Коронавирус-пандемията донесе скок в реализацията на различни видове кибератаки, но най-голям дял сред тях имат писмата с т. нар. „фишинг”. По-лошото е, че те вече са толкова добре изпипани, че звучат абсолютно достоверно. Така „на въдицата” се хващат дори потребители с отлична компютърна грамотност, които досега не са падали в клопката на виртуални измами. Това разказа Вихрен Славчев, управител на компанията за информационна сигурност Мнемоника, по повод отпадането на мерките за борба с Covid-19 и видимото завръщане на повечето бизнеси към нормален ритъм на работа.
Както се и предвиждаше, пандемията действително бе отлична възможност за киберизмамниците и те не пропуснаха да се възползват от нея. Около 65% от всички атаки през месеците на „социална изолация” са били фишинг, според данни, цитирани от Славчев. Измамните имейли често са използвали домейни, свързани със здравеопазването. Регистрирани са около 900 нови тертипа в съдържанието на фишинг-писмата.
Нови тертипи
Както и при всички други видове фишинг, страхът е движещият фактор, който кара потребителят да отвори писмото, да чете, да кликне изпратения линк към фалшив сайт, да попълни исканите имена и пароли. Затова фишинг-цунамито „Covid-19” без съмнение има колосален ефект.
Има обаче нещо необичайно. „На прицел този път бяха не редовите служители, а мениджмънтът от най-високо ниво”, подчерта Славчев. Атакувани са директорите на всички изпълнителни позиции. Мотивът – те са неподготвени за внезапно възникналата извънредна ситуация, притеснени са, „шашардисани”, а в същото време повечето от тях имат пълен достъп и всякакви права за всички дигитални системи в предприятието.
Към картината следва да се добави още един щрих в полза на измамниците – обикновено ръководителите на високи позиции си позволяват да искат от отделите по ИТ и сигурност да допуснат изключения от правилата за сигурност в компютърната мрежа на организацията. Това, разбира се, се мотивира с нуждата от удобство.
Умело написани писма
Сега, когато изглежда, че светът се завръща към нормалния ритъм на живот, мнозина специалисти прогнозират глобална икономическа рецесия. Ако тя се случи, ситуацията отново ще е благоприятна за киберзлодеите, предупреждава Славчев. Времената на икономическа криза са „златна мина” за киберпрестъпления.
От особено значение в настоящия момент е фактът, че покрай пандемията организаторите на виртуални атаки се увериха, че могат да правят много достоверно звучащи фишинг-послания. Техните писма са толкова умело написани, че и за опитен потребител е трудно да ги разпознае като измамни.
Например, според Славчев, някои послания се обръщат към потребителя, като му съобщават неговата парола за даден акаунт. Страшното е, че в много случаи този „социален инженеринг” сработва и уцелва вярно паролата – тогава у получателя не възниква никакво съмнение и той няма колебание, че полученото писмо действително е от институцията, представена като изпращач. Тогава на драго сърце попълва исканата от него информация.
Ролята на изкуствения интелект
Трябва да сме наясно, че добре написаните писма за рожба на много добра работа с психологията, предупреждава Славчев. В същото време той е категоричен, че това е работа на системи с изкуствен интелект, а не на живи хора. Едно ловко написано фишинг-писмо се разпраща на милиони имейл адреси – ако 15 или 20% кликнат на измамния линк, системата с изкуствен интелект бързо анализира „успешните” си попадения: какви са клиентите, какво общо има между тях, какво в съдържанието ги е убедило да действат. На тази база се изготвя следващото фишинг-писмо и то вече има още по-големи шансове.
„На въдицата” на фишинга се хващат дори потребители с отлична компютърна грамотност
(снимка: CC0 Public Domain)
До известна степен защитна стена за България се оказва фактът, че повечето от майсторите на фишинга боравят с английски, забелязали са експертите на Мнемоника на база регистрираните случаи. Системите с изкуствен интелект все още не са добре тренирани в боравенето с езиците, използващи кирилица, казва Славчев. Все още се долавя нескопосаност в превода, което издава измамниците. Това обаче няма да продължи дълго.
Бум на UEBA
Справянето с пороя от нови атаки бе голямо предизвикателство за отделите по ИТ и сигурност не само заради свръх-повишената активност, но и заради факта, че служителите работеха от домовете си – от всякакви устройства с всякакъв софтуер. Когато работещите не са в офиса, няма как да се види кой всъщност седи на отдалечения компютър, който се свързва към корпоративната мрежа, обяснява Славчев.
Това доведе до бум в търсенето на решения за анализ на потребителското поведение. Чрез тях за всеки дистанционно включен компютър се прави мониторинг на поведението и се следи за резки промени в типа дейност. Например, ако системата забележи, че даден компютър в системата генерира необичайно голям трафик през нощта, тя ще се „усъмни” какво прави той и автоматично ще спре работата му. Наричат се още User Behaviour Analytics (UBA) системи или User and Entity Behavior Analytics (UEBA).
Този вид решения не са нови. Извънредното положение обаче подтикна много фирми да побързат да ги внедрят – нещо, което са отлагали до момента. Най-интензивно внедряване е наблюдавано у големите организации, особено финансовите.
Предизвикателства в управлението
Управлението на подобен вид системи за регистриране на поведенчески отклонения и алармиране изисква известно търпение, за да се самообучи, както и значително внимание от страна на служителите в отделите за ИТ и сигурност. За някои от тях обаче постоянното следене на „алармите” е твърде голяма тежест. В такива случаи те могат да се обърнат към доставчиците на UBA/UEBA и да поискат следенето да се управлява от опитни експерти на самия доставчик – под формата на външна услуга. Това се прави в център за мониторинг – т.нар. Security operation center (SOC).
По време на пандемията станахме свидетели на скок на интереса към нашите центрове за сигурност, посочва Славчев. Той очаква, че следващият голям пик в активността на фишинг-измамниците ще използва темите за новите фондове и програми за подпомагане на икономическото възстановяване след кризата Covid-19.