По пунктам:
- Раньше в новостях сообщали о каждом новом трояне. Теперь о них говорят мало ― это значит, что они ушли в прошлое?
- А что такое ddos-атаки, о которых сейчас постоянно говорят?
- Какое еще «оружие» есть в арсенале киберпреступников?
- Зачем кому-то атаковать меня? Я не банк и не министерство обороны ― значит я в безопасности?
- Как понять, что твой компьютер или сайт взломали?
- Но у меня установлен антивирус, разве это не достаточная защита?
- Как еще можно защитить свои данные помимо антивируса?
Раньше в новостях сообщали о каждом новом трояне. Теперь о них говорят мало ― это значит, что они ушли в прошлое?
Скорее стали привычным фоном. У Касперского есть графики, сколько угроз обнаруживают их антивирусы по всему миру. Типичное число — 10 миллионов в день. Это как с преступностью: громкие случаи в новостях, а подавляющее большинство — в статистике и сводках. Громкие вирусные атаки попадали в новости и раньше, и сейчас: вирус убьет вашу материнскую плату (1998, CIH/Chernobyl), вирус безвозвратно зашифрует все ваши файлы (2017, WannaCry). Сегодня большинство вирусов не стремится громко заявить о себе. Трояны будут скрытно отправлять логины-пароли, скриншоты, остаток денег на счете своим хозяевам, и в нужный момент предоставят доступ к компьютеру.
С вирусами ясно. А что такое ddos-атаки, о которых сейчас постоянно говорят?
По команде хозяина трояна зараженный компьютер изо всех сил заходит на какой-то ресурс, запрашивая страницы снова и снова. Если у ботмастера много зараженных машин под контролем, сервер сайта перестанет справляться, и посетители не смогут им пользоваться. Есть атаки и изобретательнее, например такая: зараженные машины не заходят на сайт жертвы, а запрашивают от ее имени информацию о домене у DNS-серверов по всему миру. И те отвечают жертве в пятнадцать раз большим трафиком: DNS-запрос займет 90 байт, а ответ — 1400. Так с одного зараженного сервера со слабым каналом 100 Мбит/с можно выплеснуть в адрес жертвы все 1,5 Гбит/с. У ресурса не хватит скорости канала принимать весь этот сетевой трафик, и снова у хороших пользователей начнутся проблемы. Сейчас услуги DDoS широко доступны. К счастью, защититься тоже легко: к примеру, Cloudflare.com предоставляет бесплатную и хорошую защиту от DDoS для сайтов.
Какое еще «оружие» есть в арсенале киберпреступников?
Вирусы не заражают сами. Чтобы получить данные или доступ, преступнику нужна ошибка. Фишинг — когда ошибся человек. Это просто обман: письмо от имени YouTube «Поступила жалоба, войдите, чтобы восстановить канал», файл на флешке «ЦДО 5сем ответы.docx.exe». Расчет на то, что человек поверит и сам отдаст данные или разрешит доступ. Эксплоиты — когда ошибка в программе. Программист ошибся, программа кладет в массив больше данных, чем выделила памяти. Если аккуратно смастерить данные, попадающие за выделенные пределы — создать эксплоит, — можно захватить управление программой и, например, заставить ее скачать и запустить троян. Когда такие ошибки находят в популярном софте, злоумышленники стремятся раздобыть эксплоит, чтобы всех заражать. Именно так можно перейти по присланной ссылке и заразиться из-за ошибки в Chrome, или открыть презентацию с эксплоитом и заразиться из-за ошибки в PowerPoint. К счастью, опасные эксплоиты попадают к широким массам злоумышленников редко, а ошибки в софте закрываются быстро. Рядовые заражения обычно происходят через обман.
Зачем кому-то атаковать меня? Я не банк и не министерство обороны ― значит я в безопасности?
Несмотря на то, что вы не банк, у вас наверняка можно украсть что-то ценное: перечислить 30 тыс. рублей с карточки, зашифровать файлы в надежде на выкуп 10 тыс. рублей, перепродать аккаунт Steam с купленными играми за 3 тыс. рублей, попытаться с вашего компьютера пробраться в сеть работодателя — вдруг это банк. Даже если ценностей на компьютере нет совсем, можно украсть аккаунт в соцсети и писать с него комментарии за деньги или использовать ваш IP для прикрытия своих преступных дел. Целенаправленно атаковать вас ради такой мелочи никто не будет, но вы можете попасть под массовую атаку. Случайно проникший троян начнет отправлять хозяину все, до чего сможет дотянуться, и как-нибудь потом хозяин отфильтрует из базы наворованного все аккаунты VK, упакует по сто штук в пачке, и выставит на продажу за 1 тыс. рублей.
Как понять, что твой компьютер или сайт взломали?
Из-за того, что трояны стараются действовать скрытно, простого надежного способа нет. Приходится ориентироваться на внешние проявления уже случившегося инцидента: сообщение о входе в соцсеть с неизвестного IP из-за кражи аккаунта, постоянная загрузка процессора и видеокарты из-за майнинга криптовалюты, жалобы на DDoS от провайдера или хостинга, покупка с карты в странном интернет-магазине ночью. Пока ничего не произошло, обнаружить заражение неподготовленному человеку сложно. Если вы знаете, что должно быть на вашей чистой системе, можно вручную проанализировать свою систему несколькими инструментами: посмотреть автозагрузку — Sysinternals Autoruns, работающие процессы — Process Hacker, сетевой трафик — Wireshark.
Но у меня установлен антивирус, разве это не достаточная защита?
Авторы вирусов знают про антивирусы. Антивирусная лаборатория добавляет троян в базу — автор подбирает способ его изменить, чтобы он снова не обнаруживался. Преступник всегда убедится перед отправкой трояна в бой, что сейчас ни один антивирус его не ловит. В результате антивирус помогает от простых или старых вирусов, в поддержание которых никто недавно не вкладывался. Используя антивирус, следите, чтобы его базы были обновлены — это защитит вас от части атак.
Как еще можно защитить свои данные помимо антивируса?
Во-первых, чтобы вирус к вам попал, нужно где-то его встретить. В пиратском онлайн-кинотеатре скорее будет браузерный эксплоит, чем в лицензионном. К программе с торрентов скорее будет прилагаться троян, чем к купленной или к аналогичной бесплатной, взятой с официального сайта. Чем более популярны и богаты репутацией посещаемые вами сайты и источники файлов, тем меньше шанс вообще столкнуться с попыткой атаки.
Во-вторых, вирус должен как-то заразить. От эксплоитов — автообновления: операционка, Chrome, Office. В обновлениях исправляют ошибки, и эксплоиты перестают работать. Подозрительные документы также можно открывать в Google Docs, так у эксплоита нет шансов сработать на вашем компьютере. От фишинга — осмотрительность. Обращайте внимание, когда вас просят предоставить данные или что-то запустить в странных обстоятельствах. Перешли по ссылке в письме, а у вас просят пароль от почты. Прислали документ, у которого расширение не .docx, а .scr. Позвонили от имени банка и просят установить приложение на телефон. Пишет знакомый с просьбой, а прошлой переписки в диалоге нет.
В-третьих, троян крадет данные с компьютера: пароли, данные карточек, запись экрана, введенный текст. Нельзя украсть то, чего там нет — например, если вы заходили в банк только с телефона.
И наконец, украденным нужно как-то воспользоваться. Затрудните вход в аккаунты: поставьте пароль, который нигде не повторяется, включите двухфакторный вход (SMS или Google Authenticator). Злоумышленнику станет недостаточно доступа к компьютеру, чтобы распоряжаться аккаунтом. В первую очередь защитите почту, на которую можно запросить сброс пароля других сервисов. Возьмите на вооружение эти четыре пункта, чтобы подпортить преступнику доход.