Архив рубрики: Sercurity

Что Google знает о нас

Крупнейшая поисковая система собирает массу информации о своих пользователях. Все наши действия в глобальной сети отслеживаются и фиксируются инструментами Google. Издание Meshwired приводит несколько простых способов контролировать этот процесс и удалять, при необходимости, свои цифровые «следы».
Теоретически, в профиле Google+ достаточно информации для подробного описания человека. Это возраст, пол, интересы, история посещений сайтов и местоположений. Однако многое зависит от настроек.
Откройте страницу https://myaccount.google.com. Убедитесь, что вы вошли в свой аккаунт Google. Если вы не в системе, нажмите на кружок в правом верхнем углу экрана и введите данные для входа. Подойдут учетные данные любого из сервисов Google — к примеру, Gmail и Drive.

Какие устройства имеют доступ к Вашей учетной записи

В первую очередь, полезным будет проверить и удалить неиспользуемые устройства, которые до сих пор имеют доступ к вашему аккаунту.
Нажмите кнопку «Sign-in & security» и прокрутите вниз до «Device activity & notifications». При этом отобразится список устройств «Recently used devices» с подробной информацией о том, когда они последний раз были использованы для доступа к учетной записи.
Если в списке есть устройства, которые вы продали (потеряли, подарили) — удалите их из аккаунта Google с помощью кнопки «Remove», которая также отключает связанные с аккаунтом приложения на таких устройствах.

Какие сайты и приложения подключены к учетной записи

Для отслеживания приложений и сайтов, которые вы утвердили для подключения к учетной записи, используйте страницу «Connected apps & sites» в разделе «Device activity & notifications» и удалите неиспользуемые или недоверенные приложения.

 

В разделе «Device activity & notifications» можно также проверить список сайтов, на которые вы заходите автоматически, используя встроенный менеджер паролей Google Smart Lock. Стоит удалить отсюда неиспользуемые или критически-важные ресурсы. Если злоумышленник получит доступ к вашему аккаунту Google, то сможет посмотреть в Google Smart Lock ваши сохраненные пароли.

Посещенные сайты

Зайдите по адресу https://myaccount.google.com, выберете раздел «Personal info & privacy», затем «Activity controls» и нажмите на ссылку «Manage activity» в первом подразделе сверху.
Здесь хранится история посещения сайтов за день, неделю, год и за все время. В данном разделе можно посмотреть общее количество ваших поисковых запросов на любом связанном с аккаунтом устройстве.
Чтобы выключить функцию записи истории ваших посещений, выберете «Personal info & privacy», далее «Activity controls» и переведите ползунок возле фразы «Your searches and browsing activity» влево.
Специалисты Google, разумеется, не рекомендует отключать историю посещений, это действие помешает таким приложениям как Google+ и Google Now предлагать пользователям более интересный контент.

Что Google знает о ваших маршрутах

Большинство приложений Google теперь используют информацию о местоположении. Если вы хотите точно знать, какая информация есть у Google о ваших перемещениях, перейдите в «Personal info & privacy», далее «Activity controls» и во втором подразделе с изображением карты нажмите на «Manage Activity».
Красными точками на карте показаны места, где были ваши устройства. Там же будут отображены домашний и рабочий адреса, если вы предоставили эту информацию. При нажатии на любую из красных точек можно посмотреть дополнительные подробности. Интересной особенностью функции Timeline является возможность увидеть маршрут передвижений своего устройства в выбранный день несколько лет назад.
Для удаления истории местоположений нажмите на значок мусорной корзины в правом углу карты с красными точками. Чтобы удалить маршрут конкретного дня, необходимо, соответственно, выбрать отдельный день и нажать значок корзины там. Для запрета последующей записи маршрутов потяните влево ползунок Places you go в основном подразделе «Activity controls».
Компания Google предупреждает, что отключение функционала ограничивает функциональные возможности некоторых продуктов, таких как Google Maps и Google Now, но для многих пользователей несанкционированный доступ к такой информации может предоставлять опасность.

Ваш психологический портрет от Google

Хороший способ понять, за кого принимает вас Google, — посмотреть, какую информацию поисковик использует, чтобы показывать вам рекламу.
На странице «Personal info & privacy» выберете подраздел «Ad settings».
Здесь указаны пол, возрастная категория и список интересов, связанные с вашим профилем. Вы можете изменить интересы, если хотите видеть более релевантные объявления. Список интересов можно также полностью удалить.
Google предупреждает, что на выбор рекламных объявлений могут влиять ваше местоположение (например, город или регион) или последние поисковые запросы.

Сохранить свой цифровой «слепок»

Поисковик позволяет сделать полную копию данных вашего аккаунта, чтобы использовать для личных потребностей или других сервисов.
В разделе «Personal info & privacy» прокрутите вниз до «Control your content» и в разделе «Download your data» нажмите кнопку «Create Archive».
После этого вы перейдете на страницу, где вы можете выбрать необходимые данные и способ их получения.
Как пишет в сноске Google, создание файла может занять много времени — несколько часов или возможно дней. Этот факт лишний раз говорит о том, сколько знает о нас поисковик.

Автор:
Дата публикации:

Bloomberg: Ваш мобильный телефон может прослушивать даже ваш сосед

Рано или поздно шпионские технологии становятся доступными. Роберт Колкер из Bloomberg Businessweek в марте написал статьюо Дэниеле Ригмэйдене (Daniel Rigmaiden) — мошеннике, который не поверил, что его поймали законными методами и начал выяснять технические детали. Приведем некоторые фрагменты из этого материала.

 

Читать

Асоциальная инженерия

История взлома «Прикарпатьеоблэнерго» вновь напоминает о неисчерпаемых возможностях фишинга. За полгода до того, как курсор на экране перестал слушаться оператора и задвигался в сторону виртуального рубильника, один из сотрудников украинского предприятия открыл файл с файлами Microsoft Word и согласился установить макрос. Этот макрос и подгрузил в сеть бэкдор BlackEnergy3.

На первый взгляд, виноваты устаревшие системы безопасности на «Прикарпатьеоблэнерго». Но в расследовании The Wired ничего не сказано о проблемах со средствами защиты или с сегментированием сети. Напротив, ситуация «лучше, чем во многих электросетевых компаниях США», где в аналогичной ситуации работоспособность предприятия восстанавливали бы значительно дольше.

В феврале исследователи Proof Point и BalaBit выпустили отчеты с анализом распространенных атакующих техник 2015 года. Обе компании признали социальную инженерию методом №1 для проникновения в чужую сеть. Дело в том, что поиск слабых мест с помощью автоматизированных средств связан с риском обнаружения подозрительной активности. А приемы социальной инженерии заставляют обманутых сотрудников добровольно делиться логинами и паролями.

Зараженные письма

В Proof Point обнаружили, что 99,7% вредоносных прикреплённых файлов полагались на социальную инженерию и макросы.
Чтобы заставить пользователя перейти на вредоносный сайт, мошенники должны замаскировать URL-адрес. Интересно, что чаще всего они использовали адреса Apple, Google Drive, Microsoft Outlook Web Access.
Однако самыми эффективными были адреса, выдающие себя за ресурсы Dropbox, Google Drive и Adobe. На них кликали чаще всего.
Банковские трояны являются наиболее популярным типом деструктивных вложений в электронной почте и составляют 74% от общего объема.
Наибольшую опасность представляет сейчас вируса Dridex, который в десять раз популярнее второго по распространённости вложения. Для доставки Dridex злоумышленники часто используют заражение через вредоносные макросы в Word и Excel файлах.
Три самых популярных вложения-приманки – это инвойсы, рецепты и отсканированные файлы.
В Proof Point отмечают, что злоумышленники учитывают время дня при осуществлении атак для маскировки вторжений. Так, вредоносные сообщения по электронной почте зачастую приходят в начале рабочего дня (в 9-10 утра), а спам через социальные медиа размещается в пиковое время потребления легального контента.

Фишинг в соцсетях

В отчете отмечают нарастающую популярность социальных сетей для фишинговых атак. К примеру, около 40% страниц в Facebook и 20% в Twitter являются мошенническими и выступают якобы от лица ста крупнейших брендов по версии Fortune. Аналитики Proof Point рекомендуют использовать динамический и предиктивный анализ для выявления фишинговых страниц. Организации должны в реальном времени обнаруживать переходы сотрудников по таким ссылкам.

 

Вредоносные приложения

Специалисты Proofpoint обнаружили более 12 тыс. вредоносных Android-приложений, распространяющихся через сторонние магазины. Согласно оценкам экспертов, подобные программы для похищения данных, создания бекдоров и других функций были загружены более 2 млрд раз, причем 40% крупнейших предприятий загружали вредоносные приложения именно таким образом.
По данным Proof Point, каждые две из пяти организаций подвержены атакам через мобильные приложения, загружаемые из неофициальных «маркетов». Чаще всего злоумышленники выдают вредоносный компонент за взломанные легитимные игры. У пользователей, которые скачивают мобильные приложения из «пиратских» источников, шансы загрузить ПО для кражи личной информации увеличиваются в четыре раза.

Для защиты от подобных атак компания Proof Point, будучи производителем решений в области Secure Email Gateways, в первую очередь рекомендует автоматизированные средства:

 

  • Внедрение передовых систем идентификации и блокирования целенаправленных атак, распространяемых по электронной почте. Эти системы должны учитывать возрастающую сложность возникающих угроз и атак социальной инженерии.
  • Развертывание автоматизированных систем реагирования на инциденты для быстрого выявления и смягчения инфекций, включая обнаружение и блокирование зараженных систем.
  • Установка обновлений на клиентские системы для всех известных операционных систем для защиты от агрессивных эксплойтов, которые достигают клиентов по электронной почте, с помощью вредоносной рекламы и атак категории категории drive-by.
  • Обновление правил шлюза электронной почты и механизмов внутреннего финансового контроля для повышения устойчивости против фрода. Банковские трояны – самые распростаненныее вредоносные вложения в электронной почте!
  • Сотрудничество с полицией для блокирования потенциально мошеннических страниц в соцсетях. Такие площадки могут выдавать себя за официальные страницы известных брендов для различных атак на пользователей.
Что касается второго опроса, компании Balabit, то в нем стоит отметить TOP-10 наиболее распространенных методов для получения конфиденциальной информации.
1. Социальная инженерия.
2. Скомпрометированные учетные записи (например, слабые пароли).
3. Веб-атаки.
Цель социального инженера – получить доступ к аккаунту сотрудника целевой компании. Как выявлять учетные записи, которая была скомпрометирована?
«Резкое изменение в поведении пользователей – основной индикатор украденных учетных данных, — говорит генеральный директор компании Balabit Золтан Дъёрку. — Это может быть другая скорость печати на клавиатуре, необычное время и место входа в систему, используемые команды. Для обнаружения таких аномалий существуют инструменты анализа пользовательского поведения, которые создают базовые профили действий реальных сотрудников, и наблюдают за их резкими отклонениями, информируя, при необходимости, специалистов по безопасности».
С исследованием «The Human Factor 2016» компании Proof Point можно ознакомиться на официальном сайте компании или по прямой ссылке.

Автор:
Дата публикации:

Отчет Cisco за 2015 год: зачем ломают сайты на WordPress и какие атаки стали использовать чаще

20 января на слайдхостинге SlideShare был опубликован «Годовой отчет Cisco по информационной безопасности 2016». В Cisco за истекший год провели немало исследований, поэтому материал занимает целых 86 страниц.
 
Основной вывод, сформулированный в документе, довольно прост: в 2015 году киберпреступники изрядно осмелели и все активнее внедряются в веб-ресурсы. Они потребляют мощности серверов, крадут данные и вымогают деньги у своих жертв в Интернете.
 
 
Сокращение XSS и рост CSRF
 
Согласно данным Cisco, с 2014 по 2015 год категория межсайтового скриптинга (XSS) сократилась на 47 %, а вот уязвимостей подделки межсайтовых запросов (CSRF) стало больше.
 
 
 
Adobe Flash все еще нужна взломщикам
 
Платформа Adobe Flash на протяжении нескольких лет была особенно популярным вектором угроз для преступников. В 2015 году хорошей новостью стало то, что разработчики продуктов, где эти уязвимости часто встречаются (например, веб-браузеров) признали существование этого недостатка и теперь принимают меры по сокращению доступных киберпреступникам возможностей. Многие веб-браузеры блокируют Flash или запускают его в «песочнице», чтобы защитить пользователей.
 
 
 
Уязвимости в эксплойт-паках
 
В отчете эксперты Cisco перечисляют уязвимости, представляющие значительный риск, указывая, входит ли уязвимость в комплект эксплойтов, который продается (см. строку «FlashEK»), или же для нее существуют общедоступные эксплойты (см. строку «Общедоступные эксплойты»). Уязвимости, для которых имеются работающие эксплойты, наиболее приоритетны при установке исправлений.
Например, такая Flash-уязвимость, как CVE-2015-0310, используется пока только в Angler, а CVE-2015-0313 есть почти во всех эксплойт-паках. В отчете Cisco упомянуты такие наборы эксплойтов, как Angler, Hanjuan, NullHole, Sweet Orange, Fiesta, Nuclear, Rig, Neutrino, Nuclear Pack, Magnitude.
Шифрование не обеспечивает полной безопасности
 
Аналитики Cisco отмечают, что организации достигли определенных успехов в шифровании информации при передаче между узлами, но хранимые данные нередко остаются незащищенными. В большинстве значимых нарушений безопасности за последние несколько лет злоумышленники воспользовались незашифрованными данными, хранящимися в центре обработки данных и других внутренних системах. Под таким прикрытием хакеры добираются до ценных сведений без особых проблем.
 
Специалистам по информационной безопасности рекомендовано отслеживать маршруты веб-трафика, чтобы исключить поступление HTTPS-запросов из подозрительных источников или их утечку по таким направлениям. Кроме того, в Cisco советуют не искать зашифрованный трафик по заранее определенному набору портов: вредоносное ПО, отмечают экперты, наверняка будет отправлять зашифрованные данные по различным портам.
 
 
Промышленный взлом сайтов на WordPress
 
Авторы некоторых вариантов программ-вымогателей, а также другие разработчики, использующие уязвимости, теперь переносят трафик на взломанные веб-сайты с WordPress. Это усложняет обнаружение и дает возможность воспользоваться пространством на сервере. Интернет полон заброшенных сайтов, созданных с помощью WordPress, за информационной безопасностью которых никто не следит. Такие сайты нередко взламывают и используют для осуществления атак.
 
С февраля по октябрь 2015 года число доменов WordPress, используемых преступниками, выросло на 221 %.
 
 
Как отмечают в Cisco, взломанные сайты WordPress часто работали не на последней версии WordPress, отличались слабыми паролями администратора и использовали подключаемые модули без исправлений информационной безопасности.
 
Аналитики Cisco определили некоторые типы программного обеспечения и файлов, чаще всего размещаемые на взломанных сайтах WordPress:
  • исполняемые файлы, представляющие собой информационное наполнение для атак с использованием комплектов эксплойтов,
  • файлы конфигурации для вредоносного ПО, например Dridex и Dyre,
  • прокси-код, передающий данные для сокрытия инфраструктуры управления и контроля,
  • фишинговые веб-страницы для сбора имен пользователей и паролей,
  •  сценарии HTML, перенаправляющие трафик на серверы,
  • комплекты эксплойтов.

 

 
Кроме того, исследователи выявили множество семейств вредоносного ПО, использующих взломанные сайты WordPress для создания следующих типов вредоносной инфраструктуры:
  • ПО для кражи информации Dridex,
  •  ПО для кражи паролей Pony,
  • программы-вымогатели TeslaCrypt,
  • программы-вымогатели Cryptowall 3.0,
  • программы-вымогатели TorrentLocker,
  • ботнет для рассылки спама Andromeda,
  • троянские дропперы Bartallex,
  • ПО для кражи информации Necurs,
  • фальшивые страницы входа.

 

Модель взлома сайтов WordPress. Все начинается с просмотра баннерной рекламы на Flash.
Межсетевой экран стал самым популярным средством защиты
 
Межсетевой экран в 2015 году — это самый распространенный инструмент защиты от угроз безопасности. Однако в 2014 году межсетевые экраны относились к системам предотвращения вторжений, поэтому статистика по ним отсутствует.
 
 
 
Методы веб-атак
 
Далее показаны различные типы вредоносного ПО, используемого злоумышленниками для получения доступа к корпоративным сетям. Чаще всего встречается следующее вредоносное ПО: рекламное, шпионское, программы нежелательного перенаправления, эксплойты, использующие iFrame, и программы фишинга.
 
 
 
Половина IT-руководителей считает фишинг проблемой
 
В ходе исследования, проведенного Cisco в октябре 2015 г., было выявлено, как ИТ-руководители воспринимают риски и проблемы безопасности, а также была определена роль благонадежности поставщиков ИТ-услуг в их ИТ-инвестициях.
 
68 % участников опроса назвали вредоносное ПО в качестве основной внешней проблемы информационной безопасности организации. Фишинг и сложные целенаправленные угрозы заняли второе и третье место — 54 % и 43 % соответственно.
 
Что касается внутренних проблем информационной безопасности, то более половины (54 %) респондентов как основную угрозу указали загрузки вредоносного ПО, а также внутренние нарушения сотрудниками (47 %) и уязвимости аппаратного обеспечения и ПО (46 %).
 
 
 
По статистике Cisco, практически все организации (97 %) проводят обучение информационной безопасности для своих сотрудников по крайней мере раз в год. 43 % компаний-респондентов, наблюдавших у себя нарушения безопасности, ввели дополнительное обучение своих сотрудников.
 
 
О программах-вымогателях
 
В отчете рассказывается о методах использования программ-вымогателей для шифрования файлов пользователей. Ключи для расшифровки передаются лишь после уплаты «выкупа» — обычно порядка 300–500 долларов. Впрочем, платеж совсем не гарантирует передачу ключей.
Cisco удалось противодействовать распространению набора эксплойтов Angler и входящим в его состав программам вымогателям. Эксперты компании выяснили, что популярные веб-сайты перенаправляют пользователей на Angler через вредоносную рекламу. Фальшивые рекламные объявления размещались на сотнях крупных популярных новостных сайтов, сайтов с объявлениями по недвижимости или материалами о культуре. Такие сайты обычно называются в сообществе информационной безопасности «заведомо добропорядочными» (known good).
 
Кроме того, аналитики угроз Cisco обнаружили множество небольших, казалось бы произвольно отобранных веб-сайтов. Они осуществляли переадресацию того же рода, использовался даже некролог в небольшой сельской газете в США. Последняя стратегия, скорее всего, была рассчитана на атаку против пожилых людей. Эта категория пользователей с большей вероятностью используют веб-браузеры по умолчанию, такие как Microsoft Internet Explorer, но реже учитывают необходимость регулярно исправлять уязвимости Adobe Flash.
 
 
 
Другой важный аспект операции Angler — объем уникальных ссылок (referers) и низкая частота использования каждой из них. Эксперты Ciscoобнаружили более 15 000 уникальных сайтов, направляющих пользователей на Angler, причем 99,8 % этих сайтов использовались менее 10 раз. Большинство источников ссылок таким образом были активны лишь в течение короткого времени и удалялись после атаки на нескольких пользователей.
 
В Cisco определили, что около 60 % загрузок Angler, применяемых в данной конкретной операции, устанавливали тот или иной вариант программы-вымогателя, в большинстве случаев — Cryptowall 3.0. Другие типы загрузок включали Bedep — загрузчик вредоносного ПО, который широко применяется для установки вредоносного ПО мошеннической рекламы для переходов. Оба вида вредоносного ПО помогают злоумышленникам очень быстро получать значительный доход от скомпрометированных пользователей, причем практически без дополнительных
В отчете также приводятся данные о сети DDoS-атак SSHPsychos, на которую в отдельные моменты времени на SSHPsychos приходилось свыше 35 % всего мирового трафика SSH в Интернете. Упоминается и немало других любопытных фактов. К примеру, эксперты Cisco обнаружили, что некоторые заказчики этой компании не торопятся обновлять ПО. В частности, некоторые клиенты Cisco в области финансовых услуг, здравоохранения и розничной торговли используют версии программного обеспечения Cisco, выпущенные более 6 лет назад. А это означает множество уязвимостей.
 
 
 

 

Напомним, что ознакомиться отчетом «Годовой отчет Cisco по информационной безопасности 2016» можно по адресу: http://www.slideshare.net/CiscoRu/cisco-2016.

Автор:
Дата публикации:

Немного о высокоточных атаках и APT

Что такое Advanced Persistent Threat? Ряд экспертов полагают, что APT – это просто «продвинутый устойчивый баззворд». Алексей Лукацкий и «Лаборатория Касперского» относят к этому термину не одиночные атаки, а комплексные кампании, направленные на группу жертв, включающие серьезную подготовительную работу – сбор данных о цели и ее сотрудниках, создание стенда, моделирование проникновения и т.д.
Происхождение словочетания Advanced Persistent Threat туманно, однако принято считать, что в 2006 году полковник ВВС США Грег Рэттрей (Greg Rattray) стал использовать этот термин для обозначения троянских атак, связанных с выводом данных. Эксперт компаний FireEye и Mandiant Ричард Бейтлич (Richard Bejtlich) утверждает, что в Министерстве обороны, спецслужбах и ВВС США было принято обозначать атаки именем злоумышленника, а для тех случаев, когда необходимо было обсудить вторжение с коллегами, не имеющими права допуска к подобной информации, стали использовать термин APT. Не совсем ясна роль военных летчиков в расследованиях компьютерного шпионажа, однако термин прижился и вот уже несколько лет вызывает ожесточенные споры.
Специалисты «Лаборатории Касперского», собравшие известные им таргетированные атаки на красивом сайте apt.securelist.com, реализованном в стилистике игры «Морской бой», считают, что аббревиатура APT стала активно использоваться после материала в «Нью-Йорк таймс», где рассказывалось об атаке на эту газету, устроенной китайской военной, теперь известной как APT 1.
Когда заходит речь о точном переводе APT, вариативность слова advanced порождает разные смысловые трактовки: например, в HP и Trend Micro такие атаки называют «расширенные постоянные угрозы», эксперты других компаний – «продвинутые», «развитые», «сложные», «изощренные», «целенаправленные» или, например, «таргетированные» угрозы. Подразделение Управления по технологиям США, Национальный институт стандартов и технологии (NIST) и вовсе называет APT «долгосрочный паттерн целевых, изощренных атак» (a long-term pattern of targeted, sophisticated attacks).
В такой разноголосице нет ничего удивительного: у APT есть четыре ключевых признака, и все они не укладываются в рассматриваемую аббревиатуру: сфокусированность, многовекторность, продвинутость и устойчивость.

Давайте немного расшифруем эти характеристики.

Сфокусированность – целью атаки может быть как секреты или ресурсы одной компании, так и передовые разработки в нескольких отраслях. В тех случаях, когда нападающие ищут информацию с определенными характеристиками, сети могут расставляться очень широко. Выбранная жертва всесторонне изучается профессиональной группой хорошо подготовленных специалистов, которые действуют не как грабители в переулке, а скорее как киллеры.
Многовекторность – вторая характерная черта подобных угроз. Именно поэтому APT-атаки нередко называют «расширенными». Высокая квалификация атакующих позволяет им сочетать методы нападения различной природы в поисках оптимального сценария проникновения.
Продвинутость, прогрессивность – злоумышленники могут комбинировать сложнейшее вредоносное ПО, использующее уязвимости нулевого дня, как это было в случае со Stuxnet, с элементарными приемами социальной инженерии и фишингом, физическим проникновением и другими тактиками.
Устойчивость, постоянство – термин «устойчивость» в аббревиатуре APT используется, чтобы описать трудности в устранении обнаруженных APT, а также намерение атакующих оставаться незамеченным в скомпрометированной системе в течение нескольких месяцев или лет.

 

В книге «Reverse Deception: Organized Cyber Threat Counter-Exploitation» APT-атаки характеризуются, в частности, следующими критериями:
  • Цели – наличие конечной цели (или целей).
  • Долговременная подготовка – тщательное изучение жертв.
  • Значительные ресурсы – высокий уровень знаний атакующих и продвинутый инструментарий.
  • Допустимый риск – стремление остаться незамеченными как можно дольше.
Согласно данным Tom’s IT Pro, только 20% всех кибератак сегодня можно отнести к APT, но их эффект, как правило, крайне разрушителен. Недавно в Россию из США был экстрадирован Владимир Дринкман, обвиняемый в создании вируса Carbanak. Одна из самых успешных APT-компаний принесла своим создателям около 1 млрд долларов. Среди пострадавших оказалось множество финансовых организаций Европы и США. Червь поражал компьютеры банков под управлением операционной системы Microsoft Windows для последующего снятия средств через банкоматы, системы онлайн-банкинга или Point Of Sale.
По информации Securelist.com, на компьютеры банковских сотрудников, зараженных с помощью целевого фишинга, устанавливался бекдор. В дальнейшем злоумышленниками предпринимали разведывательные мероприятия в ручном режиме, исследуя внутренние механизмы финансовых организаций для осуществления транзакций. Чтобы понять, как работает каждый конкретный банк, зараженные компьютеры использовались для записи видеоматериала, который затем отправлялся на командные серверы. Несмотря на относительно низкое качество видеозаписи, она позволяла злоумышленникам, в распоряжении которых были также данные, собранные на тех же компьютерах с помощью кейлоггеров, понять, что делала жертва. Это давало атакующим возможность получить информацию, достаточную для организации вывода средств.
На портале Центра стратегических и международных исследований представлен список из 183 инцидентов, которые можно отнести к APT. Значительную работу также проделали на сайте cromwell-intl.com, сгруппировав кибервоенные и шпионские APT-кампании по регионам. В следующих материалах мы расскажем о наиболее ярких таргетированных атаках, а также о современных подходах, позволяющих обнаружить подобные угрозы в отношении компании или организации.

Автор:
Дата публикации:

Медицинский фишинг на 5 млрд долларов

Недавно мы рассказывали об эффективности тренингов по повышению осведомленности сотрудников о сетевых угрозах. Сегодня поговорим о том, что бывает, если подобными вопросами не заниматься. Речь пойдет о краже особо чувствительных персональных данных, так или иначе связанных с врачебной тайной.
 

 

На днях журналисты Financial Times со ссылкой на министерство здравоохранения и социальных служб США сообщили, что в течение уходящего года хакерами была похищена медицинская информация более чем 100 млн клиентов. 
 
В таблице Financial Times не указаны атаки на страховую компанию CareFirst (1,1 пользователей), а о двух крупнейших утечках 2015 года (Anthem и Premera) стало известно не в марте, а в феврале, но суть от этого не меняется – минувший год стал наиболее результативным для злоумышленников, нацеленных на компании в области здравоохранения. И вновь самые крупные операции начинались с помощью фишинговых ресурсов. 
 
5 февраля выяснилось, что хакерам удалось получить доступ к личным данным почти 80 млн клиентов одной из крупнейших американских страховых компаний – Anthem. Нападающие зарегистрировали сайт «we11point.com», маскирующийся под официальный ресурс компании Anthem, которая до конца 2014 года называлась именно Wellpoint. Была развернута сеть вызывающих доверие поддоменов, в частности «extcitrix.we11point.com» и «hrsolutions.we11point.com», что вполне соответствует статистике PhisheMe – проще всего обмануть сотрудников, сделав упор на безопасность (Citrix предоставляет VPN-сервисы) и внутренние коммуникации (hr).

 



Как и в последующем взломе службы управления персоналом США (OPM), для проникновения в сеть Anthem применялся один из вариантов вредоносного ПО Derusbi (подробнее о нем в докладе Fortinet) под названием Sakula. Зловред был заверен электронной подписью с сертификатом, похищенным у корейской софтверной компании DTOPTOOLZ Co.
 
27 февраля стало известно об утечке персональных данных 11 млн клиентов страховщика Premera Blue Cross. На этот раз сотрудники были обмануты с помощью сайта «prennera.com». Злоумышленники небезосновательно предполагали, что две буквы «n» некоторыми пользователями будут приняты за букву «m».
 
20 мая были опубликованы подробности об атаке на компанию Carefirst с помощью фишингового сайта «caref1rst.com». Похищены сведения о 1,1 млн клиентов страховой компании.
 
Размер ущерба посчитать практически невозможно, известны лишь расценки на черном рынке за информацию такого рода. Средняя стоимость медицинской карты, по данным World Privacy Forum, составляет около 50 долл., тогда как сведения о номерах кредитных карт оцениваются всего в один долл. О пятидесятикратной разнице в цене говорит и Линн Данбрак (Lynne Dunbrack), вице-президент по исследованиям IDC Health Insights. Цифры далеко не предельные. По информации Карла Леонарда (Carl Leonard), аналитика компании Raytheon Websense, полное медицинское досье на одного человека в даркнете может стоить от 200 до 2000 долл.
 

 

Большинство жителей США, по всей видимости, могут спать относительно спокойно. Во-первых, американские страховщики уверены, что хакеры не получили информацию о диагнозах пациентов и их платежных данных, хотя это и вызывает определённые сомнения, учитывая, что нападающие по несколько месяцев «сидели» в сетях страховщиков. Во-вторых, украденные данные не появились на подпольных биржах, что является очередным «индикатором компрометации» групп, сотрудничающих с китайскими спецслужбами (Deep Panda, Axiom, Group 72, Shell_Crewи т.д.), которые, скорее всего, и стоят за этими атаками.
 
В 2016 году в борьбу за потребителя активно включатся группировки, напрямую монетизирующие информацию о здоровье пациентов. В декабре отдел Health Insights компании IDC выпустил прогноз, согласно которому в 2016 году медицинские данные каждого третьего пользователя будут скомпрометированы. Среди основных причин – недостаточное внимание к вопросам безопасности в сфере здравоохранения и увеличение количества онлайн-данных пациентов.
 
В докладе утверждается, что к 2018 году такие суперкомпьютеры, как IBM Уотсон, помогут снизить смертность пациентов и расходы на лечение на 10%, а виртуальное здравоохранение и телемедицина (о ней, в частности, немного говорил Владимир Путин с представителями Рунета) войдут в обиход уже в ближайшее время. По прогнозу, к 2018 году 30% мировых систем здравоохранения будут применять системы когнитивного анализа. Машинное обучение и системы Big Data станут использоваться для борьбы с раком и другими тяжелыми заболеваниями. При этом системам потребуется самая полная информация о пациентах. По словам аналитиков IDC, помимо клинических данных, системы Big Datа будут анализировать информацию об образовании и финансовом благополучие пациента, о местных погодных явлениях, таких, как смог или пыльца в воздухе.
 
Давайте представим, какие риски могут нести за собой утечки персональных медицинских данных с учетом российских реалий, где результаты анализов постороннего человека можно получить простой подстановкой номера договора в адресной строке, а ответственность организации за разглашение информации, содержащей врачебную тайну, по прежнему весьма расплывчата
 
  • Телефонный фишинг (представиться врачом и убедить приобрести дорогостоящее лекарство; подобные аферы в отношение пожилых больных людей происходят повсеместно).
  • Шантаж пациента (угроза разглашения информации об инфекционных заболеваниях, половых инфекциях и т.д.).
  • Шантаж организации (угроза судебных преследований компании, допустившей утечку, со стороны пациентов).
  • Недобросовестная конкуренция (кража информации о платежеспособных пациентах, внесение изменений в документацию и т.д.)
  • Развитие рынка черной трансплантологии (поиск клиентов и носителей органов, один из примеров).

 

Кредитные карты можно перевыпустить, но изменить медицинские данные значительно сложнее, что хорошо известно, например, американским кадровикам, допустившим утечку более 5 млн отпечатков пальцев. Как защитить хотя бы часть данных о пациентах? Основной совет аналитиков IDC заключается в повышении базовой компьютерной грамотности сотрудников медицинских (и околомедицинских компаний) для противодействия фишинговым атакам. 

 

Автор:
Дата публикации: