злоумышленники не нацелены на какие-то конкретные темы, их задача, в общем, — пройти через фильтр маркетингового шума у конечных пользователей. Для этого они используют любой новостной повод: в данном случае отключение России от SWIFT, конфликт на Украине и т.д.
По мнению Владимира Ульянова из компании Zecurion, подобные махинации будут распространяться и дальше. По его словам, невоенизированные и негосударственные киберпреступники, которые каждый день зарабатывают на обмане, очень плотно сидят на новостной повестке. События, обсуждаемые в прессе, они постараются конвертировать в новые схемы.
— Разумеется, люди переживают за свои счета. На волне этого безусловного интереса, а также используя часть правдивой информации (непосредственно ввод ограничений), мошенники попытаются извлечь из этих поводов прибыль, — говорит собеседник «Известий».
Помимо сценария со SWIFT, возможна и другая схема — спекуляция на теме помощи пострадавшим и беженцам.
— Наверняка, будут создаваться публикации типа «давайте соберем, давайте поможем» с жалостными картинками детей и бабушек. Эти образы преступники эксплуатируют без зазрения совести. Непонятно, как с этим бороться. Не помогать тоже нельзя. С другой стороны, перед нами огромный простор для махинаций, — предупредил Ульянов.
В комментариях к новостным заметкам пользователи делятся собственными примерами. К примеру, юзеры жалуются на звонок из «следственного комитета», в другом варианте — из «полиции» или «военкомата». Во всех случаях цель аферистов — узнать персональную информацию пользователя, его ФИО, место прописки, место работы и, конечно, постараться выманить деньги.
Как защититься от мошенников
Павел Коростелев советует соблюдать правила цифровой «гигиены» и в целом подходить с холодной головой к любым входящим коммуникациям, будь то звонок, сообщение в соцсетях, обращение в мессенджере или электронное письмо.
— Надо перепроверять информацию два-три раза в разных источниках и только после этого реагировать. Самое главное, нельзя поддаваться каким-то жестким временным рамкам. Если вам говорят, что нужно что-то срочно сделать, иначе вы потеряете деньги, это серьезный признак того, что вас хотят обмануть, — отметил специалист.
К тому же ни из-за каких санкций клиентов не обзванивают массово с предложением сделать что-либо с их деньгами, напоминают эксперты. Точно так же коммерческие банки никогда не обзванивают клиентов с предложением перевести деньги на особый счет. Если вы получили подобный звонок, немедленно положите трубку и перезвоните в свой банк, чтобы получить точную информацию.