Не так давно служба информационной безопасности Cisco  предумышленно произвела внутрикорпоративную рассылку писем с потенциально  неблагонадежными элементами.  То, что на эту провокацию  многие поддались, объясняется тем, что в последние годы наблюдается четкий тренд: злоумышленники пытаются переходить от прямых атак на целевые системы (базы данных или веб-сайты) к атакам отдельных сотрудников. Несмотря на то, что технологии  меняются, но уже давно известными остаются каналы доставки вредоносного кода: прежде всего это почта и веб.

За пределами подозрений

Еще недавно считали, что в прошлом осталась проблема спам-рассылок, но  снова стало увеличиваться количество нежелательных писем, при этом их контент существенно изменился. Если ранее спам довольно часто применялся для рекламы сомнительных услуг или товаров, то сейчас недобросовестные рассылки во многих случаях пытаются заразить компьютеры пользователей. Еще недавно эффективные методы борьбы со спамом, сегодня   прекращают действовать. Ранее нужно было определить  IP-адрес, с которого производилась рассылка, и внести его в черный список. Однако, в прошлом году специалистам удалось зафиксировать то, что в два раза увеличились объемы, так называемого «спама на снегоступах»,  который небольшими порциями рассылался с большинства зараженных компьютеров пользователей.

Вместе с децентрализацией изменилось и содержание писем, что только добавило больше проблем сотрудникам служб информационной безопасности. Спам более сфокусировался, поскольку злоумышленники начали учитывать род деятельности жертв. К примеру, в августе прошлого года сотрудники некоторых ведомств и министерств Украины получили письма с вредоносным кодом, которые поступали с известного адреса, в списке получателей были  государственные доменные имена, текст письма в полной мере вписывался в контекст, а вложение являлось вполне осмысленной презентацией в PowerPoint по распоряжению правительства. По внешним признакам нельзя догадаться об атаке, но в то же время письмо содержало троян «нулевого дня», который тогда был еще неизвестен производителям средств защиты. Поэтому антивирусное программное обеспечение  не реагировало на открытие этих писем.

Еще недавно вредоносный код можно было подхватить при посещении, так называемых «неблагонадежных сайтов.  Сейчас и нормальные сайты стали небезопасными, поскольку баннерные сети способны пропускать рекламу с потенциально опасными ссылками. Данное явление называется малвертайзинг – это словосочетание английских слов malware и advertising. Специалисты службы безопасности смогли найти зараженные баннеры на таких популярных сайтах, как YouТube и Amazon.

Безусловно, не всегда очевидно действие вредоносного кода. В прошлом году нельзя было не отметить настоящую эпидемию разных модификаций вирусов CryptoWall, CryptoLocker и пр.  Вначале они производили шифрование  на диске в фоновом режиме, а через некоторое время предлагали пользователю возвратить доступ к его информации, только ему нужно было заплатить 500 долларов через Bitcoin.   Такой зараженный компьютер невозможно вылечить без ключа.