Спасти кассу: как бухгалтеру не стать жертвой киберпреступников

Бухгалтерия и финансовые отделы современных компаний – привлекательная мишень для киберпреступников, которые хотят завладеть конфиденциальной информацией или банковскими счетами. С развитием технологий и доступности написания зловредных программ под угрозой взлома и заражения оказывается почти каждый пользователь. Уследить за эволюцией всех вирусов или предугадать их появление не получается даже у профессионалов.

Если вы не собираетесь навсегда вырубать интернет, предлагаю научиться избегать ловушек плохих хакеров. Защищайтесь!

Немного истории

Последние несколько лет общество активно обсуждает появление новых и более опасных видов зловредных программ – вирусов-вымогателей. Это компьютерный вирус, который проникает в систему и шифрует файлы на жёстких дисках, а потом требует за расшифровку выкуп (выплата которого, кстати, совсем не гарантирует восстановление файлов).

Для обычного пользователя ситуация просто неприятная – пострадает коллекция музыки или фильмов и семейные фотографии. А для предприятий последствия могут быть просто катастрофическими. Например, больница в Лос-Анджелесе призналась, что выплатила около 17 тысяч долларов после того, как её инфраструктура была атакована.

Проблема этого вируса в том, что выявить его и «победить» намного сложнее, чем просто не пустить в систему.

Экран одной из версий WannaCry с требованием выкупа и реквизитами для оплаты.

За 2016 год, по экспертным оценкам, шифровальщики обогатили злоумышленников примерно на миллиард долларов США. И со временем цифры только продолжат увеличиваться, так как растёт количество компаний и банков, внедряющих новые технологии, включая системы клиент-банк, электронную отчётность и электронный документооборот.

Массовая атака вымогателей в 2017 началась с WannaCry. Он принес хакерам около 120 тысяч долларов США, но намного важнее то, что сотни тысяч компьютеров в 150 странах мира оказались заражены. Общий ущерб бизнеса составил около миллиарда долларов. Среди пострадавших компаний были российские мобильные операторы, служба МЧС и «Сбербанк».

Вредоносная программа пользовалась уязвимостью самой операционной системы и загружала свои файлы через интернет. Известно, что руководство многих предприятий по этому поводу запрещало работникам выходить в интернет до решения проблемы, но заражение продолжалось.

Кроме этих нашумевших атак, сотрудники любой фирмы и обычные пользователи каждый день сталкиваются с желанием злоумышленников заработать лёгкие деньги. И желание это не ослабевает потому, что пользователи в большинстве случаев самостоятельно переходят по подозрительным ссылкам и запускают приложения, которые скачивают вирус.

Как и почему это происходит?

Чаще всего вредоносное ПО попадает на компьютер через вложение в электронной почте или мессенджере, немного реже – при переходе по ссылке в теле поддельного письма или на подозрительном сайте. Ещё реже заразить систему можно, установив пиратскую программу или просто отключив обновления.

Классический пример: сотрудник фирмы получает письмо либо от известного адресата, либо от «налоговой» или «банка», либо от организации, письмо от которой он почти наверняка откроет. 

Такое «заявление» скорей всего переправят юристам, но злоумышленника вполне устроит, если вложение запустят в другом отделе, т.к. заражение можно начинать откуда угодно.

В первую очередь стоит обратить внимание на расширение вложенного файла. Например, если прислан файл *.js, *.scr, *.exe, *.hta, *.vbs, *.cmd, *.bat, то вложение – это программа или исполняемый файл, даже если он выглядит как документ (для которого правильными расширениями были бы, например, *.doc или *.docx), архив (*.rar, *.zip) или фотография (*.jpg, *.png, *.bmp).

Подмена ссылки, которая ведет к скачиванию другой версии шифровальщика. Также надо быть аккуратнее с переходом по коротким ссылкам типа bit.ly.

Если запустить этот файл, начнётся незаметный для пользователя процесс шифрования информации на компьютере. Все данные, включая финансовую информацию и приложения, блокируются для пользователя. Их нельзя «спасти», просто скопировав на другую систему, или как-то самостоятельно расшифровать.

После окончания шифрования автоматически появится всплывающее окно, предлагающее перечислить деньги или файлы навсегда останутся зашифрованными. Также есть угроза, что заблокированные данные просто исчезнут.

Сообщение от шифровальщика Bad Rabbit (плохой кролик): «Данные вашего компьютера зашифрованы. Введите данные вашего кошелька для перевода биткоинов. После проведения платежа вы получите пароль для расшифровки файлов». На экране работает таймер, после обнуления которого стоимость расшифровки возрастёт.

Ещё один вариант попадания на компьютер жертвы – это файлы Microsoft Office (Word, Excel или Power Point) с макросами. Макрос – это тот же компьютерный код, который нужен для работы сложных функций. Например, в Excel с их помощью можно быстро обрабатывать огромные массивы данных и получать результаты, на «ручной» подсчёт которых ушли бы часы. Но макрос может с тем же успехом загрузить из сети вирус-шифровальщик, удалить из системы определённые файлы или нанести другой вред.

Microsoft Word с правильно настроенной системой безопасности.

Работа макросов почти незаметна на первый взгляд, поэтому, если такой файл попадёт в корпоративную сеть, вирус может распространиться по всем компьютерам, на которых его откроют.

Как предотвратить заражение?

Самый первый и самый важный совет: быть внимательнее. Если вы не ожидаете письма от этого адресата или не можете понять, как он узнал ваш рабочий адрес электронной почты, не скачивайте никаких вложений и не переходите по ссылкам.

Не подключайте к компьютеру с важной информацией чужие флешки – ваш клиент или коллега сам может не знать, что именно хранится на его носителе. Также важно избегать подключения личного смартфона или планшета к рабочему ПК.

Прислушивайтесь к рекомендациям ваших системных администраторов. По возможности вовремя принимайте и устанавливайте обновления для знакомых рабочих программ, так как это может уберечь компьютер от вредного ПО, которое используют уязвимости в старых версиях программного обеспечения.

Устанавливайте сложные пароли (т.е. пароли с сочетанием букв, цифр и разрешённых символов) для доступа к системе и важным программам, регулярно меняйте их и не держите «напоминалки» с паролями на этом же компьютере или в общедоступном месте, особенно на бумажках возле рабочего стола. Это же касается и папок с важными данными в корпоративной сети, например, папок с номерами клиентских счетов и ключами шифрования – на них также стоит устанавливать пароли.

Регулярно копируйте важные документы и файлы на безопасный (предоставленный предприятием) внешний носитель и храните его в недоступном месте, например, в сейфе.

Максимально осторожно относитесь к работе с бухгалтерскими или финансовыми документами, если решили поработать из дома или удалённо. В целом делать это не рекомендуется.

Чтобы макросы в полученном документе не могли запуститься без вашего разрешения, в настройках Microsoft Office в верхней части открытого документа выберите пункт «Файл», нажмите «Параметры», «Центр управления безопасностью» и «Параметры центра управления безопасностью». В пункте «Параметры макросов» выберите «Отключить все макросы с уведомлением».

И еще несколько рекомендаций по тому, как ваши сисадмины могут обеспечить вашу безопасность

Системы дистанционного банковского обслуживания очень рекомендуется настроить на отдельном изолированном компьютере, даже если иметь «лишний» ПК с единственной программой и ярлыком на рабочем столе покажется накладным. В идеале, этот компьютер должен иметь возможность выходить в сеть только для работы с такими системами. Это же касается и компьютеров с бухгалтерскими программами. Доступ только к необходимым сайтам из «белого» списка значительно снизит риск заражения.

Не рекомендуется создавать для пользователей учётные записи с правами администратора. Установка и запуск новых программ и приложений без контроля ИТ-специалиста может привести к попаданию на компьютер шифровальщиков и других угроз, например, кейлоггеров, которые записывают вводимые пароли.

Адреса электронной почты бухгалтеров и финансовых специалистов не рекомендуется публиковать на корпоративном сайте фирмы или в социальных сетях, так как злоумышленники могут использовать их, чтобы прислать те самые поддельные письма.

Что делать, если компьютер всё же заразил вымогатель?

Как только вы почувствовали неладное, необходимо быстро выключить питание компьютера.

Вы ничего не сможете сделать, если файлы уже зашифрованы, поэтому пытаться как-то самостоятельно их скопировать или «починить» смысла нет.

Сразу же свяжитесь с системным администратором, опишите ему ситуацию и предупредите своих коллег, рассказав, как именно (по вашему мнению) угроза проникла на ваш компьютер. В случае если на компьютере хранились банковские данные и есть риск, что злоумышленники скопировали информацию, также необходимо связаться с банком, чтобы никто без вашего ведома не мог провести никакие финансовые операции от лица компании.