С началом пандемии коронавируса не появились новые киберугрозы. Но злоумышленники стали использовать текущие страхи и надежды людей. И вместо писем с предложениями получить наследство от дальнего родственника пользователи стали получать e-mail с информацией о якобы изобретенной вакцине или выплатах от государства. Как международные объединения борются с киберугрозами во время пандемии, журналисту Теплицы Екатерине Ульяновой рассказал Михаил Анисимов, менеджер по глобальному взаимодействию с заинтересованными сторонами в Восточной Европе и Центральной Азии корпорации ICANN.
Команда корпорации регулирует вопросы доменных имен, к ICANN присоединяются специалисты со всего мира, чтобы обеспечить безопасную и стабильную работу Интернета.
Игра на страхах
Любое значительное событие, привлекающее внимание большого количества людей, находит свое отражение в социальной инженерии. Это метод получения доступа к конфиденциальной информации, основанный не столько на каких-либо технических принципах, сколько на особенностях психологии людей. Поэтому во время пандемии коронавируса не появились новые киберугрозы, они просто получили новую «обертку».
Злоумышленники стали эксплуатировать текущие страхи, надежды, эмоции, чтобы получать деньги или персональные данные. Но основные угрозы остались прежними. Например, пользователям приходят сообщения на электронную почту или в мессенджеры со ссылками на сайты, доменное имя которых содержит какой-либо «ключевик», то есть такие слова, как «корона» или «ковид». У такого сайта несколько задач.
- Получение денег. На сайте есть форма оплаты. И людям предлагают внести какую-либо сумму, чтобы, например, получить вакцину.
- Сбор персональных данных, которые также являются ценностью. Их можно продавать, использовать для таргета. Особенную опасность эта угроза стала представлять с введением системы электронных пропусков, когда пользователям приходится делиться чувствительными данными.
- Распространение зловредного программного обеспечения. Пользователь устанавливает его на какое-либо устройство, а затем программа собирает данные или деньги.
Слова «ковид» или «корона» лишь одни из маркеров возможных киберугроз, но далеко не единственные. Согласно принципам социальной инженерии, злоумышленники встраиваются в текущую повестку и темы, которые представляют наибольший интерес.
«Например, если завтра появится лекарство с экзотическим названием и будет гарантия, что оно дает 90% результат в лечении коронавируса, злоумышленники будут эксплуатировать человеческое желание скорее излечиться. И название лекарства попадет в список «ключевиков». Потенциальную угрозу могут нести сайты и рассылки с информацией о поддержке малого бизнеса или налоговых послаблений. Поэтому нельзя ограничиваться отдельными словами. Чтобы понимать, какие темы могут быть использованы в недобросовестных целях, необходимо отслеживать всю текущую повестку». Михаил Анисимов
Что делает it-сообщество
Борьба со злоумышленниками, которые пытаются собирать деньги или персональные данные пользователей, начинается с доменов. Доменные имена или уникальные идентификаторы – это базис для всей адресной системы Интернета. Любые ссылки основаны на доменных именах. К тому же доменные имена – это еще и технологическая основа электронной почты. Поэтому работа с ними позволяет на самом корневом уровне понимать, что происходит. И делать так, что сайт перестает функционировать либо зловредная ссылка становится неактивной и не приносит угрозу.
Также важно понимать, что Интернет трансграничен. Находясь физически в России, пользователь может, используя американский адрес и выходя в сеть с помощью VPN, зарегистрироваться на сайте со зловредными ссылками в любой доменной зоне. А значит, любые усилия по борьбе со злоумышленниками и потенциально небезопасными доменами должны быть общемировыми и координированными.
Поэтому для борьбы с киберугрозами во время пандемии коронавируса было создано несколько международных объединений. Например, COVID-19 Cyber Threat Coalition и COVID-19 Cyber Threat Intelligence League (CTI). Участники этих объединений обмениваются данными и пытаются в общемировом масштабе нивелировать последствия киберугроз во время пандемии.
Еще по теме: Создана коалиция по борьбе с киберугрозами во время пандемии коронавируса COVID-19
Организация ICANN – координатор системы уникальных идентификаторов Интернета. Команда организации не контролирует контент в Интернете и не занимается непосредственно блокировкой спама или фишинговых сайтов. У ICANN есть доступ к спискам доменов, зарегистрированных в разных доменных зонах. Эти списки сканируются организацией, в них ищутся «ключевики» – слова, связанные с коронавирусом, пандемией, названием лекарств, государственной поддержкой.
Потенциально опасные домены, содержащие «ключевики», ICANN отправляет на проверку организациям-партнерам, которые занимаются анализом киберугроз, например, Virus Total, AlienVault OTX, Phishtank или Google Safe Browsing. Они проверяют список еще раз и определяют те домены, которые действительно замечены в подозрительной активности и могут принести вред конечному пользователю.
Именно этот уточненный список ICANN отправляет регистраторам доменных имен или организациям, которые отвечают за управление доменными именами. И уже они предпринимают какие-либо шаги, чтобы обезопасить пользователей. В большинстве случаев подозрительные домены, которые были проверены экспертами, просто блокируются.
Подробнее о том, как работает многоуровневый процесс проверки доменов, можно прочитать в инструкции ICANN.
«Списки потенциально опасных доменов меняются каждый день. В среднем ICANN находит около 3 тысяч доменных имен в день, которые содержат «ключевики». Всего на начало мая было найдено больше 80 тысяч таких доменов. После того как они прошли через все фильтры и были изучены специалистами, осталось около 7 тысяч доменов, которые совершенно точно содержат какую-то угрозу. Все они были отправлены нужным организациям, и они предприняли меры. Отмечу, что ICANN мало работает со страновыми доменными зонами, такими как .ru. Но мы держим с этими регистратурами контакт и видим, что у них часто есть собственные, не менее эффективные механизмы проверки доменов, и поэтому картина происходящего везде примерно одинаковая». Михаил Анисимов
Также по словам эксперта, многие регистраторы доменов начали действовать на опережение. И если в обычное время регистрация домена – это автоматический процесс, то есть пользователям достаточно выбрать имя и заплатить за регистрацию, то сейчас новые доменные имена, содержащие в имени слова-«ключевики», отправляются в лист ожидания. И специалисты вручную проверяют домен перед регистрацией.
Соревнование «брони и пули»
Процесс проверки доменных имен проходит достаточно быстро, потому что это автоматизированная история. Эксперты проверяют сайты вручную только в спорных случаях, когда есть сомнения. В основном же объединения и организации сверяют домены автоматически с помощью специальных инструментов. Поэтому список уникальных идентификаторов, которые могут представлять угрозу, пополняется быстро. Иначе в этом процессе не было бы никакого смысла.
«Но это постоянное соревнование брони и пули. Bсегда может появиться какой-нибудь новый вирус или изобретательный метод сбора персональных данных, которые не получится быстро вычислить», – рассказывает Михаил Анисимов.
Поэтому пользователям необходимо соблюдать базовые и простые правила кибергигиены, чтобы не попадаться на приемы злоумышленников и свести риски к минимуму.
- Не переходить по ссылкам, если их источник вызывает хоть малейшие сомнения. Сообщения с обещаниями гарантированного исцеления от коронавируса или мгновенной финансовой помощи лучше сразу отправить в спам.
- Если письмо пришло в почтовый клиент, не открывать его, а сначала проверить адрес отправителя. Например, если в заголовке указано, что это рассылка мэрии Москвы, а письмо при этом отправлено с почтового адреса gmail.com, очевидно, что злоумышленники.
- Смотреть на грамматику. Если в тексте много ошибок, это один из признаков того, что сайт или рассылка сделаны злоумышленниками. Очень часто они берут тексты на английском языке и переводят их на другие языки мира с помощью Google Translate.
- Использовать менеджеры паролей или хотя бы не составлять пароли, в которых есть какая-то смысловая история: имена, даты, клички домашних питомцев.
- Переключиться на безопасный режим в браузере. Списки подозрительных доменов передаются в том числе и производителям браузеров, они все время пополняются. Если пользователь захочет зайти на подозрительный сайт, он получит соответствующее предупреждение.
- Установить антивирус. Если он уже установлен, то нелишним будет проверить, что лицензия не истекла и антивирусная база обновлена.
Солидарность сообщества
«Общее количество угроз не поменялось, просто они мигрировали в другое смысловое поле. Это хорошая новость. Значит, «апокалипсис» не наступил и мы не падаем в пропасть», – делится Михаил Анисимов. Специалисты отмечают, что злоумышленники просто отталкиваются от социально значимого контекста. В начале 2020 года массово создавались фишинговые сайты, связанные с помощью животным, пострадавшим от пожаров в Австралии. Затем мошенники переключились на нефтетрейдинг и обмен валют.
Злоумышленники могут спокойно перемещаться из одной доменной зоны в другую. И если одна доменная зона вдруг предпримет чуть больше действий по борьбе с киберугрозами, они перейдут в другую. Будут другие ссылки, другой хостинг, но количество угроз не изменится. Поэтому борьба со злоумышленниками имеет смысл, только в том случае, если это общее дело, которым занимаются специалисты из разных стран. Для этого и создаются международные объединения.
Программы обмена информацией возникли задолго до пандемии коронавируса. Просто их работа стала более заметна. Из-за глобального характера пандемии общие угрозы затронули весь мир. Поэтому it-сообщество стало более мобилизованным, к международным объединениям подключается все больше участников. «Это дает надежду на то, что после того как пандемия пойдет на спад, мы получим еще более отработанные механизмы для будущей борьбы с киберугрозами», – уверен Михаил Анисимов.
