Furnizorii telecom sunt în topul companiilor vizate de atacurile cibernetice. Ei administrează rețele din toată lumea, transmisiuni de voce și date și păstrează cantități imense de informații confidențiale. Acest lucru îi face deosebit de atractivi pentru infractorii cibernetici în căutarea câștigurilor financiare, dar și pentru grupările susținute la nivel statal sau chiar pentru competitori.
Pentru a-și atinge obiectivele, infractorii cibernetici folosesc adesea persoane din interior, care să-i ajute să ajungă la compania de telecomunicații. Cercetarea globală bazată pe studiul Riscuri de securitate IT pentru companii – 2016, realizată de Kaspersky Lab și B2B International, dezvăluie că 28% dintre toate atacurile cibernetice și 38% dintre atacurile cu țintă predefinită sunt realizate acum și cu ajutor din partea unor angajați. Raportul de informații prezintă cele mai folosite modalități prin care aceștia sunt implicați în acțiuni infracționale și dă exemple de acțiuni.
Compromiterea angajaților
Potrivit cercetătorilor Kaspersky Lab, atacatorii implică sau prind în capcană angajații din telecom astfel:
• Folosind surse disponibile “la liber” sau furate anterior pentru a găsi informații compromițătoare despre angajații companiei pe care vor să o atace. Apoi șantajează persoanele respective, forțându-le să le dezvăluie date de autentificare din companie, informații despre sistemele interne sau să distribuie atacuri de phishing în numele lor.
• Atragerea unor angajați dispuși la astfel de acțiuni, prin intermediul unor mesaje sau prin servicii de recrutare pe “piața neagră”. Aceste persoane sunt plătite pentru serviciile lor și pot fi, de asemenea, rugate să identifice alți colegi care ar putea fi cooptați prin șantaj.
Șantajul a devenit mai popular după scurgerile de date de genul Ashley Madison, pentru că astfel de cazuri le oferă atacatorilor material pentru a amenința sau pune într-o situație jenantă persoanele respective. Șantajul bazat pe scurgeri de date a devenit atât de răspândit în prezent, încât FBI a făcut un anunț pe 1 iunie, avertizând utilizatorii în legătură cu riscul și impactul său potențial.
Angajații, cei mai căutați
Potrivit cercetătorilor Kaspersky Lab, dacă este plănuit un atac asupra unui furnizor de servicii de telefonie celulară, infractorii vor căuta angajați care le pot oferi acces rapid la datele despre abonați și alte informații din companie sau despre duplicarea unei cartele SIM sau reemiterea ilegală. Dacă ținta vizată este un furnizor de Internet, atacatorii vor încerca să-i identifice pe cei care vor putea să facă harta rețelei și să sprijine atacuri de tipul “man-in-the-middle”.
Amenințările din interior pot lua, însă, orice formă. Cercetătorii Kaspersky Lab au notat două exemple tipice: unul în care un angajat al unei companii telecom a făcut publice 70 de milioane de convorbiri telefonice ale deținuților, multe dintre ele încălcând regula de confidențialitate client-avocat. Celălalt exemplu un inginer dintr-un centru de suport a fost observat pe un popular forum Darknet, promovând capacitatea lor de a intercepta mesajele care conțin parole unice (OTP – one time passwords) pentru autentificarea în doi pași, necesare pentru a se loga în conturile de client de la o companie populară fintech (financial technology).
“Factorul uman este deseori cea mai slabă verigă în securitatea IT a unei companii. Doar tehnologia nu este aproape niciodată suficientă pentru a proteja organizația total, într-o lume în care atacatorii nu ezită să profite de vulnerabilități din interior. Companiile pot începe privindu-se la modul în care ar face-o un atacator. Dacă apar locuri de muncă cu numele companiei sau alte informații pe forumuri underground, atunci, cineva, undeva, o are în vedere. Și cu cât aflați mai repede despre acest lucru, cu atât mai bine vă puteți pregăti”, a spus Denis Gorchakov, security expert, Kaspersky Lab.
Pentru a proteja organizația de amenințările interne, Kaspersky Lab recomandă următoarele:
• Informați-vă personalul despre comportamentul responsabil în domeniul securității cibernetice și pericolele la care să fie atenți și introduceți politici stricte în legătură cu utilizarea adreselor de email din companie;
• Folosiți servicii de informații privind amenințările cibernetice pentru a înțelege de ce infractorii cibernetici ar putea să vă vizeze compania și pentru a afla dacă cineva din interior le dă informații acestora.
• Restricționați accesul la cele mai importante date și sisteme.
• Realizați un audit de securitate periodic, al infrastructurii IT a companiei.