Semnale de alarmă. Furt de date şi ransomware

Utilizarea tehnologiilor informaţiei și comunicaţiilor (TIC), variind de la nivel individual, cum ar fi un simplu telefon inteligent, la obiective naţionale, cum ar fi infrastructurile critice, este în plină dezvoltare, în întreaga lume. În acest context, riscurile cibernetice sunt şi ele în creştere.

În acest mediu cibernetic complex, colectarea de informaţii prin intermediul surselor deschise este un instrument util care poate oferi date valoroase despre infractori cibernetici, dar, din păcate, poate fi folosit şi de către aceştia. Atacatorii, folosind social media, exploatează vulnerabilităţile de securitate şi setările de confidenţialitate ale utilizatorilor, conţinuturi partajate, metadate şi, în consecinţă, adună informaţii cu privire la aceştia.

Instrumentar OSINT

Principalul argument în favoarea folosirii OSINT (Open Source Intelligence) este faptul că prin acesta se obţin, rapid şi cu costuri reduse, date despre o persoană sau sistem. După cum se ştie, din mass-media, reviste, radio şi televiziune şi de pe Internet putem găsi orice informaţie dorim. Persoanele care utilizează Internetul, trimit informaţii cu ajutorul social media şi al altor tipuri de instrumente de comunicare, cum ar fi blogging-ul. Avem posibilitatea de a accesa informaţii în varii domenii, de a comunica online pe diverse canale, de a posta orice dorim, pentru a putea transmite oricui dorim.

De cealaltă parte, prin intermediul intelligence-ului din surse deschise, angajaţii, managerii şi chiar şi administratorii de sistem pot fi expuşi la activităţi cibernetice şi de hacking. Prin tehnici OSINT, infractorii cibernetici pot deschide calea pentru penetrări la scară largă, pentru a obţine informaţii valoroase despre utilizatori şi pot exploata vulnerabilităţile atât umane, cum ar fi atacuri de gen honey trap, spear phishing, cât şi de altă natură.

O realitate a zilelor noastre este faptul că e aproape imposibilă obţinerea de cantităţi mari de informaţii despre o persoană fără acces la Internet, această perspectivă oferind, deopotrivă, avantaje și dezavantaje. Potrivit unui raport publicat de iSight Partners la 28 mai 2014, cel puţin 2.000 de persoane/ obiective au fost prinse în capcană sub identităţi false. Totodată, actorii cibernetici care reprezintă o ameninţare la adresa statelor folosesc multiple identităţi false pe diverse reţele sociale (Facebook, Twitter, LinkedIn, Google+, YouTube) în campanii coordonate, pe termen lung, de spionaj cibernetic.

Există o serie de instrumente care pot fi utilizate pentru căutarea oricărei informaţii, cum ar fi locaţia utilizatorilor doar după tweet-urile lor. Prin utilizarea reţelelor de socializare, este posibil să se ajungă la zona de interes, sisteme care sunt folosite, conexiuni, fotografii, clipuri video, numere de telefon, adrese e-mail. Astfel, într-un studiu realizat de IBM Research Team pe 1.524.544 tweet-uri ale 9551 de utilizatori, au fost detectate corect locaţiile utilizatorilor prin verificarea ultimelor 200 de tweet-uri ale acestora. Printr-o căutare pe web, folosind motoare de căutare multiple şi reţele de socializare diferite, pot fi aflate, prin simple interogări cu privire la un subiect, informaţiile personale, adresa de e-mail, fotografii. Analiza fotografiilor, cu ajutorul unor programe specializate, poate indica datele de locaţie pe o hartă.

Prin interogări WHOIS (protocol folosit pentru interogarea bazelor de date ce stochează informaţii privind utilizatorii înregistraţi, numele domeniului etc.), pot fi dobândite informaţii despre modul de administrare a site-ului sau datele de contact ale celui care este conectat cu acel nume de domeniu. Chiar dacă datele extrase dintr-o astfel de interogare pot fi ascunse de administratori, este posibil să se ajungă la înregistrările din anii precedenţi prin intermediul imaginilor anterioare ale site-urilor web pentru a aduna informaţii despre administratorii unor sisteme care arhivează site-uri web. Ulterior, acest tip de date pot fi interpretate cu ajutorul OSINT. Prin analiza metadatelor conţinutului încărcat de un site web pot fi obţinute nume de utilizator, adrese IP, nume de client/ calculator, server, adrese de e-mail, numele folderelor, software-ul, sistemul de operare şi versiunea sa şi multe altele.

Noile ameninţări

Conform specialiștilor Bitdefender și Karspersky, amenințările ransomware, care criptează datele utilizatorilor și apoi solicită recompensă pentru a le reda accesul, reprezintă cea mai mare amenințare în anul 2017.

Puțin cunoscut este faptul că acest tip de amenințare există de mai mult de 20 de ani, primii viruși fiind menționați încă din anul 1989. Însă, începând cu 2012, programele ransomware s-au răspândit şi s-au dezvoltat odată cu evoluţia tehnologiei de criptare a fișierelor. Astfel, viruşii ransomware au evoluat utilizând tehnologia rețelelor Dark Net pentru disimularea identității atacatorului, fiind utilizate anumite sisteme electronice de plată, cum ar fi Bitcoin, pentru ca atacatorul să nu poată fi identificat prin metodele de urmărire a tranzacţiilor financiare.

Numărul tot mai mare de tipuri de atacuri a condus la apariţia de noi vulnerabilităţi, pe măsură ce în viața de zi cu zi folosim din ce în ce mai multe sisteme conectate la Internet şi capabile să interacţioneze între ele. Diversitatea dispozitivelor şi funcţionalităţilor încadrate în Internet of Things a condus la generarea unui volum important de date din varii locaţii, vulnerabile la viruși și alte atacuri.

Datele utilizate de hackeri sunt colectate, de cele mai multe ori, din zona surselor deschise și a rețelelor de socializare. În majoritatea cazurilor, aceștia utilizează tehnici de inginerie socială pentru a extrage date despre țintele vizate. Nu există restricții de căutare de informații și nici cu privire la utilizarea ulterioară a datelor obținute şi este important să punctăm că activitățile de acest tip pot avea ca ţintă orice organizație, fiind exploatată orice breșă de securitate. Nu numai datele personale sau conturile bancare ale unui individ sunt vizate, ci şi marile companii precum și rețelele de infrastructură critică. Principalele informații exploatate sunt numerele cardurilor/ conturilor bancare, codurile PIN, conturile de e-mail utilizate, orice date personale stocate, detalii privind sistemul informatic, informații referitoare la servere, rețele, URL-uri non publice, intranet etc.

Tehnicile hackerilor sunt variate și se bazează, în ceea ce privește identificarea breșelor de securitate, atât pe intuiție, cât și pe stimularea curiozității destinatarilor sau ameninţarea acestora. Pentru nişte utilizatori experimentați, intuirea parolelor devine o activitate facilă dacă, de exemplu, în cadrul platformelor de socializare sunt furnizate date personale, ca data nașterii sau locație. Trebuie adăugat că mulți oameni utilizează aceeași parolă pentru toate conturile deținute.

Conform Bitdefender, dezvoltatorii de ransomware (care criptează datele utilizatorilor și solicită apoi recompensă) vor aloca resurse suplimentare îmbunătățirii sistemului de identificare automată a utilizatorilor obișnuiți ai unor companii și, în consecință, vor încerca să obţină sume de bani mai mari prin şantaj.

În cazul companiilor, specialiștii în domeniul cibernetic au anticipat că versiunile agresive ale ransomware nu se vor mai limita la criptarea fișierelor și la solicitarea de recompensă, ci vor trece la șantajarea efectivă a țintelor cu publicarea documentelor pe Internet, dacă recompensa, de cele mai multe ori solicitată în monedă Bitcoin, nu este plătită.

Ca răspuns la noile metode de ransomware au fost dezvoltați algoritmi de machine learning care, antrenați corespunzător, pot detecta cu acuratețe diferite tipuri de comportamente ale software-ului periculos. Pentru ca acest demers să fie unul finalizat cu succes este nevoie de crearea mai multor algoritmi, pentru a crește considerabil șansele detectării unor amenințări.

Motivele de îngrijorare cu privire la ransomware rămân de actualitate, ţinând cont de viteza cu care infractorii cibernetici se adaptează şi reuşesc să treacă de barierele de securitate, precum și ușurința cu care reușesc să colecteze date din surse deschise care să le permită ulterior găsirea și exploatarea breșelor de securitate din sistemele informatice.

Concluzii

Orice publicare în mediul virtual, în orice format ar fi (text, imagine), conţine metadate a căror „interpretare”, prin intermediul instrumentelor OSINT, poate oferi o serie de informaţii. De aceea, importanţa metadatelor şi a riscurilor cibernetice aferente ar trebui conştientizată de toţi, de la lucrători la managerul unei instituţii.

Utilizarea datelor personale în cadrul rețelelor de socializare, precum și interesul scăzut față de protejarea acestora pot capta interesul unui număr considerabil de infractori care pot exploata facil informații legate de domiciliul utilizatorului, locația acestuia, membrii de familie, etc.

To be online, atât la nivel individual, cât și la nivel instituțional, implică acordarea unei atenții sporite elementelor de securitate, astfel încât avantajele oferite de tehnologie să nu poată fi transformate în arme greu de contracarat.

Abstract

Nowadays everyone is exposed to cyber risks and hacking activities due to expansion of virtual space and the increased use of smart devices to send a great amount of personal information via open sources and social media. Most of the data are publicly available on the internet and everyone can access them.

OSINT accessibility is becoming thus both its best feature and also a gateway that allows others to penetrate systems in order to obtain information or exploit vulnerabilities.

Autor: Daniela Ştefănescu

Total
1
Shares

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile necesare sunt marcate *

*
*