Дарквеб и репутация компании

С развитием проникающих во все сферы деятельности человека процессов цифровизации растет и уровень киберпреступности. Злоумышленники зачастую объединяются в группы с четким разделением обязанностей. Предложение инструментов для атаки по сервисной модели резко снижает требования к квалификации хакеров. А по мере обострения геополитической обстановки к профессиональным преступникам присоединяются хактивисты, атакующие компании по политическим мотивам. СМИ все чаще сообщают об утечках данных, и это бьет по репутации компаний и их бизнесу. 

Для поиска инструментов, заказчиков, подготовки атак и сбыта украденной информации используется дарквеб — совокупность теневых площадок и сетей, обеспечивающих анонимность участников. Еще пять лет назад дарквеб был практически синонимом даркнета — файлообменных сетей с защищенными каналами, наиболее популярной из которых была Tor. Для обеспечения доступа к анонимным или псевдоанонимным адресам сети Tor служил псевдодомен верхнего уровня .onion, который многими и воспринимался как даркнет. Сейчас к дарквебу относят не только файлообменные сети, но и закрытые группы в соцсетях и мессенджерах, в первую очередь в Telegram. «Противоправная активность стремительно мигрирует в Telegram, который предоставляет для этого великолепные условия. Это и приватные чаты, и приватные каналы. В моем понимании это тоже дарквеб», — высказал свое мнение на конференции АМ Live «Мониторинг дарквеба и защита репутации в интернете» эксперт центра аналитики внешних цифровых рисков Solar AURA компании «Ростелеком-Солар» Александр Вураско.

Предупрежден — значит вооружен. Для обнаружения готовящихся атак и произошедших утечек необходимо постоянно вести мониторинг дарквеба: выявлять активность инсайдеров, планы киберпреступников относительно атак, продажу доступа, случаи мошенничества с банковскими картами, украденные базы данных сотрудников, логины и пароли. Нужно искать утечки чувствительной для компании информации: документов, исходных кодов, ключевых проектов. «Мы встречали даже фотографии и планы критической инфраструктуры больших объектов, отсутствующие в открытом доступе. Источников много, ручным анализом с этим не справиться», — поделилась опытом руководитель отдела мониторинга цифровых угроз «Лаборатории Касперского» Юлия Новикова.

В дарквебе доступны и использующие Telegram-боты платформы автоматизации фишинга. С их помощью контролируется процесс фишинговой атаки и ведется учет похищенных денег. За счет предложения кибератаки по сервисной модели (cybercrime-as-a-service) их организация упрощается, а число атакующих группировок увеличивается. Инструменты для создания фишинговых страниц — фишинг-киты, как правило, создаются в расчете на конкретные онлайн-сервисы, электронную почту и финансовые учреждения. Так, в 2020 г. Group-IB cообщала об обнаружении фишинг-китов, нацеленных на 260 уникальных брендов в России и за рубежом. Наличие фишинг-китов для атаки на вашу организацию — уже повод для беспокойства.

Поставщики средств информационной безопасности предлагают продукты, автоматизирующие сбор информации в публичном интернете и дарквебе, — решения, относящиеся к категории Digital Risk Prоtection (DRP). Например, DRP-система компании F.A.C.C.T. выявляет противоправное использование бренда в фишинговой атаке. Задействуются автоматические инструменты сбора информации: поисковые роботы (веб-краулеры и парсеры) — программы, собирающие данные с указанных веб-ресурсов и выдающие их в нужном формате (рис. 1). В блоке анализа данных приоритизируется и оценивается риск каждого нарушения. С применением нейронных сетей анализируются контент и изображения — распознается текст, выявляется упоминание названия бренда, использование логотипа. С помощью технологий киберразведки (Threat Intelligence) пробуют определить инфраструктуру злоумышленников, которая зачастую не ограничивается одним мошенническим сайтом. Сходный функционал предоставляет сервис BI.ZONE Brand Protection. 

«Фишинговые атаки, особенно на банки, ритейл и телеком, как правило, массовые. Такие угрозы выявляем чуть ли не каждую неделю. Обнаружили один источник, потом средствами киберразведки — тысячи. И блокировать их надо тоже массово», — отметил Станислав Гончаров, директор по развитию бизнеса DRP компании F.A.C.C.T.

Информация о выявленных угрозах передается заказчику. В случае интеграции с SOC клиента — максимально оперативно и в автоматическом режиме. Быстрое выявление позволяет быстро реагировать на угрозы, например, инициировать закрытие мошеннических сайтов. «После ручной обработки мотивированные обращения по фишинговым сайтам отправляются к регистраторам доменных зон и провайдерам для досудебной блокировки — снятия делегирования. Можем обратиться в компанию, выписавшую SSL-сертификат, чтобы его отозвали. Если регистратор не реагирует, обращаемся к администратору домена верхнего уровня. Дальше можно эскалировать вплоть до ICANN», — пояснил руководитель группы защиты бренда Bi.Zone Дмитрий Кирюшкин.

Для эффективной работы нужны не только специализированные продукты, но и квалифицированные специалисты, которые способны формулировать задачи, анализировать результаты, собранные ботами на разных площадках, принимать решения. Не все работы можно автоматизировать, в частности, вербовочные мероприятия. «Можно внедрить сотрудника на площадку закрытого чата в Telegram, чтобы общался со злодеями, а еще можно выискивать администраторов форумов и использовать их вербовку для манипуляций. Таким образом для одного крупного клиента мы удалили публикацию о компрометации внутренних сервисов, которую злоумышленники пытались продать», — рассказал руководитель отдела анализа и оценки цифровых угроз Infosecurity a Softline Company Константин Мельников.

Иногда имеет смысл выявлять активистов форума, анализировать их посты на разных площадках и составлять психологический портрет. Если выяснится, что активист представляет угрозу для клиента, ставить на персональный контроль.

Рынок услуг DRP, по оценкам А. Вураско, за последние пять лет вырос в шесть-семь раз и будет продолжать расти. Причем, если раньше основными заказчиками выступали госпредприятия и крупный бизнес, то в условиях резко возросшего в прошлом году числа атак на все российские предприятия, подтянулся и сектор SMB. В разрезе отраслей среди заказчиков лидируют предприятия кредитно-финансовой сферы, ритейл и промышленные предприятия, тесно связанные с интернет-технологиями. 

Злоумышленники используют разделение труда и предлагают услуги по сервисной модели. Заниматься круглосуточным мониторингом даркнета, отслеживать постоянные изменения в сети, внедряться на закрытые площадки, вести киберразведку и анализировать огромные массивы информации — задача для большой команды профессионалов, которую не всегда могут иметь в штате даже крупные предприятия. Наиболее очевидный путь, особенно для небольших организаций, уже столкнувшихся с проблемами информационной безопасности, — прибегнуть к услугам компаний, которые специализируются на мониторинге. «Не стоит изобретать велосипед. Купите его, это будет гораздо выгоднее для бизнеса», — считает С. Гончаров.

Пока мониторинг дарквеба, да и DRP в целом для российского рынка — дело новое и еще не освоенное. Так, согласно опросу, проведенному AM Live в мае 2023 г. среди участников своей конференции, 60% респондентов не пользуются никакими средствами DRP (рис. 2), и за последний год их доля изменилась незначительно. 

С другой стороны, такие результаты говорят о большом потенциале данного направления. Благо, что предложения на российском рынке есть.

Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!