Які дані найбільше цікавлять хакерів

Середа, 16 лютого 2022, 13:05
Дані з яких галузей та який тип інформації найчастіше зустрічаються на майданчиках з продажу викрадених даних?
аналітик з питань інформаційної безпеки FS Group


Інновації в дії

Крадіжка даних залишається одним із найрозповсюдженіших типів кіберзлочинів у світі. Тільки за січень 2022 року, за даними порталу IT Governance, хакери викрали 66 мільйонів файлів. 

Для продажу викрадених даних існує безліч майданчиків. Це можуть бути широковідомі Даркнет-форуми, де кожен охочий може зареєструватися та запропонувати свої товари чи послуги. 

Існують і закриті платформи, які дбають про свою репутацію, тому допускають не тільки до продажу, але і до купівлі лише перевірених кіберзловмисників. 

Критерії перевірки зазвичай індивідуальні, проте на багатьох таких майданчиках існує реферальна система – коли один чи декілька кіберзловмисників беруть на поруки нового користувача. 

Популярними для розповсюдження даних є і Telegram-канали, на які може підписатися кожен охочий. Вони менш безпечні для покупців, адже там відсутній рейтинг продавця. Однак, такі канали є швидшим та зручним способом придбати необхідну інформацію.

Американська консультантка з кібербезпеки Лора Галанте: Росія готова атакувати

Спеціалісти FS Group дослідили тіньовий ринок продажу вкраденої інформації та визначили, які дані цікавили хакерів найбільше у 2021 році. 

Експерти проаналізували 161 оголошення щодо витоку даних користувачів. Виявлені дані були розподілені за напрямками діяльності організацій, які їх втратили. 

Відтак, перше місце займає сфера надання послуг – 35% від усіх оголошень. Серед запропонованих даних була особиста інформація клієнтів, домашні та робочі адреси, посади та дані банківських карток. 

Друге місце з майже 22% зайняла ІТ-сфера. У розпорядженні хакерів була як корпоративна інформація ІТ-компаній, так і дані клієнтів, що користуються послугами чи продуктами таких компаній. 

На третьому місці фінанси з 10,6% інформації. Хакери володіють фінансовими даними, анкетною інформацією, деталями банківських рахунків тощо. За ними йдуть банківська сфера, телеком, страхування та роздрібна торгівля. 

Що пропонують Даркнет-форуми? 

Ми проаналізували 1142 файли одного з найстаріших форумів російськомовного Даркнету. Він був створений ще у 2004 році й фокусується на витоках даних країн Східної Європи. Проте є також дані країн ЄС та США. 

Перше місце на цьому майданчику також займають дані зі сфери послуг – 11,3%. 7,6% від усіх даних — це stealer info (інформація, яку зібрало шкідливе програмне забезпечення у браузері користувача). 

Серед такої інформації можуть бути логіни та паролі з різноманітних сайтів, електронні адреси, платіжні дані, дані соціальних мереж і, навіть, технічні характеристики пристрою, яким користується жертва ПЗ. 

На третьому місці урядова галузь — 7,2%. Серед запропонованих даних є інформація з державних реєстрів, дані виборців, різноманітні бази державних сайтів із персональною інформацією громадян. 

Окрім вже звичних фінансової, телеком та банківської галузі, тут представлені й дані про політиків, криптовалюти, азартні ігри, медицину, медіа тощо. 

На іншому форумі експерти проаналізували 2497 фрагментів баз даних, які дозволили виділити найпопулярніші бази даних. На першому місці stealer info з 20,6% від усіх даних. 

Друге місце посідає сфера надання послуг – 11,3%. Трійку лідерів закриває урядовий сектор – 8,5%.

Вартість даних на форумах починається від $1000 до $500000, залежно від типу інформації. Проте, зловмисники, які мають високий рівень репутації на цих майданчиках, можуть отримати файли безплатно.

Які дані викрадали найчастіше? 

Серед усіх проаналізованих типів даних було виділено ті, що зустрічаються найчастіше. Так, у 2021 році хакери найбільше цікавилися даними електронних адрес, паролями, номерами телефонів та персональною інформацією громадян. 

Зібрана з трьох майданчиків інформація дозволила виділити 5 категорій даних, які найбільше цікавили хакерів у 2021 році: 

  1. Дані браузерів (Stealer info);
  2. Дані сфери надання послуг;
  3. Дані урядової галузі;
  4. Дані з соціальних мереж;
  5. Дані з форумів.

Як убезпечити свої дані?

Для надійного захисту персональних даних ми рекомендуємо дотримуватися норм цифрової гігієни, своєчасно оновлювати програмне забезпечення ваших пристроїв, програм, якими користуєтеся та антивірусів, а також не використовувати неліцензійне ПЗ.

Протидія кіберзлочинам: правила корпоративного захисту

Для захисту корпоративних даних рекомендємо застосувати низку заходів:

  • Впровадити стандарт інформаційної безпеки ISO 27001: проведення систематичних внутрішніх аудитів.

Це один зі світових стандартів безпеки, за яким передові компанії світу систематично проводять аудити системи безпеки, оперативно знаходять та усувають вразливості для запобігання кіберризикам.

  • Впровадити DLP (Data Leak Prevention) систему в інфраструктуру організації.

DLP-системи аналізують потоки даних, які виходять за периметр системи безпеки. 

Якщо DLP ідентифікує файл, як конфіденційний, система автоматично блокує його передачу і завершує сесію користувача, через яку мав статися витік даних. 

  • Проводити тести на проникнення (pentest).

Тестування на проникнення – це симуляція експертами з кібербезпеки певних типів атак, націлених на цифрову інфраструктуру організації, яку тестують. 

Таким чином, відбувається перевірка стійкості системи до певного типу атак. За результатами тестування визначаються та усуваються недоліки, помічені під час симуляції. 

Також, тестування на проникнення впроваджується для проведення кібернавчань, складання планів реагування на ті чи інші загрози з метою підготовки персоналу та мінімізації негативного впливу людського фактора під час застосування соціальної інженерії.

  • Коректно налаштувати повідомлення про підозрілі зміни в інфраструктурі та системі SIEM (Security information and Event Management). 

Це дозволить своєчасно фіксувати події кібербезпеки й оперативно реагувати на них. Чим швидше спеціалісти дізнаються про можливу атаку, тим менше шкоди така атака може завдати організації.

  • Побудувати SOC (Security Operations Center) та залучити команду SOC аналітиків, які стежитимуть за роботою системи безпеки. 

SOC є централізованим підрозділом організації, який відповідає за виявлення та усунення ризиків кібербезпеки на організаційному та технічному рівні. Такий підрозділ є необхідністю, особливо для великих організацій.

  • Впровадити процес Patch management та відстежувати тренди хакерських атак, характерних для діяльності організації. 

Patch management – це процес управління оновленнями програмного забезпечення, відповідно до потреб організації. Як не дивно, але значна кількість кібератак й досі відбувається через несвоєчасне оновлення програм та додатків. 

Можемо згадати нещодавню атаку на сайти Дії, Міноборони, Міносвіти та інших державних структур. 

Вона сталася саме через вразливість неоновленої програми. Процес оновлення має бути систематичним та послідовним для усунення ризиків кібератак.

У 2020 році у світі щоденно фіксувалося близько 50 нових вразливостей, за даними дослідження Cyware. Хакери постійно вдосконалюють шкідливе ПЗ та знаходять нові методи зламу систем. 

Виправити усі вразливості за один раз просто неможливо. Тому, кіберексперти відстежують хакерські тренди та першочергово усувають ті вразливості, які можуть потенційно загрожувати конкретній організації, на яку працюють спеціалісти.