Из года в год информационная безопасность не покидает список топовых тем ИТ-индустрии. Отчеты о кибератаках, утечках данных, тактиках злоумышленников и последствиях киберпреступлений периодически публикуют Ponemon Institute, Gemalto, Symantec, Kaspersky Lab и другие. Но одним из самых интересных документов, на наш взгляд, является Data Breach Investigations Report (DBIR) от телекоммуникационной компании Verizon. Недавно к нам в руки попал его свежий выпуск (за 2018 год), в котором любителей киберэкшна ждет несколько интересных открытий.
Деньги, шпионаж и… обида
Согласно DBIR, как и раньше, большинство киберпреступлений, нацеленных на получение конфиденциальных корпоративных данных, совершается людьми извне компании — 73%. Хотя доля так называемых внутренних агентов тоже довольно велика — 28%, то есть чуть больше четверти. Главные мотивы, побуждающие злоумышленников к преступным действиям, — жажда наживы (естественно, финансовой) и шпионаж. Практически 90% утечек, зафиксированных Verizon, подпадают под эти две категории. Инцидентов, связанных со слежкой ради получения важных данных, всего около 13%. В то же время доля финансово мотивированных атак составляет 76%. Однако в Verizon считают, что лиц, вовлеченных в шпионаж меньше не стало, а все дело в том, что обнаружение таких инцидентов занимает значительно больше времени и привычные методы выявления кибератак в таких случаях применить сложно.
Интересно, что другими мотивирующими факторами для «плохих ребят» является развлечение и… обида. Видимо, за чувствительными данными иногда охотятся слишком чувствительные люди.
Преступление под предлогом
Большинство производимых кибератак нацелены на базы данных, POS-терминалы и контроллеры, а также веб-приложения. Чаще всего преступников интересует личная, платежная или медицинская информация о пользователе. Вот уже который год не теряет популярности социальная инженерия: среди основных видов мошенничества — фишинг (1192 инцидента, 236 утечек) и претекстинг (170 инцидентов, 114 утечек).
И если с фишингом читатели давно знакомы, то претекстинг в нашем блоге упоминается впервые. Этот вид атаки подразумевает создание злоумышленником ложного рассказа (например, о себе и своей должности) или сценария действий с целью выведать у жертвы необходимую информацию или спровоцировать нужное поведение. Поскольку претекстингом можно считать текст фишингового письма с зараженной ссылкой, на практике значения этих двух понятий могут быть размытыми. Но как же их все-таки различить? В Verizon проблему определений решили довольно просто: если в инциденте не задействовано вредоносное ПО, а весь обман строится исключительно на ложной коммуникации, значит, это претекстинг. Хотя 10% инцидентов, помеченных в базе как претекстинг, все-таки включали использование вируса.
В основном претекстинговые кибератаки проходили по двум сценариям и были нацелены на сотрудников финансовых департаментов или отделов кадров. В первом случае сотрудники получали письмо якобы от генерального директора с просьбой перевести деньги на банковский счет (поддельный). Во втором случае у отдела HR запрашивалась информация о зарплатах сотрудников и уплаченных налогах, которую потом преступники могли использовать для подачи мошеннических деклараций или зачисления компенсаций на свой счет. Число инцидентов претекстинга с финансовыми мотивами, зафиксированных в Verizon, за прошедший год увеличилось с 61 до 170.
Заключение
Несмотря на то, что кибермошенники постоянно подбрасывают вендорам и аналитическим агентствам новые данные для статистики, в целом количество вредоносного ПО и хакерских атак в прошлом году незначительно сократилось. Однако сказать точно, что это: обнадеживающая тенденция или затишье перед бурей, ни Verizon, ни мы пока не рискнем.
colobridge.net