Регистрация
Инструкции

Кибератаки на компании и способы защиты - часть 3 | Онлайнсим

  • 18 янв. 2023 г., 18:05
  • 9 минут

Когда хакеры пытаются обокрасть компании, используют не только фишинг, MITM и вредоносное ПО, но и специализированные кибератаки для компаний.

В прошлых двух частях рассказывали о том, какие виды кибератак проводят на обычных пользователей, чтобы украсть их личную информацию, данные об аккаунтах и банковских счетах.

В новой статье рассказываем, какие атаки используют хакеры, чтобы украсть деньги или секретную информацию у компаний.

Атака из-за утечки данных внутри компании

По-другому ее называют инсайдерской угрозой. Такая кибератака невозможна без действий сотрудников компании. Работает она так: один из сотрудников компании получает доступ к важным файлам и ворует их, продает в виде базы данных в интернете или шантажирует управление фирмы.

Такое мошенничество часто происходит в малом бизнесе, потому что там у сотрудников есть доступ сразу к нескольким учетным записям с данными. И они легко могут открыть важный файл и украсть его.

В 2019 году бывший инженер-программист из компании Capital One взломал собственную фирму и обокрал ее на 150 миллионов долларов.

Хакер обнаружил неправильно настроенный брандмауэр веб-приложений и использовал его для доступа к учетным записям и приложениям кредитных карт более чем 100 миллионов клиентов Capital One.

Как защититься от инсайдерских атак

Для этого в первую очередь у компании должна быть хорошо развита система безопасности. Кроме того, нужно настроить различные уровни доступа для сотрудников в зависимости от их должностных обязанностей.

Также компаниям следует обучать сотрудников сотрудников распознавать внутренние угрозы и понимать, когда хакер пытается манипулировать ими.

Атака на DNS-сервера

Атаки на уязвимости в DNS-серверах можно разделить на две опасности:

  • Замена реального сайта на фейковый. В системе DNS-серверов адрес настоящего ресурса заменят на фейковый и при вводе адреса атакованный DNS будет перенаправлять запрос на подставные страницы.
  • Компрометация информации. Из-за перехода на ложный IP–адрес мошенник может завладеть личной информацией пользователя. При этом пользователь даже не будет подозревать, что его информация рассекречена.

Атака работает так: в DNS-системе хакер меняет реальный IP-адрес сайта на поддельный. Когда человек будет заходить на ресурс — попадет на поддельный и даже не заметит разницы, ведь адрес фейкового ресурса не будет отличаться от оригинального.

Например, если подменить DNS сайта site.com на копию, то все ссылки в интернете будут вести на поддельный ресурс. А чтобы человек не заметил разницы, хакер скопирует дизайн оригинала, чтобы подделка ничем себя не выдавала.

Это плохо скажется на доходах и репутации компании. Ведь она потеряет часть клиентов и денег. Обманутые пользователи могут перестать пользоваться услугами компании и распространять негативные отзывы в сети.

Есть и другие способы мошенничества с DNS, но они работают сложнее обычной смены IP сайта и для объяснения понадобится отдельная статья. Но суть остается та же — сервер пользователя начинает воспринимать поддельный DNS как настоящий.

Атака отказа в обслуживании

По-другому ее называют DDoS-атакой. В такой случае мошенники направляют огромное количество трафика и запросов на определенный сайт, чтобы исчерпать его ресурсы и пропускную способность → вывести сервер ресурса из строя.

Большой объем трафика создают с помощью ботнетов — компьютерной сети, которая одновременно управляет десятками компьютеров. При этом компьютеры в этой сети — обычные пользователи, которые заразили свои устройства специализированным вредоносным ПО.

Разберемся на примере. Представьте трехполосную автомагистраль, по которой двигаются сотни машин без пробок. Дорогу построили с расчетом того, сколько автомобилей будет проезжать по ней в течение дня.

А теперь представьте, что вместо сотни машин регулировщик направит на дорогу тысячи машин одновременно. Магистраль будет полностью забита машинами, единицы смогут вовремя съехать на свой съезд и добраться до точки назначения вовремя. Фактически так и выглядит DDoS-атака – хакер отправляет сотни запросов на сервер и тот не справляется с нагрузкой.

Пробка – аналог DDoS в интернете

О видах DDoS-атак можно рассказать намного больше, но для этого понадобится отдельная статья. В этой расскажем кратко.

Есть несколько основных видов DDoS:

  • Переполнение трафика — попытка перезагрузить возможные ресурсы веб-сайта и использовать всю его пропускную способность. Когда много запросов одновременно приходит на сайт, сервер быстро перегружается, из-за, например, частых обновлений страницы. В результате он выдает ошибки, потому что больше не может справляться с рабочей нагрузкой.
  • Объемная атака. В этом случае боты отправляют запросы на сервер и ждут ответа. Если отправит много такого трафика — ответ от сервера будет приходить дольше и в какой-то момент сервер упадет.
  • Атака по протоколу. В этом случае отправляются запросы с разных IP-адресов и они направлены на слабые места сервера. Для такой атаки хакеры направляют на ресурс некорректные запросы, в результате чего тот падает, пытаясь их обработать. В этом случае не нужна большой ботнет.
В 2020 году масштабную DDoS-атаку провели на Amazon. На пике скорость входящего трафика составляла 2,3 терабита в секунду (Тбит/с). Серверы справились с нагрузкой и продолжили обслуживать клиентов. А представительство Amazon так и не рассказало, что конкретно стало объектом нападения.

Как защититься от атак на DNS и отказа в обслуживании

Делайте бэкапы. Делайте резервное копирование ресурса через определенное время и храните копии в зашифрованных хранилищах. Главное, чтобы копий всегда были под рукой для быстрого развёртывания.

Создайте отдел реагирования в компании. Обучите сотрудников, как действовать во время DDoS-атак и как их можно предотвратить.

Составьте план экстренных оповещений. Подготовьте письма для клиентов, поставщиков услуг и сотрудников на случай DDoS-атаки.

И еще несколько принципов безопасности:

  • используйте SSL-сертификаты;
  • пользуйтесь надежным хостингом;
  • подключайте анти-DDoS-защиту от хостинг-провайдера.

Манипуляции с URL-адресами

Иногда хакеры берут URL-адреса реальных сайтов и пытаются получить доступ к закрытым страницам ресурса. Например, они могут перейти на «www.mysitename.com/admin», чтобы войти в панель администратора или ввести «www.yoursitename.com/.bak», чтобы получить доступ к файлам резервных копий.

Как защититься от манипуляции с URL-адресами

Защищайте административную панель. Для этого нужно контролировать, у кого есть доступ к административной панели сайта. Кроме того, нужно максимально скрыть административную панель от мошенников — перенести адрес из mysite.com/admin на другой, нестандартный. А также придумать сложный пароль для доступа к аккаунту и настроить фильтрацию IP-адресов.

Чтобы эффективно контролировать административную панель, нужно:

  • Проводить все запросы через систему контроля доступа.
  • Запрещать доступ по умолчанию. Т.е. отклонять запрос, если он не был разрешен специально.
  • Настраивать минимальные права и привилегии для всех пользователей, программ или процессов.

Атака нулевого дня

Атака нулевого дня — вид мошенничества, при котором хакеры обнаруживают уязвимости в системе безопасности ресурса и используют их для кражи информации. А фраза «нулевой день» показывает, что владелец ресурса только что узнал об уязвимости, и у него есть «ноль дней» на ее исправление.

Обычно до нападенияхакеров никто не знает об уязвимости, поэтому, пока ее не починили, мошенники пытаются написать вредоносный код и внедрить его программное обеспечение. Такой код еще называют кодом эксплойта.

В 2020 году хакеры провели атаку нулевого дня на платформу для видеосвязи Zoom. Мошенники нашли уязвимости в клиенте Zoom для старых версий Windows и благодаря им получали удаленный доступ к компьютерам пользователей. В результате они получали доступ к чужому компьютеру и могли распоряжаться любыми файлами, которые содержались на нем.

Как защититься от атак нулевого дня

Чтобы защититься от атак нулевого дня, обычные пользователи и компании должны:

Обновлять программы и операционные системы. Производители ПО всегда собирают информацию о проблемах с безопасностью и выпускают новые версии, в которых уязвимостей меньше или они отсутствуют.

Пользоваться только необходимым набором программ. Чем больше приложений установлено на вашем ПК, тем выше шанс, что в каком-то из них будет уязвимость и ей воспользуются хакеры.

Используйте сетевой экран. По-другому его называют брандмауэр или фаервол. Брандмауэр — защитный экран между устройством и интернетом. Блокирует подозрительные и фишинговые ресурсы, которые есть в базе сервиса. Фактически это фильтр, который пропускает безопасный трафик, а подозрительный — блокирует.

Обучите сотрудников компании. Иногда атака нулевого дня происходит из-за халатности сотрудников. Например, те устанавливают приложение с уязвимостью по незнанию и подвергают компанию опасности. Знание базовых правил безопасности в интернете среди сотрудников поможет повысить безопасность данных компании.

Используйте антивирус. Такое ПО вычислит возможные угрозы и заблокирует их.

SQL-инъекция

SQL-инъекция — метод взлома, когда хакеры получают доступ к базам данных сайта. В базах они могут менять информацию о пользователях или воровать ее. SQL-инъекцию проводят с помощью вредоносного JavaScript-кода в сайт. Подробнее о том, как хакеры используют JavaSrcipt для слежки в интернете и кражи информации рассказывали в отдельной статье.

В 2019 году хакер украл сотни тысяч данных банковских карт с помощью SQL-инъекций. Он воровал информацию о платежных картах из баз данных сайтов, а потом продавал их на незаконных онлайн-площадках.

Атаки межсайтового скриптинга (XSS)

Это называется межсайтовым скриптингом (XSS). Хакеры встраивают вредоносный код JavaScript, ActiveX, Java, VBScript, Flash и даже HTML в сайт. И когда пользователь заходит на сайт с таким вредоносным кодом — те запускают другие специальные команды чтобы обрабатывать и сохранять конфиденциальную пользовательскую информацию.

Например, такой код на сайте интернет-банкинга может запомнить данные для входа в банковский аккаунт или другую пользовательскую информацию.

В 2018 году мошенники атаковали British Airways и украли около 380 000 данных банковских карт.

Злоумышленники изменили скрипт для отправки данных клиентов на вредоносный сервер с доменными именем, похожим на British Airways. Поддельный сервер имел SSL-сертификат, поэтому клиенты думали, что покупают билеты на защищенном ресурсе. В итоге хакеры узнали данные 380 000 данных банковских карт.

Атаки с подделкой межсайтовых запросов (CSRF)

CSRF — атака на сайт с помощью мошеннического сайта или скрипта. Он заставляет браузер пользователя выполнить нежелательное действие на ресурсе, в котором пользователь авторизован. Чтобы атака сработала, пользователь должен перейти по хакерской ссылке.

Например, человек авторизовался на сайте банка и случайно открыл мошенническую ссылку с запросом на перевод денег на счет вора. Банк обработает транзакцию без ведома клиента, т.к. тот авторизован в личном кабинете.

Как защититься от SQL-инъекции, межсайтового скриптинга и подделки межсайтовых запросов

Держать код сайта чистым и безопасным, а также соблюдать несколько других правил (для защиты от SQL). О том, что прописывать в коде сайта, как работать с плейсхолдерами и переменными лучше нас расскажут программисты — релевантную информацию можно найти на StackOverflow или CodeProject.

От себя советуем:

  • Отключите вывод ошибок. Вывод ошибок — удобная функция на этапе разработки сайта, чтобы исправлять все недочеты. А если сайт уже выложен в сеть и работает — вывод ошибок лучше отключить, иначе хакер сможет увидеть, какие у сайта проблемы и использовать эти уязвимости в своих целях.
  • Не выкладывайте код сайта на форумы. Если нужна помощь с сайтом — никогда не показывайте его код на специализированных форумах по типу StackOverflow.

В обращении не рассказывайте, какой тематики ваш сайт, какой у него адрес, на каком он хостинге работает. Ведь чем больше информации о ресурсе узнает мошенник, тем выше риск быть взломанным.

  • Установите последнюю версию языка. В старых версиях языка всегда больше ошибок, о которых знают мошенники. Они могут использовать известные уязвимости в своих целях, чтобы завладеть ресурсом и внедрить туда вредоносный код.

    В новых версиях языка такие уязвимости всегда чинят и взломать что-то с их помощью вряд ли получится.

Инструменты санитизации (для защиты от XSS). Санитизация — очистка кода от вредоносных и подозрительных элементов. Фактически в код сайта встраивается специальная библиотека-санитайзер, например, DOM Purify. Она может отсечь код, который считает небезопасным.

Подтверждение действий от пользователя (для защиты от CSRF). Чтобы на ресурсе произошли какие-то изменения, например, прошел платеж от пользователя — можно запрашивать дополнительные подтверждающие действия. Например, можно попросить пользователя ввести капчу. Скрипт не сможет обойти такую защиту.

Еще несколько правил защиты компании от хакеров

Сюда входит:

  • WAF-комплект;
  • межесетвые экран (FW);
  • DLP;
  • почтовая защита.

Используйте WAF-комплекс

Это межсетевой экран для веб-приложений, который находит и блокирует атаки. WAF-комплекс помогает выявлять вредоносный трафик и определять, какие атаки были направлены на бизнес-критичные системы. Поэтому WAF-комплексы помогают компании защититься от атак на бизнес-логику приложений.

Межсетевые экраны (FW)

Фактически это барьер вокруг IT-инфраструктуры компании, который защищает сеть и предотвращает несанкционированный доступ. Межсетевые экраны фильтруют входящий и исходящий трафик, исключает нежелательные сетевые подключения, при этом не блокируя безопасные запросы.

DLP-система

DLP-системы используют в корпоративных сетях, чтобы отслеживать и защищать весь трафик в компании. DLP выявляет несанкционированный доступ к информации от неавторизованных пользователей, блокирует попытки передачи важных корпоративных данных и следит за соблюдением политики о конфиденциальности.

Почтовая защита

На почтах настраивают специальный шлюз, который фильтрует все сообщения и блокирует вредоносные. Например, те, которые содержат вредоносные ссылки или вложения.