По сути, они транслируют уровень защищенности своих банковских сейфов и денежных хранилищ (а давно ли последний раз вы слышали про ограбление именно банка?) на свою виртуальную инфраструктуру хранения капиталов. Но так ли это? Давайте посмотрим, как злоумышленники могут проникнуть внутрь информационной системы банка.

Сценарий 1. «Не читайте писем от незнакомцев»

Совет, вынесенный в заголовок этого сценария, очень популярен в среде специалистов по информационной безопасности. Да я и сам его часто даю. Но так ли он спасает от современных угроз? Увы, панацеей его считать нельзя. По ту сторону баррикад работают организованные преступные группы, в числе которых есть и психологи, прекрасно осознающие, как с ними будут бороться. Знают они и этот совет. Но представьте себе ситуацию. Перед сотрудником департамента HR поставлена задача в кратчайшие сроки закрыть вакансию в департаменте управления рисками. На сайтах поиска работы, в социальных сетях, на сайте банка размещается описание вакансии и указывается e-mail сотрудника HR, на который необходимо присылать резюме. И сообщения начинают приходить, причем с вложениями в виде файлов с расширением *.docx или *.pdf, которые, конечно же, открываются и просматриваются.

Когда в банке проходит сокращение, и об этом становится известно средствам массовой информации, а значит и хакерам.

Или вот еще одна реальная ситуация. В банке проходит сокращение, и об этом становится известно средствам массовой информации, а значит и хакеры могут прочитать об этом. Многие сотрудники, уже получившие уведомление от отдела кадров или только ждущие его, испытывают нервный стресс, и основной вопрос, стоящий у них на повестке дня: как жить дальше? Именно в этот момент они особенно уязвимы для целенаправленной атаки злоумышленников, которые рассылают письма, содержащие предложения работы или ссылки на сайты с вакансиями или иным образом эксплуатирующие желание уволенного сотрудника поскорее найти работу. Сотрудник открывает такое сообщение, не особо задумываясь о безопасности, даже если раньше он постоянно соблюдал компьютерную гигиену. Ну а дальше дело за малым: увольняемый сотрудник или кликает по ссылке, ведущий на сайт с «вкусными» вакансиями, или открывает файл Word, якобы содержащий описание интересного предложения «карьерного роста».

Тройку ситуаций, позволяющих злоумышленникам заставить сотрудника банка открыть письмо от незнакомца, замыкает более сложный сценарий, занимающий чуть больше времени, но и являющийся более эффективным. Перед компьютерным вторжением злоумышленники проводят разведывательные операции, собирая всю возможную информацию, способствующую облегчению их труда. Например, они заходят на страницу банка в социальных сетях (а сейчас такой способ работы с клиентами используют многие кредитные организации) и начинают анализировать список «лайкнувших». Кто обычно кликает на кнопку «мне нравится» применительно к банку? Либо его клиенты, либо сотрудники, либо журналисты. По страничке лайкнувшего пользователя можно понять, в какую из категорий он попадает. Дальше анализируется круг его знакомых и интересов, который позволяет сформировать точечное и сфокусированное сообщение, вероятность открытия которого гораздо выше, чем у обычных массовых рассылок.

Сценарий 2. Доверяй, но проверяй

Описанный выше сценарий может быть применен не только для отправки сообщения по e-mail, но и для атаки через сами социальные сети. Прежде чем я опишу его, ответьте себе на вопрос: сколько у вас друзей в Facebook или в «В контакте»? А скольких из них вы знаете лично? Ну и уж совсем дерзкий вопрос: а насколько вы уверены, что тот «друг», с которым вы вступили в виртуальные отношения, действительно тот, кого вы знаете в реальности? Если число «друзей» в ответе на последний вопрос совпадает с первым, то вы уникальный человек. Лично у меня эти числа не совпадают примерно на порядок.

Хакеры используют разные уловки для того, чтобы втереться к вам в доверие.

И вновь, как и в предыдущем сценарии, злоумышленники используют психологический прием: человек из вашего ближайшего круга вызывает у вас больше доверия, чем незнакомец, не зачисленный вами в «друзья». Поэтому хакеры используют разные уловки для того, чтобы втереться к вам в доверие: создают фальшивые учетные записи, похожие на вашу по кругу интересов, подписанным группам, музыке и т. п. В идеале, по задумке психологов со знаком минус, вы должны видеть в напрашивающемся в друзья человеке себя и, не задумываясь, на предложение дружбы нажать «согласен».

Ну а дальше все просто. Увидев в ленте друга ссылку на «прикольное видео» или получив ее даже в личном сообщении в чате, вы с большим доверием кликните по ней. И злоумышленник получит контроль над вашим компьютером так, как он это сделал бы, если вы откроете вложение в сообщение электронной почты в первом сценарии.

Сценарий 3. Бесплатный сыр только в мышеловке

Иногда злоумышленники идут немного иным путем, без разведки в социальных сетях и без сбора информации о банковских бизнес-процессах. Достаточно раскидать перед офисом банка несколько флешек, содержащих вредоносное программное обеспечение. А для того чтобы скрыть его и отвлечь внимание пользователя, на флешку можно накидать чего-нибудь «личного» — музыкальных композиций, видео, фотографий.

Попробуйте на секунду отвлечься и представить, что вы нашли лежащую перед входом в банк или на банковской парковке для гостей или сотрудников флешку. Ваши действия? Вы отпихнете ее ногой или поднимете? А если последнее, то каковы будут ваши действия дальше? Отнесете в службу безопасности, которая, согласно письму Банка России 49-Т, должна будет проверить эту флешку на изолированном компьютере? Или вы из любопытства воткнете ее в свой рабочий компьютер? А может быть, вы ее просто отдадите своему ребенку (пусть поиграет)? Вероятность того, что любопытство возьмет верх, очень высока, как и вероятность последующего заражения вашего компьютера.

А у меня есть антивирус, и он меня спасет!

Даже современный антивирус не является защитой от специально подготовленных вредоносных программ.

Вы вполне законно можете мне возразить, что у вас на компьютере стоит антивирус, который обезопасит вас от любого заражения. Вынужден вас огорчить: даже современный и регулярно обновляемый антивирус не является защитой от специально подготовленных вредоносных программ. Да, от массовых вирусов он защищает, но не от целевых атак. Со временем, конечно, он «узнает» об этой угрозе, и его база вирусных шаблонов пополнится очередным творением злоумышленников. Но происходит это обычно спустя некоторое время (день, другой, неделю), которого достаточно для заражения вашего компьютера и проникновения в банковскую информационную систему. Но о том, почему современные антивирусы не защищают вас от современных угроз, мы поговорим в следующий раз.

А пока я могу посоветовать вам тоже думать о своей безопасности, не перекладывая эту ношу на плечи своей службы информационной безопасности. Как говорится в известной латинской поговорке: Praemonitus praemunitus, или «Предупрежден, значит вооружен».