זהירות – דרכי הפעולה של פושעי הסייבר שיסכנו את הרשת הארגונית שלכם

עצם העובדה שכולנו מחוברים לאינטרנט, למובייל ולרשתות החברתיות היא נהדרת, אך משמעות החיבור הינה גם שכולנו נמצאים באקו-סיסטם גדול שטומן בחובו סכנות. רבות מטכניקות התקיפה כיום דומות להתקפות מן הסוג הישן, כמו ניצול סיסמאות חלשות, התקפות פישינג והורדת נוזקות על ידי משתמשים מאתרים נגועים או אתרי פרסומות. יחד עם זאת, בעיות הסייבר ההולכות וגוברות מאפשרות לתוקפים לתקוף את הרשת שלכם בצורה יעילה וחמקנית יותר.

כאשר ישנה פרצה בחברה, לעיתים קרובות הדבר שנגנב הוא נתוני מידע זיהוי אישי (PII). לא רק שהנתונים הללו יכולים להימכר למטרת גניבת זהות, אלא גם לשימוש אמין יותר במתקפות פישינג. ככל שלתוקפים יש יותר מידע עליכם, כך הם יכולים לגרום למייל שהם שולחים להיראות יותר אמין ולפתות אתכם לפתוח אותו.

אחת הבעיות שגורמת כאבי ראש רבים למנהלי אבטחת המידע בארגון נעוצה בשימוש ברשת החברתית ובשירותים המסופקים ברשת. אין אדם שלא משתמש כיום בצורה זו או אחרת ברשתות חברתיות כמו פייסבוק, לינקדאין, אתרי היכרויות ועוד. בשל כך, התוקפים משנים את נקודות הכניסה שלהם למכשירי המשתמש באמצעות האתרים הללו בעזרת הנדסה חברתית ואורבים לטרף שמורכב מהרגשות האנושיים.

טכניקות ההתקפה של ההאקרים בשנת 2016

התקפת פישינג – זוהי הדרך הראשונה לקבל גישה לא מורשית לרשתות החברה. למייל הפישינג תצורף נוזקה או לינק זדוני, אשר נבנה בצורה כזו, כך שיראה לגיטימי ויגרום למשתמשים ללחוץ עליו.

Drive-by – התוקפים ישתלטו על אתר אינטרנט ויתקינו ג'אווה סקריפט זדוני אשר יפנה את המשתמש התמים לאתר אחר המכיל מטען זדוני (נוזקה), אשר ירד אל הרקע במכשיר של המשתמש. במתקפה מכוונת, התוקפים יקדישו חודשים רבים לחיפוש אתרים שמשמשים חברות ותעשיות באופן קבוע וידביקו אותם.

Malvertising (פרסום זדוני) – התקפה זו דומה להתקפת ה-drive-by, מלבד העובדה שבמקרה זה התוקף יתמקד בהדבקה של אתרי פרסום. התוקף יכול להדביק אתר פרסומי אחד, אשר בתורו יכול להדביק אלפי אתרים אחרים.

התקפת מובייל – התקפות רבות כנגד מכשירים ניידים דומות להתקפות שצוינו קודם לכן. השוני היחיד הוא שהיעד של התוקפים הם המכשירים הניידים. בנוסף לכך, הנוזקה יכולה להיות מועברת דרך הודעות SMS או להסוות את עצמה כאפליקציה כיפית, משחק או אפילו פורנוגרפיה.

דרכי הפעולה של ההאקרים לאחר הפריצה לרשת

 

ברגע שהתוקף הצליח לפרוץ לרשת והוא נמצא על מכשירו של המשתמש (לפטופ, שולחן עבודה, מכשיר נייד), הוא צריך להוריד נוזקות וכלים נוספים כדי להשלים את משימתו. לרוב, הנתונים שהפורצים מחפשים אחריהם לא נמצאים בעמדות העבודה, אלא בשרתים, מאגרי המידע ובמקומות נוספים. ברגע שהתוקף נמצא בתוך הרשת, הוא צפוי לנקוט בצעדים הבאים:

1. הוא יוריד נוזקות וכלים נוספים לתקיפה עתידית של הרשת.

2. הוא ימפה את הרשת כדי למצוא שרתים אחרים שבהם ניתן למצוא את הנתונים שהוא מחפש אחריהם. בנוסף לכך, הוא יחפש אחר שרת ה-Active Directory המכיל את כל שמות המשתמשים והסיסמאות. אם הוא יפצח אותו, כל המידע יהיה זמין עבורו.

3. הוא ימצא אחסון זמני אליו יעתיק את כל הנתונים הנחוצים לו. השרת המושלם לכך יהיה שרת יציב, אשר ניתן לגשת אליו גם מחוץ לאינטרנט.

4. הנתונים ישלחו בצורה איטית בחזרה לשרתים של התוקף, אשר פעמים רבות נמצאים על שרת ענן במקום לא ידוע, דבר המקשה יותר לחסום את המקור.

במידה ופושעי הסייבר נמצאים בתוך הרשת פרק זמן ממושך, הם יהיו מסוגלים להשיג כל סוג של מידע זמין. רוב נתוני החברה מאוחסנים בצורה אלקטרונית. ככל שהתוקפים נמצאים זמן רב יותר בפנים, כך גובר הסיכוי שהם ילמדו את התהליכים העסקיים שלכם ואת זרימת הנתונים. דוגמא לכך היא התקפת ה-Carbanak. בהתקפה זו, התוקפים איתרו את המחשבים של מנהל המערכת כדי לקבל גישה למצלמות המעקב. הם צפו באופן העבודה של פקידי הבנק והקליטו את כל פרטי התהליך, אותו תהליך אשר הם חיקו מאוחר יותר והעבירו כספים דרך המערכות שלהם.

חשוב להבין כי נקודת הכניסה הרגילה אל הרשת היא דרך הקלקות של המשתמשים על קישורים זדוניים. ברגע שהמכשיר של המשתמש הופך לפגיע, התוקפים יתחילו לנוע דרך הרשת כדי למצוא את הנתונים שהם מחפשים. זוהי הנקודה שבה חלוקת רשת הופכת לחשובה ביותר. ראשית, היא מסייעת להפחית את ההשפעה של הפרצה, היות והחברה יכולה לבודד אותה למיקום מסוים, כך שלא תשפיע על שאר הרשת. בנוסף, הדבר מאפשר לנתונים רגישים להיות מחולקים לאזורים בעלי אבטחה גבוהה יותר, דבר אשר יגרום לתוקפים לעבוד קשה יותר על מנת לדלות את הנתונים. לבסוף, לא ניתן להגן ולפקח על כל מה שנמצא ברשתות שלנו, היות והן גדולות ומורכבות מידי. לכן, מצאו את הנתונים המהותיים ביותר, בודדו אותם והתמקדו בפיקוח דרכי הגישה לנתונים הללו.