Количество краж с банковских счетов зашкаливает: Интервью директора Центра вирусных исследований ESET Александра Матросова

Москва, 22 мая 2012, 17:49 — REGNUM  За последнее время произошло довольно много инцидентов в области информационной безопасности, которые так или иначе затронули каждого из нас: это и история с сетью зараженных устройств от компании Apple, и рост угроз для мобильных устройств, в особенности для смартфонов под управлением Android, а также многочисленные атаки так называемых "хактивистов" - борцов за свободу с помощью киберпреступлений. Подробнее об этом в беседе с корреспондентом ИА REGNUM рассказал Александр Матросов - директор Центра вирусных исследований и аналитики ESET, международного разработчика антивирусного ПО и решений в области компьютерной безопасности.

ИА REGNUM: Расскажите, что изменилось за последние пару лет в области киберугроз?

В течение последних 2,5 лет продолжает увеличиваться число преступлений в области дистанционного банковского обслуживания. В начале этого года и в конце прошлого эта ситуация достигла некоторого апогея, количество инцидентов просто зашкаливало.

За последний год мы отметили некую таргетированность: киберпреступники разрабатывают специальные расширения под конкретные банки, которые позволяют им более эффективно красть деньги со счетов банковских клиентов. Это довольно-таки новая тенденция, используемая злоумышленниками чуть более полугода. Конечно, идет некоторое противоборство со стороны банков, они пытаются вводить новые уровни защиты, чтобы не так просто можно было украсть деньги со счетов их клиентов. Банки стараются, пусть очень медленно и неохотно, применять новые методы защиты.

Наше основное направление деятельности - это именно техническая экспертиза в области вредоносных программ и поддержание нашего продукта в таком состоянии, чтобы он эффективно защищал наших пользователей.

ИА REGNUM: Появилось ли что-то новое в сфере киберпреступлений?

Если говорить о новых видах преступной деятельности, то тут можно отметить, что увеличилось количество мобильных вредоносных программ для платформы Android. Сейчас идет миграция с того, что было ранее на платформе Symbian, - это в основном программы, которые отсылают платные sms, но, тем не менее, есть интересные схемы в плане размещения этих вредоносных программ в официальном Android Market'е. Наши коллеги из Буэнос-Айреса проводили исследования и выяснили, что каждая третья программа, скачанная пользователем в Android Market'е, являлась вредоносной. Это касается, естественно, бесплатных программ. Чаще всего это привлечение пользователя с помощью громкого бренда. К примеру, очень многие увлекаются игрой Angry Birds и ждут появления новых уровней, а злоумышленники этим активно пользуются, выпуская неофициальные дополнительные уровни. При установке программа выводит ошибку, что она некорректно обновилась, но на самом деле она установилась корректно, просто для других целей. Ее можно увидеть в активных процессах на телефоне, но, к сожалению, не все пользователи умеют это делать. Также есть вредоносные программы, которые устанавливаются на Android под видом антивируса.

ИА REGNUM: Получается, что выросло число угроз относительно программного обеспечения на платформе Android?

Да, естественно выросло. Потому как телефон непосредственно связан с балансом пользователя, а превращать sms в деньги преступники научились давно.

ИА REGNUM: Телефон на базе Android - это, по сути, мобильный компьютер. Нужен ли ему антивирус?

Два года назад я бы сказал, что он не нужен. Сейчас ситуация в корне изменилась. Конечно, стоит прислушиваться к здравому смыслу: если вы скачиваете программу с сайта "программыотваси.ру", то шанс получить вредоносное приложение на телефон очень велик. Если вы ищете программы, которые стоят денег, бесплатно, то эта вероятность также возрастает.

Кроме того, с популяризацией платформы Android появилось большое количество устройств, усугубляет ситуацию и то, что количество разработчиков аппаратной платформы для Android тоже очень велико. При этом Google не берет на себя ответственность за обновление этих телефонов и сопровождение их, т.к. у всех разная аппаратная составляющая и, безусловно, только сам разработчик этих телефонов понимает, как именно необходимо адаптировать новую прошивку под их устройство. Поэтому Google говорит, что мы, мол, предоставляем платформу, а вы как хотите, так и крутитесь. Но это повлекло за собой неприятную вещь. Дело в том, что разработчики гонятся за тем, чтобы выпускать новые устройства с новыми версиями операционной системы Android, но не обновляют старые, которые уже существуют. А злоумышленники используют уязвимости платформы Android старых версий.

ИА REGNUM: Можете вкратце рассказать, как же себя обезопасить?

В основном заражение происходит через взломанные web-сайты, через устаревшие java-машины, когда люди не устанавливают обновления. Есть проблема в том, что, если в больших компаниях системные администраторы следят за актуальностью версий java-машин на серверах обновлений, то в небольшой компании, занимающейся, например, сдачей в аренду двух экскаваторов, за обновлением никто не следит и таких компаний в России очень много. Соответственно, стоит помнить про обновления не только самой операционной системы, но и про обновления плагинов к браузерам, Adobe Flash, Java, Adobe Acrobat Reader, и, если их не обновлять, то степень риска заражения близка к 100%, т.к. сейчас, как я уже сказал, нельзя гарантировать, что, посещая какой-либо известный ресурс, он не распространяет вредоносное программное обеспечение. Это не значит, что не надо посещать эти ресурсы, нужно просто внимательнее относиться к безопасности своего компьютера. Дополнительно снизить риски, безусловно, позволяет антивирусное программное обеспечение. Мы всячески стараемся отслеживать вредоносные web-ресурсы, с которых осуществляются атаки на наших пользователей, и отслеживать сами вредоносные программы, а также совершенствовать проактивные методы обнаружения.

ИА REGNUM: Насколько популярны социальные сети среди злоумышленников?

Социальные сети по-прежнему остаются интересной платформой, в том числе и для распространения вредоносного контента, в основном связанного с расширением функциональности социальных сетей - играми и различными приложениями. В таких условиях очень сложно гарантировать пользователям приемлемый уровень безопасности. В Facebook, несмотря на то, что у них есть очень крупное подразделение по обеспечению безопасности, все время находятся какие-то уязвимости. Не всегда о них известно публично, но, тем не менее, они обнаруживаются. Во-вторых, Facebook позволяет устанавливать приложения, а раз вы установили его, то вы разрешили этому приложению взаимодействовать вместе со своим аккаунтом. Но именно через это приложение может быть взломан ваш аккаунт. Часто приложение взаимодействует с каким-то сторонним web-сервисом, и злоумышленник, обнаружив механизм компрометации этого сервиса, может получить доступ к вашему аккаунту с теми функциями, которыми обладает это приложение.

В России, к сожалению, даже крупные компании по разработке web-сервисов и социальных сетей пока не столь серьезно относятся к своей безопасности. Единственная российская компания, которая осуществляла публичный конкурс по поиску уязвимостей в своих сервисах, - это компания Яндекс. Если говорить про зарубежные компании, то, к примеру, Facebook, Goggle платят за уязвимости. Стоимость найденной уязвимости безусловно ниже, чем если ее продавать на черном рынке, но и требования к тому материалу, за который Google готов заплатить, тоже ниже - это найденная уязвимость и программный код, который ее демонстрирует.

ИА REGNUM: Цена вопроса?

Это, естественно, зависит от уязвимости. Я просто вам приведу пример. У меня есть один знакомый, студент 4 курса немецкого университета Бохума. Предварительно потратив около полугода на изучение способов их поиска и разработки инструментария, он нашел пять уязвимостей Google и получил за это 18 тыс. долларов.

ИА REGNUM: Бытует мнение, что пользователи Mac OC X априори защищены и им не нужны антивирусы. Так ли это?

Да, есть такое мнение. Однако в середине апреля впервые за всю историю отслеживания вредоносных программ был обнаружен ботнет на платформе Mac OC X. Было выявлено свыше 550 тыс. инфицированных компьютеров, на которые проник троян Flashback. После того, как это получило огласку, компания Apple поспешила выпустить специальное обновление Java, которое закрыло выявленные уязвимости. Дело в том, что Apple не позволяет сторонним разработчикам ПО устанавливать обновления даже для системных компонентов, которые находятся внутри операционной системы, в частности, это платформа Java.

ИА REGNUM: Центр вирусных исследований и аналитики ESET в России периодически участвует в расследовании киберпреступлений. Были ли какие-то интересные случаи?

В конце зимы была задержана группа, которая на протяжении двух лет занималась хищениями денежных средств через системы дистанционного банковского обслуживания, используя вредоносные программы Win32/Carberp и Win32/Rdpdor. Тогда были задержаны восемь человек, большая часть которых - т.н. "денежные мулы", занимающиеся выводом денег с украденных банковских счетов, обналичиванием этих денег в банкоматах в различных точках нашей страны и дальнейшей передачей этой наличности преступникам. Двое задержанных имели непосредственное отношение к содержанию этих вредоносных программ и атакам на пользователей. От действий злоумышленников пострадали клиенты свыше 100 банков по всему миру.

Это первое успешно завершенное дело, впервые в мировой практике удалось установить всю преступную цепочку. Естественно, это не совсем наша заслуга: мы активно сотрудничали с правоохранительными органами и с компанией Group IB, занимающейся расследованием компьютерных преступлений.

ИА REGNUM: А вообще оборот киберпреступного рынка увеличился?

Да. По данным Group IB в этом году он составил 2,4 млрд долларов. Количество инцидентов с банковским программным обеспечением возросло, а объем монетизации таких инцидентов достаточно велик, что позволяет злоумышленникам прогрессировать и оставаться безнаказанными.

ИА REGNUM: В целом по России уровень раскрываемости таких преступлений вырос?

Скажем так: он с нулевого поднялся на какой-то. Т.е. в процентном соотношении очень сложно оценивать, потому как это действительно очень маленький процент. Если следовать статистике обращений с точки зрения расследований киберпреступлений, то это происходит лавинообразно. Идет волна распространения банковских троянцев через легальные сайты и таргетированную аудиторию, следом, естественно, растет количество инцидентов. И их число может достигать 50 обращений крупных клиентов в месяц. Но это только те, кто решился заявить, что их атаковали. У нас в России вообще нет закона, который регулирует раскрытие атаки на свою инфраструктуру или утечку данных и прочее. Например, в юридическом кодексе США существует регламент: в случае если происходит инцидент, то компания признает это публично и предупреждает своих пользователей. Т.е. компания несет обязательство перед своими клиентами, которое она должна выполнить по закону.

А у российских компаний нет таких обязательств. И это не в их интересах. Если у нас компании начнут говорить о крупных инцидентах на инфраструктуру, об утечках данных - это все очень большие репутационные риски.

ИА REGNUM: Вы говорили 1,5 года назад, что если международное сообщество в ближайшие два года не объединит свои усилия в борьбе с киберпреступностью, то мы можем потерять контроль над интернетом. Есть ли какие-то изменения в этой области?

Изменилось, с точки зрения активности. К примеру, у нашего управления "К" не было достаточно компетенций и успешных кейсов по задержанию преступников в области банковского мошенничества. Сейчас, во-первых, уровень этих компетенций значительно повысился, во-вторых, появились успешные дела. И причем на самых высоких уровнях стараются уделять этому внимание. В том числе, и мы много шума в интернете наделали по этому поводу, выпуская различные пресс-релизы. С точки зрения глобального сообщества - сейчас создается специальное подразделение Интерпола по регулированию киберкриминальной деятельности в интернете, нацеленное на глобальное взаимодействие.

ИА REGNUM: Хактивизм набирает все большие масштабы и распространяется по всему миру. В частности, уже есть региональные подразделения кибергруппировки Anonymous в России. Как Вы относитесь к хактивистам и в целом к этому явлению?

Я отношусь к нему плохо. Потому что, в принципе, все начинания хактивизма являются деструктивными. Ничего хорошего эти люди не делают: они взламывают сайты крупных компаний, госсайты, и, в принципе, непонятно, что они пытаются таким образом доказать. Знаете, наверно лет 10 назад уже было подобное, когда человек, немного изучив основы веб-безопасности, находил небезопасный веб-сайт в интернете и, сменив его заглавную страницу на что-то не всегда приличное, считал себя высококвалифицированным специалистом в области информационной безопасности.

ИА REGNUM: А вообще хакер может принести пользу государству или компании?

Давайте разделять: есть люди, занимающиеся исследованиями в области безопасности, и если они достигают высоких результатов и находят уязвимости - и их называют хакерами, но, как правило, "белыми хакерами". Но также есть люди, которые делают то же самое, но не сообщают о найденных уязвимостях разработчику, у которого они были найдены, а продают их на черном рынке либо применяют в своих разработках вредоносных программ. Либо осуществляют взлом веб-ресурсов, с которых потом могут распространять те же самые банковские троянцы. Их тоже называют хакерами, но уже "черными". Поэтому те люди, которые на "светлой стороне", они могут принести пользу и, более того, во многих странах таких людей нанимают на серьезную работу в области исследований кибербезопасности в государственных интересах и разработки каких-то средств активного противодействия на кибератаки.

Если Вы заметите ошибку в тексте, выделите её и нажмите Ctrl + Enter, чтобы отослать информацию редактору.