Не попадись на крючок: как кибермошенники будут атаковать в 2024 году

Методы преступников в интернете с каждым годом становятся все более сложными. Но в большинстве случаев лучше всего по-прежнему работает социальная инженерия.

Представим, что пассажир опаздывает на поезд в Петербург и пытается приобрести билет за 10 минут до его отправления. В единственной работающей кассе очередь, а автоматы, допустим, не работают. Пассажир вбивает в интернет-поисковике «билеты на «Сапсан», потом в спешке вводит свои паспортные данные и данные банковской карты на сайте, который выпал первым в поисковой выдаче. Но билет не приходит ни сразу, ни потом. Стоит ли уточнять, что сайт оказывается фишинговым и через несколько часов уже не работает?

Выступая на конференции «Территория финансовой безопасности» в середине ноября, директор департамента финансовой политики министерства Иван Чебесков рассказал, что в апреле 2023 г. директор административного департамента Минфина перевел телефонному мошеннику 3,8 млн руб. «У нас в Минфине были очень высокопоставленные люди, которые занимаются финансовыми рынками и разбираются, которых почти удавалось обмануть, потому что их ловили в определенные моменты и использовали определенные трюки, которые подходили именно для них в данном моменте, потому что они все время на бегу, заняты. Они [мошенники] умеют под это подстраиваться», – рассказал Чебесков.

Даже те, кто внимательно следит за отчетами специалистов по кибербезопасности, попадаются в столь очевидные ловушки. Нужно выбрать только место и время. Вы спешите? Вы чем-то расстроены или просто устали? Мошенники всегда начеку, они как раз ждали этого момента. С каждым годом они подбираются к нам все ближе, постоянно совершенствуя свои методы, чтобы оставаться незамеченными, пока не украдут корпоративную информацию, персональные данные, не выведут деньги или не установят на пользовательские устройства или оборудование зловредное программное обеспечение. Так есть шанс избежать встречи с ними?

Сухие факты

По итогам трех кварталов 2023 г. общее количество случаев мошенничества и кибератак в интернете выросло по сравнению с 2022 г. примерно на 10%, следует из поквартальных отчетов Positive Technologies. Абсолютное количество зафиксированных инцидентов эта компания не раскрывает. Но, по данным другого участника рынка, компании «Солар», ежедневно на российские ресурсы совершается более 170 атак. В «Солар» подсчитали, что за 2023 г. в сети оказалось 445 млн строк конфиденциальной информации, а общий объем утекших данных составил 91,8 ТБ.

В 92% атак на пользователей-физлиц и в 37% атак на компании использовались методы социальной инженерии, отмечается в отчете Positive Technologies. Целью таких атак в большинстве (в 56%) случаев была кража данных. Чаще всего атаки проводились через поддельные фишинговые сайты и электронные письма, а также социальные сети и мессенджеры. Злоумышленники эксплуатировали темы трудоустройства, служб доставки, политических событий и быстрого заработка, в том числе с помощью криптовалют.

В 2023 г. в атаках на клиентов банков наблюдался тренд на снижение атак, связанных только с социальной инженерией или исключительно с технологической составляющей (например, взлом мобильного приложения), отмечает технический директор SafeTech Павел Мельниченко. При этом наиболее опасные виды атак, в частности комбинация социальной инженерии и атак на техническую составляющую, используются злоумышленниками все чаще, знает он. Количество именно таких атак в финансовой сфере в 2024 г. будет расти, предупредил Мельниченко. 

Тактики злоумышленников ежегодно усложняются. Например, в августе 2023 г. специалисты американской компании-разработчика Imperva опубликовали отчет о масштабной фишинговой кампании, использующей более 800 фишинговых доменов, имитирующих 340 крупных компаний со всего мира. Согласно данным экспертов, злоумышленники создавали качественные одностраничные приложения на 48 разных языках для похищения данных банковских карт.

Кроме того, киберпреступники соединяли в атаках различные методы обмана. Например, зловредный набор инструментов Letscall, применявшийся в июле против частных лиц в Южной Корее, сочетает и фишинговые сайты, и вишинг – телефонный вариант мошенничества с использованием социальной инженерии. С помощью мошеннического сайта, имитирующего Google Play, киберпреступники распространяли шпионское ПО. Оно не только собирало информацию о зараженном устройстве, но и перенаправляло звонки в мошеннический колл-центр, в том случае если жертва замечала подозрительную активность и звонила в банк. Лжеоператор, опираясь на собранные шпионским ПО сведения, успокаивал жертву и обманом получал дополнительные данные или заставлял совершить перевод денег на мошеннический счет.

Что будет дальше?

Новые группировки появляются каждый год, и 2024 год гарантированно не станет исключением, отмечает руководитель BI.ZONE Threat Intelligence Олег Скулкин. Стоит ожидать увеличения количества прогосударственных группировок, а также роста вовлечения людей без специальных технических навыков в партнерские программы с применением коммерческого вредоносного ПО, считает эксперт.

Мы будем наблюдать галопирующий рост «квалифицированного» кибермошенничества, в том числе с использованием существующих онлайн-платформ электронной торговли, торгов, закупок, найма сотрудников и т. п., предупреждает руководитель департамента расследований T.Hunter, эксперт рынка НТИ SafeNet Игорь Бедеров. В числе киберрисков также можно назвать получение несанкционированного доступа к большим данным маркетинговых компаний, позволяющих идентифицировать социальный портрет каждого гражданина, взлом существующих систем шифрования с использованием квантовых вычислений и подделку и кражу биометрических идентификаторов и т. д., считает он.

Помимо этого в 2024 г. продолжится, вероятно, рост числа низкоуровневых хакерских атак и кибермошеннических операций, считает Бедеров: «Эта тенденция сохраняется десятилетие. Начало СВО только подстегнуло реальный рост таких правонарушений». 

Рост количества таких атак стимулирует рост рынка коммерческого вредоносного софта, который легко можно приобрести в даркнете, отмечает Скулкин. Этот рынок продолжит расти в связи с повышением спроса со стороны злоумышленников, добавляет он, такие инструменты значительно снижают порог входа в киберпреступность, делают средства атак доступнее и упрощают проникновение в корпоративный периметр. Кроме того, предложений услуг, связанных с проведением сложных кибератак, на теневых форумах станет больше, что позволит осуществлять сложные цепочки атак менее квалифицированным злоумышленникам, рассуждает эксперт.

«В открытом доступе и на теневых хакерских форумах растет предложение по обучению методам кибератак, включая создание вредоносов и эксплуатацию уязвимостей. Даркнет продолжит служить торговой площадкой для еще не обнаруженных уязвимостей «нулевого дня». С ростом количества подключаемых устройств и технической сложности облачной инфраструктуры спрос на такие уязвимости продолжит увеличиваться, а предложение будет расти», – предупреждает эксперт BI.ZONE.

Новые киберугрозы могут проявляться в различных формах, включая усовершенствованные вирусы и вредоносные программы, атаки на облачные сервисы, утечки конфиденциальных данных, кибершпионаж, атаки на интернет-устройства (интернет вещей), социальная инженерия и др., перечисляет Бедеров. Они могут быть нацелены на уязвимости, возникающие в результате внедрения новых технологий, таких как искусственный интеллект, автономные системы или блокчейн, перечисляет он.

Все средства хороши

При выборе цели атаки геополитическая обстановка продолжит служить мотивацией для хактивистов, считает Скулкин. При этом высока вероятность, что они все чаще будут одновременно иметь и финансовую мотивацию, предупреждает он: требовать выкуп за ключи дешифрования или за неразглашение конфиденциальных сведений.

«Некоторые группировки, нацеленные на российские организации, в 2023 г. начали публиковать данные о жертвах на специально созданных страницах в интернете. Например, группировка Enigma Wolf через подобный сайт позволяла жертве даже купить пароли для расшифровки, – рассказывает эксперт BI.ZONE. – Финансово мотивированные хакеры, вовлеченные в атаки с использованием программ-вымогателей на территории России, все чаще будут использовать такие инструменты шантажа в случае отказа компаний платить выкуп».

Бедеров также прогнозирует рост хактивизма: «С одной стороны, он объективно продиктован формированием информационного общества, цифровизацией, повышением осведомленности населения. С другой – потенциальные киберпреступники видят слабость правоохранительной системы, что позволяет им выбирать киберпреступность в качестве допустимой и даже приемлемой нормы поведения».

В 2023 г. злоумышленники намного чаще атаковали Linux-системы, хотя раньше интерес к ним со стороны хакеров был невысоким, отмечает Скулкин. «Однако в связи с переходом на отечественное ПО в России Linux-инфраструктуры все чаще становятся объектом атак. В следующем году их количество только продолжит расти, а одним из востребованных навыков специалистов по кибербезопасности станет умение анализировать Linux-системы на компрометацию», – прогнозирует он.

«Фиш» – это рыба

Развитие технологий машинного обучения может привести к усовершенствованию фишинговых атак и атак на мобильные устройства, считает Бедеров. С развитием интернета вещей возможно увеличение атак на устройства, связанные с IoT, так как они могут стать новыми целями для киберпреступников, полагает он. Помимо этого безопасность мобильных устройств также может стать более актуальной проблемой, поскольку они продолжают занимать важное место в повседневной жизни людей, прогнозирует эксперт.

Сейчас многие санкционные приложения, в первую очередь банков, удаляются из официальных магазинов, из-за чего появляется несколько вариантов атак, говорит коммерческий директор SafeTech Дарья Верестникова: например, уже появляются поддельные приложения санкционных банков, куда их клиенты сливают все свои данные и реквизиты, и злоумышленник получает к ним доступ. У официальных приложений, которые после удаления перестали обновляться, риск взлома существенно выше, отмечает она. «Кроме того, банковские клиенты вынуждены устанавливать мобильные приложения с помощью «проводочка» в отделениях, т. е. подключаясь к компьютеру операциониста банка. При этом кратно возрастает риск заражения устройства от компьютера, который раздает доступ сотням клиентов банка ежедневно», – рассуждает Верестникова.

Осведомленность пользователей в области кибербезопасности постепенно растет, отмечает Скулкин. Это значит, что методы фишинга будут становиться еще более изощренными, включая использование ИИ для создания более правдоподобных мошеннических сообщений и маскировки атак, рассуждает он. «Предложений о создании фишинг-систем под ключ становится больше, и мы увидим их рост в следующем году. Все более доступные вычислительные ресурсы и прогресс в сфере ИИ приведут к увеличению интереса к атакам с использованием дипфейков. Без продвинутых средств верификации подлинность контента будет значительно сложнее подтвердить», – говорит эксперт.

Появятся новые киберугрозы для офисных систем, интернета вещей, систем искусственного интеллекта, подтверждает слова предыдущих спикеров заместитель директора Центра компетенций НТИ «Технологии доверенного взаимодействия» Руслан Пермяков. «Особенно актуально будет использование дипфейков при звонках от «банков», «прокуратуры» и т. д. Это будет выглядеть как видеозвонок от знакомого, который просит срочно что-то сделать. Технология дипфейков стала достаточно доступной, и мы можем увидеть новый класс мошеннических атак с использованием этого инструмента», – резюмировал он.