Как киберпреступники добывают и используют персональные данные

Как киберпреступники добывают и используют персональные данные

Что происходит с вашими персональными данными после того, как киберпреступники похищают их? Как можно нажиться на вашей личной информации? Предлагаем погрузиться в способы получения доступа к украденным базам пользовательских данных, а также поговорить об обогащении с их помощью. Помимо этого, рассмотрим методы защиты, которые пригодятся пользователям и специалистам по ИБ.

 

 

 

 

  1. Введение
  2. Примеры получения доступа к базам данных
  3. Выводы

 

Введение

Задумываетесь ли вы о безопасности своих персональных данных? Если нет, то данная статья — специально для вас.

На сегодняшний день существует множество различных интернет-магазинов, которые, казалось бы, облегчают нам жизнь. С точки зрения клиента устроены они весьма просто: клиент (он же пользователь) заходит на сайт, выбирает нужный товар, вводит свои данные и оплачивает его. Далее происходит отправка введённой пользователем информации на сервер.

 

Таблица 1. Пример данных, которые вводит пользователь при заказе пиццы через онлайн-пиццерию

Номер заказа Товар Цена Кол-во ФИО Телефон Адрес доставки
8A56DB Маргарита24 см 450 1 Иванов Александр 89001230102 г. Москва, ул. Шарикоподшипниковская, д.5
9A23BB OldSpeckledHen 350 1 Михайлов Олег 89004560305 г. Москва, ул. Шарикоподшипниковская, д.6

 

Примечание: Персональные данные — любые сведения, относящиеся к прямо или косвенно определённому или определяемому физическому лицу (субъекту ПД), которые предоставляются другому физическому или юридическому лицу (либо лицам).

Как следует из определения, отправляемая пользователем для заказа информация является персональными данными, и за её обработку оператор несёт ответственность, предусмотренную законодательством Российской Федерации.

В СМИ опубликовано множество новостей об утечках различных баз данных. Так, например, в январе текущего года на одном теневом ресурсе было опубликовано сообщение о продаже совокупности сведений о клиентах сети алкомаркетов «Красное и белое».

 

Рисунок 1. Сообщение о продаже базы данных

 Сообщение о продаже базы данных

 

По имеющейся информации известно, что в базе содержатся записи о 17 000 000 человек. Каждая запись содержит фамилию, имя, отчество, дату рождения и номер телефона.

Напомним также, что в октябре 2018 года Сбербанк признал утечку личных данных своих сотрудников. Попавший в сеть набор сведений содержал около 400 тысяч записей о работниках Сбербанка: имена, электронные адреса, данные для авторизации.

Многие пользователи интернета знают, что наша персональная информация давно стала «товаром», которым злоумышленники активно торгуют на «чёрном рынке».

 

Рисунок 2. Пример продажи и покупки баз данных

 Пример продажи и покупки баз данных

 

Примеры получения доступа к базам данных

В большинстве случаев утечка БД в компаниях происходит из-за уязвимостей на сервере, где хранится информация, а также из-за желания одного или нескольких сотрудников компании обогатиться.

Одним из самых распространённых способов получения доступа к базе данных является прямое подключение к ней, когда известны соответствующие настройки. Этим методом (в большинстве случаев — с целью обогащения) пользуются работники компаний, отвечающие за поддержку серверов, а также приближённые к ним лица.

Осуществить доступ можно и с помощью SQL-инъекции. Суть такой операции заключается в том, чтобы внедрить в данные, передаваемые через GET- или POST-запросы либо через значения файлов cookie, произвольного SQL-кода. Если сайт уязвим и выполняет эти инъекции, то злоумышленник может с лёгкостью извлечь всю информацию в базе или же изменить её.

Определить сайт, который позволяет внедрить SQL-инъекцию, просто. Предположим, имеется ресурс shop.anti-malware.ru, и он содержит список товаров, который можно детально просмотреть. Адрес страницы с подробным описанием выглядит так: shop.anti-malware.ru/?id=23. В данном случае через GET-запрос переменная id передаёт значение 23. Изменив GET-запрос на shop.anti-malware.ru/?detail=1' или shop.anti-malware.ru/?detail=1", пробуем отправить его на сервер. Если после отправки появляется ошибка, то сайт уязвим.

 

Рисунок 3. Пример ответа на GET-запрос

 Пример ответа на  GET-запрос

 

Среди злоумышленников, занимающихся взломом сайтов, распространён инструмент sqlmap, который автоматизирует процесс выявления и эксплуатации SQL-инъекций. Он имеет широкую функциональность — от сбора информации, содержащейся в базе данных, до доступа к файловой системе сервера.

 

Рисунок 4. Пример работы sqlmap

Пример работы sqlmap

 

Кроме sqlmap в наборе злоумышленника имеется инструмент SQLiDumper, который предназначен для поиска уязвимых сайтов при помощи дорков. Дорки — это типовые запросы к поисковой системе, позволяющие находить страницы, подверженные взлому. Примеры дорков:

id.php?id= ;
gallery.php?id= ;
search.php?id= ;
review.php?id= ;

 

Рисунок 5. SQLi Dumper

 SQLi Dumper

 

Программа SQLiDumper свободно распространяется в интернете, равно как и инструкция по её применению.

Кроме упомянутых выше средств, существуют специфические поисковые системы — например, Shodan, которая позволяет искать серверы, роутеры, веб-камеры и другие устройства, подключённые к интернету. В том, что Shodan осуществляет поиск устройств, нет ничего плохого — но лишь до тех пор, пока не станет ясно, что они являются незащищёнными (скажем, полагаются на установленные по умолчанию логины и пароли). Об этом ресурсе ранее была опубликована статья «Поисковая система Shodan не то, чем кажется».

 

Выводы

На текущий момент в открытом доступе действительно находится много баз данных. Почти каждую неделю в СМИ появляются новости об очередной утечке. В руки злоумышленников может попасть совокупность сведений как из продуктового магазина, так и из крупного банка. В связи с этим хотелось бы лишний раз напомнить пользователям, а также специалистам, отвечающим за информационную безопасность, следующие положения:

  • Осуществляйте аудит вашей информационной системы. Существуют компании, которые специализируются на услугах по проведению комплексного аудита ИБ (оценка защищённости, тестирование на проникновение и т.д.).
  • Устанавливайте надёжные пароли для подключения к сетевым устройствам и серверам.
  • Уделяйте должное внимание настройке межсетевого экрана, так как это позволяет осуществлять контроль и фильтрацию сетевого трафика.

Конечно, это — лишь некоторые ключевые тезисы. Нужно понимать, что вопросами обеспечения информационной безопасности необходимо заниматься с самого начала проектирования ваших сервисов.

Полезные ссылки: 
Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru