Меню Затваряне

Как хакерите пробиват информационни системи [с примери]

Обновена на 27.09.2023 от Questo

Има много начини да се проникне в инфомрационна система, но най-често използваните са фишинг, налучване на пароли и покупка на данни за достъп от тъмната мрежа.

Това твърди доклад на Европол, посветен на кибератаките срещу организации. Става дума за кибератаките, осъществени с помощта на зловреден код. За да бъде инжектиран този код в информационната система на набелязаната организация, зловреденото лице първо трябва да получи достъп до системата.

Атаките със зловреден код остават най-забележителната заплаха, тъй като се използват много видове малуер (синоним за „зловреден код“) и техники за осигуряване на достъп, се казва в доклада.

Рансъмуер атаките продължават да са най-голямата заплаха. Рансъмуерът е код, който криптира данните, притежавани от една организация; тя е принудена да плати откуп, за да получи ключ, с който може да ги декриптира.

Организацията има и още един стимул да плати откуп. Ако не си плати, злонамереното лице може да публикува криптираните вече данни в интернет. Това би довело до репутационен риск за организацията, както и възможна глоба заради неспособност да пази данните си.

В доклада се посочва още, че злонамерените лица имат различни мотиви, за да пробиват чужди информационни системи. Финансовият мотив е само един от тях.

Освен това обаче злонамереното лице може да цели корпоративен шпионаж. Друг възможен стимул е да иска да създаде проблеми за набелязаната организация като например да прекрати временно процесите в нея.

Как хакерите пробиват информационни системи

За да пробият информационна система, те имат нужда само от данни за достъп. В общия случай това означава потребителско име и парола, въпреки че все повече системи разчитат на двуфакторна автентикация и други методи за сигурност като например физически ключове за достъп и биометрични данни.

Но как хакерите стигат до данните за достъп?

1. Фишинг

Добрият стар фишинг – според различни проучвания мнозинството кибератаки започват с него.

Най-често служител на организацията получава имейл, който го притиска спешно да отвори линк и да въведе там данните си за достъп до определена информационна система. По този начин злонамерените лица се сдобиват с достъп до акаунта на този служител, а от там и до цялата информационна система.

Имейлът може да съдържа зловреден файл, представен като легитимен документ: например фактура. Отварянето на файла задейства серия от действия и скриптове, които в крайна сметка инсталират малуера на компютъра на служителя.

2. SEO манипулации

Традиционно SEO подобрява позицията на един сайт в резултатите на Google. Злонамерените лица могат да модифицират съдържанието на сайта така, че той да излиза на първите позиции в Google при определена ключова дума.

Например могат да оптимизират статия така, че да излиза на първо място при ключова дума „инструмент за проверка на правописа“. Ако служител на набелзаната организация търси в Google със същата ключова дума, той ще отвори статията и ще изтегли услуживо предоставения в нея „софтуер за проверка на правописа“. Този инструмент всъщност е зловреден код, който дава на хакерите достъп до информационната система или пък им позволява да следят активността на служителя.

3. Купуване на данни за достъп

В дарк уеб има сайтове, предоставящи достъп до сървъри и информационни системи. Най-простият пример са пароли за отдалечен достъп до компютри и сървъри, или пък до облачни услуги като Dropbox.

Злонамерените лица разглеждат офертите, набелзват си подходяща организация и купуват данни за достъп до нейните информационни системи.

4. Отгатване на пароли

Хората продължават да използват лесни за отгатване пароли. Това е проблем, ако същите тези хора имат критично важен достъп до информационните системи в организацията.

Хакерът Емил Кюлев твърдеше, че получил достъп до системата, обслужваща застрахователните брокери в България, защото един от служителите с администраторски достъп имал парола 123123.

Масово в България се използва паролата 123456.

Ето как работи схемата. Служителят използва една и съща парола за личните, и за служебните си акаунти. Но един от личните му акаунти(например регистрация във форум) е хакнат и данните му за достъп се публикуват в интернет. Сега вече хакерите знаят, че потребител с този имейл използва тази парола. Намират кой стои зад имейла адреса, пробват паролата на служебния му акаунт и – тъй като е една и съща навсякъде – получават достъп до него.

Другият вариант е да се използва софтуер, който автоматизира процеса по въвеждането на различни потребителски имена и пароли (т.нар. credential stuffing). Злонамереното лице отваря логин страницата на облачна услуга, пуска софтуера да работи, докато намери вярната комбинация от потребителско име и парола, която отключва акаунта.

5. Уязвимости в кода

Възможно е информационния продукт да има уязвимост, която позволява да се заобиколи системата за автентикация. С други думи: може да се влезе в акаунта, без да се въвежда парола или каквато и да е друга форма на автентикация.

Уязвимостите могат да бъдат отстранени, но за тази цел собственикът трябва редовно да ъпдейтва софтуера. Ако софтуерът не е обновяван, хакерите могат да се възползват от уязвимостите в него.

Някои уязвимости са новооткрити. За тях няма ъпдейт, защото дори разработичка на софтуера не подозира, че има уязвимост. Откриването на тези уязвимости изисква технически познания и съответно не е лесна задача.

6. Злонамерени служители

Някои служители с достъп до информационните системи са обезкуражени, ядосани; демотивирани. Те с удоволствие биха шантажирали работодателя си, предоставяйки своя достъп до информационните системи на злнамерени лица.

Операторите на криптоворуси например все по-често търсят с обяви именно такива демотивирани служители.

ИМАШ ПОЩА!

Веднъж месечно ще изпращаме на имейла ти съвети и истории, които ще ти помогнат да предпазиш данните си.

Подобни статии

Вашият коментар

Вашият имейл адрес няма да бъде публикуван. Задължителните полета са отбелязани с *