Защита информации на ПК


Безопасность
Проблема не в том, что информацию защищают не так, а в том, что защищают не ту информацию. Самая сильная защита должна быть не у тех данных, которые наиболее ценны для вас, а у тех, которые наиболее привлекательны для злоумышленника.
Утрата или разглашение информации наносят огромный ущерб обладателю, но не могут принести пользы разгласившему. В другом случае на чужой информации можно заработать денег, но у её первоначального обладателя ничего не пропадёт.

Строить защиту необходимо, исходя из ценности информации для злоумышленника. А для этого необходимо знать, что и каким спросом пользуется на чёрном рынке, насколько ликвидное и для кого притягательно.

 

Очень редко злоумышленникам необходима информация, которую они "могли бы использовать для…". В большинстве случаев, их интересует такая информация, которую можно продать. Желательно продать быстро и дороже. То есть, такая, которая котируется на черном рынке.
Редки случаи, когда украденная информация используется самим похитителем. Использование - это всегда выход на иное поле, в иную среду. Всякий разумный хакер и инсайдер понимает, что в вымогательстве, чёрном пиаре или бюрократических играх он не профессионал, так что играть на этом поле ему опасно. Поэтому подавляющее большинство утечек заканчиваются тихой продажей ходовой информации на чёрном рынке, объём которого оценивается в миллиарды долларов [IDC].

Ниже перечислены основные данные, на которые могут покушаться злоумышленники


SSN
Social Security number (SSN) - девятизначный номер, проставленный на вашей карточке социального страхования.
Наиболее ликвидный товар на чёрном рынке. При помощи SSN есть несколько способов украсть немного денег или получить (мошенническим путём) ряд бесплатных услуг. Поэтому всегда есть спрос на украденные/утекшие/неосторожно разглашённые номера соцстрахования. Отменить SSN или вернуть его в первоначальное несекретное состояние уже не удастся - слишком глубоко он въелся в американскую бизнес-практику. Поэтому вводит меры по защите SSN везде, где он используется, стимулирует защиту и наказывает за утечки.

Ещё одна страна, где жители имеют аналогичный легко похищаемый идентификатор личности – Великобритания. Аналогом североамериканского SSN там выступают два номера, имеющиеся у всех жителей королевства старше 16 лет. Это National Insurance number (NINO) – две буквы, 6 цифр, ещё одна необязательная буква; а также National Health Service (NHS) number. С их помощью легко совершается почти такая же «кража личности», как в США.


CCN
Самый древний, сверхраспространённый и архистабильный лот чёрного рынка - атрибуты банковских карт. Встречается в нескольких видах:

  • номер + имя + срок действия;
  • номер + имя + срок действия + cvv;
  • дамп (содержание магнитной полосы карты);
  • дамп + пин-код.
Первый вариант - самый дешёвый, продаётся за копейки практически на вес. Последний - наиболее дорогой, поскольку позволяет конвертировать информацию в деньги наиболее прямым способом, через банкомат. Все прочие варианты требуют многоходовых комбинаций, хотя совершенно стандартных и нетворческих. Именно в силу стандартизации и хорошей алгоритмизации действий, исполнение которых доступно при любом интеллектуальном уровне, из отдельных случаев мошенничества вырос такой феномен как кража личности (identity theft). Отличается массовым масштабом, тупыми исполнителями, конвейерной организацией.


Базы/списки клиентов
Были отдельные сообщения об использовании БД клиентов страховых компаний. С приближением срока окончания страховки клиенты получали телефонные и письменные предложения о заключении договора с другим страховщиком. Есть отдельные граждане, которых спам приводит в неистовство, но для большинства подобная реклама значит не много. Среди страховых компаний подобные клиентские базы тоже ценятся не очень высоко - порядка нескольких копеек за запись. В получившем огласку случае представители страховой компании вообще предпочли не покупать предложенную им базу клиентов, а просто сдали продавца милиции.


Аккаунты соцсетей
Используются для рассылки спама внутренними средствами соцсети (в том числе, спама с вредоносами), для накрутки посещаемости, цитируемости и других значимых для рекламы показателей, а также для захвата иных аккаунтов того же пользователя (за счёт одинаковых паролей). Иногда практикуются мошеннические схемы типа просьбы одолжить денег.
Цена на такие аккаунты медленно растёт в связи с ростом стоимости рекламных площадей в соцсетях. Количество захваченных аккаунтов растёт значительно быстрее за счёт расширения аудитории. Средний уровень ИТ-знаний членов соцсетей падает или, в лучшем случае, остаётся на прежнем низком уровне.


Аккаунты онлайновых игр
Уже несколько лет, как виртуальные ценности из виртуальных миров являются объектом гражданского оборота в мире реальном. Кое-где права на них даже защищаются законом. Материальные интересы граждан и предприятий, выраженные в виртуальных предметах достигли такого масштаба, когда уже необходимо предоставить им защиту закона, как и офлайновым правам и интересам. Нарушения указанных прав давно имеют не индивидуальный эпизодический характер, а систематическими и массовый. Виртуальные ценности и персонажи, добытые при помощи обмана, читинга, взлома и других злоупотреблений, являются ликвидными и сбываются на рынке. Чем популярнее игра, тем лучше развит соответствующий рынок (и его чёрный сегмент).


Аккаунты Ebay и других торговых площадок
Есть мошеннические схемы, позволяющие эксплуатировать положительную репутацию и историю продаж захваченных аккаунтов Ebay. Текущие аукционы завершаются злоумышленником досрочно, и с покупателей требуется предоплата на счёт, контролируемый мошенником. Выставляются специфические быстро продаваемые лоты, предусматривающие предоплату, разумеется, тоже на "левый" счёт. За несколько дней контроля чужой учётной записи из неё можно выжать значительную сумму, которая оправдывает издержки по угону, выманиванию, взлому или покупке чужого аккаунта.


ICQ и другие IM
Некоторые номера, которые считаются престижными, можно продать за 5-30 долларов. Большинство захваченных аккаунтов используются для рассылки вредоносных программ и мошеннических просьб занять денег. При получении доступа к чужой учётной записи злоумышленник получает доступ и к списку контактов. По этому списку указанные сообщения и рассылаются. Люди склонны доверять информации, полученной от знакомых, поэтому перейдут по указанной ссылке или запустят указанную программу с, гораздо большей вероятностью. Рассылка такого мошеннического спама обычно автоматизирована, злоумышленник на вопросы не отвечает и в диалог не вступает. После проведения рассылки ценность захваченного аккаунта падает.


Аккаунты электронной почты
Сама по себе учётная запись электронной почты может быть использована для рассылки спама. Современные технологии предусматривают массовую кражу таких аккаунтов у владельцев или же массовую регистрацию новых. Затем с каждого аккаунта рассылается относительно небольшое количество писем, чтоб не превысить лимит, установленный как раз для борьбы со спамом. Лимиты как раз и привели к массовым взломам.
Кроме рассылки почтовые аккаунты многих провайдеров (большинства) позволяют получить доступ к архиву почты клиента. А в этом архиве частенько хранятся (или отсылаются туда по запросу) пароли к другим ресурсам - хостингу, IM/ICQ, форумам, платёжным системам, блогам, порой даже к управлению банковским счётом. В среднем в почтовом архиве среднего пользователя можно найти 2,1 пароля к другим ресурсам. Эти пароли тоже можно реализовать на чёрном рынке.


Финансовые данные граждан
Такие данные строже всего охраняются, но меньше всего ценятся злоумышленниками. Власти, в отличие от злоумышленников, не прочь получить данные о банковских вкладах своих граждан. Но кардеры, вымогатели и мошенники пока не знают, как можно использовать такие данные для извлечения денег, поэтому не посягают на них. В принципе, могут заинтересоваться другие банки - в целях недобросовестной конкуренции. В принципе, преступников может заинтересовать информация о вкладах избранных личностей или об их транзакциях. Но в целом такую информацию можно назвать мало нужной.


Управление банковским счётом
К настоящему банковскому счёту через простое похищение логина-пароля не прорваться. Даже Вебмани и Пейпал принимают определённые меры для усиления защиты, превращая её из примитивной парольной в двухфакторную или хотя бы полуторафакторную. У банков - ещё серьёзнее.
Соответственно этому, троянские программы переориентировались с простого копирования пароля или ключа на полноценную инсайдерскую деятельность прямо на компьютере жертвы. Сообразно с особенностями конкретного банка или платёжной системы, вредоносная программа подменяет информацию, обманом заставляет пользователя подписать "левую" транзакцию и т.п.
Конфиденциальная информация (логин-пароль) в отрыве от затрояненного компьютера жертвы продаваться не может. А специализация троянописателей и троянораспространителей не позволяет им самим заняться уводом, переводом и отмывкой денег с клиентских счетов. Поэтому на чёрном рынке продаются "полуфабрикаты" или готовые стадии операции по уводу денег: троянские программы, инсталляции троянских программ, доступ к онлайновому управлению счётом, переводы. Встречаются двойные цепочки (изготовление вредоносной программы - её внедрение и хищение денег), тройные (изготовление вредоносной программы - её внедрение - хищение денег) и более многократные.


Данные о банковских вкладах
Такими данными, в основном, интересуются правоохранительные органы. Тем не менее, следует признать, что регулярного спроса на "банковскую тайну" на чёрном рынке нет. Для банковских инсайдеров бывают отдельные "заказы" на определённых вкладчиков или определённые специфические транзакции. Но довольно редко. Тем более, что такие сведения дешевле и удобнее получить через коррумпированного сотрудника правоохранительных органов. Но уже слитые данные о вкладах предлагать на чёрном рынке практически бесполезно - не купят.


Паспортные данные
Данные паспортов и иных удостоверений личности, а также их скан-копии котируются на рынке крайне низко. Во-первых, сама по себе такая информация не может быть использована для получения денег. Она находит применение лишь в качестве вспомогательной в других видах мошенничества. Во-вторых, в Сети достаточно много бесплатных источников паспортных данных граждан, утекших из разных ведомств и компаний. А сканы удостоверений личности снимают настолько часто, что их предложение тысячекратно превышает спрос.
Отдельно изготовленные на заказ скан-копий удостоверений личности и иных документов требуются только для подтверждения личности и адреса в некоторых предприятиях дистанционного обслуживания: интернет-магазинах типа "Ebay", платёжных системах как "PayPal", интернет-казино и букмекерских конторах (для вывода выигрыша) и других. Нарисовать достоверную скан-копию невысокого разрешения не слишком сложно. Она обойдётся заказчику в 10-30 долларов, однако данные для неё, как правило, сообщает заказчик.


Заключение
Защита от случайных и от намеренных утечек информации строится немного по-разному. Для тех данных, которые представляют ценность лишь для их обладателя, можно ограничиться защитой от случайности - это дешевле, проще и легче автоматизируется. А информация, которая ликвидна на чёрном рынке, будет находиться под угрозой, как случайных утечек, так и намеренных посягательств (прежде всего - со стороны инсайдеров). На её защиту придётся раскошелиться по полной программе. Или просто отказаться от её обработки.