IT-эксперты назвали способы защититься от новых видов кибермошенничества

В эпоху кибермошенничества искусственный интеллект будет и обманывать людей, и защищать их от обмана – жаль только, что атакующий ИИ опережает в развитии защищающий. IT-эксперты Алексей Бойко и Денис Стрельцов рассказали «Московской газете» о том, какие новые виды кибермошенничества появились в России и что российским пользователям, в особенности, бизнесу, стоит предпринимать для защиты информации

По словам IT-эксперта Алексея Бойко, в первую очередь в эпоху кибермошенничества россиянам могут помочь здравый смысл и высокий градус недоверия:

«Если вам кто-то предлагает ту или иную информацию, то степень ожидания, что это мошенничество, должна быть высокой. Если вы нашли информацию сами, то степень недоверия может быть меньше. Но важно, где вы её нашли? Есть такое понятие, как доверенный источник. Если это СМИ, которому вы доверяете, дало ссылку, или это ваш знакомый, то доверия может быть больше. А если вы просто через поисковик нашли информацию или наткнулись на какую-то рекламу, включите подозрительность. В целом идеального способа защиты от кибермошенничества нет. Мошенники всегда идут с заметным отрывом от обычного человека в плане использования технологий. Они уже сейчас применяют ИИ, знание психологии, и чем дальше, тем больше это будет ощутимо».

Одной из наиболее распространенных тактик мошенников является использование социальной инженерии, которая теперь достигла нового уровня благодаря развитию ИИ и блокчейн-технологий, рассказал «Московской газете» директор по развитию бизнеса «Перфоманс Лаб» Денис Стрельцов.

«Теперь мошенники могут создавать гиперреалистичные видео и аудиозаписи, из-за чего их атаки становятся сложно распознаваемыми. Например, одна из схем мошенничества – это взлом Telegram, подделка голоса пользователя с помощью ИИ, генерация видео-кружка с лицом — все это для выманивания денег у людей из списка контактов. Защититься можно от таких актов с помощью двухфакторной авторизации и облачного пароля», — посоветовал эксперт.

Фишинговые атаки с элементами социальной инженерии также становятся всё более убедительными, отметил Денис Стрельцов:

«Для их реализации злоумышленники проводят тщательный анализ «жертвы» для создания персонализированных и максимально правдоподобных e-mail сообщений.

Всем известны случаи мошеннических звонков, когда звонящий представляется сотрудником службы безопасности банка или государственной организации. Для того чтобы обезопасить себя вы всегда можете перезвонить на горячую линию этой организации и уточнить, действительно ли к вам есть вопросы».

Создавая убедительные фейковые аккаунты и генерируя сообщения, преступники выманивают не только финансовые средства, но и конфиденциальную информацию, отметил Денис Стрельцов.

«Например, один из самых распространённых методов утечки данных — создание фейковых аккаунтов руководителей компаний в Telegram для запроса конфиденциальных данных у сотрудников. Мошенники создают аккаунты директоров и пишут сотрудникам, предоставляя бумаги с гербами РФ и запрашивая персональные данные. Фейковые гендиректора информируют сотрудников о том, что из органов власти пришел запрос на предоставление рекомендаций и данных на сотрудника. Получатели таких сообщений думают, что им пишет руководство и предоставляют все, что у них запросили. Таким образом, мошенники создают сеть внутри организации с данными о работниках и получают доступ к коммерческой информации, а иногда и данным, критически значимым для безопасности всей компании», — рассказал директор по развитию бизнеса «Перфоманс Лаб».

По словам IT-эксперта Алексея Бойко, можно надеяться на то, что в таких ситуациях ИИ будет также и на стороне пользователя.

«Стало известно, что операторы связи будут запускать услуги, в рамках которых искусственный интеллект на стороне абонента будет пытаться определить в процессе звонка, не является ли он мошенническим. Даже не по номеру звонящего, а по содержанию разговора. В какой-то момент ИИ, неслышно для вашего собеседника, может сообщить вам, что тот с высокой степенью вероятности является мошенником. Эта услуга будет запускаться в ближайшие месяцы. Такие ИИ-ассистенты будут устанавливаться и на компьютеры. При попытке зайти на какой-то сайт или выполнить какие-то операции, которые бортовой ИИ сочтёт подозрительными и опасными, он вас об этом предупредит. То есть, на киберугрозы появится киберзащита. Люди много лет отмахивались от этой проблемы, но сейчас убедились, что это касается многих», — сказал эксперт.

Что касается сообщений с фейковых аккаунтов руководителей компаний, подобные виды мошенничества существовали ещё в 90-х, заметил Алексей Бойко:

«Когда приходит письмо якобы от начальника твоей организации с невинной ссылкой, предлагающей нажать или за что-то проголосовать, нужен здравый смысл. Ссылка – уже подозрительно, если она ведет не на внутренний документ компании в её собственном блоге, а куда-то наружу. И главный вопрос: зачем вашему руководителю запрашивать у вас ваши личные данные? У него есть для этого отдел кадров. Поэтому вам стоит туда позвонить и спросить, в чём дело. Или спросить лично начальника по другому каналу связи. К тому же, письма сотруднику по поводу его работы должны приходить только по корпоративной почте. Если они приходят снаружи, это уже повод для недоверия. А если мошенники пишут с корпоративной почты, следовательно, её взломали. Получая подозрительные сообщения от лица начальства, вам стоит проявить осторожность: пусть вас лучше поругают за нерасторопность, это будет меньшее зло, чем слив корпоративной или личной информации».

Человеческий фактор является одной из причин утечки данных, рассказал директор по развитию бизнеса «Перфоманс Лаб» Денис Стрельцов:

«Штатные сотрудники, которые имеют доступ к конфиденциальной информации в местах, где ее быть не должно, могут по неосторожности или из-за обиды на руководство способствовать утечке данных. Мы видим, что все еще большое количество компаний до сих пор используют устаревшие системы, не обладающие необходимыми средствами защиты от подобных угроз. Например, в отделах информационных технологий конфиденциальная информация часто остается в тестовых и разработческих средах, где она может быть доступна не только сотрудникам, но и злоумышленникам. Кроме того, отсутствие необходимых инструментов и компетенций усугубляет ситуацию, делая данные уязвимыми перед лицом атак. Чтобы противостоять этим угрозам компании должны развивать системы кибербезопасности, обучать сотрудников основам безопасного поведения в интернете, проводить регулярные тренинги и симуляции, применять политики информационной безопасности. Современные ИТ-решения, такие, как обезличивание данных (DataSan, Т1 Сфера, Гарда Маскирование и другие) — первостепенные меры защиты».

«Градус информированности о киберугрозах растёт, особенно в последнее время, — отметил Алексей Бойко. — В крупных корпорациях в эту тему вкладываются миллиарды рублей, покупаются решения российских производителей для защиты информации. Это происходит и на уровне среднего бизнеса. А вот в сегменте малого бизнеса кибербезопасность развита слабо по причине дороговизны и малой осведомлённости об этой проблеме. Грубо говоря, малый предприниматель может заниматься тем, что печёт булочки, и кибербезопасность для него – далёкое понятие. Возможно, в ближайшее время и малому бизнесу придётся осваивать хотя бы минимальный уровень кибербезопасности, решения для этого на рынке есть. Но это произойдёт уже в будущем. Сейчас крупные взломы давно не идут через попытку взломать большую организацию, а через партнёров крупной организации, которые находятся в её IT-периметре и обычно защищены хуже. Будет проводиться работа и в этом направлении. Есть компании, которые предлагают услуги по аудиту киберзащищённости, так называемый «белый хакинг». Но по российским законам, даже если компания по кибербезопасности хочет проверить защищённость другой компании, этого делать нельзя, это считается попыткой взлома. Такие услуги разрешены только в том случае, если сама организация выдала кому-то разрешение: ломайте нашу систему, чтобы найти в ней уязвимости. Впрочем, на рынке ещё достаточно предприятий, которые не осознали серьёзность проблемы кибербезопасности. А вот в банковской сфере этим не первый год озаботились и более-менее защищены».

Сейчас всё идет к тому, что пользователи соцсетей будут получать звонки, где с ними будут общаться их фейковые родственники, сгенерированные ИИ, просить деньги, и невозможно будет проверить онлайн, общение происходит с живым человеком или с роботом, прогнозирует Денис Стрельцов.

«Против этого нет противоядия. Технологии ИИ позволяют аккумулировать персональные данные о «жертве», обучаться, улучшать алгоритмы. Риски, при которых ИИ станет общаться с «жертвой» мошенничества, представляясь родственником — крайне высоки. Нейросети смогут генерировать полноценный профиль, имитировать общение, составлять фразы, специфичные для конкретного человека. У «жертвы» может создаваться впечатление, что он общается с близким ему человеком. В этом плане нужно аккуратно вести соцсети и давать информацию о себе в открытых источниках, потому что это может быть использовано против вас», — рассказал директор по развитию бизнеса «Перфоманс Лаб».

Когда мы выходим на улицу, на нас смотрят десятки тысяч видеокамер. Зачастую это устройства с функцией распознавания образа, заметил Алексей Бойко.

«Тот, кто имеет доступ к этим данным, не нуждается в ваших данных из соцсетей. Такие же данные на нас собирает наш собственный телефон, мы разрешаем делать это десяткам мобильных приложений. Неуязвимых систем хранения данных нет. Конечно, если ваши данные утекли в сеть, и кто-то использует их в порочащих целях, нужно обратиться в прокуратуру, и ваши данные могут убрать по решению суда. Но надо понимать, что подобная ситуация может оказаться для вас непростой. ИИ может сгенерировать изображение любого человека. А злоумышленник может использовать ваш образ, чтобы оставить где-нибудь записи с какими-нибудь противозаконными призывами, и правоохранительные органы, которые не очень глубоко разбираются в проблемах кибербезопасности, отреагируют так, как им полагается. И доказать, что это не вы, может быть не так просто. Уже есть много случаев, когда на человека в такой ситуации выписывали штраф. Много таких случаев будет из-за утечки биометрических данных. Всё это плата, которую мы платим за технический прогресс», — пояснил IT-эксперт.

По словам Дениса Стрельцова, на данный момент проблема утечки данных представляет собой некий «треугольник печали»:

«В вершинах треугольника находятся регуляторы, компании, предоставляющие услуги, и клиенты. На практике именно клиенты часто становятся жертвами, несущими основную тяжесть финансовых и психологических убытков из-за недостаточной защиты их данных. Данный треугольник выделяет ключевую проблему в существующей системе — отсутствие строгих регуляторных механизмов и эффективных инструментов защиты, которые могли бы обеспечить адекватный контроль и безопасность персональных данных клиентов. Вследствие этого ущерб от киберпреступлений часто перекладывается на плечи тех, кто наименее способен защитить себя — обычных пользователей и потребителей».

Для решения проблемы защиты данных в Европе, например, действует общий регламент по защите данных (GDPR), который накладывает жесткие ограничения на обработку персональных данных. В России также обсуждаются поправки к законодательству, которые ужесточат ответственность за нарушения в сфере обработки данных, отметил Денис Стрельцов.

«Исторически так сложилось, что инструменты атаки всегда находится на шаг впереди инструментов защиты. Это базовый принцип, на котором строится информационная безопасность. Если вы спросите любого директора по информационной безопасности, как вы обеспечиваете защиту данных, первое, что он скажет: «Мы всегда принимаем за абсолют то, что мы уже скомпрометированы, и из этой точки строим свои способы защиты». Соответственно, учитывая, что охотник всегда на шаг впереди добычи, ИИ атакующий будет всегда более прогрессивным, чем ИИ защищающий. Тем не менее компании могут сделать так, чтобы этот пробел между инструментом атаки и инструментом защиты был как можно меньше», — пояснил директор по развитию бизнеса «Перфоманс Лаб».

Что пользователи могут сделать уже сейчас — убрать персональные данные из тех участков бизнеса, где этих персональных данных быть не должно, например, из тестовых сред разработки, подчеркнул собеседник.

«Просто удалить эти данные нельзя, потому что это повлияет на работоспособность компании и на ее гибкость в вопросах качества. Соответственно, убирать информацию нужно правильным образом, соблюдая определенные условия. На уровне простых обывателей есть несколько вариантов защиты своих персональных данных. Во-первых, можно заплатить за то, чтобы данные не высвечивались там, где их могут найти. Во-вторых, есть ИТ-решения по обезличиванию данных, которые компании начинают применять в своей работе. Чем активнее конечные пользователи станут требовать от сервис-провайдеров деперсонализацию их данных, тем быстрее компании станут применять обезличивание и меньше будет утечек. Сейчас пользователи не понимают опасности утечек данных до конца. Чем быстрее к ним придет осознание, что персональные данные — это всё равно что паспорт, оставленный на улице, тем быстрее они станут требовать от сервис-провайдеров деперсонализацию и смогут минимизировать риски утечек, защищая себя», — заключил Денис Стрельцов.