Хакеров интересуют вовсе не деньги на банковских карточках пользователей. Они – охотники за контактами. Зачем злоумышленникам доступ к данным рядового клерка и почему это может угрожать целой корпорации, агентству КазТАГ рассказал специалист по информационной безопасности ОО «Национальный аналитический информационный ресурс» Дмитрий Бурминский.
- Дмитрий, какие данные представляют для хакеров наибольшую ценность?
- Это ваши контакты. Им не интересны 50 тыс. тенге на вашей карте. Это слишком мелко и слишком опасно. Прежде всего, нужно понять, кто именно охотится за данными. Во-первых, существует достаточно маленькая группа элитных людей по всему миру – IT-шники, хакеры, которые из идейных соображений стараются получить информацию у госструктур, корпораций, и потом эту информацию публикуют. Они не получают за это никаких выгод, кроме того, что они считают, что действуют правильно. Это самая элитарная группа.
Вторая группа – это охотники за информацией, в основном работающие в бизнес-разведке, для которых важно получить информацию, чтобы ее перепродать.
Третья группа, самая многочисленная, это те люди, которые либо только-только начинают учиться этому ремеслу, и еще не представляют, как и что нужно делать. Вот эта группа как раз и охотится за деньгами на вашей карте и старается всяческими способами усложнить вам жизнь. Но с ними разбираются как спецслужбы – различные подразделения кибербезопасности – так и службы безопасности банков.
Так вот, третья группа для рядового пользователя не представляет опасности, также, как и группа элитных профессионалов, потому что они вряд ли заинтересуются тем, что у вас на компьютере.
Самая опасная для рядового пользователя – это вторая группа, группа охотников за персональными данными. Им не интересны номера ваших счетов, им не интересно, что у вас лежит на компьютере, для них самое важное – понять, какие у вас есть связи, чтобы потянуть за веревочку и раскрутить весь клубок.
Приведу простой пример: у каждого есть мобильный телефон, который, в основном, подключен к Google-аккаунту или к электронной почте. Допустим, телефон журналиста. Ну кому нужна его персональная информация, если он пишет о сельском хозяйстве или городских новостях? Но этот человек может попасться на одну из уловок охотников, которые используют не только программное обеспечение для несанкционированного доступа к его данным, но также и психологию. Что значит взять данные у журналиста? С одной стороны, казалось бы, он мало что знает. Но благодаря тому, что злоумышленник может через него проникнуть в сеть, он может попасть в компьютер главному редактору и через его контакты найти выход на более интересных для злоумышленника людей. Потянув за информацию маленького клерка, журналиста или сотрудника частной структуры, можно выйти на очень большую информацию, которая стоит уже огромных денег.
Зачем этим людям ваши деньги на вашей карточке? Эти люди крадут исключительно ваши контакты – с кем вы контактируете, с кем у вас переписка. Получив базу этих контактов, он может двинуться дальше. Стоит отметить, что примерно 90% всех краж персональных данных, которые происходят сейчас, это ошибки самих пользователей. И лишь в 10% случаев – это использование программного обеспечения. По большому счету, люди сами отдают злоумышленнику свои данные. Получается, что люди, которые не заботятся о своей информационной безопасности, подставляют всех других людей, которые с ними находятся на связи.
- Получается, надежнее в старой бумажной записной книжке хранить все контакты, написанными от руки?
- Ну почему? Если в учреждении правильно ведется информационная кампания по безопасности, люди знают, что и как делать, на какие запросы можно отвечать, на какие запросы нельзя отвечать, то тогда все будет более-менее нормально.
- Как и зачем в интернет попадают базы данных телефонов, автомобильных номеров и т.п.?
- В России это было распространено особенно в 90-х годах и в начале 2000-х. Сейчас это прекратилось. Прекратилось не из-за того, что методы защиты стали более совершенными. Все, что сделал один человек, другой человек с удовольствием может сломать. Изменился сам подход к хранению данных.
В 90-х годах вытащить, например, базу автомобильных номеров даже в Москве не представляло особой сложности, достаточно было заплатить деньги. Те, кто охотится за вашими данными, это не только хорошие IT-специалисты, это еще очень хорошие психологи, которые сами себя называют социальными инженерами и используют методы социальной инженерии для того, чтобы получить нужные им данные через других людей. Я знаю, что в России не было масштабных взломов для получения незаконного доступа к базам данных именно с помощью технических средств. Нужные злоумышленникам данные как крупных компаний, так и государственных служб, вытаскивали обычные люди и за деньги их передавали. Когда в компаниях и учреждениях усилили кампанию информбезопасности и каждый сотрудник стал более-менее понимать, что он делает, когда наступила ответственность за такие деяния, то стало уже очень сложно вытаскивать эти данные.
Это не результат технического взлома, как представляется обывателю – человеку непосвященному. Ему кажется, что какие-то злые дядьки-хакеры написали программу, которая все взломала. Но это слишком дорого и неэффективно. Можно просто подкупить человека, и он вытащит эти данные, либо на время даст доступ к своему аккаунту для того, чтобы злоумышленник сам все сделал.
- Какая мошенникам польза от этих данных?
- Допустим, есть коммерческое учреждение и очень интересно получить его бухгалтерию, а также его участие в тендерах и какие суммы в каких тендерах оно будет выставлять. Конкурирующая компания хочет принять участие в том же тендере и хочет знать, какую сумму предложил конкурент, чтобы много не переплачивать, предложить на 5% больше и выиграть тендер. Вот такая информация представляет интерес. Как они ее получают?
Зная контакты мелкого клерка, который вообще не имеет отношения к этой информации, можно выйти через него на системного администратора. Затем, используя технические средства, можно от имени этого администратора нужным людям в этой коммерческой структуре, например, в бухгалтерию послать сообщение, что в связи с, например, изменением информационной политики или починки баз данных просим прислать данные своего аккаунта в системе и свой пароль. Люди, видя, что сообщение пришло от системного администратора, обычно не удосуживаются позвонить ему и спросить, действительно ли он это запрашивал. После этого они пересылают злоумышленнику свои данные, он входит в сеть под их логином и паролем и спокойно крадет нужную ему информацию. Технически сделать так, чтобы было похоже, что письмо пришло от системного администратора, не очень сложно, главное знать рабочий email этого администратора, через который он общается с сотрудниками своей организации.
- То есть простым гражданам утечка их данных грозит максимум навязчивой рекламой по телефону или email?
- Как самый минимальный вред – данные попадут к людям, которые занимаются спам-рекламой и почтовый ящик будет забит. Но это ерунда. Значительно хуже, если персональные данные попадут в обработку и злоумышленник вычленит нужных ему людей из контактов жертвы, а затем от его имени будет что-то просить. Это ложное чувство – я ничего не знаю и у меня красть нечего. Такой человек подставляет не себя, а очень большую группу людей.
- Данные о личной жизни, фотографии, система «Умный дом», видеонаблюдение – этим пользуются преступники (квартирные воры, черные риэлторы и пр.)? Или для них это слишком сложно?
- Могу только предположить, что для них эта информация была бы интересна. Но это совершенно разные сферы преступности. Квартирные воры будут, наверное, больше опираться на личное наблюдение, чем на очень сложное подключение к системам видеонаблюдения, вэб-камере компьютера или ноутбука. Это сложно и затратно. Люди, которые это делают, возьмут за свои услуги очень большие деньги. Есть ли смысл «брать» квартиру, чтобы потом отдать в 10 раз больше? Кстати, это один из самых распространенных мифов, что таким образом воры пытаются получать информацию.
- В связи с массовой цифровизацией ЦОНы, поликлиники, eGov и прочее практически вся информация хранится в электронном виде. Насколько она защищена?
- Насколько мне известно, пока тотальных взломов eGov не было, если информация где-то и просачивалась, то это были локальные случаи. Сеть все время находится под контролем, за ней ежесекундно наблюдают специалисты по безопасности как коммерческих учреждений, так и специалисты спецслужб и полиции, так как по сети идут огромные данные – коммерческие, государственные. То есть, с помощью технических средств вытащить эту информацию очень сложно. Просто так взломать eGov невозможно, взломщика найдут в течение нескольких часов.
- Информация о физических лицах, которая содержится в eGov, представляет какой-то интерес для злоумышленников?
- Не думаю, что она представляет какой-то интерес. Там же хранится только общая информация – история болезни, ИИН. Вот в банке хранится уже гораздо более интересная информация. Но есть целые структуры по информбезопасности крупных банков, которые не позволят школьнику, еле-еле научившемуся пользоваться эксплойтами (компьютерная программа для взлома), попасть в базу данных. Его найдут очень и очень быстро.
- Некоторое время назад в СМИ было несколько сообщений о том, что школьники взломали сайт Пентагона…
- Надо разделять сам сайт Пентагона от баз данных Пентагона. На сайте не хранится никакой секретной информации, там просто дается представление о том, чем Пентагон занимается, какая у него структура. В Пентагоне тоже не дураки работают, они на сайте не хранят свои секретные данные. Сайт - это просто сайт. Взломать его человеку, который хорошо в этом разбирается, не представляет сложности. Ну, взломал он этот сайт и что дальше? Написал там: «Я смог взломать сайт Пентагона», чтобы у всех эта страничка отображалась в течение 1-2 минут, а потом сайт будет восстановлен, потому что он всегда хранится в копии.
- То есть, сайты взламывают больше из баловства?
- Да, это баловство, этим могут школьники заниматься или студенты-недоучки. Это не похищение информации, это самоактуализация. Я думаю, это у них происходит каждый день – кто-нибудь пытается взломать или «дефейснуть» их сайт. Это делается, чтобы просто похвастаться перед друзьями. Потом приезжает полиция и наказывает очень серьезно. Обыватель думает, что если сайт Пентагона взломали школьники, то они прямо вундеркинды. В сети есть огромное количество информации о том, как взламывать сайты. Люди, которые дали Джулиану Ассанжу информацию по Пентагону, не сайт ломали, они ломали базы данных Пентагона и вытаскивали оттуда информацию. Обратите внимание, они это делали из своих идеологических убеждений, не ради денег.
- В последнее время часто звучат обвинения в адрес Facebook из-за утечки персональных данных. Кому и зачем нужны эти данные?
- Если говорить об утечке из Facebook, то в основном, эти данные представляют интерес для тех, кто охотится за базами данных для рекламных рассылок. Во-вторых, они интересны тем, кто пытается найти через вас ваши контакты. Представьте себе трехмерную сферу, где много-много точек. Каждая точка – это аккаунт в Facebook и все они связаны друг с другом. Возможно, вы какого-то человека не знаете, но через 3-4 ваших друга по цепочке нужный для хакера человек действительно найдется.
- В США есть такой вид преступности как кража личности – присвоение номера карт социального страхования, удостоверения личности, банковского счета и т.п. другого человека для совершения от его имени противоправных или иных действий. Возможно ли в перспективе возникновение такого явления у нас в стране?
- Да, с развитием информационных технологий это может стать возможным. Но создать аккаунт, через который можно контролировать все, у нас невозможно. Допустим, у вас есть аккаунты в трех банках. Они не связаны между собой, это три отдельных логина, три отдельных точки доступа. Во всяком случае, у нас банки работают еще более-менее по старинке, и получить только с помощью сотового телефона и ИИН кредит на другого человека практически невозможно. Если же это все будет связано в одном едином общем аккаунте, то это действительно будет представлять определенную опасность. Но опять же, в 90% случаев пользователь сам отдаст свою персональную информацию просто по незнанию.
- Что пользователь должен знать, чтобы не попасть в эти 90%?
- Во-первых, нужны хорошие пароли на все аккаунты, их нельзя держать где-то записанными на бумажке, их нужно запомнить. Во-вторых, пароль должен быть как минимум 10-значный, состоящий из цифр, букв и каких-нибудь знаков препинания, например, вопросительного знака, восклицательного. Я понимаю, что сложно удержать в голове 10 различных знаков, но мозг нам на то и дан, чтобы думать. Хотя, конечно, техника нам часто помогает этого не делать. Такой пароль будет очень сложно подобрать, чтобы получить доступ к вашему аккаунту. Конечно, все можно сделать, но 10-значный пароль на достаточно мощном компьютере будет расшифровываться около двух лет. Его бессмысленно таким способом добывать и поэтому обычно пользуются методами социальной инженерии, чтобы «выдурить» у человека его данные, чтобы он сам их отдал.
- Антивирусные программы действительно так надежно защищают данные?
- Абсолютной защиты быть не может. Это как вопрос о мессенджерах, который мне часто задают: какой из них абсолютно безопасный для переписки. Абсолютно безопасных мессенджеров и антивирусов не существует. Все достаточно относительно в цифровом мире. Потому что несведущий человек даже при наличии хорошего антивируса может сам отдать свои данные злоумышленнику и ничего ему не поможет. Здесь нужно думать головой. Абсолютное большинство вирусов, как и дефейс сайтов, пишут для тренировки. Например, люди, которые изучают низкоуровневое программирование на языке ассемблера, пишут вирусы, потому что это самый лучший способ разобраться в языке. Есть люди, которые это пишут, чтобы доказать, что они что-то могут. Есть и такие злобные люди, которые этими вирусами просто хотят навредить огромному количеству людей. По слухам, даже антивирусные компании иногда создают вирусы, чтобы их продукт оставался нужным и востребованным.
- Как вы в целом оцениваете отношение казахстанских пользователей к безопасности своих данных?
- Очень, очень плохо. У нас люди не понимают, как ценны их данные. Если из компании будет похищена какая-то информация, то службы информбезопасности найдут, откуда произошла утечка. У нас огромное количество людей, даже в госучреждениях, сидят на бесплатных и небезопасных почтовых клиентах – mail.ru, gmail.com, yandex.ru и т.п.
То, что у нас рядовые пользователи, в том числе и в госучреждениях очень плохо понимают политику информбезопасности – это огромный простор для действий злоумышленников.
Например, похищение хорошо раскрученного аккаунта в социальных сетях. Злоумышленнику такой аккаунт не нужен, но он его может перепродать компаниям, занимающимися спам-рассылкой. Сейчас в России это приняло размах стихийного бедствия. Украсть аккаунт в социальной сети – это все равно, что украсть ключ от квартиры. Или злоумышленник хочет просто перепродать раскрученный аккаунт, или через него украсть аккаунты друзей жертвы.
Или, допустим, приходит письмо: «Нажми на ссылку и получишь фотографии с «мимишными котами» и ведь жмут! И не просто рядовые пользователи, дети, а и люди, умудренные опытом. А потом у них начинаются проблемы – вирусы-вымогатели и т.д.
Но у нас люди очень несерьезно относятся к информбезопасности, потому что о хакерах существует огромное количество мифов и предубеждений, в том числе то, что от них абсолютно невозможно защититься. Все возможно, только, надо думать.
- Спасибо за интервью!
Источник: Kaztag.kz