Поиск по сайту:

Вас взломали? 10 показателей, говорящих «да»

Возникло непреодолимое ощущение, что что-то не так на вашем компьютере или в сети? Мы опишем 10 признаков того, что вы были скомпрометированы, и что вы можете сделать, чтобы обезопасить себя.

1. Актеры об угрозах с гордостью говорят вам

Иногда, если они собираются заработать на своей атаке, злоумышленникам (плохим парням) необходимо связаться с вами.

Программы-вымогатели

Шифрование всех файлов в вашей сети и неспособность вашей компании обрабатывать данные сообщат вам, что сеть была скомпрометирована. В записке о выкупе указано, как заплатить за восстановление доступа к вашим данным.

Официальный совет — не платить выкуп, хотя, по оценкам, 50% жертв платят. В 2019 году муниципалитеты Флориды заплатили 1,1 миллиона долларов США за программы-вымогатели за один двухнедельный период. Выплата выкупа позволяет киберпреступникам победить. Они получают то, что хотят. Поэтому им предлагается сделать это снова. А другим предлагается попробовать свои силы в том, что они считают легким заработком.

Конечно, неуплата выкупа означает, что вы должны отключить, очистить и восстановить свои системы из резервных копий. Но это не всегда возможно. Изощренные злоумышленники могут находиться в ваших системах неделями, прежде чем активируют шифрование. Они тратят время на то, чтобы убедиться, что они заразили ваши локальные, а иногда и удаленные резервные копии.

Если восстановление вашей системы вам не подходит, вы можете найти ключ дешифрования в Интернете. Такие сайты, как No More Ransom Project — инициатива, поддерживаемая Европолом, — существуют, чтобы помочь вам в этом.

Стоит отметить, что даже если вы заплатите выкуп, вы можете не получить рабочий ключ дешифрования. Они часто терпят неудачу. Таким образом, вы по-прежнему сталкиваетесь с большим количеством ручных операций и простоев. И лучшие практики говорят, что вы должны все равно выполнять глубокую очистку и восстановление своих систем. Вы должны убедиться, что все остатки программы-вымогателя были удалены.

доксинг

Doxxing-атаки требуют связи со стороны злоумышленников. Эти атаки извлекают конфиденциальные и личные документы и угрожают опубликовать их в Интернете. Это форма цифрового шантажа. За определенную сумму они обещают удалить документы вместо того, чтобы выдать их.

Рекламное ПО

Всплывающие объявления, предлагающие ускорить вашу систему, удалить вредоносное ПО или притвориться службой технической поддержки, — все это признаки того, что ваша сеть или компьютер были скомпрометированы.

Это может быть просто уязвимость в вашем браузере, которая была использована, и пока вы не нажмете на рекламу, с вашим компьютером больше ничего не произойдет. С другой стороны, это может означать, что ваша операционная система уже заражена и установлено рекламное ПО.

Электронные письма с вымогательством

Другой тип атаки, которая объявляет о себе, — это простое мошенничество с электронной почтой. В электронном письме предполагается, что хакеру удалось использовать вашу веб-камеру и заснять вас в какой-то компрометирующей ситуации. Если вы не заплатите, они угрожают передать отснятый материал друзьям и семье.

Эти мошеннические письма можно игнорировать. Они разосланы тысячам и тысячам людей в надежде, что небольшой процент заплатит. Небольшой процент от очень большого числа по-прежнему является хорошей зарплатой для киберпреступников.

Использование чьей-либо веб-камеры для слежки за ними можно конечно. Это называется кемпингом, и, к сожалению, его популярность растет. Он используется для всего, от промышленного шпионажа до преследования. Но это по своей природе тайные преступления, и преступники о себе не объявляют.

2. Ваш браузер выходит из-под контроля

Если в вашем браузере появились новые панели инструментов, которые вы не устанавливали, значит, он заражен. Панели инструментов могут действовать как регистраторы нажатий клавиш, которые фиксируют учетные данные для посещаемых вами сайтов, или они могут собирать информацию о кредите и PayPal с сайтов электронной коммерции. Они могут инициировать дальнейшие загрузки вредоносных программ, иногда выбранных в соответствии с вашими привычками просмотра.

Если вам повезет, самое худшее, что вы пострадаете, это то, что ваши веб-поиски будут перенаправлены на веб-сайты, которые вы не искали. Злоумышленникам платят за то, чтобы они направляли трафик на веб-сайты и использовали перенаправления, чтобы генерировать как можно больше трафика. Это может идти рука об руку с мошенническими панелями инструментов, но веб-перенаправления могут быть результатом отдельных заражений.

3. Люди получают от вас мошеннические приглашения

Злоумышленники создают мошеннические и подражательные профили на платформах социальных сетей и отправляют приглашения друзьям человека с настоящим профилем или получают доступ к реальному профилю, вероятно, путем фишинговой атаки.

Настоящий или фиктивный профиль может использоваться для распространения спорных или конфиденциальных сообщений с целью подорвать вас, вашу компанию или компанию, в которой вы работаете. Профиль можно использовать, чтобы осторожно выманивать информацию у ваших друзей — метод, называемый социальной инженерией, — чтобы помочь в краже учетных данных или краже личных данных.

Ваши друзья могут получить сообщение — предположительно от вас — с просьбой получить платеж через PayPal от вашего имени. Вы что-то продали, и вам нужно заплатить за это, но что-то не так с вашей учетной записью PayPal.

Поскольку жертве предлагается получить и не совершать платеж, а также поскольку запрос исходит от вас , у них не возникает подозрений. В сообщении также предлагается перевести деньги на свой банковский счет, а затем на ваш. Детали учетной записи включены в сообщение.

Но, конечно же, банковский счет принадлежит злоумышленникам. Как только деньги поступают на их банковский счет, первоначальная транзакция PayPal отменяется. Жертва теперь из своего кармана на мелодии всей сделки.

4. Пароли таинственным образом меняются

Если вы не можете войти в онлайн-сервис или платформу, убедитесь, что сервис работает. Может у них сбой. Но если они работают и у других пользователей нет проблем, вполне вероятно, что ваш аккаунт был взломан. Если злоумышленнику удалось войти в вашу учетную запись, он изменит пароль, чтобы вы не могли войти в систему.

Возможно, они угадали ваш пароль или использовали какую-либо форму атаки по словарю. Возможно, ваш пароль был взломан с другого сайта, где вы использовали тот же пароль. Возможно, вы стали жертвой фишинговой атаки. Но как только злоумышленники окажутся внутри, они сменят ваш пароль, чтобы вас не пускать.

Вам необходимо как можно скорее сообщить об инциденте на сайт. Конечно, на вас лежит ответственность доказать им, что вы являетесь подлинным владельцем учетной записи, а не злоумышленником, использующим социальную инженерию для получения доступа к учетной записи. Все это требует времени. Предложите представителю службы поддержки немедленно заблокировать учетную запись и разрешить любой доступ к ней только после того, как они убедятся, что знают, кто является подлинным владельцем.

Если вы использовали учетные данные этой учетной записи в любых других системах или платформах, немедленно измените пароль в этих системах.

5. Программное обеспечение материализуется на вашем компьютере

Если на вашем компьютере появилось программное обеспечение, и вы не знаете, откуда оно взялось, возможно, это действия врага. Вирусы и вредоносное ПО устанавливают себя и прячутся. Трояны, черви и другое вредоносное ПО, например рекламное ПО, могут выглядеть как обычные приложения. Они появятся в списке установленных приложений на вашем компьютере.

Необъяснимое программное обеспечение не обязательно означает, что вы были скомпрометированы через сеть или Интернет. Бесплатное программное обеспечение иногда имеет подвох, который вам нужно прочитать, чтобы узнать об условиях. Стоимость некоторого бесплатного программного обеспечения невольно соглашается на установку других пакетов, о которых вы не знали. Другие пакеты, вероятно, будут собирать пользовательскую информацию, которую авторы программного обеспечения могут монетизировать, например, статистику использования вашего компьютера и Интернета, которую можно продать маркетинговым компаниям.

Если вы оставите свой компьютер без присмотра и войдете в систему, злоумышленники получат краткую возможность, в которой они нуждаются. Можно загружать компьютеры с USB-накопителей и внедрять программу-заглушку, которая будет запускаться при следующем входе в систему. Заглушка загружает установщики для других вредоносных программ и программ. Злоумышленнику даже не нужны ваши данные для входа в систему, чтобы посеять семена для дальнейшего заражения.

Оставленные без присмотра ноутбуки, даже если они вышли из системы и выключены, особенно подвержены этому типу атаки «злой горничной», потому что их оставляют без присмотра в гостиничных номерах или везут для досмотра на пограничных переходах.

6. Курсор летит соло

Движущийся указатель мыши без вашей руки на мыши может указывать на проблемы с оборудованием или из-за «дрейфа» в программных драйверах. Но если движения курсора целенаправленны и указатель делает выбор из меню, а также открывает и закрывает окна, есть два варианта. Ваша группа технической поддержки может получать удаленный доступ к вашему компьютеру по уважительной причине (хотя они должны сообщить вам об этом заранее) или вы были заражены трояном удаленного доступа (RAT), и злоумышленники подключены к вашему компьютеру.

RAT позволяет злоумышленникам подключаться к вашему компьютеру и контролировать его, а также наблюдать за вашими действиями. Он также может записывать нажатия клавиш, чтобы они могли видеть, что вы делали, когда они не были подключены. Они могут передавать файлы на ваш компьютер и с него, а также включать и выключать микрофон и веб-камеру, не включая контрольные светодиоды.

Типичный подход — подключить компьютер и подождать. Если они увидят длительный период бездействия и позднее время в вашем часовом поясе, они подключатся к вашему компьютеру. Если злоумышленники долгое время не проявляли с вашей стороны никакой активности, они могут рискнуть захватить управление в светлое время суток.

Вот когда вы можете увидеть, как курсор движется сам по себе.

7. Ваши щиты опущены и не поднимутся

Если ваше защитное программное обеспечение, такое как персональный брандмауэр, антивирус и средство защиты от вредоносных программ, отключено и отказывается возобновлять работу, вы заражены вирусом или другим вредоносным ПО.

Современное вредоносное ПО способно отключить защитное программное обеспечение и предотвратить его повторное включение, сброс или повторную установку. Это четкий показатель того, что вы были заражены вредоносным программным обеспечением.

Иногда другие инструменты, такие как Process Explorer и Task Manager, также отключаются.

8. Вы теряете деньги

Большинство киберпреступлений имеют финансовую мотивацию. Если злоумышленники смогут получить ваши учетные данные для доступа к ценному активу, такому как онлайн-банкинг, PayPal или цифровой кошелек с криптовалютой, они с ликованием потирают руки и опустошают его.

Если они успешно проведут фишинговую атаку против кого-то в учетных записях и убедит их, что члену высшего руководства нужно немедленно перевести эти средства или что этот счет нужно оплатить немедленно, вы можете потерять десятки тысяч долларов за день.

9. Ваши личные данные находятся в общедоступной сети

Если ваши данные находятся в Интернете, нет никаких сомнений, что вы были скомпрометированы. Иногда это делается как атака доксинга. Иногда публичное выставление напоказ частных документов осуществляется потому, что преступники являются хактивистами социальной справедливости и по каким-то причинам ваше предприятие попало под их прицел.

Другим часто упускаемым из виду риском является недовольство сотрудника. В 2014 году старший аудитор британского супермаркета Morrisons по имени Эндрю Скелтон разместил личные данные 100 000 своих коллег на сайте для обмена файлами. Затем он сообщил об этом британской прессе. Его мотивом была месть своему работодателю. Он все еще чувствовал себя плохо после дисциплинарного собрания, проведенного месяцем ранее.

10. Об этом говорят ваши собственные системы

Любые и все предупреждения от вашей системы обнаружения вторжений (IDS) или другого программного обеспечения для мониторинга следует рассматривать как подлинные инциденты, пока расследование не докажет обратное.

Необъяснимая активность, зафиксированная в системных журналах, например странные входы в систему в необычное время или с географически странных IP-адресов, или большие перемещения данных ночью, могут указывать на то, что что-то не так.

Необходимым условием для использования этого типа предупреждений является понимание вашего обычного сетевого трафика и поведения. В этом могут помочь бесплатные инструменты, такие как Snort, wireshark, Brim и Graylog. Вы не можете справиться с этим с помощью одних только ручных процессов, поэтому найдите программное обеспечение, которое поможет вам.

Что вы можете сделать, чтобы защитить свои системы?

Кибербезопасность — это сложно. Много раз говорилось: нужно отражать каждое нападение, а плохим парням достаточно повезти только один раз. Многоуровневый подход с образованной рабочей силой, соответствующим программным обеспечением для защиты и мониторинга, а также хорошим управлением ИТ будет иметь большое значение для обеспечения безопасности ваших систем. Выберите подходящие меры из этого списка и примените их.

  • Обновляйте все операционные системы и приложения.
  • Используйте качественные брандмауэры и открывайте порты только после того, как бизнес-план будет рассмотрен и принят.
  • Применяйте надежные пароли и запрещайте повторное использование паролей более чем в одной системе или на одном веб-сайте. Назначьте менеджера паролей, приемлемого для компании.
  • По возможности используйте двухфакторную аутентификацию.
  • Внедрите многоуровневую систему резервного копирования и храните резервные копии в разных местах.
  • Протестируйте свои резервные копии, процессы восстановления данных и планы аварийного восстановления.
  • Создайте и протестируйте план реагирования на инциденты. Отрепетируйте это с заинтересованными сторонами. Убедитесь, что все участники знают, что план действует, что он был выполнен и что в случае инцидента он фактически выполняется. Не позволяйте волнению сбить людей с толку.
  • Внедрите программное обеспечение для мониторинга, которое отслеживает попытки доступа, системные журналы, сетевой трафик и выдает предупреждения о подозрительных или недопустимых действиях.
  • Изучите протоколы безопасности в своем банке, чтобы предотвратить крупные переводы без дополнительной, коррелирующей информации и проверки.
  • Используйте лучшие комплекты защиты конечных точек, включающие в себя антивирус, защиту от вредоносных программ и просмотр веб-страниц.
  • Обучать своих сотрудников кибербезопасности и постоянно повышать уровень этого обучения.
  • Создавайте культуру безопасности, в которой сотрудники имеют право рассматривать необычные запросы, сообщать о подозрительных и необъяснимых событиях и предлагать улучшения, не опасаясь взаимных обвинений. Если они что-то видят, они должны что-то сказать.