Безопасность

Как удаленная работа повысила риск кибератак и причем тут коронавирус

11 мин
17/04/2020

В условиях карантина не каждая компания может обеспечить сотрудникам VPN, защищенный удаленный доступ или корпоративную технику. В результате работники пользуются собственными ноутбуками и смартфонами, а также подключаются к незащищенным сетям. Всё это повышает риск кражи персональных и корпоративных данных. 

Как злоумышленники атакуют корпоративные сети

Один из самых популярных видов атак — фишинг. Он направлен на кражу персональных данных пользователей с помощью поддельных сайтов, имитирующих настоящие. По данным PwC India количество фишинговых рассылок стабильно растет с начала февраля 2020 года, что указывает на попытки мошенников воспользоваться беспокойством сотрудников во время эпидемии коронавируса COVID-19. 

Аналитики указали на резкий рост проникновений в корпоративные сети и кражи данных ведущих индийских IT-компаний: начиная с февраля, число атак возросло в три раза. Согласно данным PwC, основным фактором угрозы стал переход сотрудников на удаленную работу: компании старались настроить инфраструктуру VPN в кратчайшие сроки, но незащищенные устройства и подключения к небезопасным сетям позволили хакерам развернуть широкие фишинговые кампании.  

Злоумышленники маскируют страницы входа в систему, а затем рассылают пользователям вредоносные ссылки по электронной почте. Для привлечения используются бот-сети или известная заранее база необходимых адресов для таргетированной атаки. Мошенническое письмо может прийти под видом важной информации о распространении вируса или письма от отдела внутренних коммуникаций.

Реакция на эпидемию — дополнительный инструмент в социальной инженерии для злоумышленников, при этом прошлые методы атак сохраняются. Например, основной угрозой в Индии стала вредоносная программа AZORult, предназначенная для кражи учетных данных. Это вредоносное ПО существует уже более трех лет, но в ситуации эпидемии оно вновь стало актуальным. Злоумышленники маскировали почтовые рассылки под важную информацию, связанную с распространением коронавируса.

Письма от мошенников 

Национальный центр кибербезопасности Великобритании обнаружил сообщения электронной почты, в которых используется вредоносная программа Agent Tesla. Мошеннические электронные письма отправлялись под видом сообщения от Генерального директора ВОЗ 19 марта 2020 года. Ранее похожая рассылка предлагала приобрести термометры и маски для лица. В электронном письме под видом изображений продуктов, содержался загрузчик вредоносного ПО. 

В других кампаниях электронные письма содержали вложение Microsoft Excel или URL-адрес, ведущий на загрузку электронной таблицы Excel. В обоих случаях файл Excel содержал макросы, которые запускали встроенную динамическую библиотеку (DLL) для установки вредоносной программы — трояна GraceWire через загрузчик Get2.

Другая вредоносная программа, TrickBot, также использовалась в различных кампаниях, связанных с COVID-19. В одном примере электронных писем, нацеленных на итальянских пользователей, прикрепленный документ содержал вредоносный макрос, который загружал пакетный файл (BAT), запускающий JavaScript с последующим включением TrickBot.

 Источник: https://www.us-cert.gov/ncas/alerts/aa20-099a

Во многих случаях трояны, такие как TrickBot или GraceWire, скачивают другие вредоносные программы: трояны удаленного доступа, desktop-sharing клиенты и «вирусы-вымогатели».

Вредоносные мобильные приложения

Исследование компании BroadbandSearch показывает, что доля мобильного трафика каждый год растет и в 2019 составила 53% от мирового интернет-трафика. Злоумышленники активно используют мобильные устройства в качестве вектора кибератак — корпоративные мобильные устройства давно находятся под угрозой. В 2017 году Check Point проводил опрос среди специалистов в области информационной безопасности. Исследование показывает, что 58% специалистов сталкивались с атаками на мобильные устройства компании, а около 64% респондентов сомневаются, что их компании могут защититься от кибератак на мобильные устройства. 

Столь массовое применение смартфонов в корпоративной среде и высокие показатели кибератак на них дали импульс для развития решений по защите мобильных устройств — MTD (Mobile Threat Defense). Есть несколько способов обезопасить смартфон для работы: настроить полноценный MDM / EMM для смартфона, либо создать в мобильном устройстве контейнер для рабочих задач, защищенный дополнительным пин-кодом: у сотрудника появится доступ к корпоративным данным и ресурсам только после аутентификации. Пользоваться установленными в контейнере корпоративными приложениями — почтой, календарями и другими рабочими ресурсами — пользователь сможет через установленный VPN-туннель. Таким образом корпоративные данные будут полностью изолированы от личных и защищены. При незащищенных соединениях злоумышленники могут получить доступ к данным обоих профилей и использовать их для вымогательства или проведения дальнейших атак.

Например, в начале марта 2020 года было обнаружено новое вымогательское ПО — Covidlock, замаскированное под приложение для отслеживания распространения коронавируса на тепловых картах в реальном времени. При установке приложение предлагало пользователям предоставить ему доступ администратора к смартфону. Получив доступ, злоумышленники блокировали экран устройства и требовали выкуп в криптовалюте.

Источник: https://www.zscaler.com/blogs/research/covidlock-android-ransomware-walkthrough-and-unlocking-routine

Атаки при помощи SMS 

Большинство попыток SMS-фишинга еще до эпидемии было связано с вымогательством. Это были фальшивые сообщения о неоплаченных штрафах, просроченных налогах, ошибочных платежах или скидках. Получая сообщение, содержащее в себе вредоносную ссылку, пользователь попадал на фишинговый ресурс, где и оставлял свои данные. Чтобы создать впечатление подлинности и вызвать доверие, злоумышленники подделывают не только вид сайта, но и информацию об отправителе. 

Национальный центр кибербезопасности Великобритании зафиксировал рост мошеннических SMS, замаскированных под сообщения от органов государственной власти: например, сообщения приходили с адресов COVID и UKGOV. Недавно россияне также столкнулись с поддельными сообщениями о штрафах за нарушение самоизоляции. 

Источник: https://www.ncsc.gov.uk/files/Joint%20Advisory%20COVID-19%20exploited%20by%20malicious%20cyber%20actors%20V1.pdf
Источник: https://twitter.com/korneevjr/status/1248947718694801408?s=19

Личные устройства в компаниях

BYOD (Bring Your Own Device) — концепция использования личных устройств сотрудников во время работы. Это позволяет многим компаниям сокращать расходы и не покупать одинаковое оборудование, однако повышает риск киберугроз. По данным исследования Samsung 2018 года почти 80% работодателей указывают, что их сотрудники не могут эффективно выполнять свою работу без мобильного телефона, а три четверти считают, что мобильные устройства необходимы для их бизнес-процессов. 

В то же время только 17% предприятий предоставляют мобильные телефоны всем сотрудникам, 31% полагаются на BYOD, а остальные 52% используют гибридный подход: сотрудники получают устройства в зависимости от должности или стажа работы. При использовании личных устройств для работы из-за их широкого разнообразия, версий ОС и прошивок IT-специалисты вынуждены подстраиваться и работать с каждым устройством индивидуально.

Идеальная с точки зрения безопасности картина — это, например, ноутбук, который IT-специалисты настраивают и передают сотруднику со всем необходимым ПО. Сотрудник может пользоваться им без ограничений, но лишен прав администратора. Всё под контролем: любая установка ПО или обновлений согласуется со службой безопасности, а обмен данными происходит по внутренней рабочей сети, что обеспечивает меньшую нагрузку на корпоративные системы и дополнительную безопасность данных. 

Кратко: как защитить свои данные 

Во-первых, не забывайте о правилах личной кибербезопасности. Расскажите сотрудникам о возможных угрозах, попросите их не устанавливать непроверенные приложения. Не переходите по незнакомым ссылкам в электронных письмах: важную информацию, особенно в условиях пандемии, проверенные ресурсы сообщают в теле письма. Рассмотрите EMM в качестве решения для обнаружения подозрительной активности на устройствах сотрудников — это поможет предотвратить «слив» чувствительной информации.

Если подозреваете, что ваши сотрудники столкнулись с подобными атаками, попросите их сменить пароли, проверить банковские счета на предмет подозрительных операций, а также свяжитесь с ресурсом, чей сайт скопировали злоумышленники. 

Наталья Заморская

Автор

Даниель Захур

Редактор

Похожие статьи

Update — медиа, в котором МегаФон рассказывает, как технологии меняют бизнес. Это наш пилотный проект, поэтому нам важно знать ваше мнение. И не забудьте подписаться на нашу рассылку! 🙂
© 2020 ПАО «МегаФон»
Сделано в
Red Collar