Сегодня злоумышленники применяют два основных подхода к атаке через флеш-накопители - программный и аппаратный. Первый основан на том, что флешка перепрошивается и при подключении определяется операционной системой (ОС) не как накопитель, а как стандартное устройство ввода, например клавиатура.
Система, доверяя такому "знакомому" устройству, начинает исполнять отправляемые им команды: загружает вредоносное ПО, меняет настройки безопасности или передает данные. Консультант по информационной безопасности Innostage Елизавета Пермякова рассказала, что такой метод особенно опасен тем, что вредоносный код находится не в файлах, а в прошивке накопителя, и потому зачастую не распознается стандартными антивирусами.
Она объясняет, что аппаратный подход реализуют устройства класса USB Killer. Внешне неотличимые от обычной флешки, они при подключении накапливают заряд через линии питания USB-порта, а затем возвращают его в виде высоковольтного электрического импульса. Такой разряд способен необратимо повредить материнскую плату или контроллер порта - никакие программные средства защиты в этом случае не эффективны.
При этом эксперты по кибербезопасности не считают подобные схемы массовыми. Руководитель группы защиты инфраструктурных IT-решений "Газинформсервис" Сергей Полунин говорит, что такой метод крайне невыгоден мошенникам. "Флешка стоит денег, а вероятность добраться до чего-то интересного таким образом невелика. Им проще воспользоваться фишингом, чем пытаться "всучить" USB-накопитель потенциальной жертве", - отмечает эксперт.
Так, схема с флешками работает только в целенаправленной атаке или когда нужно добраться до сети, которая вообще не подключена к интернету. Потенциально такой накопитель будет содержать вирус, заточенный специально под ситуацию, и умеющий обходить конкретные способы защиты. По словам Полунина, лучшая проверка - не поднимать никаких накопителей и, конечно, не вставлять их в свои устройства.
Пермякова также советует не подключать неизвестное устройство к компьютеру, так как внешняя проверка накопителя просто невозможна. Флешку, найденную в офисе, следует сразу передать в IT-отдел или службу безопасности, а найденную в общественном месте - утилизировать, не пытаясь ознакомиться с содержимым.
Если проверка все же необходима, ее проводят на изолированном компьютере, не подключенном к корпоративной сети и интернету. До подключения в настройках операционной системы обязательно отключают автозапуск для всех сменных носителей. Затем выполняют полное антивирусное сканирование, а не быстрое, чтобы проверить все сектора. После автоматической проверки вручную просматривают файлы, предварительно включив отображение скрытых и системных объектов.
Особое внимание обращают на файлы с двойными расширениями, например, "Договор.pdf.exe", когда вредоносная программа маскируется под безобидный документ. Для выявления аномалий на уровне прошивки применяют специализированные утилиты, тестирующие контроллер памяти.
"Даже тщательная многоступенчатая проверка не может гарантировать полную безопасность, поскольку некоторые угрозы скрываются на аппаратном уровне и не обнаруживаются стандартными средствами. Поэтому в корпоративной среде основным правилом защиты остается использование исключительно учтенных носителей, прошедших предварительную проверку службой информационной безопасности", - заключает Пермякова.