Необходимо сосредоточить усилия на унификации законодательства в различных странах-членах ЕС, а также упрощении юрисдикционных процедур в сфере карточного мошенничества, платежных систем и транзакционной преступности.
СОЦИАЛЬНЫЙ ИНЖИНИРИНГ
Независимо от того, сколько ресурсов компании и государственные органы и общественные организации, а также граждане тратят на информационную безопасность, они не могут полностью защитить свою информацию. Самым слабым звеном в информационной безопасности является человек. В одних случаях человеческий фактор сводит на нет огромные ассигнования и значительные усилия из-за ошибок, недостаточного уровня квалификации программистов, системных администраторов, специалистов по информационной безопасности. В других случаях, а таких большинство, инсайдер внутри компании целенаправленно и с выгодой для себя нарушает или даже разрушает транзакционную безопасность, осуществляет те или иные преступные действия. До публикации настоящего доклада, насколько известно, социальный инжиниринг, как важнейший элемент и направление киберпреступности не рассматривался правоохранительными органами какой-либо страны мира и какой-либо части света.
Под социальной инженерией понимается информационная атака, т. е. несанкционированное получение информации в корыстных целях. При этом получение информации осуществляется против воли и цели как лица, через которое получена информация, так и владельцев компании или ее руководителей. Следует отметить, что борьба с социальной инженерией в настоящее время практически невозможна в силу отсутствия в законодательстве всех стран-членов ЕС статей, квалифицирующих социальную инженерию, как уголовно или административно наказуемый вид деятельности.
Включением данного раздела в доклад, Европол стремится инициировать не только общественность, но и законодателей на рассмотрение этого вопроса с четким вычленением тех аспектов социальной инженерии, которые носят априори преступный характер и должны получить соответствующую законодательную оценку.
Необходимость этого связана с тем, что в настоящее время социальная инженерия превратилась в один из самых распространенных векторов атак на информацию, от которых сложнее всего защититься. К тому же тщательный анализ киберпреступности показывает, что практически по всем направлениям наиболее опасных и быстроразвивающихся видов киберкриминала имеет место сложное сочетание социальной инженерии с применением вредоносного софта.
Ключевая угроза – фишинг
Практически все государства-члены ЕС отмечают стабильную тенденцию к увеличению фишинга в их юрисдикциях. Главной мишенью фишинг-компаний в 2015 г. наряду с частными лицами были финансовые институты.
Следует констатировать, что ценой очень существенных затрат финансовым институтам удалось в 2015 г. заметно снизить ущерб от фишинг-атак. Результата удалось добиться за счет массового внедрения мощных систем, оснащенных элементами искусственного интеллекта, распознающими фишинговые письма и сообщения в общем объеме электронной документации.
В 2015 г. основной объем фишинг-атак приходится на англоязычные и франкоязычные страны и районы ЕС. При этом главным источником франкоязычных фишинг-атак является франкоговорящая Северная Африка, а англоязычных фишинг-атак Карибы. Качество и количество фишинга за последние несколько лет значительно увеличилось из-за больших успехов, достигнутых автоматическим переводом и прежде всего переводом Google.
В то время как компании вкладывают значительные средства в повышение информационно-коммуникационной безопасности, на первый план выступают прорехи «в человеческом брандмауэре». По мнению экспертов в Европе на гораздо более низком уровне, чем в США и России ведется подготовка кадров в области кибербезопасности и информационной гигиены в корпоративном секторе. Например, в Соединенных Штатах и в России никому в голову не придет открывать так называемые «нигерийские письма». Между тем, проведенные в Германии в 2014 г. исследования показали, что эти письма были открыты корпоративными пользователями в 23 % случаев, и в 11 % случаев привели к заражению корпоративных систем.
Для нецелевых атак основным способом распространения фишинговых писем является спам. К несомненным успехам международного сотрудничества следует отнести тот факт, что вот уже третий год уровень спама в странах-членах ЕС падает. Успешная борьба со спамом показывает, что в тех случаях, когда удается обеспечить международное сотрудничество и соединить подготовку кадров с применением эффективных программных средств, с киберпреступностью можно бороться успешно.
Основная угроза – мошенничество топ-менеджмента
Несколько стран-участниц ЕС, а также банковские ассоциации сообщили об увеличении в 2015 г. так называемой «беловоротничковой» киберпреступности. Это – различного рода преступления топ-менеджмента, в основном в финансовой сфере, осуществляемые с использованием информационных технологий.
Еще более быстрыми темпами растет преступность, связанная с мошенническим присвоением прерогатив топ-менеджмента социальными хакерами. Один из наиболее широко используемых методов социального инжиниринга – это подключение к внутрикорпоративным телефонным линиям или информационным каналам с последующим сообщением персоналу якобы от имени генерального директора или его замов той или иной информации. Поскольку персонал привык доверять корпоративным информационным системам и телекоммуникациям, он принимает такие указания за чистую монету. Как правило, работникам поручается либо передать в адрес руководства ту или иную информацию или срочную справку, либо осуществить тот или иной платеж.
Если на начальном этапе хакеры пользовались в основном электронной почтой, то в 2015 г. гораздо большее распространение получили пранкерские технологии. При их применении группировка первоначально взламывает корпоративный канал оперативной телефонной связи или мессенджер, а затем, используя самые современные средства аудиомонтажа, отдает по закрытым каналам голосом начальника те или иные приказы, которые, как правило, исполняются незамедлительно.
В 2015 г. такого рода сложные операции, в которых были задействованы кибертехнологии, связанные с взломом телекоммуникаций, подключением к ним, дополнялись технологией модификации голоса, а также специфическими психологическими приемами, включающими подсознательные активаторы. Все это привело к тому, что нескольким финансовым институтам стран-членов ЕС был нанесен ущерб в 1,6 млрд. евро.
Будущие угрозы и развитие
Поскольку корпоративные взаимодействия все больше и больше уходят из реала в киберсреду, это открывает дополнительные возможности для социальной инженерии. Дополнительным фактором, усиливающим риски социально инженерии для корпоративных структур, становится ширящееся в Европе движение к удаленной работе, использованию аутсорсинга и распределенных безофисных систем. В странах-членах ЕС все больше компаний, в которых работники, включая не только функциональное руководство, но и линейный топ-менеджмент, крайне редко видят друг друга лично, и общаются в основном при помощи мобильных телефонов, мессенджеров и т. п.