Игорь Бедеров: «Рынок даркнета — это не хаос, а выстроенная система»

Как изменился ландшафт киберугроз с развитием технологий искусственного интеллекта и машинного обучения? Какие новые вызовы это создает для специалистов по безопасности?

Сегодня ИИ активно используется киберпреступниками для создание фишинга, генерации вредоносного кода и дипфейков. В информационной безопасности — для улучшения анализа угроз, своевременного выявления и прогнозирования хакерских атак. В обеспечении расследований — для автоматизации рутинных задач по сбору и анализу данных. Нужно признать, что ИИ обеспечивает адаптивные атаки, обходящие традиционную защиту. Чтобы противостоять им, требуется постоянно обучать модели, использующиеся в информационной безопасности.

В одном из ваших интервью вы упомянули, что современные технологии позволяют отслеживать перемещения человека с помощью рекламных модулей (ADINT). Какие меры предосторожности вы рекомендуете для защиты от такого рода слежки?

Общие меры защиты тут очевидны. Следует использовать блокировщики трекеров (uBlock Origin, Privacy Badger), отключать рекламные ID в устройствах, применять VPN и браузеры с акцентом на приватность (Brave, Tor) и ограничивать разрешения приложений на геолокацию и доступ к данным. Основная проблема ADINT базируется в другой плоскости — бесконтрольной продаже пользовательских данных их крупнейшими держателями (Meta*, Google, Apple), а также использовании этих данных не только государственными разведками, но и частными компаниями по всему миру. Это вынуждает нас ставить вопрос о кардинальном пересмотре самого понятия «приватность» и необходимости отказа от проприетарного софта в смартфонах. По крайней мере в тех смартфонах, которые предполагается использовать силовиками и чиновниками.

На конференции Moscow Forensics Day 2024 вы рассказали об анализе Telegram-каналов и чатов. Какие инструменты и методы вы используете для мониторинга и поиска данных в Telegram и насколько они эффективны в выявлении потенциальных угроз?

Начиная с 2017 года в России развилось большое количество сервисов, копирующих контент из Telegram-каналов и чатов. В числе основных я могу назвать TGStat и Telemetr. Некоторые проекты, такие как Funstat, собирают публичные сообщения пользователей мессенджера в десятках миллионов публичных и приватных чатов. Мы, как расследователи, пользуемся доступными сервисами, а также создаем свои. Это дает нам возможность отслеживать ключевые слова (например, угрозы, утечки данных или признаки подготовки хакерских атак). Эффективность такой работы достаточно высока, но требует тщательной проработки семантического ядра, которое используется для поиска информации. Насколько эффективен такой мониторинг в целях, например, информационной безопасности можно оценить по продукту ThreatHunter DRP, разработанному в компании T.Hunter.

Каковы юридические риски мониторинга и анализа Telegram-чатов?

Никаких. Это исключительно публичные данные, которые пользователи осознанно (надеюсь) оставили для общего доступа неограниченной группы лиц. По 152-ФЗ их обработка не предполагает получение согласий на обработку персональных данных. Да мы и не знаем даже, чьи согласия нужно получать. Telegram же является условно анонимным мессенджером.

На Positive Hack Days вы рассказывали о расследованиях криптовалютных преступлений. Как эволюционировали методы отслеживания криптовалютных транзакций?

Главное заключается в постепенном уменьшении доли биткоина в различных мошеннических проектах. Одновременно происходит рост мошенничеств, связанных с DeFi-проектами, киберуязвимостями межсетевых «мостов», а также с усложнением схем вывода украденных цифровых активов. Это вынуждает разработчиков уделять значительное внимание внедрению ИИ-технологий в процесс отслеживания транзакций, повышать собираемость идентифицирующих данных об адресах криптокошельков за счет использования специализированных алгоритмов поиска. Наконец, стоит отметить и последствия санкций, которые отразились на ограничении взаимодействия российских правоохранительных органов с международными криптовалютными финансовыми организациями (биржами и обменниками), а также сложности, связанные с арестом криптовалюты.

Криптовалюта: тест на безопасность провален?

Можно ли полностью анонимизировать криптовалютные платежи или правоохранительные органы всегда смогут их отследить?

Большинство криптовалют (например, Bitcoin, Ethereum) псевдоанонимны. Адреса кошельков не содержат прямой информации о владельце, но все транзакции публичны. Если личность связана с адресом (например, через биржу с KYC), вся история операций становится отслеживаемой. Однако существуют анонимные криптовалюты, такие как Monero, Zcash, Dash, которые используют технологии для маскировки транзакций. Тут, как и с Интернетом... Полная анонимность возможна, но требует глубоких знаний, дисциплины и использования специализированных инструментов. Для большинства пользователей риски деанонимизации высоки из-за ошибок или регулирования финансовых институтов. Правоохранительные органы часто могут отследить платежи, особенно если задействованы регулируемые биржи или есть доступ к дополнительным данным. Monero и другие анонимные криптовалюты остаются наиболее надежными вариантами, но и они не гарантируют 100% невидимости в долгосрочной перспективе.

Вы упоминали, что в 2024 году количество выявленных дипфейков превысило показатели предыдущего года. Какие технологии и методы вы рекомендуете для обнаружения и противодействия дипфейкам в корпоративной среде?

Для успешного противодействия дипфейкам в корпоративной среде рекомендуется комбинировать технологические решения, обучение сотрудников и организационные меры. Необходимость технологических решений обусловлена усложнением работы ИИ-моделей, позволяющих генерировать дипфейки высокого качества. Современные инструменты (Microsoft Video Authenticator, Deepware Scanner, Sentinel, Truepic, Intel FakeCatcher) выявляют неестественные паттерны в видео/аудио: аномалии в мимике, бликах света, синхронизации губ и речи. Главное, они позволяют выявлять признаки генеративности контента за счет его создания по особым принципам, присущим нейросети. Требуется массовое просвещение граждан в части использования дипфейков в противоправной деятельности, а также обязательная маркировка подобного контента, позволяющая отследить «авторство».

Насколько вообще эффективны ограничения на звонки через мессенджеры в борьбе с телефонным мошенничеством? Какие дополнительные меры могут быть предприняты?

Ограничения в мессенджерах — важный, но недостаточный шаг. В противовес им мошенники продолжат использовать виртуальные номера, взломанные аккаунты, перейдут на другие платформы или продолжат работать из регионов со слабым регулированием. Эффективность ограничений повысится только в сочетании с технологическими инновациями, образованием пользователей, жестким регулированием, международной кооперацией и качественным реформированием правоохранительной системы. Мошенники быстро адаптируются, поэтому система защиты должна быть гибкой и многоуровневой. Из дополнительных мер стоит поставить вопрос о повышении квалификации сотрудников полиции, повсеместном внедрении систем электронного документооборота, новых систем криминалистического учета и идентификации в сети Интернет, внедрении средств автоматизации выявления и расследования ИКТ-преступлений.

Какие психологические методы используют современные телефонные мошенники для обмана жертв? Как распознать такие уловки и защититься от них?

Современные телефонные мошенники применяют различные психологические методы, чтобы манипулировать жертвами. Это создание эффекта срочности и запугивание своих жертв, имитация «авторитета», использование «сценария» мошенничества и применение ИИ для имитации голоса близких. Наконец, фишинг, распространение вирусов-троянов и эксплуатация жадности или надежды у жертвы. Стоит отметить, что классическое телефонное мошенничество постепенно сращивается с кибермошенничеством и терроризмом. Все чаще мы сталкиваемся с распределенными мошенническими кол-центрами, использованием шпионского ПО, многоуровневыми схемами, дипфейками и вовлечением в совершение диверсий.

Защитят ли власти от кибермошенников?

Основой защиты от телефонного мошенника является разрыв разговора с ним. Я рекомендую использовать для этого голосовых помощников мобильных операторов. Никогда не сообщайте пароли, коды из SMS, CVV/CVC. Непонятные и подозрительные сообщения от родственников и коллег перепроверяйте непосредственно у них. Включите двухфакторную аутентификацию для банковских счетов и соцсетей. Обучайте близких, а особенно пожилых людей, которые чаще становятся жертвами. Не переходите по ссылкам из SMS или сообщений от неизвестных номеров.

Вы упоминали, что злоумышленники начали использовать OTP-боты для обхода двухфакторной аутентификации. Можете подробнее рассказать о механизме их работы и как пользователи могут защититься от таких атак?

OTP-боты делают двухфакторную аутентификацию уязвимой, если код передается по ненадежным каналам (SMS) или попадает к злоумышленникам. Как это работает? Злоумышленник взламывает аккаунт жертвы через фишинговый сайт, получает логин и пароль. Затем бот автоматически вводит их на реальном сайте, а жертве приходит законный запрос на OTP-код. Если пользователь введет код на фишинговой странице, бот мгновенно использует его для доступа. Переход на аппаратные ключи и аутентификаторы, а также осторожность с возможным фишингом — основные способы защиты от OTP-ботов.

Какие категории данных в Darknet сегодня наиболее востребованы? Изменился ли рынок за последний год?

Рынок даркнета становится все более специализированным и технологичным. Основные тренды — автоматизация атак, фокус на корпоративные данные и криптовалюты, а также интеграция ИИ в киберпреступность. Наиболее востребованные категории данных в даркнете составляют персональные сведения, финансовая информация, учетные записи, вредоносное ПО и хакерские услуги, конфиденциальная корпоративная информация, медицинские данные, сканы документов и данные IoT-устройств. Последний год отметился увеличением числа утечек из-за уязвимостей в облачных сервисах, а также спроса на доступы к корпоративным сетям для ransomware-атак. Происходит рост предложения взломанных криптокошельков и инструментов для кражи Seed-фраз, а также использование ИИ-моделей для подготовки и совершения киберпреступлений.

Насколько эффективно российские компании используют разведку для предотвращения атак? Есть ли примеры, когда грамотный OSINT помог избежать серьезных инцидентов?

Российские компании демонстрируют растущую осведомленность в области OSINT, особенно в критически важных отраслях. Однако уровень внедрения остается неравномерным. Крупные компании и государственные структуры (энергетика, финансы, телекоммуникации) активно внедряют инструменты OSINT, включая мониторинг соцсетей, форумов, даркнета и специализированных платформ. Государственные органы все чаще заказывают обучение для своих сотрудников методам и приемам OSINT. Средний и малый бизнес ограничен в ресурсах, но начинает внедрять облачные решения и аутсорсинг для мониторинга угроз через OSINT. В 2024 году компания T.Hunter предотвратила масштабную DDoS-атаку на инфраструктуру региональных органов власти, обнаружив обсуждение планов атаки в хакерских чатах через собственный инструмент ThreatHunter DRP. Банки ВТБ и Альфа-Банк используют сканирование даркнет-рынков для обнаружения слитых учетных данных сотрудников или клиентов, что позволяет оперативно менять пароли и усиливать защиту. В 2021 году российский телеком-оператор МТС выявил фишинговую кампанию через мониторинг Telegram-каналов и форумов, где злоумышленники обсуждали целевые атаки на клиентов. Это позволило заблокировать домены до начала массовой рассылки.

Какие новые угрозы в сфере кибербезопасности вы прогнозируете в ближайшие годы? Как бизнесу подготовиться к ним?

В ближайшие годы сфера кибербезопасности столкнется с новыми вызовами, обусловленными технологическим прогрессом и изощренностью злоумышленников. Среди них стоит отметить, атаки с использованием ИИ/ML-моделей, эксплуатацию уязвимостей IoT и умных устройств, взлом классических алгоритмов шифрования (RSA, ECC), атаки на цепочки поставок, учащение атак с политическими или экономическими целями, рост угроз для облачных сред, API и микросервисов из-за их массового внедрения, а также Ransomware 2.0, включающий двойной шантаж (шифрование и угрозу утечки данных), а также атаки на резервные копии. Бизнесу необходимо перейти от реактивной к проактивной модели безопасности. Технологии, обучение и сотрудничество — ключевые элементы киберустойчивости.