SOT

Security Orchestration Tools

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

VS
Vulnerability Scanner

Сканирование информационных активов с обогащением из любых внешних сервисов (дополнительных сканеров, БДУ и других аналитических баз данных) для анализа защищённости инфраструктуры

SPC
Security Profile Compliance

Оценка конфигураций информационных активов в соответствии с принятыми в организации стандартами безопасности

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

Governance, Risk Management and Compliance

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенс различным методологиям и стандартам нормативно методической документации как для компании в целом, так и по отдельным объектам ресурсно-сервисной модели

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Взлом на заказ: кто и зачем это делает, что чаще всего взламывают

Взлом на заказ: кто и зачем это делает, что чаще всего взламывают
12.11.2024

Руслан Рахметов, Security Vision

 

В современных реалиях понятие «хакер» всё больше отдаляется от первоначального определения первоклассного технического специалиста, который глубоко понимает принципы работы программного и аппаратного обеспечения. Сейчас большинство взломов совершаются не энтузиастами-исследователями, которые хотят понять, как работает защита той или иной информационной системы. Современные хакеры - это уже не талантливые одиночки, а финансово или политически замотивированные киберпреступники, члены киберкриминальных APT-группировок, хактивисты, кибершпионы и солдаты проправительственных киберармий. В данной статье постараемся посмотреть на проблематику ИБ глазами атакующих, чтобы понять, кто и зачем выполняет кибервзломы на заказ.

 

Современная схема монетизации киберпреступности такова, что в некоторых аспектах напоминает маркетплейс - есть предложения, цена и заказчики. Среди предложений чаще всего встречаются услуги по нелегальному взлому электронной почты, соцсетей, мессенджеров. Данные услуги оказываются под видом «восстановления доступа» к аккаунтам, а интересуют они либо конкурентов, либо бизнес-партнеров, но чаще всего - простых обывателей, которые по разным причинам хотят получить доступ к сообщениям своих друзей, близких и родственников. Если провести категоризацию целей подобных взломов на заказ, то можно выделить следующие группы:

 

1. Личные аккаунты обычных пользователей в социальных сетях и мессенджерах. Если пользователь не является публичной личностью (артистом, блогером, спортсменом и т.д.), то взлом его аккаунта может быть интересен, прежде всего, узкому кругу близких лиц. Если же аккаунт каким-то образом монетизируется (например, за счет раскрученного YouTube-канала или канала в Telegram), то целью заказчиков взлома может быть кража этого медиа-ресурса с целью получения выгоды, быстрой перепродажи, размещения рекламы, рассылки вирусов, спама или мошеннических сообщений для обмана аудитории. Стоимость взлома таких аккаунтов может составлять 2-5 тысяч рублей - именно эту сумму могут позволить себе любопытные партнеры и ревнивые супруги.


2. Личные аккаунты топ-менеджеров, собственников бизнеса, политиков. Такие аккаунты зачастую являются более эффективным рычагом воздействия на аудиторию: например, размещенная от имени крупного бизнесмена фейковая новость о «новой инвестиционной схеме» будет иметь более широкий охват аудитории. В подобных случаях мошенничество может принести неплохой доход заказчикам взлома - от массового сбора персональных данных до получения денег от доверчивых подписчиков, которые понадеялись на выгодную инвестицию. Кроме того, подобный взлом с размещением фейковой или даже противоправной информации может нанести серьезный удар по репутации руководителей и владельцев компаний, что окажет влияние и на саму организацию. Для «заказчиков» подобных взломов хакеры устанавливают стоимость с учетом известности атакуемого лица - но только если нанятый киберпреступник понимает, кому именно принадлежит целевой аккаунт.


3. Бизнес-аккаунты компаний и брендов. Продвижение бренда в соцсетях и мессенджерах давно стало рутиной, а занимаются этим SMM-специалисты компаний, которые зачастую ведут корпоративные блоги и соцсети с личных устройств, а также не привлекают к защите таких аккаунтов сотрудников ИБ-подразделений. В результате, настройки безопасности используемых социальных платформ могут быть не оптимальными: например, самые частые ошибки - это неподключенная двухфакторная аутентификация, личный email SMM-специалиста в качестве адреса для восстановления доступа, открытые веб-сессии на различных устройствах, включая личные незащищенные ноутбуки. Подобные бизнес-аккаунты привлекают злоумышленников: из-за описанных ошибок их легко взломать, а многомиллионные охваты аудитории приводят к быстрой монетизации атаки. Например, размещенная на официальной, но взломанной странице бренда в соцсети информация о якобы новых реквизитах для проведения платежей приведет к тому, что покупатели будут отправлять деньги мошенникам. Подобным же образом размещение ссылки на «новую версию приложения» приведет к быстрому росту числа зараженных устройств, а «новость» о банкротстве компании может серьезно подорвать доверие к ней. Взлом подобного бизнес-аккаунта оценивается существенно дороже, чем атака на обычную учетную запись, и может составлять несколько десятков тысяч рублей.


4. Корпоративные аккаунты. Учетные записи для доступа к электронной почте, корпоративным мессенджерам или для удаленного доступа к инфраструктуре компании являются целью конкурентов, серьезных киберпреступников или кибершпионов. Несмотря на то, что у APT-групп и киберармий есть и свои ресурсы для реализации атаки, они в некоторых случаях могут отдать эту задачу «на аутсорс» - поручить её так называемым кибернаемникам, которые занимаются взломами за деньги. Более того, разделение «специализаций» киберпреступников привело к тому, что некоторые из них фокусируются именно на получении учетных данных, которые затем продают другим злоумышленникам на торговых площадках в Даркнете. Таким образом, вокруг продажи корпоративных учетных данных выстроен целый нелегальный бизнес, а стоимость взлома может составлять до нескольких десятков тысяч долларов.

 

Рассмотрим основные методы, которые используют атакующие при взломах на заказ:

 

1. Фишинг. Самый простой, дешевый и эффективный способ компрометации учетной записи - это по-прежнему фишинг. В самом простом, ставшем классическим случае, пользователю приходит сообщение на email или в мессенджере о якобы необходимости подтвердить учетную запись для избежания блокировки со ссылкой на фишинговую веб-страницу, которая выглядит идентично настоящему ресурсу, но размещена на домене, принадлежащем атакующими. На данной странице у пользователя запрашивается логин и пароль (в случае подключенной мультифакторной аутентификации - и одноразовый код), которые затем используются взломщиками или передаются «заказчику» взлома.


2. Подбор паролей. Техники брутфорса (подбор пароля, в т.ч. по словарю) и Credential stuffing (использование паролей из опубликованных утечек данных) позволяют атакующим, при должном упорстве и определенном везении, получить валидные учетные данные.


3. Кража cookie-файлов и веб-токенов. Для доступа к аккаунту можно использовать не сами учетные данные (логин и пароль), а веб-токены или cookie-файлы, а для их получения используются разнообразные веб-атаки на сервисы и клиентов (например, XSS, CSRF, XXE и т.д.). Данный тип атаки сложнее в реализации, однако, как только на каком-либо веб-ресурсе появляется характерная уязвимость, её начинают массово эксплуатировать, что упрощает атаку.


4. Использование вредоносного ПО. Данный тип атаки связан с заражением устройства атакуемого пользователя различными типами ВПО - троянами удаленного доступа, кейлоггерами, инфостилерами и т.д. После того, как вирус «поселился» на устройстве жертвы - на ПК, ноутбуке или смартфоне - он начинает собирать информацию, которую пользователь сохраняет в браузерах или вводит на клавиатуре (включая логины и пароли). Затем эти данные архивируются и отправляются хакеру, которому остается лишь передать данные для доступа «заказчику» взлома.


5. Компрометация канала связи. Данный тип атаки достаточно сложен для реализации, но встречается при взломах корпоративных аккаунтов. Чаще всего, злоумышленники создают поддельную точку доступа Wi-Fi, которую размещают недалеко от офиса (например, в микроавтобусе на ближайшей парковке). Далее, имя данного хот-спота меняется на название Wi-Fi-сети атакуемой компании, а настоящая корпоративная беспроводная сеть «глушится» множественными поддельными запросами. В результате, к поддельной Wi-Fi-сети подключаются сотрудники, а их устройства начинают синхронизировать email и мессенджеры, передавая весь трафик через оборудование атакующих. В итоге, при недостаточно строгих настройках безопасности корпоративных систем коммуникации, злоумышленники смогут получить корпоративные учетные данные.


6. Перевыпуск сим-карты. Техника перевыпуска сим-карты (англ. SIM swap) используется атакующими уже более 10 лет: злоумышленники либо входят в сговор с сотрудниками салонов сотовой связи, либо подделывают доверенность от имени жертвы на перевыпуск сим-карты. В результате, сим-карта жертвы перестает работать, а все коды подтверждения для восстановления доступа к аккаунту приходят на перевыпущенную симку. Данная техника, однако, достаточно опасна и сложна для атакующих ввиду необходимости личного посещения салона связи и подделки доверенности с действительными паспортными данными жертвы.


7. Использование поддельных удостоверений сотрудников силовых структур, поддельных ордеров и постановлений. Мошенники высшей категории могут использовать поддельные удостоверения сотрудников силовых структур, поддельные ордера и постановления для того, чтобы «официально» получить доступ к определенной информации - например, к содержимому переписки в соцсети или к email-корреспонденции. Поддельные запросы о предоставлении информации в администрацию почтовых сервисов или соцсетей могут отправляться различными способами, но самые отчаянные злоумышленники используют поддельные удостоверения при личных визитах в различные организации, которые могут предоставить данные жертвы.

 

В Даркнете и в мессенджерах можно найти множество объявлений о подобных взломах на заказ: злоумышленники гарантируют результат и хвастаются большим опытом подобной нелегальной деятельности. Разумеется, и сами взломы, и использование похищенной информации - нелегальны, чем и пользуются некоторые мошенники, беря у потенциальных «заказчиков» предоплату и затем исчезая с деньгами - жертвы подобного обмана не будут жаловаться в полицию. Кроме того, некоторые атакующие принимают заказ на взлом аккаунта без предоплаты, затем ищут требуемую информацию во множестве опубликованных утечках данных, и если не находят, то просто отказываются от продолжения работы. Однако, с учетом больших объемов учетных данных, уже опубликованных в открытом доступе, а также с учетом того, что пользователи зачастую используют одинаковые пароли на разных сайтах, подобная методика становится все более эффективной для злоумышленников, несмотря на её простоту.

ИБ для начинающих Нарушители ИБ Практика ИБ

Похожие статьи

Управление непрерывностью бизнеса
Управление непрерывностью бизнеса
Два столпа Linux мониторинга
Два столпа Linux мониторинга
Configuration-as-Code
Configuration-as-Code
Три слона, на которых держится логирование в Windows
Три слона, на которых держится логирование в Windows
Комплексное управление уязвимостями
Комплексное управление уязвимостями
Data-Centric Audit and Protection (DCAP)
Data-Centric Audit and Protection (DCAP)
Управление ИТ-активами
Управление ИТ-активами
Безопасность контейнеров на новом уровне: погружение в Trivy
Безопасность контейнеров на новом уровне: погружение в Trivy
Польза от Pentest для постинцидента
Польза от Pentest для постинцидента
SSDL: ML для проверки кода и поведения opensource-решений
SSDL: ML для проверки кода и поведения opensource-решений
Атаки на веб-системы по методологии OWASP Top 10
Атаки на веб-системы по методологии OWASP Top 10

Похожие статьи

Управление непрерывностью бизнеса
Управление непрерывностью бизнеса
Два столпа Linux мониторинга
Два столпа Linux мониторинга
Configuration-as-Code
Configuration-as-Code
Три слона, на которых держится логирование в Windows
Три слона, на которых держится логирование в Windows
Комплексное управление уязвимостями
Комплексное управление уязвимостями
Data-Centric Audit and Protection (DCAP)
Data-Centric Audit and Protection (DCAP)
Управление ИТ-активами
Управление ИТ-активами
Безопасность контейнеров на новом уровне: погружение в Trivy
Безопасность контейнеров на новом уровне: погружение в Trivy
Польза от Pentest для постинцидента
Польза от Pentest для постинцидента
SSDL: ML для проверки кода и поведения opensource-решений
SSDL: ML для проверки кода и поведения opensource-решений
Атаки на веб-системы по методологии OWASP Top 10
Атаки на веб-системы по методологии OWASP Top 10