12 июля 2021 ИХ "Финам" Делицын Леонид
Кибермошенники переключились с банков на правительственные сайты. Под ударом оказались пользователи, пожалуй, самого популярного ресурса в России - портала Госуслуги. Как себя обезопасить и почему нужно прислушаться к пионеру социальной инженерии Кевину Митнику?
Портал госуслуг уже затрагивает практически все важные сферы нашей жизни, в перспективе им будет пользоваться каждый. Мы доверяем сайту личную информацию, и это, естественно, не могло не привлечь кибермошенников: на почту пользователей с домена gov.ru стали приходить фишинговые письма с вредоносным содержанием.
Раньше усилия мошенников были сконцентрированы в основном на банковских приложениях, поскольку они развивались очень быстро, а информационная безопасность не была самым приоритетным пунктом у разработчиков. Впрочем, Центробанк быстро отреагировал и выдвинул банкам требования по обеспечению информационной безопасности - одна лишь инструкция занимает более 100 страниц и подробно описывает, что делать при каждом инциденте. А если у небольшого банка нет ресурсов для выполнения всех требований, то он может заключить контракт со специализированной компанией в сфере оказания услуг инфобезопасности.
А как это будет работать в случае домена госорганов? Кто сформулирует требования и заставит их выполнять? Тем более фишинг, как всякая социальная инженерия, использует любые отклонения сотрудников от инструкций, любое отличие человека от компьютера, чтобы пробить безопасность. Но если пользователям придется превратиться в компьютеры, а именно это сейчас фактически предлагается, то кто захочет пользоваться сервисами?
"Не открывайте писем от незнакомцев, не кликайте на ссылки, не выполняйте то, что вас просят". Так мы получаем чеклист на десятки пунктов. Захотим ли мы пользоваться такими сложными сервисами? Поэтому, хотя ничего нового в событии нет (кроме свидетельств популярности Госуслуг), мы видим, что пока и прогресса в борьбе с социальной инженерией тоже нет.
К слову, в апреле на первичный рынок вышла компания KNOWBE4, Inc., продающая тренинги пионера социальной инженерии, хакера Кевина Митника. Ее оценили аж в $4 млрд. На курсах от "киберпреступника века" сотрудников учат ни на миллиметр не отклоняться от инструкций. Как только сотрудник уступит просьбе или не проверит пункт чеклиста, тренеры его подловят и покажут, как будет взломана корпоративная информационная система и похищены данные.
Возможно, всем нам со временем предстоят аналогичные тренинги по использованию любых услуг, которыми мы пока беспечно и легко пользуемся.
http://www.finam.ru/ (C)
Не является индивидуальной инвестиционной рекомендацией
При копировании ссылка обязательна Нашли ошибку: выделить и нажать Ctrl+Enter
Портал госуслуг уже затрагивает практически все важные сферы нашей жизни, в перспективе им будет пользоваться каждый. Мы доверяем сайту личную информацию, и это, естественно, не могло не привлечь кибермошенников: на почту пользователей с домена gov.ru стали приходить фишинговые письма с вредоносным содержанием.
Раньше усилия мошенников были сконцентрированы в основном на банковских приложениях, поскольку они развивались очень быстро, а информационная безопасность не была самым приоритетным пунктом у разработчиков. Впрочем, Центробанк быстро отреагировал и выдвинул банкам требования по обеспечению информационной безопасности - одна лишь инструкция занимает более 100 страниц и подробно описывает, что делать при каждом инциденте. А если у небольшого банка нет ресурсов для выполнения всех требований, то он может заключить контракт со специализированной компанией в сфере оказания услуг инфобезопасности.
А как это будет работать в случае домена госорганов? Кто сформулирует требования и заставит их выполнять? Тем более фишинг, как всякая социальная инженерия, использует любые отклонения сотрудников от инструкций, любое отличие человека от компьютера, чтобы пробить безопасность. Но если пользователям придется превратиться в компьютеры, а именно это сейчас фактически предлагается, то кто захочет пользоваться сервисами?
"Не открывайте писем от незнакомцев, не кликайте на ссылки, не выполняйте то, что вас просят". Так мы получаем чеклист на десятки пунктов. Захотим ли мы пользоваться такими сложными сервисами? Поэтому, хотя ничего нового в событии нет (кроме свидетельств популярности Госуслуг), мы видим, что пока и прогресса в борьбе с социальной инженерией тоже нет.
К слову, в апреле на первичный рынок вышла компания KNOWBE4, Inc., продающая тренинги пионера социальной инженерии, хакера Кевина Митника. Ее оценили аж в $4 млрд. На курсах от "киберпреступника века" сотрудников учат ни на миллиметр не отклоняться от инструкций. Как только сотрудник уступит просьбе или не проверит пункт чеклиста, тренеры его подловят и покажут, как будет взломана корпоративная информационная система и похищены данные.
Возможно, всем нам со временем предстоят аналогичные тренинги по использованию любых услуг, которыми мы пока беспечно и легко пользуемся.
http://www.finam.ru/ (C)
Не является индивидуальной инвестиционной рекомендацией
При копировании ссылка обязательна Нашли ошибку: выделить и нажать Ctrl+Enter