БЕЗОПАСНОСТЬ
А что в России?
Основная причина слабого распространения хакерских атак в нашей стране - в невысоком уровне автоматизации (несмотря на бурные темпы роста последних лет). Это касается и финансовых учреждений, являющихся основной мишенью фишеров. Значительно меньшую популярность в России имеют различные онлайн-сервисы (тот же e-banking), что также сдерживает расцвет фишинга.
Одно из первых сообщений о случае фишинга на территории СНГ и Балтии датируется 2002 г. Атака началась 15 декабря в Эстонии, когда десятки тысяч жителей страны получили письмо с просьбой сообщить данные их счетов в Хансабанке.
В 2004-м в онлайновых и печатных СМИ появилось сообщение о первом случае фишинга в России. Жертвой компьютерных мошенников стал Ситибанк, ряду клиентов которого были высланы ложные письма с просьбой подтвердить работоспособность счетов на определенном сайте. Обязательными к заполнению полями на сайте-подделке были в том числе номер банковской карты и PIN-код.
Еще одним банком, подвергшимся атаке фишеров, стал украинский Приватбанк. Его клиенты получили фальшивые письма от службы безопасности "Приват24", якобы представители которой просили посетить страницу, имитирующую систему доступа к личному счету. Число клюнувших на эту удочку доверчивых клиентов, равно как и объем финансовых потерь, не разглашаются - банкам, как, впрочем, и любым другим крупным компаниям, работающим с большим числом клиентов, скандалы, подрывающие их репутацию, не нужны. Объясняет ли этот мотив небольшое количество преданных огласке инцидентов, связанных с фишингом в России? А также отсутствие достоверной статистики по фишинг-атакам? Ответить на эти вопросы пока сложно, но то, что проблема распространения фишинга и угроз, с ним связанных, недооценивается пользователями Рунета, очевидно уже давно.
По исследованию, проведенному среди пользователей Рунета "Лабораторией Касперского" и информационным порталом SecurityLab.ru, 12% респондентов считают себя защищенными от вредоносного ПО на 100%, еще почти 48% надеются, что их данные скорее защищены, чем не защищены. Почти 14% серьезно опасаются за сохранность своих данных и считают, что их компьютеры вообще не защищены от вредоносных программ. При этом непонятно, установлен ли антивирус у 48% "почти уверенных" и регулярно ли он обновляется, поскольку, по данным того же опроса, какие бы усилия ни прилагали антивирусные вендоры, по-прежнему 13% респондентов не используют защитное ПО на своих компьютерах. При этом среди тех, кто не установил антивирус (13,6% опрошенных), 19% считают, что они на все 100% ограждены от действия вредоносных программ, а 23% чувствуют себя абсолютно не защищенными от угрозы вредоносных программ.
Дальше - больше. Как известно, надежность защиты, основанной на обновлении сигнатур, зависит от того, насколько полна антивирусная база и насколько часто она обновляется. Так вот, 13% опрошенных не меняли настроек антивируса и "...обновляют его с периодичностью, установленной разработчиком антивирусной программы". Ну а более 30% пользователей проводят апдейт реже чем один раз в день, что существенно подрывает надежность любого, даже самого лучшего антивируса, действующего на основе сигнатурного анализа. А теперь самое интересное: 53% заявили, что не знают, что такое фишинг. Среди тех, кто хранит конфиденциальную информацию на компьютере, уровень знания о фишинге примерно такой же: 51% не осведомлены об этом виде угроз. И при этом 17% от числа респондентов, знающих, что такое фишинг, отметили, что они регулярно получают мошеннические письма. Половина респондентов заявили, что тоже получали такие письма, но это происходило редко (несколько раз). Очевидно, что больше половины пользователей не считают фишинг серьезной угрозой для безопасности своих данных.
Распределение фишинг-сайтов по странам в марте 2006 г.
Но более всего интересен и показателен тот факт, что 18% осведомленных об опасностях фишинга людей все же захотели перейти по указанным ссылкам. Вопрос, перешли ли, видимо, не задавался. Таким образом, как справедливо отмечено в исследовании, эти 18% также являются потенциальными жертвами фишинга, фактически наравне с теми, кто об этом явлении услышал впервые.
Выводов из сложившейся картины можно сделать навскидку три. Первый - технологии фишеров и социоинженеров даже часть предупрежденных оставляют "невооруженными". Второй - информация об угрозах такого рода не носит массового характера и явно недостаточна, в том числе из-за отсутствия инициативных рабочих групп и ассоциаций для борьбы с такими сетевыми явлениями. И третий вывод, который делают авторы исследования, - угроза фишинга в России по-прежнему высока.
"И вечный бой, покой нам только снится..."
Приведу простой пример из нашумевшей книги Кевина Митника и Вильяма Саймона "Искусство обмана". Представьте себе, что "...в один замечательный день вы получаете письмо от друга или сослуживца. В письме вложенный файл. Разве может прийти что-то опасное от человека, которого вы лично знаете? "По крайней мере, - думаете вы, - будет понятно, кого винить в случае разрушения данных на компьютере". Вы открываете файл и... хлоп! Ваш ПК заражен червем или трояном. И почему ваш друг так поступил с вами? Потому что некоторые вещи не похожи на то, чем являются на самом деле. А на самом деле это червь, который, пробравшись в компьютер друга, разослал сам себя по всем контактам его адресной книги. Каждое такое письмо приходит адресату от хорошо знакомого ему отправителя. И адресат вряд ли будет долго думать перед открытием вложенного файла. Эффект аналогичен кругам, расходящимся по гладкой воде от брошенного камня. И это не просто красноречивое сравнение. Опытный кибермошенник, не понаслышке знакомый с различными социотехнологиями, не остановится ни перед чем, чтобы достичь своей цели, воздействуя на самое слабое звено информационной безопасности - человека.
Итак, можно ли бороться с такого рода сетевым "лохотроном"? И как это реализовать? Постараемся дать рекомендации, которые помогут если не исключить, то по крайней мере значительно снизить риск атаки.
Постройте эшелонированную антивирусную систему. К этому уже давно и широко призывают практически все антивирусные вендоры. Более того, именно данный способ в качестве рекомендации закреплен в стандарте "Обеспечение информационной безопасности организаций банковской системы РФ". В нем сказано, что лучшей практикой является построение эшелонированной централизованной системы антивирусной защиты, предусматривающей использование различных антивирусов от разных производителей и их раздельную установку на рабочих станциях, почтовых серверах, шлюзах и межсетевых экранах. В идеале, исходя из простейшей классификации, антивирусы должны быть установлены на уровне:
Статистика фишинг-атак по отраслям за март 2006 г.
- узла предоставления услуг провайдера;
- входа в корпоративную сеть (gateway);
- сервера корпоративной сети;
- конечного устройства пользователя.
Уделите пристальное внимание обновлениям антивирусных баз. Эта, казалось бы, очевидная рекомендация обычно принимается к сведению. Не более того. Но любой вирусописатель стремится к тому, чтобы созданный им продукт обладал максимальной скоростью заражения, за которой обновленная раз в два дня база может попросту не успеть: вирус не будет обнаружен, а следовательно, цель злоумышленника будет достигнута. Система обновления в компании должна быть единой (не стоит перекладывать ответственность на каждого отдельного пользователя) и обладать автоматическим режимом обновлений не менее двух раз в день.
Дополните антивирусную систему проактивными технологиями. Сигнатурный анализ эффективен постфактум, когда вирус уже попал в сеть. Предупредить же такую атаку реактивные системы обнаружения не в состоянии. Расход трафика, высокое потребление системных ресурсов - не менее очевидные недостатки подобных программных продуктов. Проактивная технология действует по иному принципу. Она позволяет выявлять вирусы по модели поведения, фиксируя аномальное поведение программ в сети и не допуская проникновения их на конечное устройство пользователя. Дополняя "сигнатурное ядро" проактивными технологиями, можно достичь хорошего показателя защищенности сети.
Применяйте технологии фильтрации контента (в том числе и почтового). Инспектирование входящего и исходящего (!) трафика - важное условие снижения риска попадания того же вируса-шпиона в сеть, а также пресечения утечки конфиденциальных сведений. Решение, осуществляющее потоковую фильтрацию на уровне шлюза, должно обеспечивать проверку адресов отправителей электронной почты и проведение стандартизации почтовых сообщений, инспектирование трафика корпоративной почты, сканирование http- и FTP-трафика, включая все HTML-страницы. Таким образом вы сможете превентивно бороться с вредоносным кодом и фишинг-атаками, защищая сеть в том числе и от ранее неизвестных угроз.
Используйте аппаратные двухфакторные системы аутентификации. При таком типе аутентификации для подтверждения личности пользователя при его обращении к информационным ресурсам и приложениям применяется аппаратный электронный ключ в форм-факторе USB или смарт-карты. По данным федеральной корпорации страхования вкладов США (FDIC), строгая аутентификация "...способна исключить возможность кражи счетов или существенно уменьшить количество таких преступлений и близка к тому, чтобы стать законной формой защиты счетов потребителей".
Для подтверждения подлинности пользователя необходимо не просто иметь электронный ключ, но и знать его PIN-код. Для качественного повышения безопасности лучше использовать USB-ключи со встроенной технологией смарт-карт. Являясь удобным и надежным решением для приложений безопасности, в которых применяются сертификаты, эти токены обеспечивают не только строгую аутентификацию, но и служат основой для внедрения PKI, электронного документооборота, ЭЦП и др.
Используйте защищенные соединения SSL. Использование протокола SSL позволяет осуществлять двустороннюю аутентификацию сервера и пользователя в ходе защищенного интернет-соединения. Таким образом, SSL дает пользователю возможность удостовериться, что он зашел именно на тот сайт, на который намеревался зайти. При этом не стоит игнорировать сообщения браузера, предупреждающие о том, что сайт не является безопасным. Ради интереса спросите у вашего коллеги, попадались ли ему такие предупреждения и каковы были его дальнейшие действия.
Регулярно проводите резервное копирование данных. Об этой "хрестоматийной" рекомендации никогда нелишне напомнить еще раз.
Обновляйте конфигурацию операционных систем. Ни для кого не секрет, что ОС содержат так называемые эксплойты, или уязвимости, которые в массовом порядке используются злоумышленниками для атак на сети и отдельные компьютеры. Минимизируйте эти возможности, постоянно обновляйте настройки операционной системы в соответствии с политикой и процедурами обеспечения информационной безопасности. Незамедлительно устанавливайте все патчи ("заплатки"), выпускаемые разработчиками ОС. "Незалатанная" система - это большой риск для компании и отличная возможность для взломщиков сетей, которой они, будьте уверены, не замедлят воспользоваться.
Создайте доступную политику безопасности в компании. Политика безопасности компании не должна быть "кирпичом", лежащим на столе офицера безопасности. Это прежде всего рабочий документ, с которым должны быть ознакомлены абсолютно все сотрудники компании. Многоступенчатые технологии и системы информационной безопасности могут лишь затруднить фишинг-атаку с применением психотехник воздействия на человека, но исключить пресловутый человеческий фактор нельзя. Единственно верный способ максимально обезопасить компании от сетевой преступности - комбинировать средства технической защиты с эффективно действующей политикой информационной безопасности. Главное, необходимо убедить сотрудников в том, что безопасность компании зависит от каждого из них. Когда человек понимает, как им могут манипулировать, риск того, что он попадется на "удочку" злоумышленника, значительно снижается. В связи с этим следует регулярно информировать персонал о новых методах фишеров и других кибермошенников, объяснять, как реализуются те или иные угрозы, каковы техники работы социоинженеров, как проникают и распространяются вирусы и т. п. Также важно создать некий перечень неоспоримых правил работы как в интранете, так и в глобальной сети, который обязан соблюдать персонал компании.