Следующая статья: Какая опасность при открытии email писем?
Содержание
Стандартная история взлома WiFi
Срочное расследование инцидента показало, что в среду утром (на более ранее число логов не сохранилось) к офису одной компании подключились по WiFi (шифрование WEP, так что я использовал слово «подключились» о том, что по WiFi, ясно из МАС - адреса), который говорил о некоем - новом устройстве 3Сот, а в компании нет ни одной ЗСот - карточки, что говорит о том, что нарушитель скорее внешний, так как внутри офиса заметили бы новый девайс или ноут).
Далее злоумышленник что-то делал, но что - не ясно, ибо логи были в очень ограниченном числе с определенных серверов, но буквально к вечеру с этого IP - адреса уже использовалась администраторская учетная запись домена (не сильный администраторский пароль ARP - SP00F HASH+CONST handshake - Ranibow - Table -> profit!). За это время ребята смогли найти машины, работающие с банком, что было несложно, ибо netbios и доменные имена машин в локальной сети были вида: BAN К01. BANK02. Имея администраторскую учетную запись, нетрудно захватить контроль над компьютером, установить кейлогер (keylogger) и стырить ключи от банка , ведь ключи - то были на флэшке. Через день негодяи попытались осуществить перевод денег и купить 1с зарплата. Они нашли WiFi - точку, поднятую без шифрования в жилом доме, в квартире.
Злоумышленники вышли в Интернет, подключись к нескольким системам банк - клиент, ввели логины и пароли, которые добыли с кейлогера (keylogger) - вошли в систему. Далее они набили платежки (практически одновременно, что говорит о том, что злоумышленники действовали в числе 2 - 3 человек с одного WiFi - шлюза, видимо, из автомобиля) и подписали их ключами, которые прихватили с собой позавчера с флешки.
Только чудом удалось избежать потерь - один из банков что - то заподозрил и сообщил клиенту, клиент тут же проверил остальные банк клиенты. нашел левые платежки и успел их отменить. Но такое случается не всегда.
Заключение и выводы
Безопасность внешнего периметра, парольная политика, сегментация сети, неиспользование прозрачных имен машин, вывод критичных машин из общего домена, неиспользование флешек и HDD для хранения ключевой информации. Про антивирусы, IDS и привязку IP адреса компании к счету я молчу, ибо это полезно, но не всегда действенно.
