46 ИНФРАБИЛД 6'2024 ят сценарий започва с електронно писмо до ключов служител, например главен счетоводител, с настояване за „спешно“ действие, например плащане на определена сума към дадена сметка. Писмото бива скоро последвано от „телефонно обаждане“ – фалшифициран запис с имитация на гласа на по-висшестоящ мениджър. Гласът потвърждава нареждането. В най-ново време вместо гласов запис се изпраща видео съобщение с „жив“ образ на топръководителя. Аудио- и видео фалшификатите, известни още като майсторски фалшификати, станаха възможни благодарение на възхода на т. нар. генеративен изкуствен интелект. Оказва се, че на разположение на тъмните герои са налице редица инструменти за генериране на видео с имитация на предварително зададен образ. Куриозното е, че такива инструменти се предлагат като услуга и цената им е няколко долара. Атакитеповеригатанадоставките саоще един риск за дружествата, управляващи големи инфраструктури като водната. Големите предприятия традиционно използватвъншни партньори за редица дейности, например доставка на материали и техника, измервания и др. С цел автоматизация – и благодарение на цифровизацията – връзките с такива партньори се автоматизират. Заявки, фактури, отчети се придвижват безпрепятствено между ИТ системите в дружеството и тези на неговите изпълнители. Тази връзка обаче може да бъде експлоатирана злонамерено. Тя може да послужи за „врата“: пробивайки ИТ системите на по-малката фирма доставчик, кибернападателят може да си осигури вход в мрежата на целевото ютилити дружество. Атаката стъпка по стъпка Обичайно всяка кибератака преминава през няколко приблизително еднакви етапа. Верижно, едно след друго злодеите изпълняват рутинни стъпки по: първоначално проучване и разузнаване, сетне първоначален достъп, нахлуване и странично движение, събиране на данни и накрая - действие. В рамките на първоначалното проучване атакуващите събират всичката възможна информация за организацията-мишена: официални имейли, йерархия в организацията с конкретни имена и позиции, шаблони за кореспонденция и др. Подготовката е незабележима за дружеството под прицел, защото най-често проучването разчита на добре известни факти, които нерядко са обществено достояние. В помощ на кибернападателите вече има множество автоматизирани инструменти за събиране на обществено достъпната информация за дадена организация. Първоначалният достъп обичайно е тих пробив. При него няма щети, липсва увреждане на работата на ИТ системите. Атакуващият се старае да остане в стелт режим, да не привлича вниманието. Неговата цел е да „поживее” в ИТ инфраструктурата на организацията, да проследи процесите, навиците, структурата, правата и ограниченията, защитните механизми. Първоначалният достъп най-често се случва благодарение на компрометирани данни за логване – имена и пароли. Как атакуващият се добира до тях? Например чрез фишинг писмо. Достатъчно е един лековерен служител да се подведе от получено измамно писмо и да представи своите име и парола за достъп. Актуално напоследък е използването на PDF файлове в измамническите писма. По този начин се заобикалятобичайните защитнимеханизми, следящи за уеб адреси и изпълним код. Атакуващият постепенно нахлува в ИТ инфраструктурата, като се стреми да увеличи правата си за действие. Най-често този стадий включва т.нар. странично движение. Това е пробиването от една ИТ система към друга “ Системите за сигурност са в състояние да разпознаят стъпките на атакуващия.
RkJQdWJsaXNoZXIy MTEyMTYwMw==