Довіра колег — вразливе місце будь-якої організації, і зловмисники можуть використовувати дану обставину у своїх цілях, наприклад, відправляючи обраної мішені імейли з шкідливим ПЗ.
«Якщо хто-небудь, отримавши доступ до комп’ютера начальника, розсилає прикріплені файли, — ймовірність інформаційної витоку в такому випадку наближається до 100%», — говорить Ёгі Чандірамані (Yogi Chandiramani), директор відділу інформаційної безпеки компанії FireEye, на думку якого, горезвісний «людський фактор» таїть у собі головну загрозу для безпеки даних.
Сторонні шахраї, як, втім, і інсайдери, полюють за привілейованими акаунтами. «Під незвичайною поведінкою мається на увазі: підвищена активність користувача, спроби редагувати файли системних журналів або вихідних подій і доступ до важливих даних у неробочий час, — пояснює виданню» Форбс «Ієн Їп (Ian Yip), аналітик фірми NetiQ. — Але щоб встановити, що слід вважати незвичайним, спочатку необхідно визначитися з тим, що є допустимим ».
У цьому відношенні високопоставлений персонал володіє певними перевагами. Найчастіше їх перевіряють не настільки ретельно. «Багато організацій довіряють привілейованим користувачам», — вважає представник NetiQ.
По світу котиться нова хвиля шкідливих вірусів зі східної Європи. Новизна її в тому, що шахраї використовують уразливості терміналів роздрібної торгівлі. Про це добре відомо представникам американського рітейлера Target. За допомогою зазначеної методики не так давно були викрадені дані, що зберігалися на кредитних картах більш ніж 70 мільйонів користувачів.
PoS-термінали часто підключені до комп’ютерів, що працюють під управлінням системи Windows. На думку Андрія Комарова, гендиректора IntelCrawler, ознакою того, що система піддається зовнішньої атаці, може служити безліч невдалих спроб входу в систему комп’ютера, обладнаного Remote Desktop Protocol (протокол віддаленого робочого столу). «У журналі подій (Event Viewer) будуть значитися повторювані спроби входу, здійснювані одним адресантом», — пояснює Комаров.
З ним погоджуються співробітники компанії NetIQ: «Безліч невдалих спроб увійти в систему незалежно від часу доби є тривожним сигналом».
Навіщо використовувати чорний вхід, якщо можна зайти через парадні двері?
ICMP (Internet Control Message Protocol — протокол міжмережевих керуючих повідомлень) — використовується для відправки системних повідомлень про помилку між такими системними пристроями, як роутери. Повідомлення з’являються не настільки часто, тому щільний пакет міжмережевих повідомлень може свідчити про спробу вивудити певну інформацію. «Якщо ви виявили безперервний потік ICMP з дивними відомостями, можливо, це — ознака того, що хтось вирішив вкрасти дані за посередництвом каналу, зазвичай для такої мети не використовується, або ж про активність ботнету на основі ICMP», — говорить Тод Бердслі (Tod Beardsley) з компанії Rapid7.
Відомо, що хакери можуть зламувати веб-камери своїх жертв для розваги, але подібний трюк деколи використовується в політичних і комерційних цілях. Несподівано, коли LED веб-камери під час відправки імейл — можлива ознака стеження, — попереджають співробітники FireEye: «Це може означати, що шахраї намірилися вивідати певні відомості про обстановку в офісі і людях зі штату організації». Таким чином, зловмисники отримують можливість незримо бути присутнім при обговорень важливих питань.
Мікрофон — не менш ефективний спосіб шпигунства, ніж веб-камера, і при активації комп’ютерних мікрофонів світлодіодний індикатор не світиться. «Якщо користувач знаходиться в приміщенні, він, побачивши загоревшуюся лампочку, може відключити камеру. Але ніщо не вкаже на те, що через мікрофон йде запис розмови », — говорить Чандіраманді. Однак індикатором в даному випадку може бути пересилання даних незвичайного об’єму. «Якщо розмова записувався протягом тривалого часу, приховати факт відправки об’ємного файлу буде досить складно», — додає аналітик.
Щоб не дати користувачам можливість відвідувати порносайти, багато компаній ведуть моніторинг вихідного DNS-трафіку, що надає інформацію про домени. Скачки вихідного трафіку майже напевно є свідченням того, що до комп’ютера підключена злочинна мережа інфікованих машин, відомих як ботнети.