Все скрытое всегда вызывает вопросы и опасения. В частности, много легенд и слухов ходит о теневой стороне интернета – DarkNet′е. Многим кажется, что там обитают только мошенники и киберпреступники. На самом деле даркнет действительно используется хакерами как пространство для коммуникации, однако там есть и обычные пользователи, пытающиеся, например, найти независимые источники информации. Но опасность теневой стороны Сети все же не миф. Разберемся, что грозит бизнесу и какие меры защиты против возможных угроз окажутся эффективными.
Что такое DarkNet
Даркнет («темная сеть») – сегмент интернета, скрытый от общего доступа. Попасть туда можно с помощью специального программного обеспечения, например браузера Tor Browser. Для зашифрованного соединения между участниками (пирами) используются нестандартные протоколы и порты. В остальном ресурсы Сети мало чем отличаются от привычных.
У большинства неосведомленных пользователей «темная сеть» ассоциируется со злоумышленниками, продажей незаконных товаров и услуг – и все это там действительно процветает. Даже те, кто ни разу не посещал даркнет, не защищен от утечки данных в «темную сеть» и атак злоумышленников. Чтобы подвергнуться риску, достаточно просто пользоваться интернетом и быть владельцем аккаунтов в социальных сетях.
Но в даркнете имеется и вполне легальный контент. Например, там можно найти источники независимой информации, журналистские расследования, порталы для общения, аналоги социальных сетей, онлайн-библиотеки и т. д.
Как работает DarkNet
Теневой интернет состоит из множества параллельных сетей, анонимность внутри которых обеспечивается с помощью продвинутых технологий. Самая распространенная в Tor Browser – Onion Routing (дословно – «луковая маршрутизация»). Технология получила такое название, поскольку основана на множественных слоях шифрования вокруг каждого сообщения, отсюда и ассоциация с луковой шелухой.
Зашифрованные сообщения передаются через промежуточные узлы, на каждом из которых снимается один слой «шелухи» для получения координат следующего уровня. В итоге полная расшифровка происходит только на сервере адресата.
Для еще более надежной защиты маршруты прохождения постоянно меняются случайным образом. Благодаря такой системе, посредники не имеют доступа к адресам и содержимому сообщений. Однако у браузера Tor все же есть недостатки, поэтому многие перешли на использование других анонимных сетей, например Invisible Internet Project (I2P).
С появлением Telegram в него переместились многие закрытые сообщества из даркнета – так отдельные площадки мессенджера тоже стали частью «темной сети».
Опасность DarkNet′а для бизнеса
В «теневой сети» обитают киберпреступники разных квалификаций. Там у них есть собственные форумы, где они обсуждают мошеннические схемы, особенности программ-вымогателей и обнаруженных уязвимостей программного обеспечения. Там же практикуется обмен опытом, объединение в группы для реализации преступных замыслов и продвижения хакерских продуктов.
А еще в группах «темной сети» публикуются заказы на атаки в отношении организаций и продаются украденные базы данных. Причем к таким объявлениям часто имеют отношение действующие или уволенные сотрудники компаний-жертв. Это еще один ответ на вопрос, почему можно оказаться под угрозой, не разворачивая деятельность в даркнете.
Под прицелом злоумышленников может оказаться абсолютно любая организация. Особенно часто от действий киберпреступников страдают крупные компании – ретейл, банковский сектор, государственные и промышленные предприятия. Небольшие компании тоже не застрахованы от рисков – они могут стать промежуточным звеном в атаках на партнерские сети.
Главный козырь злоумышленников в том, что большинство владельцев бизнеса не до конца понимают, какую опасность DarkNet таит для них. А тем временем в хакерских сообществах обсуждают ключевые тенденции атак с использованием скомпрометированных данных или нацеленных на их получение. Это:
- Использование кейлогеров.
- Внедрение вредоносного ПО (например, вирусов-шифровальщиков).
- Аренда программ-вымогателей (Ransomware-as-a-Service).
- Атаки на компанию-жертву с помощью партнеров.
- Фишинговые атаки.
Расскажем подробнее о каждом виде атак и возможных целях злоумышленников.
Использование кейлогеров (клавиатурных шпионов)
Этот тип атак направлен на получение конфиденциальных данных. Если посетить зараженный интернет-ресурс или открыть сомнительную ссылку из электронного письма, возрастает риск подселить на рабочее устройство узкоспециализированный инструмент, фиксирующий нажатия клавиш. Благодаря ему, злоумышленники перехватывают конфиденциальную информацию – от логинов и паролей до платежных данных.
Главная опасность кейлогеров в том, что хакеры получают возможность завладеть секретной информацией, оставаясь незамеченными. Скомпрометированные данные используются для шантажа или в других преступных целях.
Внедрение вирусов
Если данные компании хоть раз засветились в DarkNet′е, резко возрастает риск атаки с помощью вирусов-шифровальщиков. Они попадают в информационную систему организации через фишинговые письма или обнаруженные преступниками уязвимости. Например, в результате компрометации учетных данных: логина, пароля и даже биометрических характеристик.
Вирусы-шифровальщики делают невозможной дальнейшую работу компании. Например, не получится открывать файлы, заходить в информационные базы и т. д. Все это замыслено киберпреступниками с целью подвести владельцев организации к выплате выкупа за расшифровку данных.
Также часто внедряют руткиты для получения контроля над целевым устройством. Очень популярны среди злоумышленников и вирусы-шпионы, с помощью которых можно мониторить все действия внутри корпоративных сетей.
Ransomware-as-a-Service
Злоумышленники, не обладающие достаточной квалификацией или запасом времени для самостоятельной подготовки вредоносной нагрузки, пользуются услугой Ransomware-as-a-Service. Они арендуют код вируса-шифровальщика, настраивают эксплойт и внедряют вредоносное обеспечение в корпоративную сеть организации-жертвы. Затем сообщают о сумме выкупа и ждут перевода денег на свой счет.
Доступ через партнеров
Суть атаки заключается в том, что группировки хакеров получают доступ к инфраструктуре целевой компании через ее партнеров, системы защиты которых могут быть менее устойчивы к атакам. Итоговая цель снова заключается в выкупе, главными инструментами являются все те же вирусы. Однако, благодаря проведению атаки через скомпрометированного партнера, злоумышленникам удается получить доступ в гораздо более сжатые сроки.
Фишинг
Давно известная, но все еще актуальная угроза – фишинговые атаки. Чаще всего они реализуются двумя способами:
- Пользователь попадает на фейковый сайт (например, интернет-магазин) и оставляет там свои данные. Злоумышленники перехватывают их и в дальнейшем используют в своих целях.
- Пользователь получает сообщение или электронное письмо с вложением, содержащим вредоносную программу.
От фишинга чаще всего страдают компании, совершающие закупки через интернет и получающие письма от партнеров. Злоумышленники могут воспользоваться этим, рассылая адресные сообщения и подделывая известные сайты.
Как защитить компанию от угроз из DarkNet′а
Помимо использования специальных средств защиты нужно соблюдать базовые рекомендации по безопасности:
- Не реже чем раз в 90 дней обновлять пароли для удаленных рабочих столов, аккаунтов в социальных сетях, служебных сервисов.
- Создавать копии важных документов.
- Не открывать подозрительные ссылки в письмах от неизвестных адресатов.
- Регулярно обновлять ПО сервисов и приложений.
- Подключить многофакторную аутентификацию везде, где это возможно.
- Не использовать одинаковые пароли для разных сервисов.
Эти простые правила кибергигиены станут хорошим дополнением к используемым компанией средствам защиты информации. Однако на фоне значительного роста цифровых угроз, многие из которых скрыты в даркнете, защиты периметра компании становится недостаточно. Сегодня необходимо иметь «глаза и уши» даже в самых темных сегментах Всемирной сети, чтобы своевременно отслеживать публикации чувствительных для компании данных и планируемые атаки. Для этого подойдет решение класса DRP (Digital Risk Protection) – например, сервис Solar AURA.
Как Solar AURA поможет защитить компанию
Комплексный сервис Solar AURA круглосуточно мониторит внешнюю среду на предмет выявления цифровых и ИБ-рисков и обеспечивает превентивную защиту бизнеса от диджитал-угроз.
Решение включает восемь модулей, в том числе модуль «Даркнет», который отслеживает в «темной сети»:
-
публикации предложений о продаже чувствительных данных компании;
-
запросы на «пробив» или поиск точки входа в инфраструктуру;
-
объявления о планируемых кибератаках;
-
данные, которые подтверждают распространение конфиденциальной информации сотрудниками и их связь с киберкриминальными структурами;
-
другую информацию, представляющую угрозу для компании.
Вся обнаруженная информация анализируется либо в автоматическом режиме, либо при участии аналитиков Solar AURA, после чего пользователь сервиса получает уведомления об угрозах. Так появляется возможность для оперативного реагирования, предотвращения инцидентов и минимизации цифровых рисков.
В дополнение к этим возможностям другие модули Solar AURA позволяют обеспечивать защиту бренда компании и личного бренда ключевых сотрудников, выявлять факторы репутационных и финансовых рисков, повышать уровень защищенности инфраструктуры.
Заключение
DarkNet обеспечивает высокую конфиденциальность данных своих обитателей, поэтому им пользуются желающие сохранять анонимность, обходить различные установленные ограничения, получать независимую информацию. Также он становится ширмой для киберпреступников, оттачивающих хакерские навыки и готовящих атаки на организации.
Чтобы защитить компанию от нападения с «темной стороны», потребуется специализированное решение для непрерывного мониторинга цифровых угроз. Выбирая такое решение, стоит обратить внимание на сервис Solar AURA, включающий 8 векторов мониторинга публичных и закрытых сегментов интернета, обеспечивающий оперативную блокировку фишинговых ресурсов и аналитическое сопровождение выявленных инцидентов в качестве дополнительной опции.