Мошенничество и сбор персональных данных

24/01/2017

Когда говорят о мошенничестве в Интернет, все сразу вспоминают классический фишинг или его разновидности – смишинг, вишинг. Так как не все читатели помнят о том, что это такое, давайте вспомним определения.

Читать далее…


Ransomware. Платить или не платить?

20/01/2017

Итак, произошло несчастье. Вы стали жертвой атаки ransomware. Вирус-вымогатель зашифровал ваши данные и документы, и злоумышленники требуют деньги за разблокирование. Как только ваши данные зашифрованы то перед вами встает проблема выбора: платить или не платить. Но если даже вы оплатите, то каковы гарантии что вы вернете ваши данные? И не станет ли это началом целой череды подобных атак? Ведь вас выгодно атаковать. Вы платите. В данной заметке мы с вами попробуем понять, что же все-таки делать.

Первая проблема

Первая проблема состоит в том, а действительно ли злоумышленники удовлетворятся указанной суммой платежа в биткойнах (чаще всего злоумышленники предпочитают эту валюту). А что если они потребуют денег еще и еще? Или и того хуже. Вы заплатите, а потом выяснится, что у них ключей для расшифровки нет вообще или ваши данные просто невозможно расшифровать? Думаете это маловероятно? А что если вы заплатите и не получите ничего вообще?

Вторая проблема. Сумма выкупа

Сумма выкупа всегда будет зависеть от размера вашей организации, от того сколько компьютеров и данных затронуто. Естественно, что с большей и более богатой организации запросят больше чем с маленькой и бедной. Но скорее всего эта сумма будет не заоблачной, иначе вы точно не будете платить.

Проблема третья. Время.

Чаще всего злоумышленники будут ограничивать вас во времени принятия решения. А значит продумать стратегию поведения нужно заранее. Заранее понять будете ли вы платить вообще. Или определить максимальную сумму выкупа, которую вы готовы заплатить, а также кто будет принимать решение о возможном выкупе.

Проблема четвертая. Влияние атаки на ваш бизнес

После объединения компонента KillDisk с вирусом-вымогателем вопросы встали куда острее. Теперь вы можете получить не только заблокированные данные, но фактически полностью зашифрованный жесткий диск. Если у вас таким вредоносным ПО затронут один компьютер, то это плохо, но ведь возможно, что у вас поражена вся внутренняя сеть.

Проблема пятая. Какова политика вашей организации?

Надеюсь в вашей организации существует план восстановления после аварии? А может стоило бы в перечень возможных аварий добавить и возможное заражение ransomware? Если у вас по какой-то причине до сих пор нет подобной политики, рекомендуется как можно быстрее продумать этот вопрос. Сегодня существует масса шаблонов подобной политики и воспользоваться одним из них проблем не составляет.

Проблема шестая. Качество резервных копий

Никто не задумывался о том, а насколько хороши ваши резервные копии? Как быстро и качественно вы сможете все восстановить? Когда в последний раз вы проверяли качество копий? Существует ли у вас подробная инструкция по восстановлению?

Если у вас качественные копии и ваш персонал обучен восстановлению, то вы можете вздохнуть свободнее. Но с другой стороны, если вы восстанавливаете данные из облака или по сети, то падение канала может привести к полной невозможности восстановления. Может проще все же иметь не только облачную копию, но и набор для восстановления оффлайн?

Когда речь заходит о восстановлении данных, то первый вопрос, который задаю я, звучит приблизительно так. А есть ли у вашей ночной охраны телефоны тех, кого нужно вызвать в случае чрезвычайной ситуации. И второй вопрос. Может это будет звучать глупо, но кто оплатит вызов такси? У охраны есть на это деньги? В каком-то сейфе? И последнее. Просмотрите внимательно инструкцию по восстановлению. Она написана в комиксах? Для уровня наименее подготовленного сотрудника ИТ? Если нет – перепишите! Наиболее подготовленного может просто не быть на месте. Аварии всегда происходят неожиданно!

Проблема седьмая. Очередность восстановления

Самый главный вопрос, возникающий при создании плана восстановления – а какие данные для вас реально важны. А что можно восстановить позднее.

Но этот же вопрос возникает и при организации доступа, то есть чем важнее и критичнее данные, тем сложнее должен быть доступ к ним, а значит менее вероятно их шифрование ransomware.

Проблема восьмая и наиболее важная. Фишинг

Как правило, заражение ransomware начинается с получения фишингового электронного письма. Это своеобразная точка входа для вредоноса. Несмотря на то что обучение пользователей упрощает определение фишинговых писем, стоит признать, что чаще всего, особенно в небольших и средних компаниях обучение отсутствует как таковое.

Поэтому стоит понимать, что пока ransomware выгодно, этот вид вредоносов будет процветать. Мы с вами можем уменьшить вероятность заражения, однако исключит его полностью нельзя.

А на вопрос платить или не платить отвечать вам самим. По мне – не платить. Как решите вы, я не знаю!


Не можешь? Научим! Не хочешь? Заставим!

10/01/2017

Уже давно не вызывает особого интереса появление нового образца ransomware. Ну что может быть принципиально нового? Пути заражения? Так их не так много! Применяемые алгоритмы шифрования? Тоже весьма ограниченное количество!

Ведь на самом деле алгоритм ransomware уже достаточно хорошо изучен и может быть сведен к ряду операций ЗАРАЖЕНИЕ – ШИФРОВАНИЕ – ТРЕБОВАНИЕ ВЫКУПА – ВОЗМОЖНОЕ РАСШИФРОВЫВАНИЕ. Поиск чего-то нового сводится, как правило, к поиску путей заражения и ключей шифрования. Однако создателям ransomware под названием Koolova удалось меня удивить.

koolova

Рисунок 1  Koolova

Данный вредонос-вымогатель является разновидностью печально известного Locky и использует для шифрования комбинацию алгоритмов RSA-2048 и AES-256, то есть алгоритмов ассимметричного и симметричного шифрования. Единственные файлы на вашем компьютере, которые не будут затронуты вредоносом, важные системные файлы и файл ransom, из которого жертва может узнать о шифровании данных алгоритмов, о том, как купить bitcoin, как установить Tor браузер и так далее.

Вместе с тем, будь Koolova стандартным вымогателем, не стоило бы столько времени уделять ему. Основное отличие данного вымогателя от других состоит в том, что он не требует денег в качестве выкупа!

Основной целью Koolova как ни странно, является информирование пользователей об опасностях ransomware. То есть, создатели вредоноса не требуют от жертвы денег, они хотят, чтобы жертва прочла две статьи о вымогателях. Эти статьи — Google Security Blog Stay safe while browsing и BleepingComputer Jigsaw Ransomware Decrypted: Will delete your files until you pay the Ransom

После того, как пользователь сделает это, он получит ключ и сможет расшифровать свои файлы. А затем сможет просто удалить Koolova.

Если же жертва слишком ленива чтобы прочесть обе статьи, Koolova запускает обратный отсчет и в случае если пользователь все же отказывается читать, удаляет зашифрованные файлы, как ransomware Jigsaw.

Однако если же жертва прочтет обе статьи, кнопка расшифровки Decrypt My Files (Decripta i Miei File) становится доступной. При нажатии этой кнопки Koolova подключится к управляющему серверу (C&C) и получит ключ расшифровки.

decryption-key-retrieved

Не правда ли, весьма своеобразный подход к повышению компьютерной грамотности?


Противодействие вирусам-шифровальщикам Часть 2

10/01/2017

Напомню читателям, что в данной статье мы рассматриваем тему вымогательства с применением специальных вирусов, которые часто обозначают термином ransomware. Как было показано в первой части статьи, современные темпы развития вирусов-шифровальщиков представляют серьезную проблему, на которую нельзя не обращать внимания. Столкнувшись с шантажом, жертва оказывается перед выбором — платить либо потерять информацию. Поэтому лучше предупредить угрозу, нежели заниматься устранением последствий. Сегодня мы обсудим, как это сделать, а также рассмотрим способы борьбы с шифровальщиками.

windows_it_ro_1_2017


Девять способов защитить предприятие от программного обеспечения вируса-вымогателя

09/01/2017

https://www.pcweek.ru/security/blog/security/9240.php

В отличие от направленных атак, которые могут оставаться необнаруженными в корпоративной сети в течение многих месяцев и даже лет, влияние вируса-вымогателя проявляется сразу же.
Согласно отчета компании Symantec, количество заражений вирусами-вымогателями в 2016 году увеличилось на 35%. Вместе с тем огромную тревогу вызывает изощрённость данного вида атак. Фактически заражение вирусом-вымогателем может остановить ваш бизнес полностью и нанести непоправимый ущерб, вплоть до полного разорения.
Увы, но стоит признать, что злоумышленнику не нужно иметь много денег или ресурсов, чтобы использовать данный вид вредоносного ПО.
В качестве предварительных мер защиты компания Landesk рекомендует следующие шаги.
1. Обновите критические операционные системы и приложения
Фактически обновление ваших операционных систем и приложений всегда является первой линией обороны против любой атаки, в том числе и атаки вируса-вымогателя. Именно поэтому вы должны следить за регулярными обновлениями вашего программного обеспечения. Причем не только операционной системы, а и таких приложений как Adobe Flash, Java, веб-браузеры, Microsoft Office и прочие.
Естественно, установка обновлений является приоритетной задачей, но в то же время не нарушить работу пользователя или бизнес-процесса.
Очень многие организации боятся, что своевременное всестороннее и непротиворечивое обновлений это слишком сложно в поддержке и более того, что это может повредить работе бизнес-приложений. Однако использование последних средств управления обновлениями делает этот процесс намного проще.
2. Вы должны гарантировать проведение регулярных сканирований и своевременное обновление антивирусного ПО.
Если исправление ваша первая линия обороны, то антивирус вторая. Безусловно, вы не можете гарантировать что ваш антивирус блокирует все атаки, однако он поможет вам снизить вероятность заражения уже идентифицированным вредоносным ПО.
Но чтобы это выполнялось, вы, в свою очередь, должны позаботиться об актуальности ваших антивирусных баз и проведении регулярного сканирования вашей сети ваши антивирусом.
3. Тщательно управляйте использованием привилегированных учетных записей.
Следует признать, что эффективным барьером на пути распространения вредоносного ПО является минимизация полномочий. Живым примером является атака вируса-вымогателя «Petya», требующего для своей работы права локального администратора. Данное ПО просто не может зашифровать ваш жесткий диск, если запущено под правами локального пользователя. Но вместе с тем стоит отметить, что это не панацея. Обновленная версия того же вируса уже не требует прав локального администратора.
4. Управление доступом
Управление доступом может быть эффективным решением для защиты файлов, расположенных на общих дисках. Поэтому некоторые пользователи должны иметь право на создание и изменение файлов, а некоторые только на чтение. В конце концов большинство таких файлов – документы, создаваемые пользователями. А значит и заражение только ПК владельца таких документов позволит им быть зашифрованными, что уменьшит вероятность их блокировки.
5. Определите, создайте и внедрите правила использования программного обеспечения
Прежде всего вы должны понять, какое программное обеспечение применяется на вашем предприятии. Увы, но стоит отметить, что большинство компаний перечня применяемого ПО просто не имеет. После того как вы поймете какое ПО вы применяете, вам стоит понять, а какое ПО нужно каким пользователям и зачем. Затем вам придется продумать какое ПО может создавать изменять или считывать файл, расположенный в определенной папке.
Соответствующие правила вы можете применить или глобально, или к определенным пользователям или группам. Однако прежде чем вы будете применять эти правила, следует понять, что эти правила могут усложнить жизнь ваших пользователей. Потому перед внедрением вам в обязательном порядке нужно провести тестирование правил. Не экономьте на времени тестирования иначе придется расплачиваться возможными авариями в процессе работы.
6. Отключите макросы Microsoft Office
Я уверен, что вы уже так и сделали, ведь отключение макросов Office позволит вам заблокировать множество различных типов вредоносного ПО.
7. Белый список ПО
После реализации правил программного обеспечения вам, безусловно, захочется применить белый список ПО, что позволит забыть о проблемах вредоносного программного обеспечения. Ведь работать будут только известные приложения. Однако стоит понять, что эффективно работать такой белый список будет только на тех компьютерах, на которых установленное ПО решает одни и те же задачи ежедневно.
8. Ограничьте пользователей виртуализированный средой
В большинстве случае вредоносное программное обеспечение вируса-вымогателя заражает ваш ПК путем почтового вложения.
Ограничение пользователей виртуализированной средой позволяет гарантировать что любое вредоносное ПО не причинит ущерба основной рабочей среде пользователя.
9. Часто выполняйте резервное копирование критических данных.
ФБР рекомендует часто проводить резервное копирование критических данных. При правильной организации вы получаете ежедневное резервное копирование, что позволит вам не заботиться при нападении вируса-вымогателя.

 


Сколько лет прошло, а все одно и то же!

08/01/2017

https://msdn.microsoft.com/ru-ru/library/dn753686.aspx

Пользователи и мифы безопасности

Всякий раз, когда сталкиваешься с проблемой онлайн безопасности, стараешься советовать совершить те или иные действия, которые кажутся правильными. Это порождает массу мифов. С годами я понял, что многие мифы кажутся пользователям правдой. Давайте поговорим о таких мифах.

Миф №1. Пароли должны быть чрезмерно сложными и их невозможно запомнить

В то время как этот совет все еще хорош в теории, на самом деле сегодня он заменяется тремя гораздо более важными советами, которые я рекомендую вам запомнить:

  1. Ваш пароль должен быть не менее 15 символов в длину и содержать как минимум 3 набора символов из 4-х.
  2. Сегодня, когда вы вынуждены использовать множество паролей, запомните, вы не имеете права использовать один и тот же пароль на различных интернет-ресурсах.
  3. Используйте платные или бесплатные менеджеры паролей для их хранения. В таком случае вам потребуется запомнить один мастер-пароль. Лучше использовать тот менеджер паролей, который может работать под различными ОС, в том числе и мобильными, а также имеет portable-версию, хранимую на USB-флеш.

Миф №2. Только вложения электронной почты, являющиеся исполняемыми файлами, опасны и их нельзя открывать

Неправильно! Я очень часто слышу это от пользователей, которые не понимают, что существует риск при открытии файлов ВСЕХ типов, присоединенных к сообщениям электронной почты. Недавними и очень опасными примерами были документы MicrosoftWord и AdobePDF.

Если Вы не ожидаете получения документа по электронной почте от кого-либо, удалите сообщение электронной почты; или по крайней мере гарантируйте, что программное обеспечение вашего компьютера находится в актуальном состоянии и базы вашего антивируса регулярно обновляются.

Миф №3. Всплывающие сообщения, об обновлении ПО, могут быть фальшивкой

Много лет назад было довольно много примеров «поддельного» обновления программного обеспечения. Эта эпидемия, заразила много пользователей, но еще больше заставила бояться обновляться. Вместе с тем – обновление – важнейшая задача в обеспечении безопасности.

Лучший совет, в данном случае, состоит в том, чтобы ВСЕГДА обновлять свое программное обеспечение. А для того чтобы не забывать обновляться – воспользуйтесь услугами PersonalSoftwareInspector от компании Secunia.

Миф №4. Вы никогда не должны записывать пароль

Фактически бывают ситуации, когда записывать пароли можно и нужно, однако при этом хранить их придется в надежном месте. Например, чтобы защитить вашу домашнюю беспроводную сеть вы должны удостовериться, что пароль WiFi имеет надежную длину (по крайней мере 20 символов) и настолько сложен, что вы не помните его – запишите его и храните его дома в безопасном месте.

Пока вы храните любые записанные пароли в защищенном месте, они находятся в безопасности.

Миф №5. Ваши банковские учетные данные — самая важная вещь

Когда людей спрашивают, какие онлайн учетные записи более всего нуждаются в защите, они будут часто говорить о своих банковских данных. При этом часто они полностью забывают о важности защиты их почтового ящика; особенно, если это — онлайновая учетная запись, такая как Gmail, Yahoo или Outlook.com.

Мошенники в состоянии использовать плохо защищенные почтовые ящики многими способами. Защитите свой почтовый ящик уникальным паролем и включите все дополнительные функции, такие как двухэтапная аутентификация (если она существует).


Чудеса с почтой Microsoft

19/12/2016

На днях обратился ко мне знакомый со странной проблемой. Где-то две недели тому мы создали ему почтовый аккаунт на http://outlook.com . Стандартная процедура. Ничего сверхъестественного. К аккаунту телефон не привязывался.

Прошло две недели. Вдруг у него блокируется учетная запись. При входе на сайт http://outlook.com появляется сообщение что с данного адреса идет спам, необходимо подтвердить, что это ваш адрес и т.д. (дословно просто не помню). В ходе подтверждения потребовалось ввести номер мобильного телефона, на который придет SMS с кодом подтверждения.

После прохождения всей этой процедуры доступ к почте восстановлен и все работает.

Странно то, что это далеко не первый случай. С той же проблемой ранее уже обращались человека 3-4. Причем такое сообщение приходит только в том случае если пользователь изначально не указал мобильный номер телефона. Если же изначально телефон указали, то такая ситуация не происходит. Что это? Сбор информации о пользователе? Зачем? Непонятно!