Infractorii cibernetici folosesc persoane din interior pentru a obține acces la rețelele de telecomunicații și la datele abonaților. Ei recrutează fie angajați nemulțumiți, prin intermediul unor medii de comunicare underground, fie îi șantajează cu informații compromițătoare, adunate din diferite surse publice. Aceste rezultate provin dintr-un raport Kaspersky Lab cu date despre amenințările de securitate cu care se confruntă industria de telecomunicații.
Furnizorii telecom sunt în topul companiilor vizate de atacurile cibernetice. Ei administrează rețele din toată lumea, transmisiuni de voce și date, și păstrează cantități imense de informații confidențiale. Asta îi face atractivi pentru infractorii cibernetici care caută câștiguri financiare, dar și pentru grupările susținute la nivel statal sau chiar pentru competitori. Pentru a-și atinge obiectivele, infractorii cibernetici folosesc adesea persoane din interior, care să-i ajute să ajungă la compania de telecomunicații. Cercetarea globală bazată pe studiul Riscuri de securitate IT pentru companii – 2016, realizată de Kaspersky Lab și B2B International, dezvăluie că 28 la sută dintre atacurile cibernetice și 38 la sută dintre atacurile cu țintă predefinită sunt realizate acum și cu ajutor din partea unor angajați. Raportul de informații prezintă cele mai folosite modalități prin care aceștia sunt implicați în acțiuni infracționale și dă exemple de acțiuni.
Compromiterea angajaților
Potrivit cercetătorilor Kaspersky Lab, atacatorii implică sau prind în capcană angajații din telecom astfel:
- Folosind surse disponibile „la liber” sau furate anterior pentru a găsi informații compromițătoare despre angajații companiei pe care vor să o atace. Apoi șantajează persoanele respective și le forțează să le dezvăluie date de autentificare din companie, informații despre sistemele interne sau să distribuie atacuri de phishing în numele lor.
- Atragerea unor angajați dispuși la astfel de acțiuni, prin intermediul unor mesaje sau prin servicii de recrutare pe „piața neagră”. Aceste persoane sunt plătite pentru serviciile lor și pot fi rugate să identifice alți colegi care ar putea fi cooptați prin șantaj. Șantajul a devenit mai popular după scurgerile de date de genul Ashley Madison, pentru că astfel de cazuri le oferă atacatorilor material pentru a amenința sau pune într-o situație jenantă acele persoane. Șantajul bazat pe scurgeri de date a devenit atât de răspândit, încât FBI a făcut un anunț, pe 1 iunie, și a avertizat utilizatorii în legătură cu riscul și impactul său potențial.
Angajații, cei mai căutați
Potrivit cercetătorilor Kaspersky Lab, dacă e plănuit un atac asupra unui furnizor de servicii de telefonie celulară, infractorii vor căuta angajați care le pot oferi acces rapid la datele despre abonați și alte informații din companie sau despre duplicarea unei cartele SIM sau reemiterea ilegală. Dacă ținta vizată este un furnizor de Internet, atacatorii vor încerca să-i identifice pe cei care vor putea să facă harta rețelei și să sprijine atacuri de tipul man-in-the-middle. Amenințările din interior pot lua, însă, orice formă. Cercetătorii Kaspersky Lab au notat două exemple tipice: unul în care un angajat al unei companii telecom a făcut publice 70 de milioane de convorbiri telefonice ale deținuților, iar multe dintre ele încălcau regula de confidențialitate client-avocat. Celălalt exemplu, un inginer dintr-un centru de suport, a fost observat pe forumul Darknet, promovând capacitatea de a intercepta mesajele care conțin parole unice (OTP – one time passwords) pentru autentificarea în doi pași, necesare pentru a se loga în conturile de client de la o companie populară fintech (financial technology).
Doar tehnologia nu este aproape niciodată suficientă pentru a proteja organizația total, într-o lume în care atacatorii nu ezită să profite de vulnerabilități din interior. Companiile pot începe privindu-se la modul în care ar face-o un atacator. Dacă apar locuri de muncă cu numele companiei sau alte informații pe forumuri underground, atunci, cineva, undeva, o are în vedere.
Denis Gorchakov
Security Expert @ Kaspersky Lab
Pentru a proteja organizația de amenințările interne, Kaspersky Lab le recomandă managerilor să-și informeze personalul despre comportamentul responsabil în domeniul securității cibernetice și pericolele la care să fie atenți, să introducă politici stricte în legătură cu utilizarea adreselor de email din companie, să folosească servicii de informații privind amenințările cibernetice, pentru a înțelege de ce infractorii cibernetici ar putea să le vizeze compania și pentru a afla dacă cineva din interior le dă informații acestora, să restricționeze accesul la cele mai importante date și sisteme, și să realizeze un audit de securitate periodic, al infrastructurii IT a companiei. Mai multe informații despre angajații care ajută infractorii cibernetici și amenințările tipice pentru companiile telecom sunt disponibile pe Securelist. Informații suplimentare despre amenințările cu care se confruntă companiile din domeniul telecomunicațiilor și din alte sectoare sunt disponibile prin intermediul Kaspersky Lab Intelligence Services sau prin trimiterea unui e-mail la adresa intelligence@kaspersky.com.
