Smurf атака представляет собой тип отказа в обслуживании атаки (DOS), когда злоумышленник использует управления интернет — протокол обмена сообщениями (ICMP) пакеты. Атака возникает, когда злоумышленник отправляет целевую жертву огромным потоком поддельных пакетов ICMP echo_request.

Из этой статьи вы узнаете, как выполняется атака Smurf и какой ущерб может нанести сеть Smurf. В статье также будут описаны профилактические меры против атаки смурфов.

Задний план

Интернет-мир стал свидетелем первой атаки Smurf в 1990-х годах. Например, в 1998 году Университет Миннесоты подвергся атаке Smurf, продолжавшейся более 60 минут, в результате чего были закрыты несколько его компьютеров и полностью заблокированы сетевые службы.

Атака вызвала кибер-тупик, который также повлиял на оставшуюся часть Миннесоты, включая региональную сеть Миннесоты (MRNet). Впоследствии клиенты MRNet, в том числе частные компании, 500 организаций и колледжей, также испытали влияние.

Смурф Атака

Большое количество поддельных пакетов ICMP связано с IP-адресом жертвы, поскольку исходный IP-адрес создается злоумышленником с намерением транслировать их в сеть целевого пользователя с использованием широковещательного IP-адреса.

Интенсивность, с которой атака Smurf нарушает подлинный трафик сети, соответствует количеству хостов в центре организации сетевого сервера. Например, широковещательная IP-сеть с 500 хостами будет создавать 500 реакций на каждый запрос фальшивого эха. Планируемый результат — ослабить целевую систему, сделав ее неработоспособной и недоступной.

DDoS-атака Smurf получила свое известное название от инструмента под названием Smurf; широко использовались еще в 1990-е годы. Маленькие пакеты ICMP, созданные этим инструментом, вызвали большой шум среди людей, в результате чего получилось название Smurf.

Типы смурф атак

Базовая атака

Базовая атака Smurf происходит, когда организация жертвы оказывается между пакетами запросов ICMP. Пакеты рассыпаются, и каждое устройство, которое соединяется с целевой сетью в организации, затем отвечает на пакеты ICMP echo_request, вызывая большой объем трафика и потенциально отключая сеть.

Продвинутая атака

Эти виды атак имеют ту же базовую методологию, что и первичные атаки. В этом случае отличается то, что эхо-запрос настраивает свои источники для реакции на стороннюю жертву.

Затем сторонняя жертва получит эхо-запрос, запущенный из целевой подсети. Следовательно, хакеры получают доступ к фреймворкам, связанным с их уникальной целью, препятствуя большему подмножеству сети, чем то, что можно было вообразить, в случае, если они ограничили свое расширение одной жертвой.

Работающий

Хотя пакеты ICMP могут использоваться в DDoS-атаке, обычно они занимают важные должности в сетевой организации. Обычно сетевые или широковещательные менеджеры используют приложение ping, которое использует пакеты ICMP для оценки собранных аппаратных устройств, таких как ПК, принтеры и т. д.

Пинг часто используется для проверки работы и эффективности устройства. Он оценивает время, которое требуется сообщению, чтобы перейти к целевому устройству от источника и обратно к исходному устройству. Поскольку соглашение ICMP исключает рукопожатия, устройства, получающие запросы, не могут подтвердить, получены ли запросы от законного источника или нет.

Образно представьте себе машину, работающую под тяжестью веса, с фиксированным пределом веса; если он должен нести больше, чем его вместимость, он наверняка перестанет нормально или полностью работать.

В общем случае хост A отправляет хосту B приглашение ICMP Echo (ping), вызывая запрограммированную реакцию. Время, необходимое для проявления реакции, используется как часть виртуальной удаленности между обоими хостами.

В рамках организации IP-вещания запрос ping отправляется на все узлы сети, вызывая реакцию всех систем. С помощью атак Smurf злоумышленники используют эту способность для увеличения трафика на своем целевом сервере.

• Вредоносная программа Smurf создает поддельный пакет, для которого в качестве исходного IP-адреса задан исходный IP-адрес жертвы.
• Затем пакет отправляется на широковещательный IP-адрес сетевого сервера или брандмауэра, который затем отправляет сообщение с запросом на каждый адрес хоста внутри организации сетевого сервера, увеличивая количество запросов на количество упорядоченных устройств в организации.
• Каждое связанное устройство внутри организации получает запрошенное сообщение от сетевого сервера и затем отвечает на поддельный IP-адрес жертвы с помощью пакета эхо-ответа ICMP.
• В этот момент жертва сталкивается с потоком пакетов ICMP Echo Reply, которые, возможно, становятся перегруженными и ограничивают доступ легитимного трафика к сети.

Эффекты смурф атак

Наиболее очевидное воздействие, вызванное атакой Smurf, — это разрушение сервера корпорации. Он создает пробку в Интернете, успешно делая систему жертвы неспособной к выдаче результатов. Он может фокусироваться на пользователе или использоваться в качестве прикрытия для более вредоносных атак, таких как кража личной и частной информации.

Учитывая все это, влияние атаки Smurf на ассоциацию включает:

• Потеря финансов: поскольку вся организация отступает или закрывается, деятельность организации прекращается.
• Потеря информации: как уже упоминалось, атака Smurf также может означать, что злоумышленники захватывают вашу информацию. Это позволяет им извлекать информацию, пока вы заняты управлением DoS-атакой.
• Вред для роста: утечка информации обходится дорого как с точки зрения денег, так и с точки зрения статуса. Клиенты могут потерять доверие к вашей ассоциации, поскольку конфиденциальные данные, которым они доверяют, теряют свою конфиденциальность и целостность.

Предотвращение смурф атак

Чтобы предотвратить атаки Smurf, можно использовать фильтрацию входящего трафика для анализа всех входящих пакетов. Им будет запрещен или разрешен вход в структуру в зависимости от подлинности их заголовка пакета.

Брандмауэр также можно перенастроить, чтобы блокировать эхо-запросы, отформатированные из сети за пределами сети сервера.

Вывод

Атака Smurf — это атака с потреблением ресурсов, которая стремится залить цель большим количеством поддельных пакетов ICMP. Со злым намерением использовать всю доступную пропускную способность. В результате для доступных пользователей не остается полосы пропускания.

Когда вы управляете малым бизнесом, вы, вероятно, не тратите время на размышления о том, что может пойти не так. Большую часть времени вы слишком заняты, чтобы убедиться, что все идет гладко. И если у вас есть возможность подумать о будущем, вы сосредотачиваетесь на положительных аспектах, составляя планы на тот момент, когда ваш бизнес будет взлетать.

Если вы когда-нибудь задумывались о том, что может пойти не так, вы, вероятно, начнете думать о гигантских катастрофах — супервулканах, вторжениях инопланетян и акулах, о боже.

Но когда мы говорим об аварийном восстановлении, мы не говорим об эпических кинематографических событиях, мы говорим о крошечных катастрофах, которые могут навсегда изменить ваш бизнес. Электроэнергия отключается в одночасье. Неисправный жесткий диск. Даже что-то простое, например, когда сотрудник, долгое время не обращающий внимания, перезаписывает файл.

Если у вас нет плана обеспечения непрерывности вашего бизнеса, эти небольшие проблемы могут превратиться в большие катастрофы — возможно, не во всемирный кризис, но определенно серьезный для вашего бизнеса.

Что такое план обеспечения непрерывности бизнеса?

План обеспечения непрерывности бизнеса обеспечивает структуру, которая нужна вашим сотрудникам, когда что-то идет не так. Он может включать контактную информацию, списки поставщиков, планы резервного копирования и подробные инструкции. Когда что-то происходит, у вашей команды есть все необходимое, чтобы остановить панику.

Необязательно иметь подробный план всех возможностей, просто прочный каркас, который можно применить практически к любой проблеме. То же руководство, которое поможет вам выяснить, что делать в случае отказа жесткого диска, может работать так же хорошо, когда компьютер украден или даже когда целевой электромагнитный импульс разрушил всю электронику в вашем городе.

Как должен выглядеть мой план обеспечения непрерывности ИТ-бизнеса?

Это действительно зависит от того, чем вы занимаетесь в своем бизнесе и что в нем задействовано. Индивидуальный торговец с одним портативным компьютером сильно отличается от многонациональной компании с целой командой аварийного восстановления, которая также сильно отличается от небольшого магазина с парой компьютеров.

По сути, ваш технический план обеспечения непрерывности бизнеса должен быть:

• С кем мне нужно поговорить?
• Где я могу найти важную информацию?
• Где я могу получить замену?

Итак, исходя из этого, он может включать:

• Список людей в компании, с которыми можно связаться в случае возникновения проблемы.
• Список надежных поставщиков, которые могут быстро заменить или исправить вашу технологию
• Расположение руководств к оборудованию и ПО
• Список серийных номеров аппаратного и программного обеспечения.
• Пошаговые инструкции по устранению распространенных проблем
• Расположение ваших резервных копий и способы их получения

Последний в этом списке невероятно важен. Если вы еще этого не сделали, позвольте нам объяснить вам это.

Ты

Нужно.

Резервные копии.

Что мне нужно для резервного копирования?

На самом деле, вы должны регулярно выполнять резервное копирование всего — если в нем есть нужная вам информация, у вас должна быть где-то ее копия. Будь то ваш рабочий мобильный телефон, ноутбук или веб-сайт, вы должны регулярно делать резервные копии и следить за тем, чтобы они хранились вне офиса.

С облачными вычислениями, безусловно, намного проще хранить ваши резервные копии отдельно. Больше не нужно беспокоиться о том, что вас похоронят под стопками компакт-дисков, вы больше не потеряете одну USB-флешку, больше не будет пыльных старых лент в углу вашего офиса. Просто загрузите и расслабьтесь.

И многие компании теперь предлагают автоматические резервные копии, которые идеально подходят для создания копий ваших веб-сайтов. Вам даже не нужно помнить о том, чтобы брать их — вы просто настраиваете их один раз, а затем они происходят каждую ночь, предоставляя вам быструю и легкую резервную копию вашего веб-сайта, когда вам это нужно.

И не забывайте время от времени проверять свои резервные копии! Вы же не хотите обнаруживать проблемы именно тогда, когда они вам нужны больше всего.

Резервное копирование не спасет ваш бизнес от всего. Вас не могут защитить от неистовых гигантских ящериц или астероидов, несущихся к Земле. Но если вы когда-либо допустили ошибку на веб-сайте и хотели бы, чтобы она исчезла волшебным образом, ваши резервные копии вас спасут.

Система обнаружения вторжений (IDS) используется для обнаружения вредоносного сетевого трафика и неправильного использования системы, которые обычные брандмауэры не могут обнаружить. Таким образом, IDS обнаруживает сетевые атаки на уязвимые службы и приложения, атаки, основанные на узлах, такие как повышение привилегий, несанкционированный вход в систему и доступ к конфиденциальным документам, а также заражение вредоносным ПО (троянские кони, вирусы и т. д.). Это оказалось фундаментальной необходимостью для успешной работы сети.

Ключевое различие между системой предотвращения вторжений (IPS) и IDS заключается в том, что, хотя IDS только пассивно отслеживает и сообщает о состоянии сети, IPS выходит за рамки, она активно останавливает злоумышленников от выполнения злонамеренных действий.

В этом руководстве будут рассмотрены различные типы IDS, их компоненты и типы методов обнаружения, используемых в IDS.

Исторический обзор IDS

Джеймс Андерсон представил идею обнаружения вторжений или неправомерного использования системы путем отслеживания паттернов аномального использования сети или неправильного использования системы. В 1980 году на основе этого отчета он опубликовал свою статью под названием «Мониторинг и наблюдение за угрозами компьютерной безопасности». В 1984 году была запущена новая система под названием «Экспертная система обнаружения вторжений (IDES)». Это был первый прототип IDS, отслеживающий действия пользователя.

В 1988 году была представлена ​​еще одна IDS, названная «Стог сена», которая использовала шаблоны и статистический анализ для обнаружения аномальной активности. Однако эта IDS не имеет функции анализа в реальном времени. Следуя той же схеме, Лаборатория Лоуренса Ливермора в Дэвисе Калифорнийского университета представила новую IDS под названием Network System Monitor (NSM) для анализа сетевого трафика. Впоследствии этот проект превратился в IDS под названием «Распределенная система обнаружения вторжений (DIDS)». На основе DIDS был разработан «Сталкер», и это была первая коммерчески доступная IDS.

В середине 1990-х годов SAIC разработала хост-систему IDS под названием «Система обнаружения неправильного использования компьютеров (CMDS)». Другая система под названием «Автоматическое измерение инцидентов безопасности (ASIM)» была разработана Центром криптографической поддержки ВВС США для измерения уровня несанкционированной активности и обнаружения необычных сетевых событий.

В 1998 году Мартин Рош запустил IDS с открытым исходным кодом для сетей под названием «SNORT», который впоследствии стал очень популярным.

Типы IDS

По уровню анализа можно выделить два основных типа IDS:

1. IDS на основе сети (NIDS): он предназначен для обнаружения сетевых действий, которые обычно не обнаруживаются простыми правилами фильтрации брандмауэров. В NIDS отдельные пакеты, проходящие через сеть, отслеживаются и анализируются для обнаружения любых вредоносных действий, происходящих в сети. «SNORT» — это пример NIDS.
2. IDS на основе хоста (HIDS): отслеживает действия, происходящие на отдельном хосте или сервере, на котором мы установили IDS. Эти действия могут быть попытками входа в систему, проверкой целостности файлов в системе, отслеживанием и анализом системных вызовов, журналов приложений и т. д.

Гибридная система обнаружения вторжений: это комбинация двух или более типов IDS. «Прелюдия» — пример такого типа IDS.

Компоненты IDS

Система обнаружения вторжений состоит из трех различных компонентов, как кратко объясняется ниже:

1. Датчики: они анализируют сетевой трафик или сетевую активность и генерируют события безопасности.
2. Консоль: их цель — мониторинг событий, а также оповещение и управление датчиками.
3. Механизм обнаружения: события, генерируемые датчиками, регистрируются механизмом. Они записываются в базу данных. У них также есть политики для генерации предупреждений, соответствующих событиям безопасности.

Методы обнаружения IDS

В широком смысле методы, используемые в IDS, можно классифицировать как:

1. Обнаружение на основе сигнатур/шаблонов: мы используем известные шаблоны атак, называемые «сигнатурами», и сопоставляем их с содержимым сетевых пакетов для обнаружения атак. Эти сигнатуры, хранящиеся в базе данных, представляют собой методы атак, которые злоумышленники использовали в прошлом.
2. Обнаружение неавторизованного доступа: здесь IDS настроен на обнаружение нарушений доступа с помощью списка управления доступом (ACL). ACL содержит политики контроля доступа и использует IP-адреса пользователей для проверки их запросов.
3. Обнаружение на основе аномалий: он использует алгоритм машинного обучения для подготовки модели IDS, которая учится на регулярной модели активности сетевого трафика. Затем эта модель действует как базовая модель, с которой сравнивается входящий сетевой трафик. Если трафик отклоняется от нормального поведения, генерируются предупреждения.
4. Обнаружение аномалий протокола: в этом случае детектор аномалий обнаруживает трафик, который не соответствует существующим стандартам протокола.

Заключение

Активность онлайн-бизнеса в последнее время возросла, и компании имеют несколько офисов, расположенных в разных местах по всему миру. Необходимо постоянно поддерживать компьютерные сети на уровне Интернета и на уровне предприятия. Для компаний естественно становиться мишенью дурных глаз хакеров. Таким образом, защита информационных систем и сетей стала очень важной проблемой. В этом случае IDS стала жизненно важным компонентом сети организации, которая играет важную роль в обнаружении несанкционированного доступа к этим системам.

«Какой сегодня приятный день», — сказали вы с пылкими глазами в надежде добиться отличного результата. Вы отправились на работу за компьютерный стол, уютно ожидая входа в систему, но вы заметили, что это заняло больше времени, чем обычно. Теперь вы открываете свою страницу в Твиттере, чтобы увидеть свои обычные ленты, но видите некоторые странные сообщения от своего имени, о которых вы не знали. Вы заметили, что с вашим аккаунтом произошла какая-то неприятная вещь.

Вы поспешили проверить свою учетную запись Paypal; к сожалению, было уже поздно, на вашем счете был баланс 0,0$. История транзакций выявила несколько странных переводов. Вскоре после входа в систему вы заметили, что ваша мышь сильно отстает, а счетчик системных ресурсов указывает на перегрузку ЦП и сильное истощение ОЗУ. «Хорошо, это нормальная системная потребность в обновлении», — вы использовали свой технический ум и попытались перезагрузить систему. К вашему удивлению, ваша система отключалась слишком долго.

Каким-то образом вам удалось снова войти в систему, обновить систему и отправить электронное письмо в Paypal и Twitter об активности вашей учетной записи. Тем временем вы заметили, что предыдущая проблема со входом в систему все еще сохраняется и усиливается.

Вы начали лихорадочно искать решение на интернет-форумах и связались с несколькими экспертами по безопасности. Вам объяснили, что такое «боты» и «активность ботнета» в вашей системе.

Если вы сталкивались с подобной историей, возможно, вы стали жертвой атаки ботнета. В этом посте мы объясним вам, в чем проблема с ботнетом и почему вы должны о ней заботиться.

Что такое ботнет?

Ботнет — это сеть или набор скомпрометированных компьютеров или ботов, которые злоумышленник в основном использует для получения финансовой выгоды. Этими ботами управляет удаленный злоумышленник, называемый ботмастером или бот-пастырем. Ботмастер использует изощренные способы заражения компьютеров и скрытия своей личности от узнавания. Ботнет — это просто сеть ботов. Как только бот помещается в компьютер жертвы, он может получить ваши конфиденциальные учетные данные, стереть ваш банковский баланс, сделать ваш компьютер частью армии «зомби» для проведения DDoS-атак и выполнения еще более вредоносных действий.

Боты и бот-сети — это очень сложные вредоносные программы, которые очень необычно обнаруживать и удалять из-за их скрытого дизайна. Типичная армия ботнета может состоять из многих членов (зомби) от нескольких сотен до нескольких тысяч ботов. Бот нацелен на то, чтобы находиться на компьютере жертвы в течение длительного времени, чтобы получить длительный контроль.

Как работает ботнет

Термин «ботнет» можно интерпретировать как «сеть роботов (сокращенно ботов)». Потенциал атаки ботнета зависит в основном от размера армии ботов; чем больше размер, тем значительнее будет воздействие.

Злоумышленник сначала заражает компьютеры жертвы вредоносным ПО или рекламным ПО, используя фишинговые вложения электронной почты, заражая вредоносные веб-сайты или известные уязвимости (CVE). Существует два основных типа структур ботнета:

1. 1. Модель клиент/сервер (централизованная): это традиционный способ управления ботами. Как только боты размещены, бот-мастер создает канал управления и контроля для удаленного управления ботами. В этом случае ботнеты используют для связи либо сеть Internet Relay Chat (IRC), либо канал HTTP. Примеры этих типов ботов включают Bobax, Rustock, Agobot, Spybot и т. д.
   2. Модель Peer to Peer (P2P): она использует децентрализованную модель, в которой бот действует как C&C сервер и как клиент. Эта модель также сравнительно более надежна, чем централизованная, и ее труднее обнаружить с помощью защитных контрмер. Примеры ботов на основе P2P: Nugache, Peacomm, Sinit и т.д.

Помимо описанной выше модели, в ботнетах есть еще несколько протоколов и топологий.

Меры защиты от атак ботнета

Чтобы уберечь вашу систему от вербовки в армию ботнета, вам следует принять во внимание следующие советы:

1. Расскажите сотрудникам вашей компании о последних возникающих угрозах и мерах защиты, которые необходимо адаптировать с помощью обучения по вопросам безопасности.
2. Установите последние исправления безопасности системы и регулярно выполняйте антивирусное сканирование всех систем.
3. Разверните брандмауэр для противодействия атакам ботнета на сетевом уровне.
4. Используйте систему обнаружения вторжений (IDS) и систему предотвращения вторжений (IPS) для мониторинга сетевой активности и предотвращения угроз.
5. Храните свои данные в безопасности с помощью регулярного резервного копирования. Это действительно полезно в случае атаки, когда вы заблокированы от доступа к ней.

Заключение

Угроза ботнета превратилась в одну из серьезных проблем современной ИТ-безопасности. В наши дни технология ботнета P2P становится все более распространенным методом. Исследуется много новых способов предотвратить эту угрозу. Важно то, что вы спланируете эффективную политику безопасности для своей организации для решения проблемы ботнета.

Люди всегда были озабочены защитой своей секретной информации от людей, которым они не доверяют. Будь то отдельные лица, правительства или люди, представляющие особый интерес; у всех есть какие-то данные, которые, по их мнению, не следует раскрывать другим. Даже животные обладают способностью (например, маскировкой) прятать свое место обитания и пищу от других животных. Люди, превосходящие любое другое существо, долгое время использовали это искусство сокрытия информации от непреднамеренных людей и раскрытия ее только предполагаемым.

С технической точки зрения это искусство называется криптографией, где сообщение (простой текст) преобразуется отправителем в секретный код (зашифрованный текст) и повторно преобразуется в исходное сообщение предполагаемым получателем.

Исторический обзор

Общее мнение о первом использовании криптографии восходит к 1900 году до нашей эры, когда египтяне использовали иероглифы. Спартанцы также разработали цилиндрическое устройство около 5 г. до н.э. Это устройство, получившее название SCYTALE, было обернуто узкой полоской, на которой было написано сообщение. После написания сообщения полоса разматывается и отправляется получателю. Чтобы расшифровать сообщение, получателю нужно будет заново обернуть полоску на SCYTALE того же диаметра, что и у отправителя. Юлий Цезарь использовал метод криптографии на основе подстановки для передачи секретных сообщений своим армейским генералам.

В 1466 году Леон Баттиста Альберти, известный как отец западной криптографии, описал концепцию полиалфавитных шифров. Продолжая эту схему, Блез де Виженер разработал полиалфавитный шифр под названием «Площадь Виженера». Некоторое время считалось, что его невозможно взломать, пока Чарльз Бэббидж не представил метод статистического анализа и не взломал шифр на площади Виженера в 1854 году.

Во время Первой мировой войны 16 января 1917 года группа американских криптоаналитиков успешно расшифровала секретные сообщения, отправленные Германией в Мексику. Это был заговор Германии с целью нападения на Америку с помощью Мексики и Японии. Во время Второй мировой войны Германия использовала электромеханическую машину под названием Enigma, созданную для шифрования сообщений. Однако позже это не удалось из-за некоторых встроенных уязвимостей, которые использовались союзными криптографами.

Современная криптография

По словам Дэвида Кана, арабы первыми внесли свой вклад в документацию криптоаналитических методов. Например, «Книга криптографических сообщений», написанная Аль-Халилом, упоминает первое использование перестановок и комбинаций. Аль-Кинди был еще одним известным человеком в этой области (криптоаналитические методы) в 9 веке.

Истинная ценность криптологии была осознана Соединенными Штатами во время Первой мировой войны. В этот период правительство доминировало в использовании криптологии, пока использование компьютеров не стало повсеместным. В 1960 году доктор Хорст Фейстель совершил крупный прорыв в современной криптографии, разработав шифр Люцифера, который позже стал основой для DES и других шифров.

В 1970 году шифр Люцифера был переработан IBM и стал стандартом шифрования данных США (DES). В течение того же десятилетия были разработаны и другие важные криптографические алгоритмы, такие как криптография с открытым ключом, алгоритм RSA, алгоритм обмена ключами Диффи-Хеллмана-Меркла.

В 1997 году и позже DES стал жертвой исчерпывающей поисковой атаки и был успешно взломан. В том же году NIST запросил идею нового блочного шифра. После просмотра нескольких представлений был принят AES или Advanced Encryption Standard или Rijndael.

Типы криптографических алгоритмов

Криптографические алгоритмы можно классифицировать по нескольким параметрам, например по количеству ключей, используемых для шифрования и дешифрования, месту применения и использования. Ниже мы упомянули некоторые важные криптографические алгоритмы:

Криптография с секретным ключом:

Это также называется симметричным шифрованием, и в нем используется один ключ для шифрования и дешифрования сообщения. Его основное использование — обеспечение конфиденциальности и конфиденциальности.

Криптография с открытым ключом:

Это также называется асимметричным шифрованием, и в нем используется один ключ для шифрования, а другой — для дешифрования сообщения. Его основное использование — реализация аутентификации, неотказуемости и обмена ключами.

Хеш-функции:

Это необратимое математическое преобразование (шифрование) сообщения, дающее цифровой отпечаток. Его основное использование — обеспечение целостности сообщений.

Риски, связанные с криптографическими методами

Хотя криптографические методы обеспечивают защиту информации от атак, это все еще не полное решение. Например, рассмотрим следующую причину в этом отношении:

1. Существует компромисс между использованием криптографических методов и временем обработки. Можно защитить информацию с помощью хорошей криптографической техники, но в то же время для ее реализации может потребоваться значительное время и вычислительная мощность. Злоумышленники могут извлечь выгоду из таких задержек для запуска атак типа «отказ в обслуживании».
2. Если система плохо спроектирована, простого использования криптографии недостаточно для обеспечения защиты от различных векторов атак.
3. Установка и обслуживание инфраструктуры открытых ключей требует высоких затрат, что в конечном итоге приводит к увеличению финансового бюджета.
4. Если криптоаналитику или злоумышленнику удастся найти брешь в безопасности или уязвимость в криптографическом методе, его можно использовать для взлома сообщения.

Заключение

В этой статье мы узнали об основной идее криптографии. Это очень обширная тема с большим количеством исследований, проводимых в таких областях, как квантовая криптография, криптография с эллиптическими кривыми и т. д. Если вам понравилась эта статья и вы заинтересовались, вы можете попробовать изучить различные алгоритмы шифрования, такие как DES, AES, IDEA, RC4, Blowfish. и т.п.

Спар-фишинговые атаки — это атаки, основанные на социальной инженерии, известные своей нацеленностью на конкретного человека. Обычно фишинговые атаки нацелены на массовые случайные жертвы, с другой стороны, целевые фишинговые атаки — наоборот.

Термин целевой фишинг относится к фишингу с использованием копья, направленного против одной цели.

Спар-фишинговые атаки обладают почти уникальными характеристиками, присущими только китовым фишинговым или китобойным атакам.

Характеристики целевого фишинга следующие:

• Он направлен против одной цели, в отличие от обычных массовых фишинговых атак.
• Злоумышленники знают отрасль, бизнес, процедуры жертвы и организацию, к которой он принадлежит.
• Сообщение имеет срочность, чтобы жертва не могла ясно мыслить.
• Жертва представляет собой низкопрофильную личность, а не богатый человек, в противном случае это будет считаться атакой китового фишинга.

Хотя такого рода атаки не новы, и власти пытаются предупредить население более десяти лет назад, этот метод мошенничества становится все более популярным. Убытки от Spear-фишинга составляют около 12 000 000 долларов США.

Спецслужбы также сообщили о целевых фишинговых атаках со стороны партнеров.

В некоторых случаях жертвы решают скрыть инцидент, потому что ущерб репутации может быть больше, чем ущерб, нанесенный самой атакой.

Как выполняются целевые фишинговые атаки?

По сравнению с обычными фишинговыми атаками целевой фишинг — это сложный метод. Тем не менее, для выполнения этого метода не всегда требуется знание ИТ-безопасности или взлома.

Напротив, такие атаки основаны на социальной инженерии. Это означает, что самая большая работа для агрессора — это сбор полезной информации для создания убедительного сообщения для жертвы.

Для выполнения этих атак мошенники используют автоматизированные инструменты, такие как Setoolkit, включенный в дистрибутив Kali Linux, самый популярный дистрибутив Linux для тестирования на проникновение. Еще один инструмент, широко используемый для фишинговых атак, — это Metasploit (который можно интегрировать с Setoolkit). Другие фреймворки для пен-тестирования также включают социальную инженерию для выполнения различных типов фишинговых атак, таких как Clone phishing и Spear phishing.

В отличие от большинства известных фишинговых атак, которые автоматизируются и запускаются случайным образом, целевой фишинг требует от мошенника большой активности на уникальной цели.

Основное намерение злоумышленников — собрать соответствующую информацию о жертве, такую ​​как учетные данные, финансовую информацию, протоколы, процедуры, имена сотрудников и любую полезную информацию, чтобы оправдать взаимодействие, в результате которого жертва выполняет конкретное действие, например, перевод денежных средств. .

Наиболее распространенные каналы связи включают электронную почту, телефон и социальные сети. Социальные сети также используются мошенниками для сбора информации.

Обычно злоумышленник устанавливает связь с жертвой, симулируя ложную личность или узурпируя личность косвенной жертвы. В случае атак с помощью электронной почты злоумышленники часто используют адреса электронной почты, аналогичные тем, которые принадлежат лицам, личность которых они пытались узурпировать. Жертвы могут легко идентифицировать и предотвратить эту угрозу, если они знают о методах, используемых злоумышленниками.

3 известных фишинговых атаки

Даже крупнейшие компании и организации могут стать жертвами фишинга, что подтверждают Google или Facebook. Оборонные учреждения и компании также подвергались фишингу и включены в число известных фишинговых атак, среди которых были:

Facebook и Google (100000000 долларов США): в 2017 году сообщалось, что Facebook и Google подверглись фишингу на сумму 100 миллионов долларов.

FACC Аэрокосмическая и оборонная промышленность (55 000 000 долларов): в рассылке по электронной почте служащий просил перевести деньги на счет для поддельного проекта по приобретению.

Ubiquiti Networks (46000000 долларов): кибер-воры украли 46,7 млн ​​долларов, используя Spear-фишинг, подменяя руководителей, чтобы поручить несанкционированные международные телеграфные переводы.

Вышеупомянутые компании занимают первое место среди компаний, инвестирующих в собственную безопасность. Атаки были успешными благодаря использованию человеческих уязвимостей.

Как защититься от целевого фишинга?

Компании и организации часто становятся конечными целями целевых фишинговых атак, и они могут многое сделать, чтобы предотвратить превращение своих сотрудников или членов в троянских коней. Защитные меры включают:

• Повышение осведомленности сотрудников и членов организации об особенностях этого вида атак.
• Поддержание правильно структурированной системы разрешений, ограничивающей рискованный доступ.
• Двухэтапная проверка всех сервисов и форм входа.
• Включение ограничительных политик брандмауэра.
• Обеспечение безопасности почтовых серверов и устройств.

Ахиллесовой пятой компаний, столкнувшихся с этой угрозой, является человеческий фактор. Сотрудники и члены организации являются основной целевой уязвимостью в этом типе атак. Вот почему первая рекомендация перед этим риском — обучить сотрудников и участников выявлять фишинговые атаки. Обучение не требует специальных знаний и может осуществляться ИТ-отделом. Внешние консалтинговые фирмы по вопросам безопасности также предлагают обучение.

Правильное управление разрешениями и доступом — это дополнительный способ позволить себе уязвимости человеческого фактора. Хорошо продуманные политики разрешений могут предотвратить распространение успешных атак на остальную часть компании или организации.

Некоторые организации также внедряют системы проверки подлинности для проверки подлинности связи. Существует множество доступных программных решений, сочетающих протоколы с ИИ для обнаружения аномалий, даже если атаке удается преодолеть человеческий барьер.

Нельзя игнорировать общие меры безопасности для повседневных угроз, поскольку они также могут предотвратить фишинговые атаки или уменьшить ущерб. Системные администраторы должны включать эвристический анализ и анализ сетевого трафика в свои контрольные списки безопасности. Необходимо тщательно применять политики брандмауэра и дополнять их системами обнаружения вторжений (IDS).

Заключение

Хотя эти типы атак сопряжены с большим риском, профилактика действительно недорогая.

Обучение сотрудников и тщательное проектирование разрешений и доступа, а также реализация протоколов — доступные меры для любой организации, привлекательной для такого рода мошенников.

Развитие цифровой безопасности, такое как двухэтапная проверка, вынудило мошенников усовершенствовать свои методы, что сделало целевой фишинг тенденцией наряду с аналогичными методами, такими как китовый фишинг.

Тем не менее, многие люди становятся жертвами всех методов фишинга, поскольку компании не осознают реальный риск, который несет фишинг. Такие компании, как Facebook или Google, стали жертвами фишингового мошенничества, которое принесло убытки в размере 100000000 долларов.

Целевой фишинг часто путают с китовым фишингом, важно отметить разницу, которая заключается в типе цели: целевой фишинг нацелен на низкопрофильные цели для масштабирования доступа, в то время как китовый фишинг нацелен на руководителей и высокопоставленных членов организаций. Однако меры безопасности, которые следует принять против обоих способов фишинга, одинаковы.

Надеюсь, эта статья о Spear-фишинге была полезной. Следуйте подсказкам Linux, чтобы получить больше советов и руководств по Linux.