‹ Обратно

Современная кибербезопасность и "офисный юмор" 20-го века

В 90-х годах XX века многие коммерческие организации не уделяли необходимого внимания компьютерной безопасности. Информационная безопасность без компьютерной техники в то время тоже была не на высоте. Достаточно вспомнить, сколько коммерческих секретов было подслушано в барах и прочитано в бумажных документах из мусорной корзины.

Именно в те годы я услышал анекдот о переводчике, который участвовал в допросе иностранных рабочих золотого прииска и утаил сведения о том, где были спрятаны украденные ценности. Подозреваемые иностранцы сознались в краже и сообщили переводчику местонахождение тайника, а переводчик сказал полицейскому, что они не признаются и не боятся даже казни. Так в анекдоте был иллюстрирован принцип атаки "человек посередине". Суть этой атаки в подмене данных таким образом, чтобы получатель сведений не заподозрил канал в компрометации.

Современные информационные отношения усложнились, и в них стало использоваться много технических устройств. Практикум информационной безопасности обладает огромным банком примеров компьютерных инцидентов. А в далёкие 90-е многие офисные шутки, связанные с неправомерным доступом, перехватом и подменой коммерческой информации, часто были не более чем шутками.

Некоторых сотрудников 1 апреля "подлавливали", заменяя обои на рабочем столе компьютера так, что при включении компьютера утром на привычном изображении экрана появлялось окно с каким-нибудь пугающим предупреждением и кнопкой закрытия или отмены. Разумеется, сколько бы пользователь ни кликал мышкой, нарисованное в фотошопе предупреждение никак не закрывалось. Сисадмин, который приходил по сигналу тревоги, имитировал хмурый вид, смотрел на экран, говорил что-то типа "Добаловались со своими вирусами!" и менял заставку рабочего стола.

Сегодня преступная практика фишинга (кражи данных через мошеннические сайты) знает приёмы, в которых пользователю присылается на почтовый сервис письмо со встроенными изображениями кнопок, имитирующих интерфейс почтового сервиса. Неопытный пользователь может принять рисунок кнопок в письме за часть интерфейса почтового сервиса, который, несомненно, вызывает доверие, кликнуть по фальшивой кнопке и перейти на фишинговый сайт. Мошеннический сайт обычно похож на почтовый сервис, и пользователь, не заметив ничего подозрительного, может думать, что находится на почтовом сервисе. Это позволяет мошенникам запросить от пользователя совершения действий по повторному входу в свой почтовый аккаунт, будто бы для подтверждения, например, скачивания файла, который будто бы прикреплён к письму. Такая мошенническая схема подробнее описана в книге Масалкова А. С. "Особенности киберпреступлений: инструменты нападения и защиты информации". В этом примере мошенники пробовали получить через фишинговый сайт данные для входа в почтовый аккаунт жертвы с целью "угона" аккаунта. Введение пользователя в заблуждение графическим изображением, подделывающим элементы интерфейса программы, как приём мошенников, известен ещё с прошлого века.

Следующий пример больше подходит для тренинга, чем для шутки. В одном офисе проверяли сотрудников на правильное реагирование, размещая на рабочем столе их компьютеров ярлык на сетевой диск "Бухгалтерия". Некоторые сотрудники, обнаружив при включении компьютера утром ярлык доступа к бухгалтерии, открывали эту папку и следовали далее по вложенным ярлыкам с интригующими названиями: "Зарплаты"; "Премии"; "Неофициальное" и т. д. Результатом такого любопытства был серьёзный разговор с начальством для предупреждения инцидентов в будущем. Ведь единственным правильным действием в такой ситуации было незамедлительное уведомление системного администратора или вышестоящего руководства о выданном лишнем доступе к коммерческим сведениям.

Сегодня информационная безопасность, например банковская, обладает большими возможностями для создания ложных систем и хранилищ данных, которые могут взламывать различные преступные элементы, совсем не подозревая, что их завели в специальную ловушку.

В системе обучения безопасности разработано много проверочных ситуаций. Следующий пример иллюстрирует то, что инструктаж эффективен только тогда, когда его правила выполняются на практике. В одной компании системным администратором был проведён инструктаж сотрудников о правильном обращении с внешними файлами, которые присылают клиенты по электронной почте или передают на дискетах и CD. Через несколько дней после инструктажа сотрудники пришли в свой кабинет и увидели небольшой беспорядок на столах. Им объяснили, что это компьютерщики в спешке работали всю ночь, так что всё нормально. Один из сотрудников обнаружил в своём компьютере забытую дискету и открыл её без проверки антивирусником. На дискете было что-то похожее на папку с файлами, у неё был значок папки с названием "красотка[точка]exe". Сотрудник открыл файл, который "притворялся" папкой, и на экране монитора появилась надпись "Из-за таких, как вы, коллектив теряет премии!". Разумеется, оправдания сотрудника тем, что он был уверен, что это безопасная дискета от компьютерщиков, которые забыли её в дисководе, не были приняты во внимание. Сотрудника обвинили в нарушении инструкции при работе с подозрительными файлами.

Следующий пример связан с тренингом по обработке контактных данных. Раньше компании часто использовали бесплатный почтовый сервис для своей коммерческой переписки. Это давало возможность мошенникам регистрировать похожие электронные адреса, отличающиеся одной или несколькими буквами. В одной компании сотрудники выборочно подверглись проверке: им на электронный адрес поступили письма с фальшивых почтовых адресов будто бы от клиентов с просьбами в ответном письме продублировать информацию по последним платежам или внести в список новый адрес электронной почты, так как этот больше не будет использоваться. Проверяемым сотрудникам были присланы и другие предложения. Общей целью этих контактов являлось установление с сотрудником доверительной связи под видом знакомой компании. Вышеуказанный пример не относится к шуточным действиям, но является учебной ситуацией, которую реализовали в целях тренировки сотрудников.

Сегодня почтовые сервисы с помощью удобных инструментов могут группировать письма по отправителю, но в недалёком прошлом, если в почтовом клиенте или аккаунте на сервисе не были настроены правила фильтрации писем, то поддельные письма вполне могли смешаться с достоверными адресами.

Для успешной имитации известного почтового адреса использовался человеческий фактор - возможная ошибка осмотра человеком написания адреса. Эти методы и сегодня используются мошенниками для создания фишинговых сайтов:

• в поддельном названии могут быть двойные буквы, особенно если название длинное (например, "sitecompany" - "sitecompanny" или "siteccompany");
• перестановка букв ("sitecompany" - "stiecompany");
• буквы могут имитироваться другими буквами (например, буква "m" - буквы "rn" или "n", буква "w" - буквы "vv", буква "l" - буква "i", буква "o" - цифра "0");
• пропуск букв (например, "sitecompany" - "siteompany");
• и другие.

В сфере коммерческих отношений при использовании электронных систем в течение нескольких десятков лет произошёл заметный переход от малозначительных к значимым процессам. Многие события, которые могли раньше восприниматься как шутка из-за того, что было меньше возможностей причинения коммерческого ущерба (меньше платёжных средств; меньше данных, обрабатываемых автоматизированными системами; меньше операций для удалённых сотрудников и т. п.), теперь внимательно изучаются службами обеспечения безопасности. Есть и позитивные результаты этих изменений: с развитием программно-аппаратных комплексов обеспечения информационной безопасности многие простые схемы вредоносного воздействия стали невозможны или нерентабельны для преступников.

 

8 апреля 2025 года.

Автор: Демешин С.В.

Ключевые слова: защита коммерческой информации, информационная безопасность, кибербезопасность, компьютерная грамотность, психология