Привет, меня зовут Олег, я эксперт по информационной безопасности из компании DDoS-Guard. Я поставил перед собой задачу рассказать Пикабу, в каком удивительном мире мы все живем — и как в нем выжить в 2025 году. Эти советы помогут защитить бизнес, но и рядовым сотрудникам будет интересно и полезно их почитать. Попробую, а вы расскажите мне в комментариях, насколько хорошо получилось. Итак, поехали!
Да здравствует страшное будущее!
Мы живем в мире, который цифровизировался настолько, что и не снилось самым смелым фантастам прошлых десятилетий. Самые отважные фантазеры вроде Уильяма Гибсона предполагали, что контакт с интернетом будет прямой, типа воткнуть штырь в разъем сразу в шее и наслаждаться. Представьте неотключаемую рекламу сразу у вас в голове — или посмотрите «Черное зеркало», первую серию 7 сезона.
Но получилось еще интереснее.
Во-первых, мы все теперь стали как бы призраками, и цифровые двойники живут независимо от нас. Это наши персональные данные, в которые входят не только ваш номер паспорта и телефон, но и портрет того, что вы любите, чем интересуетесь, на что кликаете. Этих двойников собирают в базы, продают, перепродают, на них обучают технологии — и все это без вашего ведома и разрешения!
Какие из этого следствия? Фишинг стал легким, как никогда прежде (особенно благодаря ChatGPT) — любой чувак может прикинуться вами и попросить денег у ваших родственников, создав идентичный аккаунт. Или от вашего имени написать очень убедительное письмо коллегам по работе. Или что-то еще.
Во-вторых, теперь к интернету подключено вообще все! Чайники, холодильники, кондиционеры, елочные гирлянды, отвертки, секс-игрушки…В какой-то момент технология IoT (умный дом) была очень модной, и теперь в мире есть миллиарды умных устройств, которые хакеры удаленно взламывают за пару секунд и используют для своих целей. Прекрасно получилось, очень удобно — хакерам. И главное, все это происходит полностью автоматически.
В-третьих проблема в том, что никто не соблюдает нормы кибербезопасности (хотя о них кричат на каждом углу уже и на государственном уровне), и поэтому сегодня что-то взломать легче, чем когда-либо было в истории. И если вы думаете, что это вас не коснется, потому что «да кому вы нужны» — то вы очень смелый и отважный человек (который не прав).
В общем, добро пожаловать в прекрасный новый мир, а теперь разберем, чего бояться и как защищаться.
Терминаторы красноглазые ходят по интернету
Это, кстати, не метафора, это правда. Основные принципы взлома по сути одинаковы и для компании и для частного ПК/телефона или робота-пылесоса. По интернету непрерывно ходят мириады роботов-парсеров и брутфорсеров — замечательные такие маленькие скриптики, которые постоянно проверяют: а вот тут у вас надежно? А вот тут нельзя ли взломать?
Можете сами провести эксперимент — завести сайт на бесплатном хостинге Wordpress, поставить какие-нибудь простенькие логин и пароль (типа admin/admin12345) и засекать, через сколько сайт будет взломан — на него в лучшем случае загрузят вирус, который будет скачиваться при каждом заходе пользователя на страницу.
Чем это может быть чревато? Если взломали сайт, то с него могут слить все данные, нанести прямой вред посетителям (путем загрузки вируса), ну и нанести коммерческий ущерб за время простоя. Если взломали умный девайс — то он присоединяется удаленно к огромной армии таких же зомби-устройств — так называемым ботнетам. Их используют, как правило, для организации DDoS-атак — об этом расскажем дальше. А если взломали личный аккаунт на каком-то сервисе — все зависит от специфики и фантазии злоумышленника.
Как защититься: для начала можно менять пароли по умолчанию везде, где только можно. Разумеется в этом есть смысл, только если использовать пароль сложнее, чем 12345. А уж если пароль будет длинным и сложным (типа PiK@buUu65536!!!), то шансы, что вас взломают резко стремятся к нулю. Вроде бы просто, правда? Но нет: КАЖДЫЙ ГОД ИБ-специалисты созерцают одну и ту же картину: самые популярные пароли в России (да и в мире тоже, с некоторыми поправками) — 123456, qwerty, 123456789, 12345, qwerty123, 1q2w3e, password, 111111 и тому подобное. Будьте теми самыми 5% людей, которым не все равно на собственную безопасность, сломайте порочный круг!
Армии зомбированных гаджетов атакуют ваше всё
Что такое DDoS-атака? О, это как раз моя область специализации, и я мог бы про это рассказывать бесконечно, но лучше сходите на наш сайт, где все расписано так подробно, как вообще возможно. Технически там много деталей, лучше в двух словах про последствия: ваш сайт перестает открываться, сеть падает, ничего не работает, заказы не идут, клиенты злятся, а руководство в панике (разумеется), потому что непонятно что делать.
Количество DDoS-атак растет каждый год, а количество IP в одной атаке может достигать всех IP небольшой страны типа Исландии. Спасибо большое, устройства умного дома! Теперь интернет полон готовых к действию ботнетов, доступ к которым продают всем желающим, даже школьникам.
Чем это может быть чревато? Да ничем хорошим, репутационными и финансовыми потерями, нервами, потраченным временем и риском того, что инцидент повторится (а он обязательно повторится, если хакеры вас «пощупали» и поняли, что защиты нет).
Как защититься: есть множество полумер, для грамотного использования которых вам понадобится опытный сисадмин, чтобы смягчить урон. Но, честно говоря, против сильной DDoS-атаки вам ничего не поможет, кроме подключения профессиональной внешней защиты.
Незнакомцы с фальшивым лицом притворяются кем-то близким
Старый-добрый фишинг, любимец всех офисов! Приходит письмо из бухгалтерии или от начальника, или от налоговой (или от ФСБ!) с требованием как можно скорее открыть вложение, там важные правки от разъяренного клиента, или информация о перерасчете зарплаты, или какие-то совсем пугающие штуки (тут злоумышленники подстраиваются под контекст).
Про персональный фишинг тоже понятно: в мессенджер или на почту пишут родственники, пишут знакомые, пишут рекрутеры с сайтов поиска работы, и все чего-то хотят — денег или чтобы вы перешли по ссылке, или чтобы открыли файл.
Всякие футуристические еще штуки, типа deepfake звонков, голосовых или даже видео — они все еще относительно редки, но вполне реальны, и психика нормального человека просто выключается при столкновении с таким хитрым роботическим скамом. Ну как не верить-то своим глазам/ушам?
Чем это может быть чревато? Чем угодно, в зависимости от того, насколько дело серьезное. Фишинг может как ограбить персонально вас, так и впустить хакера в корпоративную сеть, которая потом понесет колоссальные убытки — не лучше ли потратить лишние пять минут на проверку, но не быть потом ответственным за какой-то ад?
Как защититься: использовать секретную технику даосских мастеров, которая называется *барабанная дробь* включение критического мышления! На фишинг может попасться абсолютно любой человек, от работяги до гендиректора — если он не включит мышление. Перед тем, как что-либо сделать (открыть файл из странного письма, перевести кому-то срочно денег, совершить вообще любое действие, которое надо сделать немедленно и которое чревато последствиями) — остановитесь на пять минут и подумайте. А, может быть, мне перезвонить родственнику/начальнику/бухгалтеру и уточнить, они правда мне это присылали? А, может быть, мне позвонить в налоговую и спросить, у них правда есть документ под таким-то номером, который меня касается?
За спрос денег не берут, а вот за доверчивость и невнимательность — да, они как раз основной источник дохода для инфомошенников всех видов.
И не думайте, что ваши сотрудники и коллеги на такое не поведутся: поведутся и еще как, тысячи фишинговых инцидентов происходят в стране каждый день. Отсутствие базовой цифровой гигиены, тотальное доверие всему написанному или сказанному мошенниками — все это надо ликвидировать, проводить тренинги и повышать осведомленность. Лучше всего практическим путем.
Суммируем
Повышаем безопасность в самых банальных вещах. Смотрим, где у нас вообще есть пароли — они порой у IoT-устройств, так сказать, в весьма труднодоступных местах! Нет паролей/пароли по умолчанию? Ставим пароли. Стоят простые пароли? Делаем их сложными (не менее 8 символов, цифры, спецсимволы, разный регистр букв). Везде один и тот же пароль? Ставим разные (и используем например менеджер паролей, чтобы он их помнил за нас).
Думаем перед тем, как открыть вложение или перейти по ссылке из подозрительного письма. Помогаем не тупить и сотрудникам: сами запускаем по компании фишинговую рассылку (с безвредным содержанием) и смотрим, кто попался. Потом собираем всех и рассказываем, какие были бы последствия будь эта атака настоящей. Практика лучше теории.
Никому на всякий случай не доверяем (из лучших побуждений). Используем политику Zero Trust: если офис-менеджер занимается закупками провизии в офис, то не стоит выдавать ему доступ к репозиторию.
Подключаем защиту от DDoS, если вы управляете каким-либо онлайн-проектом, хоть небольшим цветочным магазином. Базовый уровень стоит не так уж дорого, если сравнивать с потенциальным ущербом от атаки и тем, что надо будет с горящей головой во время инцидента срочно-обморочно искать, кто защитит от атаки в момент ее проведения.
Повышаем общую образованность. Надо донести до коллег и, главное, до самого себя, что мы живем уже В ДРУГОМ МИРЕ, не том, что даже 10 лет назад. Этот мир цифровой, стремительный, и весьма опасный для тех, кто не шарит за безопасность.
Это все! Спасибо за внимание, хорошего дня и расскажите обязательно в комментах случаи из жизни, как вас взламывали, и чем все кончилось.
Реклама ООО «ДДОС-ГВАРД», ИНН: 9204005780
