Илья Сачков: Новые методы доставки вирусов — это почти ракетостроение
Илья Сачков — 31-летний бизнесмен, основатель и совладелец международной компании в области кибербезопасности Group-IB. Она входит в мировой рейтинг семи компаний, влияющих на информационную безопасность мира. Сачков участник экспертных комитетов Госдумы, МИД России, Совета Европы и ОБСЕ в области киберпреступности.
Эксперт посетил Новосибирск 19 апреля в рамках форума «Новые технологии. Кибербезопасность» для малого и среднего бизнеса, который организовало новосибирское отделение «Деловой России» в Технопарке Академгородка.
— Как вам Академпарк? Нашли что-нибудь новое для себя?
— В Академгородке я в первый раз, но точно не в последний. Сегодня я пообщался со многими людьми и понял, что здесь хорошая концентрация интеллектуального потенциала — есть университет и Технопарк. Причем Технопарк живой, видно, что люди здесь работают. Собственно, сегодня было принято решение, что мы будем открывать здесь офис.
— Сколько людей планируете нанять?
— У Group-IB есть 87 открытых вакансий на этот квартал. Некоторые из них сложно закрыть, потому что профессиям, которые нам нужны, не учат в университете. Например, сетевая криминалистика, защита ICO и блокчейн-проектов или машинное обучение в области информационной безопасности.
В Новосибирске мы хотим набрать порядка 20 человек, и каждый год это число удваивать.
Я думаю, нужно внедрить новую образовательную программу в университетах для студентов, которые хотят выбрать новые типы профессий в области кибербезопасности. В нашем офисе они уже сейчас смогут применять эти знания. Мы уже готовим запрос в Технопарк по поводу резидентства.
— Насколько масштабной будет программа обучения? В каких университетах планируете ее использовать?
— Мы начнем с НГУ. В моем понимании это будет спецкурс в рамках кафедр, которые изучают IT-безопасность, либо разработку программного обеспечения.
Единственная мотивация — финансовая
— По сути, в Новосибирске вы будете набирать людей для борьбы киберпреступностью. Какие тенденции за последние пять лет можно выделить в этой сфере?
— С учетом роста платежных систем и цифровизации общества у большинства киберпреступников осталась одна мотивация — финансовая. Есть множество мифов, что злоумышленников интересует исключительно наша переписка, файлы, базы данных — ничего подобного. Основной мотив — кража денег. Даже данные могут украсть, чтобы потом перепродать. Самый популярный вид киберпреступлений — атака на банки и их клиентов, кража денег в разных платежных системах.
Фокусировка атак на банкоматах и карточном процессинге привела к уменьшению среднего ущерба от одной атаки. Однако это позволяет атакующим проводить эти атаки более безопасно для «дропов», обналичивающих украденные деньги. Атакующие находятся в одной̆ стране, их жертва (банк) в другой, а обналичка происходит в третьей.
— Обычным людям стоит серьезно опасаться за безопасность своих банковских карт?
— Сегодня многие банки возвращают похищенные деньги, либо предлагают страховку, но, разумеется, чтобы не стать жертвой преступников, необходимо соблюдать правила цифровой гигиены. Мы продолжаем конвертировать наши знания о киберпреступности в продукты, которые помогают бизнесу решать актуальные задачи.
— И все же какие есть базовые правила безопасности?
— Например, включите, где это возможно, двухфакторную аутентификацию, используйте надежные безопасные пароли. У вас есть сутки, чтобы уведомить банк о неавторизованной операции. Чтобы узнать о ней вовремя, не экономьте на SMS-уведомлениях. Возможно, это услуга уже входит в пакет обслуживания вашей карты, но даже если она платная (от 30 до 60 рублей в месяц), лучше подстраховаться. Не стоит экономить на мобильном банкинге. Не храните все сбережения на одной карте, а для интернета использовать отдельную карточку. Банкоматы желательно использовать в отделении банка.
Никогда не отвечайте на спам, не переходите по указанным в нем ссылкам и не открывайте вложенные в письмо файлы, чтобы не заразить свое устройство вирусом. Не открывайте подозрительные ссылки и письма, даже если они пришли от коллег и друзей!
— Могут взломать мобильный банк?
— Не только. Допустим, у вас есть Android-смартфон без мобильного банка. На телефон попадет вирус, которые умеет читать SMS. Вирус подгружает модуль, который нативно показывает вам сообщение, например об обновлении Google Play, с просьбой ввести номер банковской карты. Из SMS вирус сможет считать одноразовый код, причем сообщение от вас скроет. Таким образом, вы сообщили номер карты и код подтверждения. Все, денег нет.
— Что интересует злоумышленников кроме денег?
— Кибершпионаж. В этом случае при атаке на банк хакеры не просто крадут деньги, но и стараются достать информацию о VIP-клиентах, о рискованных операциях, которые совершает банк. Если это «оборонка» и ВПК, то хакеров интересуют чертежи и схемы. Целью может быть и «подстава» для другой страны. Россию обвиняли в атаках, и некоторые из этих обвинений точно было провокацией.
Снобизм английских банков
— Многие хакерские атаки заканчиваются успешно из-за беспечности пользователей. С этим стало лучше?
— Стало лучше, но ненамного. Пример: в 2017 году в результате атаки вирусов-шифровальщиков WannaCry и Petya пострадало огромное количество компаний, госучреждений и обычных пользователей — они не имели копий своих данных.
По итогу дело даже не в хакерах, а в самих людях. Это же очевидно, если у вас есть устройство с важной информацией, нужно делать резервную копию.
— За границей с этим лучше?
— Есть миф, что в США или Англии все отлично в плане безопасности. Да, они об этом больше думают, но из-за своего снобизма защищены хуже, чем мы.
— Снобизма?
— Почти любой английский интернет-банк безобразен в плане удобства, интерфейса и безопасности. При этом они уверены, что они лучшие в мире. Вроде как Лондон — финансовая столица мира. В России с интернет-банкингом лучше из-за того, что эта история началась с чистого листа. У нас вообще до развала СССР никакого банкинга практически не было. И после развала у нас не было стереотипов и шаблонов о том, как это должно работать.
Большинство международных банков очень крупные, медленные и с большой историей проведения платежей — у них был пластик, до этого чеки. Им сложно мобилизоваться. Поэтому, как ни странно, в России один из лучших и безопасных интернет-банкингов.
«Ракетостроение» вредоносных программ
— Возвращаясь к хакерским трендам: сложнее ли злоумышленникам стало взламывать?
— Идет сильное упрощение работы злоумышленников. Практически все программы для кражи денег становятся проще и удобнее в использовании, имеют простейшие интерфейсы на русском языке.
— А если говорить о тех, кто их разрабатывает?
— Для разработчиков процесс усложнился. Их задача обходить все более сложные механизмы защиты. Банки и клиенты стали использовать системы обнаружения вторжений, многие поняли, что антивирусы не работают.
Пример серьезных разработок вредоносного ПО можно найти у преступных групп Cobalt или Lazarus.
Если разобрать их методы доставки вирусов, то становится понятно, что по сложности они сравнимы с ракетостроением.
— Их разрабатывают инженеры с хорошим академическим образованием или самоучки?
— Бывает и то и другое. Самоучки — они всегда более продвинутые. Даже в нашей компании большинство сотрудников учатся сами. Дело в том, что многие преподаватели — теоретики. В кибербезопасности многое меняется всего за квартал. Соответственно, если человек год не практикует, то чему он может научить?
— Что представляет собой хакерская преступная группа?
— Это может быть один человек с ноутбуком, а может быть и группа лиц. Причем, они могут друг друга не знать. В интернете всегда можно найти себе поставщиков тех или иных услуг. Если вы вирусописатель, то вам нужен человек, который зальет вирус на компьютер. Кроме этого, нужен человек, который сделает так, чтобы ваш вирус не детектировался антивирусами. Еще нужны люди для вывода денег в конкретной стране и так далее.
— То есть все как у обычных преступников. А если говорить про возраст — насколько молодым может быть хакер?
— Если говорить об участии в организованной преступной группировке, то в моей практике встречался человек возрастом 14 лет. Это был не гений, просто талантливый парень.
— То есть взлому может научиться любой?
— По сути, вся информация есть в открытом доступе.
— И ее не блокируют?
— Нет и не нужно. Лучше бороться с преступниками, их технологиями, экономикой и их каналами финансирования. Я считаю, информация о методах преступления самим преступлением не является. Ведь она может быть полезна и специалистам по кибербезопасности.
Как инженер могу сказать, что любая блокировка не приводит к положительным результатам. После блокировки сайтов с наркотиками, наркотиков в интернете стало больше. Преступники перешли в теневой интернет, где их гораздо сложнее найти. Тоже самое с Telegram.
Что вообще произошло? У нас 15 миллионов человек научились пользоваться VPN-сервисами, поэтому все ранее заблокированные сайты стали доступны для них. При этом заблокировали не Telegram, а 16 миллионов IP-адресов, из-за чего полетела куча легальных сервисов.
— А как же главный аргумент об использовании этого мессенджера для подготовки преступлений?
— Могу сказать про хакеров — они используют криптографические протоколы для шифрования, свои собственные серверы и мессенджеры. А вообще, все, кто хотел совершать преступления, стали умнее, а простым людям стало жить сложнее — вот в чем парадокс.