Оффлайн
- Регистрация
- 14.05.16
- Сообщения
- 11.398
- Реакции
- 501
- Репутация
- 0
На прошлой неделе издание Threatpost
You must be registered for see links
отзывы специалистов по безопасности о рисках удаленки. Главное: IT-специалисты в условиях массовой работы сотрудников из дома имеют куда меньше контроля над инфраструктурой. Понятие «периметра корпоративной сети», и до этого бывшее достаточно условным из-за массового использования облачных сервисов, стало и вовсе призрачным. В лучшем случае ваши коллеги будут работать с корпоративного ноутбука, с политиками безопасности и защитным ПО, подключаясь по VPN. Но не исключен вариант использования домашнего ПК, смартфона, планшета с подключением по сети Wi-Fi с непонятной защитой. Естественно, ситуацией пытаются воспользоваться киберпреступники, и осложняется она тем, что в домашних условиях коллеги будут гарантированно отвлекаться — на бытовые хлопоты, на детей, не пошедших в школу, и так далее. Работы при этом становится не меньше, а больше, и шансов не распознать фишинговое сообщение заметно прибавляется.
К этим проблемам добавляются еще и чисто технические вопросы поддержания инфраструктуры. Если в компании внедрены облачные сервисы, переход на удаленную работу будет почти бесшовным. А если по каким-то причинам нужен доступ к локальным сервисам? У всех ли сотрудников есть необходимые права? Обучены ли они доступу к системе? Выдержит ли VPN-сервер большое число одновременных соединений, если он проектировался только под командировочных? Тут не до образовательных инициатив — удержать бы оборудование на плаву.
Характерный пример кибератаки в самый неподходящий момент
You must be registered for see links
две недели назад в университете Оттербейна в Огайо, США. Прямо в процессе перевода всех студентов на удаленное обучение организация стала жертвой атаки вымогателя-шифровальщика. Деталей в сообщении не приводится, но можно предположить: в худшем случае трудно будет даже связаться с большим количеством людей, чтобы уведомить их о доступности инфраструктуры. Или еще серьезнее: принудительная замена паролей, которую уже нельзя провести, просто собрав всех в помещении университета. Эксплуатировать тему коронавируса в спам-рассылках и фишинговых атаках киберпреступники начали еще в феврале: так происходит с любым резонансным событием. Например,
You must be registered for see links
разбор кампании, распространяющей под видом «рекомендаций для защиты от вируса»
You must be registered for see links
. Еще одно исследование с подробностями спам-рассылки
You must be registered for see links
специалисты IBM.
Другую тематическую атаку обнаружили эксперты Check Point Research (
You must be registered for see links
,
You must be registered for see links
). Рассылка по государственным организациям в Монголии с приложенным RTF-файлом эксплуатировала уязвимость в Microsoft Word и устанавливала на систему бэкдор с широким набором функций. Организаторы атаки, ранее замеченные в подобных рассылках на территории России и Белоруссии, получали полный контроль над компьютерами жертв, устраивали слежку с регулярными снимками экрана и загрузкой файлов на командный сервер. И это все не считая атак «по площадям», например от имени Всемирной организации здравоохранения, с призывами то скачать какой-нибудь документ, то отправить пожертвование. Сотрудникам ВОЗ пришлось распространить
You must be registered for see links
, предупреждающий о мошенниках, ставших особенно активными с началом эпидемии.
You must be registered for see links
описан пример рассылки кейлоггера от имени организации. Public message to ransomware gangs: Stay the f away from medical organizations. If you target hospital computer systems during the pandemic, we will use all of our resources to hunt you down.
— @mikko (@mikko)
You must be registered for see links
Где у этой эксплуатации по-настоящему важных тем в криминальных целях находится, так сказать, дно? Наверное, сейчас это атаки на медицинские организации, больницы и госпитали, где от подключенного к Сети и подчас уязвимого оборудования зависят жизни людей. Микко Хиппонен из F-Secure в Твиттере приводил пример атаки не на больницу, но на местную организацию, информирующую население («наш сайт не работает, пишите на почту»).
Вернемся к корпоративной обороне в условиях повальной удаленки. В блоге «Лаборатории Касперского»
You must be registered for see links
другие примеры эксплуатации темы коронавируса. Назойливый спам с фишинговыми ссылками или подготовленными вложениями переключился на тему коронавируса («посмотрите информацию о задержке поставок»). Пошли таргетированные рассылки якобы от госструктур с требованиями каких-то срочных действий. Методы противодействия таким кампаниям в условиях карантина не изменились, просто расширились возможности для атаки, эксплуатирующие как менее защищенную домашнюю инфраструктуру, так и общую нервозность. Что делать? Прежде всего, сохранять спокойствие и не поддаваться панике. Другой пост в блоге «Лаборатории Касперского» суммирует
You must be registered for see links
по защите «удаленщиков». Для аудитории «Хабра» они очевидны, но поделиться с менее подкованными коллегами стоит.• Используйте VPN.
• Поменяйте пароль для домашнего роутера, убедитесь, что ваша сеть Wi-Fi защищена.
• Используйте корпоративные инструменты для совместной работы: часто бывает, что человек привык к какому-то другому сервису для веб-конференций, обмена файлами и так далее. Это еще больше затрудняет IT-отделу контроль над событиями.
• И наконец, блокируйте компьютер, когда покидаете рабочее место. Не обязательно потому, что в ваш дом проберется корпоративный шпион. А хотя бы для того, чтобы на важный конференц-звонок случайно не ответили дети.
Что еще произошло:
Adobe
You must be registered for see links
внеочередной патч для своих продуктов, закрывающий 29 критических уязвимостей, из них 22 — в Adobe Photoshop. Еще одна важная рекомендация для удаленной работы (и не только для нее) — не забывать устанавливать обновления.
Новые
You must be registered for see links
использования нестандартных символов в доменных именах для фишинга и других недобрых дел. Краткое содержание поста: ɢoogle и google — это разные вещи. Научное
You must be registered for see links
с анализом телеметрии, отправляемой популярными браузерами. Спойлер: Microsoft Edge получает от пользователей больше всего статистики, в том числе уникальные постоянные идентификаторы. Недавно обнаруженные уязвимости в устройствах NAS компании Zyxel
You must be registered for see links
очередной ботнет.История в деталях: как исследователи
You must be registered for see links
(а Microsoft потом успешно исправила) серьезную ошибку в конфигурации облачного сервиса Azure. Телеметрия с токенами доступа отправлялась на несуществующий домен.