Большинство современных методов атак не изменилось в течение последних лет. Это взлом слабых паролей, манипулирование пользователем и использование вредоносных программ.
Шаг первый: получение доступа к сети
Одной из таких новых областей кибер-атак являются социальные сети и онлайн-услуг. Сегодня практически каждый пользователь в Сети использует какую-либо социальную сеть. Большой популярностью пользуются также, например, сайты знакомств.
Киберпреступники начали использовать эти инструменты, чтобы получить доступ к устройствам пользователей. Используют при этом «социальную инженерию», то есть играют на эмоциях. Злоумышленник все лучше и лучше сохраняют свою анонимность, а обычного антивируса уже недостаточно для полноценной защиты.
Номер один в категории способов получения несанкционированного доступа к сети является фишинг. Фишинг заключается в подмене имитации личности доверенных лиц и передаче, казалось бы, надежных писем с приложенным вредоносным кодом. Чем большим количеством информации располагает злоумышленник, тем более надежным будет его приманка.
Другой метод, используемый хакерами, является атака типа drive-by. Киберпреступники взламывают веб-сайты и устанавливают на них вредоносный код java script. Этот сценарий затем перенаправляет пользователей на другую страницу, содержащую вредоносное программное обеспечение, которое устанавливается в фоновом режиме на устройстве посетителя.
Весьма эффективным методом является malvertising. Эта атака является разновидностью атаки типа drive-by и фокусируется на рекламных сетях.
В завершении, следует сказать об атаках на мобильные устройства. Большинство методов атак на смартфоны или планшеты похоже на ранее перечисленные. Однако, в этом случае злоумышленники имеют дополнительные пути достижения цели атаки, такие как sms-сообщения или мобильные приложения.
Шаг второй: проникновение в Сеть
Когда хакер получает контроль над устройством пользователя и доступ к Сети, ему остается только установить ещё одно программное обеспечение, которое позволит ему достичь главной цели – получить доступ к конфиденциальным данным. Как правило, эти данные не находятся на рабочих станциях. Их можно найти на серверах или в базах данных.
Схема поведения злоумышленника может выглядеть следующим образом:
- Установить дополнительное программное обеспечение, позволяющее осуществлять дальнейшее проникновение в сети.
- Изучение сети, чтобы найти серверы, которые он ищет. Пытается получить доступ к Active Directory, в которой хранятся имена пользователей и пароли.
- Когда найдет интересующие его данные, копирует их на переходный сервер. Идеальные серверы для этой цели те, которые работают без перерыва и подключены к интернету.
- Затем данные будут медленно передаваться на целевые серверы атакующего, которые часто находятся в облаке, чтобы затруднить их блокирование.
Чем дольше хакеры остаются в сети, тем лучше они изучают процедуры и потоки информации в компании.
Примером такого действия является атака группы Carbanak. В этом случае киберпреступники охотились за компьютерами администраторов сети, чтобы получить доступ к видеонаблюдению в банке. Благодаря этому они смогли тщательно изучить действия кассиров, которые затем воссоздали для осуществления незаконных денежных переводов.
В борьбе против вторжений в сеть чрезвычайно важным становится её сегментация. Во-первых, она позволяет уменьшить последствия взлома путем изоляции друг от друга отдельных областей. Кроме того, сегментация сети позволяет поместить наиболее важные данные в специальной, дополнительно защищенной, зоне.
Сети слишком большие и широкие, чтобы защитить и проконтролировать всё, что в них находится. Поэтому необходимо определить основные данные, изолировать их и усилить контроль точек доступа к сети.