Кибератака — это намеренное использование телекоммуникационных и информационных технологий для нанесения вреда или нарушения работы систем. Злоумышленники могут вывести из строя важные сервисы или даже полностью парализовать работу компании.
Ее мотивы различны — от финансовых и политических намерений до просто развлечения. Кибератаки нацелены как на крупные объекты — провайдеров, организации, сети, сайты — так и на отдельных пользователей. Атака на пользователей, помимо взлома устройств, также включает в себя манипуляции через прямое взаимодействие с жертвой. Наглядные примеры того, насколько масштабными могут быть такие кибератаки освещены в статье «Крупнейшие утечки данных в истории».
Кибератаки могут осуществляться в полностью автоматическом режиме — например, фишинг или распространение вирусов-шифровальщиков, о которых расскажем подробнее в статье. Они могут инициироваться человеком и затем происходить в большей степени автоматически, как в случае многих DDoS-атак. Также хакерские атаки нередко полностью во время всего процесса контролируется человеком — в этом случае говорят о целевой или таргетированной атаке.
Виды и типы кибератак
Программы-вредоносы
Вредоносное ПО (malware, ранее его собирательно называли «компьютерные вирусы») — старейший инструмент кибератак, которому примерно столько же лет, сколько самим телекоммуникациям.
Основные виды кибератак с использованием malware, которые активны сегодня:
Шифровальщики (ransomware) — получивший наибольшую популярность в последние несколько лет тип зловредов. Программы этого типа, проникнув на компьютер, шифруют все файлы (блокируя к ним доступ владельца) и выводят на экран сообщение с требованием выкупа в криптовалюте. При этом выплата выкупа не гарантирует для жертвы ничего. Ransomware все чаще используются для атаки на крупные компании, промышленные производства и административные сети — из расчета, что для жертв такого типа бесперебойность работы критически важна, и они скорее заплатят выкуп.
Трояны — вредоносы, которые маскируются под легальные программы (и могут частично имитировать их интерфейс и функционал) с целью проникновения на устройство. Современные трояны похожи на швейцарские ножи: они могут выполнять широчайший спектр вредоносных действий и даже выбирать, исходя из данных зараженной системы, наиболее результативные активности в каждом конкретном случае.
Майнеры — зловреды, которые после попадания в систему (как правило, в качестве «бонуса» к пиратскому ПО или играм) используют ее ресурсы для майнинга злоумышленнику криптовалюты. Система перегружается, и работа становится затруднительной. В последнее время вредоносы такого рода стали значительно менее популярны из-за повышения сложности добычи криптовалюты.
Spyware — шпионское ПО, которое фиксирует действия пользователя на устройстве, чтобы злоумышленник смог получить удаленный доступ к его логинам, паролям и другим данным. Существует широкий диапазон подобных программ, от обычных кейлогеров до высокоспециализированного и очень дорогого ПО вроде Pegasus, которое применяется для политического и промышленного шпионажа.
Adware — сравнительно безопасный тип вредоносных программ, который всего лишь показывает надоедливые рекламные баннеры. Нередко Adware идет «прицепом» с бесплатными популярными программами. Сами по себе вредоносы такого типа не причиняют ущерба, однако они могут иметь и дополнительную вредоносную нагрузку — например, случайно кликнув по всплывшему рекламному баннеру, пользователь попадает на сайт, с которого на его устройство загружается вредоносный скрипт.
Признаки атаки программ-вредоносов
В зависимости от типа вредоноса, это может быть блокировка экрана, исчезновение данных, странное поведение системы, постоянная перегрузка ресурсов без видимой причины.
DDoS-атаки
Инциденты такого вида — едва ли не самые популярные виды кибератак сегодня. Распределенная атака типа «отказ в обслуживании» нацелена на перегрузку инфраструктуры жертвы, будь то сеть, сервер или DNS-сервер. В конечном итоге результат один — ресурс становится недоступным для пользователей.
Распределенность означает, что DDoS-атака проводится одновременно со множества разных адресов и устройств, чтобы жертве было сложнее отфильтровать вредоносные запросы. Как правило, для этой цели используются ботнеты — объединенные в единую атакующую сеть зараженные малварью компьютеры, телефоны и вообще любые «умные» IoT-устройства с выходом в интернет, вплоть до холодильников.
DDoS-атаки бывают разных типов и могут быть организованы на разные сетевые уровни (по модели OSI).
Признаки DDoS-атаки
Сайт или сеть работают с перебоями или вовсе перестают работать, анализ трафика показывает многократно возросшую по сравнению с обычной нагрузку.
SQL-инъекции
Одна из самых известных сетевых уязвимостей. SQL — старейший и основной язык управления базами данных. SQL-инъекция, соответственно, – метод вмешательства третьей стороны в запросы, которые приложение делает к своей базе данных. Таким образом злоумышленник может перехватить данные, к которым у него не должно быть доступа: например, персональные данные пользователей или другая ценная информация.
Получив доступ при помощи SQL-атаки, хакер может похитить данные, внести в них изменения на свое усмотрение, или вообще их удалить. В любом случае, ничего хорошего для владельца базы данных из этого не следует. Многие известные утечки данных стали следствием атаки с использованием SQL-инъекций. Поэтому предотвращение SQL-инъекций должно входить в базовые способы защиты организации от киберугроз.
Признаки SQL-инъекции
Если эта атака проведена аккуратно, она может вообще никак себя не проявить. Стоит, тем не менее, обращать внимание на получение избыточного числа запросов за короткий промежуток времени.
XSS-атаки
X-Site Scripting или межсайтовый скриптинг — вид кибератаки, когда злоумышленник включает вредоносный код в тело страницы сайта или приложения.
Код открывается и выполняется каждый раз при открытии страницы пользователем. При помощи такого скрипта хакер может получить доступ к финансовым или персональным данным.
Признаки XSS-атаки
Когда пользователь заходит на сайт, на его экране начинают происходить странные действия — например, загружается какой-то файл, открывается дополнительное окно для подтверждения, происходит перенаправление на другую страницу. Аналогично SQL-инъекции, хитрую XSS-атаку можно сразу и не обнаружить без помощи ИБ-специалиста.
Брутфорс и Дефейс
Один из самых простых и популярных способов взлома сайтов, который основан на том, что многие пользователи не пользуются безопасными паролями или пользуются одним и тем же паролем для всех сервисов. Брутфорсом называется попытка перебора всех известных простых вариантов связки логина и пароля (например, связки «admin—12345»).
Это делается автоматически специальными программами, как с доступом в админку сайтов (например, на популярной платформе Wordpress), так и с умными устройствами (владельцы чаще всего не меняют их заводские логины и пароли или даже не подозревают о них, а списки фирменных пар давно можно найти в даркнете).
Дефейс, соответственно, означает, что вместо главной страницы сайта злоумышленники могут разместить что-нибудь другое (в зависимости от своей фантазии). А могут оставить страницу прежней, но, например, добавить к ней некий вредоносный скрипт (см. XSS-атака), который будет срабатывать каждый раз при заходе пользователя на страницу и загружать ему вредонос на устройство.
Признаки брутфорс-атаки
Здесь все достаточно просто: если ваш сайт или аккаунт был взломан, вы, скорее всего, узнаете об этом быстро из-за начавшейся подозрительной активности.
Фишинг
Один из самых старых способов кибератаки, успех которого в большей степени зависит от степени доверчивости человека. С помощью методов социальной инженерии (имитация знакомого отправителя, игра на горячих новостях или теме распродаж) пользователя убеждают открыть приложенный к письму файл или перейти по ссылке.
Что происходит дальше, зависит только от фантазии злоумышленника — на компьютер или телефон может быть загружен вирус, украдены пароли и данные платежных карт, и так далее.
Признаки фишинга
Письма или сообщения в мессенджеры от неизвестных отправителей или известных, но с необычными сообщениями или просьбами. Нередко в фишинговых сообщениях русские буквы в некоторых словах заменяют английскими, чтобы пройти спам-фильтры, и используют другие характерные признаки, которые давно известны специалистам.
Чтобы узнать больше о том, как защитить себя и свою организацию от киберугроз, рекомендуем ознакомиться с нашей статьей, где подробно рассматриваются эффективные методы защиты как для индивидуальных пользователей, так и для компаний.
Своевременно обнаружить кибератаку и корректно определить ее тип — ключевой момент для того, чтобы начать применять комплекс мер для ликвидации ее последствий.
В идеале у организации должен быть прописан план реагирования на инциденты кибербезопасности, с пошаговым перечнем мер и указанием ответственных за них лиц. Также в штате должен быть сотрудник, который бы смог оперативно определить, что именно за атака происходит на организацию.
Последствия кибератак
Не предотвращенные и не отраженные вовремя кибератаки могут привести к широкому диапазону негативных последствий для жертвы:
- Финансовые потери от простоя, как прямые, так и долгосрочные. Также вредоносные действия могут привести к прямым убыткам, например, через вымогательство.
- Репутационные потери, отток клиентов.
- Утечки конфиденциальных данных. Например, у компаний это хищение персональной информации, как своей, так и клиентов, паролей, финансовых данных.
- Нарушение работы системы. В случае серьезного ущерба потребуется восстанавливать нормальное функционирование при помощи технических специалистов. А если атакованная организация отвечает за какой-то жизненно важный сектор (например, киберпреступники атаковавшие больницу могут парализовать ее работу), последствия могут быть и гораздо серьезнее.
- Долгосрочный ущерб безопасности в случае внедрения шпионского ПО для слежки за пользователями или самой компанией.
Как защититься от кибератак?
Ответ на вопрос, как защититься от киберугроз, зависит от конкретного вида атаки:
| Виды кибератак | Профилактика | Решение |
Программы-вредоносы
| Минимизировать возможность проникновения неизвестных программ на устройства. Не открывать вложения из подозрительных писем, не устанавливать ПО из сторонних источников, не пользоваться пиратским контентом. Регулярно совершать проверку данных при помощи антивирусного ПО.
| Воспользоваться услугами IT-специалистов для ликвидации последствий заражения вредоносами, либо воспользоваться антивирусным ПО самостоятельно (что не всегда может быть сделано). В случае атаки шифровальщиков — не платить выкуп за данные, так как нет никаких гарантий, что доступ к ним вернут. |
| DDoS-атаки | По возможности уменьшить количество каналов потенциальной атаки (например, снабдить капчей все формы обратной связи и заказов), использовать файервол, знать типичные и аномальные паттерны входящего трафика.
| Если атака уже произошла и текущая модель защиты с ней не справляется — подключить профессиональную защиту от DDoS-атак с автоматической фильтрацией трафика. |
| SQL-инъекции | Полностью исключить риски такой атаки нельзя (это бы значило отключение самого функционала SQL-запросов), но можно их минимизировать, в том числе с помощью автоматизированных средств нахождения уязвимостей.
| Если SQL-инъекция уже была осуществлена, следует обратиться к ИБ-специалистам для скорейшей ликвидации ее последствий и закрывания дыр. Если хакеры успели похитить данные, это, к сожалению, исправить уже нельзя.
|
| XSS-атаки | Использовать специальные техники при обработке входящих запросов (кодирование, валидация), чтобы минимизировать риск.
| В случае кибератаки через межсайтовый скриптинг, скорее всего, самостоятельно без помощи ИБ-специалистов ликвидировать ее последствия может быть затруднительно.
|
| Брутфорс | Используйте сложные пароли, которые состоят из множества символов (в том числе с использованием разного регистра, спецсимволов, цифр), лучше всего разные для разных аккаунтов. Для управления ими может помочь программа-менеджер паролей. При приобретении «умных» устройств (IoT), обязательно меняйте логины и пароли по умолчанию.
| Если был взломан сайт — восстановить его из бэкапа или обратиться за помощью к ИБ-специалистам. Если был взломан аккаунт в социальных сетях, мессенджере, почте, в каждом конкретном случае для восстановления доступа надо действовать по протоколу компании-владельца сервиса.
|
| Фишинг | Обучите сотрудников основам фишинга. Не открывать никакие подозрительные письма, SMS и сообщения в мессенджерах и соцсетях, и тем более не открывать приложенные к ним файлы (независимо от формата). Компаниям необходимо регулярно проводить антифишинговые тренинги среди сотрудников, чтобы они запомнили типичные признаки таких сообщений и научились их распознавать.
| Ликвидация последствий зависит от того, что именно произошло в результате успешного фишинга: это может быть как утечка данных, так и потеря номера платежной карты (в этом случае останется только ее заменить).
|
Итоги
Независимо от своего вида, кибератаки могут нанести очень существенный вред как обычному пользователю, так и организации — вплоть до больших финансовых потерь, утечек данных и остановки нормального рабочего функционирования. Вы можете обезопасить себя и вашу компанию от несанкционированного доступа и вашу компанию, обучив сотрудников основам кибербезопасности.
Поэтому важно знать и понимать какие существуют кибератаки. Знать способы предотвращения таких инцидентов и принимать меры заблаговременно — а также иметь наготове план, как именно надо будет действовать в том случае, если кибератака все же произошла.
