Руководство от экспертов по компьютерной безопасности.
Познакомьтесь, это Том. Том пытается взломать банк. Поскольку он живет в Копенгагене, то выбор пал на банк Nordic. Том привлек к работе команду хакеров, после чего они начали собирать всю необходимую информацию о своей цели. Узнали, кто там работает, чем они занимаются, где находится главный сервер и так далее. Покопавшись в данных сотрудников банка, Тому и его друзьям удалось заполучить все логины и пароли, необходимые для того, чтобы получить доступ.
Но тут возникла проблема: чтобы подключиться к серверам банка, нужно было физически находиться в том же здании, объяснил журналистам Business Insider Микко Хиппонен, глава отдела исследований компании F-Secure.
Чтобы проникнуть в банк, Том решил посетить светское мероприятие, которое там проходило. «В какой-то момент их стали выводить из здания, и Том просто попросился в туалет. И остался там на 45 минут», продолжает Хиппонен. Когда он вышел оттуда, сопровождавшие его сотрудники куда-то исчезли.
«И вот он ходит по зданию — в костюме, с ноутбуком, у всех на виду. Но никому нет дела, потому что он ходит с важным видом, разговаривает с людьми и в принципе не вызывает никаких подозрений. Потом он находит пустое место в опен-спейсе и подключает свой ноутбук к сети. Всё, он находится в здании, у него есть логин и пароль — он получил доступ к серверам», объясняет эксперт.
Том не пытается навредить компании или украсть деньги. Ведь он работает на F-Secure и банк взламывает лишь понарошку. Руководство банка Nordic обратилось к этой компании и заказало тест своей системы безопасности. Ну что же, тест они провалили.
Но Том не стал останавливаться на достигнутом.
«Этого ему показалось мало. Он пинганул сервер — ответ поступил менее чем через две секунды», говорит Хиппонен. Хакер поставил перед собой новую цель — сделать селфи на фоне сервера.
«Том предположил, что сервер находится в подвале — потому что чаще всего так и бывает. Он на четвертом этаже, так что для начала надо спуститься. А это целая проблема, если у тебя нет пропуска. И что же делать? Можно просто поболтать с людьми. Идешь по коридору, находишь кого-нибудь, кто точно идет в нужном тебе направлении», — продолжает Хиппонен, — «О, я тебя так давно не видел! И идешь себе спокойно вместе с этим человеком. Главное — не пытайся прятаться».
«И вот он спускается на два-три этажа, подбирается вплотную к своей цели. И вот незадача — он натыкается на того самого сотрудника, который провожал его в туалет. Том пытается скрыться, но безуспешно. Эй, как вы тут оказались? Я же вас три часа назад оставил в туалете! — Ой, ну я потерялся... — Так, мне придется вывести вас из здания».
Том решает, что больше нет смысла притворяться. Он говорит, что работает на компанию, занимающуюся информационной безопасностью, и что он проводит проверку банка. Сотрудник говорит: «Ой, правда? Ну тогда удачи вам!» И уходит, оставляя Тома наедине. Вот так запросто!
«После этого Том спускается еще на один этаж, находит сервер и делает селфи».
То есть Тому удалось украсть пароли сотрудников, получить доступ к серверам банка — и даже несмотря на то, что его поймали, ему удалось скрыться с «места преступления».
«Люди — всегда самое слабое звено. От этого нет патча. С этим просто ничего нельзя поделать», заключает Хиппонен.
«Мы уже лет 15 смотрим на то, как хакеры обкрадывают банки», — продолжает эксперт, — «Но в большинстве случаев мишенью становятся не внутренние системы банков, а системы обслуживания клиентов».
Дело в том, что банки вкладывают кучу денег в защиту своих серверов, считает Хиппонен. А вот системами клиентского обслуживания никто не занимается. Конечно, много денег там не украдешь, но если набрать тысячу жертв и у каждой украсть тысячу евро, то можно заработать миллион.
«Мода» на отрасли меняется. Хакеры берутся за компании из какого-нибудь сектора рынка — те вкладывают столько денег в защиту, что их взлом становится невыгодным занятием. В итоге хакеры переключаются на кого-то еще. Эксперт продолжает: «Шесть лет назад появился интерес к защите промышленных систем — благодаря вирусу Stuxnet. В прошлом году очнулась автомобильная индустрия. Сейчас вот проснулись банки. Кто знает, кто следующим возьмется за ум?»
Источник: Business Insider.
Подпишитесь на нас!