7 признаков того, что вашу систему взломали

Один из способов узнать, что ваша компания подверглась нападению хакеров - прочитать об этом в новостях. Но, к счастью, существуют признаки, по которым можно определить, что кибератака происходит в настоящий момент, а это обстоятельство, в свою очередь, дает шанс ее остановить. Странные имейлы, необычная активность пользователей, неудачные попытки входа в систему и прочие ситуации могут свидетельствовать о том, что организации необходимо предпринять определенные меры во избежание репутационных потерь.

1. Прикрепленные файлы

Доверие коллег - уязвимое место любой организации, и злоумышленники могут использовать данное обстоятельство в своих целях, к примеру, отправляя избранной мишени имейлы с вредоносным ПО.

«Если кто-либо, получив доступ к компьютеру начальника, рассылает прикрепленные файлы, - вероятность информационной утечки в таком случае приближается к 100%», - говорит Ёги Чандирамани (Yogi Chandiramani), директор отдела информационной безопасности компании FireEye, по мнению которого, пресловутый «человеческий фактор» таит в себе главную угрозу для безопасности данных.

2. Необычная активность привилегированных аккаунтов

Сторонние мошенники, как, впрочем, и инсайдеры, охотятся за привилегированными аккаунтами. «Под необычным поведением подразумевается: повышенная активность пользователя, попытки редактировать файлы системных журналов или исходных событий и доступ к важным данным в нерабочее время, - поясняет изданию "Форбс" Иен Йип (Ian Yip), аналитик фирмы  NetiQ. - Но чтобы установить, что следует считать необычным, вначале необходимо определиться с тем, что является допустимым».

В этом отношении высокопоставленный персонал обладает определенными преимуществами. Зачастую их проверяют не столь тщательно. «Многие организации доверяют привилегированным пользователям», - считает представитель NetiQ.

3. Множество неудачных попыток входа в систему

По миру катится новая волна зловредных вирусов из восточной Европы. Новизна ее в том, что мошенники используют уязвимости терминалов розничной торговли. Об этом хорошо известно представителям американского ритейлера Target. С помощью означенной методики не так давно были похищены данные, хранившиеся на кредитных картах более чем 70 миллионов пользователей.

PoS-терминалы часто подключены к компьютерам, работающим под управлением системы Windows. По мнению Андрея Комарова, гендиректора  IntelCrawler, признаком того, что система подвергается внешней атаке, может служить множество неудачных попыток входа в систему компьютера, оборудованного Remote Desktop Protocol (протокол удаленного рабочего стола). «В журнале событий (Event Viewer) будут значиться повторяющиеся попытки входа, осуществляемые одним адресантом», - объясняет Комаров.

С ним соглашаются сотрудники компании NetIQ: «Множество неудачных попыток войти в систему вне зависимости от времени суток является тревожным сигналом».

4. Странный трафик ICMP

Зачем использовать черный вход, если можно зайти через парадные двери?

ICMP (Internet Control Message Protocol - протокол межсетевых управляющих сообщений) - используется для отправки системных сообщений об ошибке между такими системными устройствами, как роутеры. Сообщения появляются не столь часто, поэтому плотный пакет межсетевых сообщений может свидетельствовать о попытке выудить определенную информацию. «Если вы обнаружили беспрерывный поток ICMP со странными сведениями, возможно, это - признак того, что кто-то решил украсть данные через посредство канала, обычно для такой цели не использующегося, либо же об активности ботнета на основе ICMP», - говорит Тод Бердсли (Tod Beardsley) из компании Rapid7.  

5.  Частые мерцания лампочки веб-камеры

Известно, что хакеры могут взламывать веб-камеры своих жертв для развлечения, но подобный трюк порой используется в политических и коммерческих целях. Неожиданно загоревшаяся лампочка веб-камеры во время отправки имэйла - возможный признак слежки, - предупреждают сотрудники FireEye: «Это может означать, что мошенники вознамерились выведать определенные сведения об обстановке в офисе и людях из штата организации». Таким образом, злоумышленники получают возможность незримо присутствовать при обсуждений важных вопросов.

6. Микрофон

Микрофон - не менее эффективный способ шпионажа, чем веб-камера, и при активации компьютерных микрофонов светодиодный индикатор не загорается.  «Если пользователь находится в помещении, он, увидев загоревшуюся лампочку, может отключить камеру. Но ничто не укажет на то, что через микрофон идет запись разговора», - говорит Чандираманди. Однако индикатором в данном случае может быть пересылка данных необычного объема. «Если разговор записывался в течение длительного времени, скрыть факт отправки объемного файла будет довольно сложно»,  - добавляет аналитик.

7. Внезапные скачки исходящего трафика

Чтобы не дать пользователям возможность посещать порносайты, многие компании ведут мониторинг исходящего DNS-трафика, предоставляющего информацию о доменах. Скачки исходящего трафика почти наверняка являются свидетельством того, что к компьютеру подключена преступная сеть инфицированных машин, известных как ботнеты.