Хищение информации причины возникновения кратко

Обновлено: 02.07.2024

Мы оставляем в интернете яркий цифровой след. В принципе, о нашей личной жизни, работе и близких можно узнать за несколько минут. И даже без хакерских уловок. О том, как происходит кража личности и как от нее защититься, рассказывает Александр Павлов, академический директор Высшей школы информационной безопасности HackerU.

Выбрав жертву, преступники собирают персональную информацию: номера документов, банковских карт и телефонов, имена родственников и домашних животных, место работы, планы на ближайшее будущее и многое другое. С этими данными можно оформить поддельные документы, украсть деньги, устроить шантаж, получить доступ к вашему аккаунту в соцсетях.

Как обычно крадут

Первый — анализ цифрового следа, который мы все оставляем в сети. Это ФИО, email-адреса, никнеймы, фотографии, посты и комментарии в соцсетях, номера телефонов, домашний адрес, геолокации.

Второй — социальная инженерия, или фишинг, когда из жертвы обманом вытягивают важную информацию. В последнем случае злоумышленники обычно рассылают пользователям поддельные письма от банка, онлайн-магазинов и даже соцсетей или мессенджеров.

Отправитель просит прислать ему личную информацию (например, логин и пароль, данные банковской карты) для идентификации пользователя. Чаще всего, мошенники просят сделать это как можно скорее, иначе закончится акция или вашему аккаунту грозит удаление.

Что интересует преступников

Деньги, конечно. Попытки получить доступ к финансовым сервисам жертвы, пожалуй, самая распространенная махинация в сети. Опубликованные данные паспортов или водительских прав позволят совершить аферу от вашего имени или получить кредит.

Номер телефона чаще всего интересует телефонных спамеров. В редких случаях злоумышленники делают копию SIM-карты, после чего им становятся доступны операции с банковской картой жертвы и обман близких.

Фотографии крадут в основном компрометирующие, чтобы потом требовать за них выкуп или продать соответствующим ресурсам.

Как соцсети помогают мошенникам

Из постов с подробными рассказами о собственной жизни опытный интернет-мошенник может вытянуть много ценной информации: от кличек домашнего питомца до вашей девичьей фамилии. Затем можно подобрать ответ на контрольный вопрос и получить доступ к аккаунту.

Получив общедоступную информацию, как имя и год рождения, мошенники могут найти ваш домашний адрес. Как выяснило британское издание The Telegraph, преступники проверяют данные в доступных базах, находят недостающие фрагменты и начинают готовить поддельные документы.

Ну и, конечно, не стоит делиться финансовой информацией или одалживать деньги незнакомцам. Это верный признак того, что вас рассматривают как потенциальный объект развода.

Кроме того, не забывайте, что сайты знакомств могут взломать, как это произошло с сервисом измен Ashley Madison в 2015 году. В итоге распалось немало семей.

Другая опасность в распространении тестов, которые анализируют ваш профиль и составляют психологический портрет: насколько вы запрограммированы на счастье, какое будущее вас ждет, как к вам относятся ваши друзья. Платформа, которая размещает такой тест, непременно запросит доступ к вашему аккаунту в соцсети. Если дать прав больше, чем это необходимо, можно подарить злоумышленникам всю личную информацию. Например, доступ к фотографиям из всех чатов и секретных альбомов.

Как защититься

Удалить страницы или закрыть полностью доступ к вашим профилям — не выход. Лучше поройтесь в настройках приватности. Так вы снизите вероятность общения с подозрительными незнакомцами и будете делиться новостями только с друзьями.

Кража данных — несанкционированное извлечение информации из мест ее хранения, которое обычно осуществляется путем взлома сетевых ресурсов. Объем и ценность данных с каждым годом увеличиваются, а с ними неизбежно растет и число краж. Киберпреступники похищают информацию у государственных структур, больших и малых компаний, некоммерческих организаций, частных лиц.

Последствия умышленных утечек такого рода могут быть самыми разными — от потери деловой репутации до серьезных межправительственных скандалов, хотя чаще всего кража информации в конечном итоге означает потерю денег.

Классификация и способы кражи данных

Кража физического носителя

Самый прямой и грубый способ. Большинство современных устройств — ноутбуки, смартфоны, планшеты, подключаемые внешние диски и флешки — достаточно малы, чтобы можно было украсть их мимоходом, пройдя рядом со столом, где они лежат (например, если владелец отлучился на минуту от рабочего места).

Кража данных

У крупных компьютеров можно похитить жесткие диски, причем не обязательно безвозвратно. Весьма легко вообразить злоумышленника, который извлечет диск после окончания рабочего дня, скопирует всю интересующую его информацию и вернет накопитель на место ранним утром следующего дня. В таком сценарии владелец устройства даже не догадается о несанкционированном доступе к его данным.

Кража при доступе к носителю

К этой же категории относится возможность подсмотреть информацию. Распространены случаи, когда множество сотрудников работает в одном большом помещении без перегородок, и соседям хорошо видно, кто что делает. Соответственно, преступник может как наблюдать лично, так и установить небольшую камеру, которая запишет все, что выводилось на экран чужого монитора.

Удаленная кража по сети

Если машина подключена к проводной или беспроводной сети, то прямой физический доступ к ней необязателен. В интернете доступно множество вирусов, троянских программ, бекдоров и прочих вредоносных агентов, которые злоумышленник может внедрить разными способами (скажем, путем эксплуатации уязвимостей). Также данные могут быть перехвачены при помощи снифферов, если каналы связи плохо защищены.

Кража данных с внешних серверов

Наконец, если данные хранятся в интернете (в облачном хранилище, на почтовом сервере и т.п.), то преступники могут осуществить несанкционированный доступ к этим ресурсам. Для пользователей такой сценарий опасен тем, что помимо установки хорошего пароля у них нет никакой другой возможности повлиять на сохранность информации — всё программное обеспечение и все настройки доступа осуществляет владелец сервиса.

Объекты воздействия

Объекты краж данных можно разделить на два основных типа: физические носители информации и логические (виртуальные) сущности.

Доступ к физическим носителям возможен путем прямой кражи, временного выноса за периметр, обращения с просьбой к владельцу компьютера о возможности недолго поработать на его машине. Также злоумышленник может установить с внешнего носителя вредоносные программы, которые крадут и передают данные по сети на внешний сервер.

Информационно-логическое воздействие осуществляется посредством поиска уязвимого или устаревшего ПО, незащищенных портов, путем подбора логинов и паролей. Последнее, к слову, актуально и в случае хищения носителей — с той разницей, что при краже ноутбука или смартфона преступник может не торопиться, тогда как временный либо удаленный доступ подразумевает необходимость взломать систему быстро.

Причины кражи данных

В голливудских фильмах кражи совершают команды профессионалов, где каждый выполняет свою задачу, а сложнейший план рассчитан по секундам. В реальной жизни подавляющее большинство хищений вызвано в первую очередь не мастерством злоумышленника, а беспечностью владельца. Кражи информации — не исключение: в ряде случаев пользователь сам предоставляет доступ к своим активам.

В первую очередь это касается отношения к носителям данных, которые нередко оказываются вне видимости и досягаемости владельца, отлучившегося за чашкой кофе или по вызову начальства, так что украсть их может любой проходящий мимо субъект. Соответственно, смартфоны, флешки, внешние диски лучше всегда носить при себе, ноутбук — оставлять под присмотром надежных друзей, а стационарный компьютер — держать в комнате с физической защитой.

Используемые программы должны своевременно обновляться, антивирус обязателен. По возможности следует избегать любых сомнительных ресурсов — содержащих взрослый либо любой другой запрещенный контент, нелегально распространяющих фильмы, книги, программы, музыку. Многих привлекает идея борьбы с авторским правом, однако далеко не все сторонники свободного распространения информации трудятся бесплатно: скрытый в модифицированном файле вирус обойдется пользователям намного дороже официальной покупки.

Также не стоит переходить по ссылкам, особенно тем, которые поступают с незнакомого адреса. Как правило, они ведут на фишинговые сайты. Ссылки на сайты мобильного банкинга и электронных платежных систем лучше вообще игнорировать, где бы они ни размещались — безопаснее просто набрать нужный адрес прямо в браузере.

Наконец, нельзя поддаваться методам психологического манипулирования (социальной инженерии). Если вам звонит незнакомый человек, представляется сотрудником банка или еще кем-то, просит назвать номер счета, PIN-код, CVC или другую конфиденциальную информацию, то ничего сообщать ему не следует, даже если он будет пугать блокировкой счета, потерей денег и т.п. В таких случаях необходимо связаться с банком по официальным каналам.

Анализ риска кражи данных

Как уже отмечалось, большинство краж обусловлены не хитроумными планами злоумышленников, а беспечностью пользователей. Не оставляйте без присмотра флешку и смартфон, защищайте сложным паролем ноутбук и компьютер, выходите из системы, даже отлучаясь лишь на пару минут — и вероятность успеха преступников заметно снизится.

Особую сложность проблема хищения данных представляет в крупных компаниях. Сотрудники сидят в одном большом зале, каждому видно происходящее на мониторах коллег, и к тому же в помещение могут заходить клиенты либо соседи по офисному комплексу. Информация кочует с компьютера на компьютер на десятках флешек, а практика использования чужих машин является нормой. Иногда существует несколько стандартных логинов и паролей, которые знают все. В таких условиях утечки неизбежны.

В идеальной ситуации каждое рабочее место должно быть огорожено. Если такой возможности нет, отдельные ячейки должны получить хотя бы те машины, где обрабатывается важная и конфиденциальная информация. Не должно быть никаких общих, универсальных аккаунтов и кодов доступа: для каждого сотрудника — персональный логин и пароль. Учетные данные должен выдавать администратор, во избежание появления простых и примитивных комбинаций. Нужно также следить за тем, чтобы на рабочем месте не было стикеров с паролями. Если сотрудник неспособен запомнить пароль, то пусть он хотя бы носит записку с ним в бумажнике: сохранности кошелька должное внимание уделяют все люди.

Желательно приучить всех работников к мысли, что если они разрешают коллеге временно поработать на своей машине, то им лучше выйти из системы: пусть сотрудник входит под своим именем. Это позволяет избежать получения чужих прав доступа и отследить, кто проявляет подозрительную активность.

Важные и конфиденциальные данные на серверах должны быть защищены паролем; желательно, чтобы их видели только те, кому разрешен доступ к ним.

Впрочем, разрабатывая правила защиты информации, нельзя чрезмерно усердствовать. Если данные о закупках туалетной бумаги засекречены подобно устройству ядерной бомбы, сотрудники начинают воспринимать такие меры не как политику информационной безопасности, а как самодурство начальников — и, следовательно, нарушать правила везде, где нет прямого надзора.

Также важно учесть, что любое усиление защиты данных имеет свою цену — как прямую (стоимость программных и аппаратных продуктов), так и косвенную (усложнение работы, снижение производительности). Поэтому комплекс мер по защите информации следует разрабатывать соизмеряя затраты с возможным ущербом от утечки данных.

Причины краж персональных данных бывают абсолютно разные:

Как злоумышленники получают доступ к чужим персональным данным

Способов добраться до персональных данных много, но основными являются:

  • Взлом баз данных компаний. Ненадежная, устаревшая защита от угроз или просто еще не исправленный баг в системе, о котором никто и не знал до инцидента — все это может привести к утечке данных;
  • Фишинговые рассылки. Если ваш друг клюнул на фишинговое письмо и его аккаунт украли, то с него могут организовать фишинговую рассылку по его кругу общения. Как правило, такой метод будет более эффективным, потому что последующим жертвам пишут уже от лица знакомого человека;
  • Инсайдерские утечки. Бывают случаи, когда злоумышленники подкупают сотрудника организации и он дает доступ к данным клиентов;
  • Простой поиск. Иногда из-за неправильной настройки сервер дает поисковым системам индексировать данные, которые на нем хранятся. Такие базы данных можно найти с помощью специальных запросов в поисковике, и они нередко содержат персональные данные пользователей. А еще пользователи сами оставляют очень много информации о себе. Например, ссылки на свои аккаунты в других сервисах, которые содержат еще больше информации… потратив пару часов на анализ социальных сетей и форумов, на которых сидит жертва, можно узнать о ней очень многое: от мнения о новом сериале до режима сна и аллергии на, скажем, клубнику.

Как себя обезопасить

К сожалению, от утечек данных пользователь себя обезопасить сам не сможет. Ведь большое количество данных утекает как раз в результате взломов баз данных сервисов или инсайдерских утечек.

Но мы подготовили несколько советов, как сделать утечку ваших данных, если она произойдет, менее болезненной, а жизнь злоумышленников сложнее:

Главная опасность утечек данных состоит в том, что для пользователя она может пройти незаметно. Не всегда компании освещают подобные инциденты хоть где-то, а даже если и освещают, то не всегда информация о них доходит до пользователей. Поэтому очень важно заранее позаботиться о своих персональных данных.

Согласно отчету специалистов Positive Technologies за II квартал 2019 года, целенаправленные атаки преобладают над массовыми. Более половины всех киберпреступлений совершаются с целью кражи информации. Персональные данные — основной тип украденной информации в атаках на юридические лица. Частные лица наиболее часто рискуют учетными записями и данными своих банковских карт.

Тактики, которые киберпреступники используют для реализации атак, описаны в матрице ATT&CK, разработанной корпорацией MITRE на основе анализа реальных APT-атак. Всего тактик двенадцать. Каждую тактику можно соотнести с соответствующим этапом атаки:

  1. Первоначальный доступ в систему (Initial access)
  2. Выполнение кода или команды (Execution)
  3. Закрепление (Persistence)
  4. Повышение привилегий в системе (Privilege escalation)
  5. Предотвращение обнаружения средствами защиты (Defense evasion)
  6. Получение учетных данных (Credential access)
  7. Разведка (Discovery)
  8. Перемещение внутри периметра (Lateral movement)
  9. Сбор данных (Collection)
  10. Управление и контроль (Command and control)
  11. Эксфильтрация данных (Exfiltration)
  12. Воздействие (Impact)

В статье мы рассмотрим техники, которые атакующие используют на этапе вывода (эксфильтрации) данных из целевой системы, после того как они проникли в систему, закрепились там и собрали всю интересующую их информацию. Также будут рассмотрены принципы обнаружения попыток вывода данных и методы их предотвращения.

Как злоумышленники крадут данные

Эксфильтрация, или кража, данных (exfiltration) — это несанкционированное копирование, передача или получение данных с компьютера или сервера жертвы. Эксфильтрация может осуществляться через интернет или по локальной сети. Как правило, при передаче данных атакующие сжимают и шифруют их, чтобы избежать обнаружения. Для эксфильтрации данных из целевой системы злоумышленники могут использовать командные серверы (часто обозначаемые как C&C или С2) и другие каналы передачи.

Матрица MITRE ATT&CK выделяет девять техник, которые злоумышленники используют для кражи данных:

Автоматизированная эксфильтрация (Automated exfiltration)

Конфиденциальная информация, полученная на этапе сбора данных, передается злоумышленникам с использованием специально созданных автоматизированных сценариев (скриптов). Для передачи информации за пределы сети могут также применяться дополнительные техники, например эксфильтрация через командный сервер или эксфильтрация через альтернативный протокол.

Защититься от подобных атак сложно, поскольку в каждой системе они будут иметь свои индивидуальные черты, будут иметь векторы, основанные на конфигурации и окружении этой конкретной системы.

Обнаружение

Рекомендуется отслеживать нетипичные обращения к файлам и сетевую активность. Подозрительными следует считать неизвестные процессы или скрипты, выполняющие сканирование файловой системы, например путем обращения к каталогам более высокого уровня, и отправляющие данные по сети.

Сжатие данных (Data compressed)

Злоумышленники могут сжимать собранные данные перед их эксфильтрацией, чтобы минимизировать трафик, передаваемый по сети. Сжатие выполняется с помощью специально созданных или, наоборот, общедоступных утилит, поддерживающих такие форматы сжатия, как 7Z, RAR и ZIP.

Если злоумышленники отправляют данные по незашифрованным каналам, то можно использовать любую доступную систему предотвращения сетевых вторжений или утечки данных, способную блокировать отправку определенных типов файлов. Однако необходимо учитывать, что злоумышленники могут обойти подобную защиту с помощью шифрования или инкапсуляции (внедрения передаваемых данных в легитимный трафик).

Обнаружение

Программы для сжатия файлов и сами сжатые файлы можно обнаружить разными способами. К примеру, распространенные утилиты для сжатия (такие как 7-Zip или WinRAR), установленные в системе или загруженные злоумышленниками, можно обнаружить, отслеживая соответствующие процессы и известные аргументы, которые используются при запуске утилит из командной строки. Однако необходимо учитывать, что количество срабатываний на легитимное использование подобных утилит может значительно превысить количество обнаруженных вредоносных операций.

Шифрование данных (Data encrypted)

Для передачи информации за пределы сети могут применяться дополнительные техники, например эксфильтрация через командный сервер или эксфильтрация через альтернативный протокол.

Защититься от подобных атак сложно, поскольку в каждой системе они будут иметь свои индивидуальные черты, будут иметь векторы, основанные на конфигурации и окружении этой конкретной системы.

Обнаружение

Программы для шифрования и зашифрованные файлы можно обнаружить разными способами. К примеру, распространенные утилиты для шифрования, установленные в системе или загруженные злоумышленниками, можно обнаружить, отслеживая соответствующие процессы и известные аргументы, которые используются при запуске утилит из командной строки. Однако необходимо учитывать, что количество срабатываний на легитимное использование подобных утилит может значительно превысить количество обнаруженных вредоносных операций.

Процесс, загружающий Windows-библиотеку crypt32.dll, может использоваться для шифрования, расшифровки или проверки подписи файла, а также служить маркером подготовки данных к эксфильтрации.

Ограничение размера передаваемых данных (Data transfer size limits)

Злоумышленники могут проводить эксфильтрацию данных блоками фиксированного размера, а не целыми файлами, или задавать размер пакетов ниже определенного порога. Это помогает злоумышленникам обойти защитные механизмы, предупреждающие о превышении установленных объемов передачи данных.

Для защиты на уровне сети рекомендуется использовать системы обнаружения и предотвращения сетевых вторжений, которые по сигнатурам могут определить трафик, типичный для вредоносного ПО и командного сервера.

Обнаружение

Нужно анализировать сетевую активность на предмет необычных потоков данных (например, клиент отправляет значительно больше данных, чем получает от сервера). Если процесс долго поддерживает соединение и непрерывно отправляет пакеты данных определенного размера или если он открывает соединения и отправляет пакеты данных фиксированного размера через одинаковые интервалы времени, то, возможно, выполняется передача собранной информации. Если процесс использует сеть, хотя обычно (или вовсе никогда) этого не делал, следует считать такое поведение подозрительными. Также рекомендуется анализировать содержимое пакетов на предмет нетипичного использования протокола или конкретного порта; например, передача Tor-трафика может осуществляться под видом видеозвонка Skype.

Эксфильтрация через альтернативный протокол (Exfiltration over alternative protocol)

Фильтрация сетевого трафика: рекомендуется использовать для служб, таких как DNS, специальные и прокси-серверы; разрешите этим службам использовать только стандартные порты и протоколы.

Предотвращение сетевых вторжений: для защиты на уровне сети используйте системы обнаружения и предотвращения сетевых вторжений, которые по сигнатурам могут определить трафик, типичный для вредоносного ПО и командного сервера.

Сегментация сети: используйте рекомендации по безопасной настройке межсетевых экранов; ограничьте список используемых портов и типов данных для входящего и исходящего трафика.

Обнаружение

Рекомендуется использовать систему анализа трафика (например, PT Network Attack Discovery) для отслеживания нетипичных потоков данных в сети (к примеру, когда клиент отправляет значительно больше данных, чем получает от сервера). Если процесс использует сеть, но обычно (или вовсе никогда) этого не делал, следует считать такое поведение подозрительными. Также рекомендуется анализировать содержимое пакетов на предмет нетипичного использования протокола или конкретного порта, как в случае с передачей зашифрованных данных с использованием UDP и портов, открытых для Skype.

Эксфильтрация через командный сервер (Exfiltration over command and control channel)

Эксфильтрация осуществляется через командный сервер с помощью того же протокола (канала связи), который используется для управления сбором данных, например через электронную почту или созданный бэкдор.

Предотвращение сетевых вторжений: для защиты на уровне сети используйте системы обнаружения и предотвращения сетевых вторжений, которые по сигнатурам определяют трафик, типичный для вредоносного ПО. Сигнатуры являются, как правило, уникальными для протокола и могут быть основаны на определенных методах обфускации (превращения кода в произвольный на первый взгляд набор данных), характерных для конкретного злоумышленника или инструмента. Они будут отличаться для каждого семейства или версии ВПО. Сигнатуры взаимодействия с командными серверами могут меняться, а злоумышленники могут изобретать новые способы обхода стандартных средств защиты.

Обнаружение

Рекомендуется использовать систему анализа трафика (например, PT NAD) для отслеживания нетипичных потоков данных в сети (к примеру, когда клиент отправляет значительно больше данных, чем получает от сервера). Если процесс использует сеть, но обычно (или никогда) этого не делал, следует считать такое поведение подозрительными. Также можно анализировать содержимое пакетов на предмет нетипичного использования протокола или конкретного порта.

Эксфильтрация через альтернативный канал связи (Exfiltration over other network medium)

Для эксфильтрации данных злоумышленники могут использовать канал, отличный от канала связи с командным сервером. Например: если управление осуществляется через проводное интернет-соединение, то эксфильтрация может проводиться через Wi-Fi, модем, сотовую связь, Bluetooth или радиочастотный канал. Эти альтернативные каналы используются, если они не имеют защиты или защищены хуже, чем другие каналы сетевой среды. При использовании подобных методов эксфильтрации злоумышленник должен иметь соответствующий доступ к Wi-Fi-устройству или радиопередатчику (находиться в радиусе действия).

Настройка операционной системы: необходимо исключить возможность создания новых сетевых адаптеров, например путем ограничения прав.

Обнаружение

Отслеживайте процессы, которые обычно не используют сетевые подключения (или даже никогда не используют). Чтобы процесс обратился к сети, как правило, требуется некое действие со стороны пользователя, например нажатие клавиши. Доступ к сети без видимых причин считается подозрительным.

Отслеживайте изменения параметров основного адаптера, например добавление или дублирование интерфейсов связи.

Физическая эксфильтрация (Exfiltration over physical medium)

При определенных обстоятельствах, например в случае физической изоляции атакуемой сети, эксфильтрация данных может осуществляться с помощью физического устройства, например внешнего жесткого диска, флеш-карты, мобильного телефона или MP3-плеера. Физическое устройство может являться конечной точкой эксфильтрации данных или посредником между изолированной системой и системой, подключенной к интернету.

Отключение или удаление ненужной функции или программы: отключите автозапуск программ или сервисов, если в нем нет необходимости. Запретите или ограничьте использование съемных носителей на уровне корпоративной политики, если они не требуются для работы.

Обнаружение

Контролируйте доступ к файлам на съемных носителях, а также процессы, которые запускаются при подключении съемного носителя.

Передача по расписанию (Scheduled transfer)

Эксфильтрация данных может осуществляться в определенные часы или с определенным интервалом. Подобный метод позволяет злоумышленникам скрыть свою активность на фоне стандартных рабочих операций. Например: передача данных осуществляется только по рабочим дням с 10 до 15 часов, когда основная масса работников пользуется интернетом, отправляя письма и файлы по сети.

Совместно с эксфильтрацией по расписанию для хищения данных могут использоваться и другие техники, такие как эксфильтрация через командный сервер и эксфильтрация через альтернативный канал.

Предотвращение сетевых вторжений: для защиты на уровне сети используйте системы обнаружения и предотвращения сетевых вторжений, которые по сигнатурам определяют трафик, типичный для связи с командным сервером и вредоносного ПО. Сигнатуры являются, как правило, уникальными для протокола и могут быть основаны на определенных методах обфускации, характерных для конкретного злоумышленника или инструмента. Они будут различаться для каждого семейства или версии ВПО. Сигнатуры взаимодействия с командными серверами могут меняться, а злоумышленники могут изобретать новые способы обхода стандартных средств защиты.

Обнаружение

Заключение

Кража данных может привести не только к серьезным убыткам и потере репутации, но и к многомиллионным штрафам, как это было в случаях с Facebook, British Airways, Marriott и Ashley Madison.

Чтобы выявлять присутствие злоумышленника до того, как он причинит ущерб компании, важно постоянно следить за безопасностью инфраструктуры, оперативно реагировать на подозрительные события, строить гипотезы о компрометации и проверять их в инфраструктуре (проводить threat hunting). В этом помогают системы анализа трафика, которые выявляют признаки активности атакующих и хранят данные о сетевых взаимодействиях, что позволяет проверять гипотезы и проактивно искать угрозы.

Читайте также: