У 2021 році продовжать удосконалюватися програми-вимагачі та складні загрози без використання файлів. Крім цього, у центрі уваги знову опиняться проблеми безпеки Інтернету речей, зокрема численні уразливості у “розумних” інтимних іграшках.
Віддалений режим роботи – нова реальність
Пандемія спричинила масовий перехід співробітників на віддалений режим роботи, спровокувавши появу нових викликів безпеки для компаній. У свою чергу, кіберзлочинці використовували ситуацію з перебуванням працівників поза межами офісу на свою користь. Від шкідливого програмного забезпечення, пов’язаного з темою COVID-19, до фішингових схем — зловмисники різноманітними методами намагалися використати уразливості ІТ-систем для інфікування пристроїв.
“Хоча робота у віддаленому режимі може піти на користь організаціям, однак, не думаю, що ми будемо продовжувати працювати так п’ять днів на тиждень. Більше співробітників у всьому світі невимушено перейдуть до варіанту, який найкраще підходить для них та їх бізнесу”, — коментує Джейк Мур, дослідник ESET.
Технології все більше проникатимуть у різні сфери нашого робочого та особистого життя, тому кіберзахист залишатиметься базовим елементом безпеки будь-якого бізнесу. Оскільки атаки продовжать вдосконалюватися, підприємствам необхідно буде створити надійні ІТ-системи, щоб уникнути фінансових втрат та репутаційних ризиків.
Програми-вимагачі – заплатіть, в іншому разі ваші дані будуть опубліковані
Оскільки зловмисники перебувають в постійному пошуку нових способів для змушування жертв заплатити якнайбільшу суму викупу, ставки для жертв стають більшими. Викрадення даних та вимагання викупу за їх нерозголошення не є новими методами програм-вимагачів, але їх популярність серед кіберзлочинців ростиме і в 2021 році.
При цьому, для захисту користувачів від цих зловмисних дій стандартних підходів, наприклад, здійснення регулярного резервного копіювання даних, може бути замало. Таким чином завдяки зміні техніки шанси кіберзлочинців отримати викуп ростуть.
“Компанії застосовують технології запобігання атакам та створюють гнучкі процеси резервного копіювання та відновлення, тому зловмисникам недостатньо покладатися на один вид загрози, їм потрібен додатковий план для монетизації власної активності”, — розповідає Тоні Анскомб, провідний спеціаліст ESET з безпеки.
Не запобіганням єдиним: багаторівневий підхід для захисту від складних загроз
За останні роки кіберзлочинці використовують дедалі складніші методи для здійснення цілеспрямованих атак. Зокрема популярності набувають атаки без використання файлів, під час яких злочинці застосовують для зловмисних цілей вбудовані інструменти та процеси операційної системи. За останній час такі методи застосовувалися для кібершпіонажу за важливими цілями, наприклад, урядовими структурами.
“Безфайлові загрози швидко розвиваються, і очікується, що в 2021 році вони будуть використовуватися під час дедалі складніших і масштабніших атак, — розповідає Каміло Гутьєррес Амая, дослідник ESET. — Ця ситуація вказує на потребу в інструментах та технологіях, які не тільки перешкоджають інфікуванню комп’ютерних систем шкідливим кодом, але також мають можливості виявлення та реагування до моменту досягнення основної цілі атаки”.
Саме тому для захисту від складних загроз важливо використовувати багаторівневий підхід, який передбачає огляд всіх подій у мережі перед, під час та після атаки. Ці можливості здатне забезпечити рішення для виявлення та відслідковування прихованих загроз (EDR). У поєднанні з іншими технологіями EDR допомагає організаціям перешкоджати небезпечній активності, проводити розслідування потенційних інцидентів, які можуть бути частиною масштабної атаки, а також ізолювати скомпрометовані пристрої.
Недоліки безпеки в “розумних” інтимних іграшках
На ринку постійно з’являються нові моделі “розумних” іграшок для дорослих. Однак дослідження показують, що ці пристрої містять багато недоліків безпеки, які можуть загрожувати конфіденційності даних власників. Зокрема виявлені уразливості в деяких девайсах дозволяли перехоплювати інформацію та віддалено управляти пристроями, а також отримувати доступ до фото та інших особистих даних користувача.
Особливо ці проблеми безпеки стали актуальними зараз, оскільки продажі інтимних іграшок стрімко зростають у відповідь на глобальну кризу в галузі охорони здоров’я та впровадження заходів соціального дистанціювання, пов’язаних із COVID-19.
“Ера смарт-іграшок для дорослих тільки починається. Найновіші досягнення в цій галузі — моделі з можливостями віртуальної реальності та роботи на основі штучного інтелекту з камерами, мікрофонами та функціями голосового аналізу”, — розповідає Сесілія Пасторіно, дослідниця ESET.
При цьому, як і раніше, дотримання правил безпеки та обізнаність власників будуть вирішальними у питанні захисту конфіденційних даних. Оскільки користувачам доведеться взяти на себе роль обізнаних споживачів, які можуть вимагати від постачальників застосування кращих практик безпеки для захисту своєї “інтимної” інформації у найближчі роки.
Радимо звернути увагу на поради, про які писав Cybercalm, а саме:
Як увімкнути новий зчитувач PDF від Google Chrome? – ІНСТРУКЦІЯ
Як надавати дозволи, зокрема, тимчасові для програм на Android? – ІНСТРУКЦІЯ
Нова macOS Big Sur: 10 порад щодо налаштування та використання ОС
Як заборонити друзям із Facebook надсилати Вам повідомлення в Instagram? – ІНСТРУКЦІЯ
Як захисти свої пристрої під час віддаленої роботи з дому? ПОРАДИ
До речі, кібершахраям в черговий раз вдалося обійти захист офіційного магазину додатків для Android – Google Play Store, у результаті чого понад мільйон користувачів постраждали від фейковий модів для популярної гри Minecraft.
Зверніть увагу, що оператори відеосервісу TikTok усунули дві уразливості, які в комбінації дозволяють без особливих зусиль отримати контроль над чужим екаунтом. Одна з уразливостей була присутня на сайті, інша з’явилася в клієнтському додатку.
Також дослідники з кібербезпеки повідомили про зростання кількості кібератак, що використовують сервіси Google в якості зброї для обходу засобів захисту і крадіжки облікових даних, даних кредитних карт та іншої особистої інформації.
У мобільній версії додатка Facebook Messenger усунули уразливість, за допомогою якої можна було прослуховувати оточення абонента. За свідченням експерта, який знайшов баг, таємне підключення до цільового Android-пристрою у даному випадку виконується за кілька секунд.
П’ятеро фігурантів видавали себе за IT-спеціалістів фінансової установи. Під виглядом “тестування платіжної системи” вони здійснили незаконні перекази грошей на підконтрольні рахунки. У результаті таких дій вони незаконно привласнили 1,4 мільйона гривень банківської установи.