В интернете появились снайперы
Если спамеры, распространяющие рекламу виагры, и фишеры, ворующие информацию о кредитках, являются бомбардировщиками в мире компьютерных преступлений, то так называемые нарушители C-уровня - это снайперы. Они добывают информацию об относительно небольшом количестве состоятельных людей, которые занимают высокие посты и имеют определенную власть в обществе.
Разыскиваемые "сокровища" - это корпоративная и/или личная информация. И та, и другая может принести очень хороший доход. Хакеры используют добытую информацию для создания дальнейшего хаоса или, что более вероятно, перепродают ее через подпольные онлайн-серверы.
Эти виды целенаправленных атак С-уровня довольно редки, но их становится больше, и они достаточно сложны, чтобы привести среднестатистического ИТ-менеджера в ужас.
"Атаки C-уровня начались около года назад и были единичными, но с тех пор их количество значительно возросло", - сообщил Мэтт Сарджент, главный инженер по антиспаму компании MessageLabs Ltd., провайдера сетевых средств защиты (г. Нью-Йорк).
Прошлым летом суд присяжных Нью-Йорка обвинил 24-летнего россиянина Игоря Клопова и еще четверых человек в краже 1,5 млн долл. США и попытке украсть еще 10,7 млн долл. у более десятка преуспевающих "жертв". При выборе Клопов использовал список самых богатых людей мира Forbes 400. В него вошли бизнесмен из Техаса Чарльз Вайли и президент TransUnion Credit Энтони Притцкер (из известного клана Притцкеров, владеющих сетью отелей Hyatt).
Перспектива руководителей компании стать чьей-то мишенью может вызвать головную боль ИТ-менеджеров по двум причинам: преступники часто используют изощренные троянские вирусы против систем компании. Для успешной работы им требуется огромное количество внутренних корпоративных сведений, которые иногда приходят из внутренних источников, то есть от сотрудников, которые в курсе того, доступ к какой секретной информации имеет руководитель и кому он склонен доверять.
"Если бы я был таким правонарушителем, я всегда мог найти какую-нибудь техническую брешь и воспользоваться ею, но мне еще потребуется применить социальный инжиниринг", - полагает Зульфикар Рамзан, старший научный сотрудник компании Symantec Corp."s Security Response.
"Например, если я бы хотел сделать своей мишенью CEO какой-либо компании, я мог бы посмотреть записи компании в Better Business Bureau, найти контакты и создать электронное послание, сообщающее о какой-нибудь проблеме, произошедшей с их положением в списке BBB", - сказал Рамзан. Шансы есть, поскольку CEO, по крайней мере, посмотрит на подобное сообщение, если оно покажется ему обоснованным.
12 и 13 сентября 2007 года компания MessageLabs обнаружила 1100 электронных сообщений, предназначенных для руководителей компаний по всему миру. Сообщения, написанные якобы от лица рекрута, использовали извещение об ошибке Microsoft для того, чтобы привлечь внимание потенциальных жертв и заставить их кликнуть на вложенное RTF-приложение. Это приложение содержало исполняемый файл, устанавливающий два файла на нужный компьютер, которые затем передавали преступникам нужную информацию.
При разработке подобных сообщений и выборе получателей преступники используют не только относительно сложные софтверные инструменты, но и другую общедоступную информацию о руководителях корпорации.
Но больше беспокойства вызывает тот факт, что хорошее знание систем безопасности компании может означать, что нарушитель сам трудится в этой компании или знает кого-то, кто там работает или работал.
Для многих правонарушителей преступление, связанное с кражей данных, - это обыкновенное мошенничество. Действующий номер кредитной карты можно продать за определенную сумму денег. Кредитка состоятельного руководителя с номером водительского удостоверения и номером социального страхования может стоить в 10 или 20 раз дороже.
"Обычно номер кредитки идет за сумму от 50 центов до 5 долл., в зависимости от кредитной линии и т.д. Если вы хотите приобрести идентификационную информацию с номером фонда социального страхования, это может стоить от 10 до 150 долл.", - заявил Рамзан из Symantec.
Мэтт Сарджент из MessageLabs уверен, что "плохие парни" скорее всего являются членами организованных киберпреступных кругов, а не корпоративными шпионами. "Чтобы собрать всю эту информацию, обработать и использовать, требуется много времени, поэтому это больше похоже на организованное преступление в самом прямом смысле этого слова. Я чувствую, что это не корпоративный шпионаж в чистом виде; речь идет о продаже и покупке информации, о торговле и взломанных счетах", - считает Сарджент.
Поскольку руководители высокого ранга имеют склонность к частым передвижениям, их ИТ-персоналу необходимо убедиться, что они используют надежные методы подключения. При подсоединении к сетям компании, будучи в командировках, CEO и CFO всегда следует использовать VPN. И еще их необходимо проинструктировать о том, что никогда нельзя отправлять конфиденциальную информацию любого рода - включая личную - по небезопасному Wi-Fi соединению.
ИТ-сотрудники часто жалуются на то, что руководители высшего звена, привыкшие к своему положению и связанным с ним привилегиям, не любят, когда им говорят, как и когда использовать свои ПК и портативные устройства. Они хотят всегда иметь возможность пользоваться своими инструментами, когда и где это необходимо, независимо от окружающей обстановки и возможных опасностей.
Многие даже не желают использовать VPN для доступа к электронной почте. "Они не привыкли к тому, чтобы им указывали, что делать", - сказал ИТ-менеджер из Fortune 500. Один из руководителей в этой компании записал свой частный номер и код доступа к корпоративной конференции в совместно используемом календаре Google. Так как эти номера использовались многократно, дело оказалось нешуточным. "Мы провели поиск в Google и обнаружили этот номер везде, - заявил ИТ-менеджер. - Если кому-то понадобится информация, они просто могут набрать номер и прослушать несколько таких звонков".
Руководители С-уровня, которые корректируют свое местоположение и достижения в корпорации на любых профессиональных и общественных сетевых сайтах, подвергают себя огромному риску.
"Я бы рекомендовал компаниям отслеживать, какую информацию их сотрудники делают общедоступной, - считает Рамзан. - Во многих случаях люди делятся важными подробностями о своей жизни. Если эти подробности можно добыть, нарушители могут собрать полное досье на человека, которое впоследствии будет использовано для кражи конфиденциальной информации".
Короче говоря, ИТ-профессионалам, работающим в корпорациях, необходимо укреплять технологии систем безопасности своих серверов, ПК и сети, но что еще более важно, им необходимо убедиться, что остальные сотрудники знают о технологии социального инжиниринга, которая может вынудить их к неосознанному раскрытию секретов фирмы. Или их банковского счета.
© @Astera