Толстовская формула «Все счастливые семьи похожи друг на друга, каждая несчастливая семья несчастлива по-своему» в кибербезопасности звучит немного иначе. Хакеры постоянно пытаются взломать компании, но в каждой отрасли делают это по-своему.

Розничная торговля стремительно перемещается в онлайн: аналитики исследовательского агентства Data Insight прогнозируют, что объем рынка онлайн-продаж в ближайшее время будет расти примерно на 20% в год. Одновременно интернет-магазины и онлайн-сервисы становятся все интереснее для киберпреступников.

Первая причина этого интереса заключается в том, что существенная доля интернет-магазинов и сервисов — небольшие бизнесы, у которых традиционно мало ресурсов. Их владельцы часто не считают кибербезопасность приоритетной задачей. Этот тренд наблюдается во всем мире: по данным страховой компании Hiscox, в 2018 году 47% компаний из сегмента среднего и малого бизнеса ощутили на себе последствия хотя бы одной кибератаки, почти половину из них пытались взломать от двух до четырех раз.

Но есть и вторая причина: каждый интернет-магазин и ресурс требует от пользователя пройти хотя бы минимальную регистрацию, то есть раскрыть информацию о себе. Кроме того, все магазины напрямую подключены к платежным сервисам, что дает злоумышленникам дополнительные возможности для наживы.

Главный инструмент хакеров при взломе интернет-магазинов и сервисов — так называемый брутфорс, он же перебор паролей. Название произошло от английского brute force (в переводе с англ. сложный перебор или метод грубой силы).

Опыт показывает, что девять атак из десяти, от которых страдают интернет-магазины, совершаются с помощью брутфорса. По онлайн-сервисам статистика другая: здесь на брутфорс приходится лишь каждая пятая атака. Однако перебор паролей — все равно угроза номер один, просто для онлайн-сервисов разнообразие киберугроз существенно больше.

Чаще таким атакам подвергаются личные аккаунты пользователей, но брутфорс можно применять для взлома URL-адресов или подбора PIN-кодов. Хакеры крадут данные банковских карт пользователей, персональные данные или устанавливают контроль над аккаунтом, чтобы в дальнейшем использовать его в своих целях. Например, писать заказные отзывы о товарах.

Самые распространенные способы защиты

Большинство интернет-магазинов вводят для покупателей ограничения по длине и сложности пароля. К примеру, требуют ввести пароль длиной не менее восьми символов и показывают в режиме реального времени, насколько он надежный с точки зрения киберзащиты. Этого недостаточно: программы для перебора и большие вычислительные мощности в руках преступников позволяют легко подбирать пароли.

Еще один способ защиты, который применяют владельцы магазинов, — программы, которые автоматически читают веб-журналы и предупреждают администратора, если с одного IP-адреса поступает несколько попыток войти в аккаунт. Однако злоумышленнику довольно просто использовать различные инструменты для автоматического и регулярного изменения своего IP-адреса.

Трюки с кодом

Банки

Банковский бизнес существенно отличается от интернет-ретейла как по задачам, так и по уровню киберзащиты. Это связано в первую очередь с тем, что кредитные организации (даже небольшие) вынуждены развивать цифровые продукты, чтобы оставаться конкурентоспособными на рынке. С другой стороны, риски в отрасли максимальны: успешные атаки могут привести к потерям крупных сумм клиентских денег, поэтому кибербезопасность для банков — критичная функция. Как правило, банки хорошо защищают и собственные веб-сайты — точку входа в большинство цифровых сервисов для клиентов.

Как ни парадоксально, но самая частая атака на банки тоже связана с брутфорсом.

В октябре 2018 года крупнейшему британскому банку HSBC пришлось закрыть онлайн-доступ пользователям, логины и пароли которых сумели подобрать злоумышленники (о количестве пострадавших и фактическом размере ущерба банк, разумеется, не сообщил).

По статистике компании Wallarm, которая занимается защитой веб-приложений, микросервисов и API, 62% атак на финансовые организации составляет так называемый дирбаст (dirbust, directory busting) — грубый перебор имен директорий и файлов веб-приложений и веб-серверов.

Дело в том, что учетные записи пользователей интернет-банкинга защищены существенно лучше, чем личные кабинеты в интернет-магазинах. Часто взламывать их брутфорсом просто бесполезно из-за механизмов двухфакторной аутентификации (когда пользователю приходит код подтверждения в СМС).

Поэтому на сайте банка злоумышленники используют другую тактику: ищут при помощи специальных программ-дирбастеров скрытые папки и файлы, к которым можно получить доступ. В таких папках может храниться закрытая информация (иногда технического свойства). Дальнейшие действия хакера зависят от того, что именно он найдет, иногда благодаря скрытой папке злоумышленник может получить несанкционированный доступ к сети кредитной организации.

Развлечения

Страдают от доступа посторонних лиц к учетным записям пользователей также провайдеры контента и игр. Однако в этой отрасли используются другие методы. Самая популярная атака на сайты развлекательных компаний — SQL-инъекции, они составляют почти три четверти от всех атак на этот сегмент.

Механика сравнительно проста: злоумышленник вставляет в запрос к серверу SQL-код. Если в коде сайта есть уязвимость, запрос срабатывает в базе данных и позволяет получить доступ к информации, хранящейся на серверах. Внедрение SQL дает атакующему возможность выполнить произвольный запрос к базе данных, получить возможность чтения и/или записи файлов и выполнения произвольных команд на атакуемом сервере.

Дальнейшее развитие событий зависит от воображения и целей хакера: он может выложить данные в открытый доступ, продать, шантажировать руководство сервиса или просто начать торговать от имени пользователя игры дорогими артефактами.

Самая громкая кибератака в сфере развлечений произошла в Индии: стриминговый сервис Gaana, который посещают около 7 млн человек в день, атаковали с применением SQL-инъекции. В результате этого в публичный доступ попала база из данных 12,5 млн зарегистрированных пользователей сервиса — им было рекомендовано срочно деактивировать аккаунты, а заодно сменить пароли в электронных почтах и социальных сетях.

Медиаресурсы

Читатели СМИ не рискуют своими деньгами в случае хакерских атак — у них нет личных кабинетов. Тем не менее исследование, опубликованное компанией Hiscox осенью 2018 года, показало: более половины медиакомпаний подвергались хотя бы трем кибератакам. Обычно при взломе медиаресурсов хакеры преследуют принципиально иные цели, чем в случае с банками и интернет-магазинами. Часто они пытаются ограничить доступ читателей к ресурсу при помощи DDoS-атаки — отправки с большого количества устройств множества запросов, с которыми не справится сервер издания.

Однако почти в половине случаев медиаресурсы страдают от межсайтового скриптинга, он же XSS — жертвами таких атак в разные годы становились, например, Yahoo и Twitter.

Последняя нашумевшая атака случилась совсем недавно, в День святого Валентина: злоумышленники разместили в социальной сети «ВКонтакте» скрипт, жертвой которого автоматически становился каждый посетитель страницы. Одного посещения было достаточно, чтобы на странице пользователя и во всех управляемых им группах размещался следующий пост — «ВКонтакте» тестирует рекламу в личных сообщениях».

Механизм XSS основан на формах обратной связи, которые часто размещаются на сайтах изданий, чтобы вовлечь читателей в диалог, привлечь к комментированию материалов. Злоумышленники могут использовать формы обратной связи, чтобы вставлять вредоносный код. Если атака будет успешной, то хакеры смогут показывать читателям сайта свой контент или украдут их персональные данные.

Как защититься от кибератак

Конечно, я привела лишь самые частые способы кибератак на компании из разных отраслей. Когда я говорю «почти половина атак приходится на XSS», нужно прочитать и вторую часть: «остальная половина приходится на что-то другое». Поэтому любая компания, для которой веб-сайт больше, чем просто визитка, нуждается в комплексной системе защиты от всех видов угроз.

Защиту можно построить по-разному: привлечь специалистов на консалтинг и аутсорсинг, нанять штатных специалистов по информационной безопасности, использовать автоматизированные решения на базе искусственного интеллекта.

Кибербезопасность сайта обязательно должна включать в себя:

1. инструмент защиты от DoS- и DDoS-атак,
2. фаервол веб-приложений (он же WAF — защитный экран уровня приложений, предназначенный для выявления и блокирования современных атак на веб-приложения),
3. противовирусную защиту,
4. средства контроля периметра — системы защиты всех точек входа в корпоративную сеть,​
5. сканер исходного кода, который поможет найти уязвимости на сайте или в веб-приложении.

Все эти инструменты можно внедрять по отдельности либо выбрать пакетное решение. Но только с их помощью независимо от отрасли можно обезопасить свой сайт от большинства хакерских атак.

Татьяна Игуменшева, директор по маркетингу компании Attack Killer
Источник: РБК