15 признаков того, что вас взломали — и как дать отпор

В современных условиях угроз программное обеспечение для защиты от вредоносных программ не обеспечивает спокойствия. Фактически, сканеры защиты от вредоносных программ ужасающе неточны, особенно с эксплойтами, созданными менее 24 часов назад. Вредоносные хакеры и вредоносные программы могут менять свою тактику по своему желанию. Поменяйте местами несколько байтов, и ранее распознанная вредоносная программа станет неузнаваемой. Все, что вам нужно сделать, это оставить любой файл с подозрением на вредоносное ПО в Google VirusTotal, который имеет более 60 различных сканеров защиты от вредоносных программ, чтобы убедиться, что уровень обнаружения не соответствует заявленному.

Для борьбы с этим многие программы защиты от вредоносных программ отслеживают поведение программ, часто называемое эвристикой, для обнаружения ранее нераспознанных вредоносных программ. Другие программы используют виртуализированные среды, системный мониторинг, обнаружение сетевого трафика и все вышеперечисленное для большей точности. Тем не менее, они регулярно подводят нас. Если они потерпят неудачу, вам необходимо знать, как обнаружить проникнувшее вредоносное ПО.

Содержание
  1. Как узнать, что вас взломали
  2. 1. Вы получаете сообщение о программе-вымогателе.
  3. 2. Вы получаете поддельное антивирусное сообщение.
  4. 3. У вас есть нежелательные панели инструментов браузера.
  5. 4. Ваши поисковые запросы в Интернете перенаправляются.
  6. 5. Вы видите частые случайные всплывающие окна.
  7. 6. Ваши друзья получают от вас приглашения в социальные сети, которые вы не отправляли
  8. 7. Ваш сетевой пароль не работает
  9. 8. Вы наблюдаете неожиданные установки программного обеспечения.
  10. 9. Ваша мышь перемещается между программами и делает выбор
  11. 10. Защита от вредоносных программ, диспетчер задач или редактор реестра отключены
  12. 11. В вашем онлайн-аккаунте не хватает денег
  13. 12. Вы были уведомлены кем-то о том, что вас взломали.
  14. 13. Произошла утечка конфиденциальных данных.
  15. 14. Ваши учетные данные находятся в дампе паролей.
  16. 15. Вы наблюдаете странные шаблоны сетевого трафика.
  17. Профилактика — лучшее лекарство

Как узнать, что вас взломали

Вот 15 верных признаков того, что вы ‘ были взломаны, и что делать в случае взлома.

  1. Вы получаете сообщение о программе-вымогателе
  2. Вы получаете поддельное сообщение антивируса
  3. У вас есть нежелательные панели инструментов браузера.
  4. Ваши поисковые запросы в Интернете перенаправляются
  5. Вы часто видите случайные всплывающие окна.
  6. Ваш друзья получают от вас приглашения в социальные сети, которые вы не отправляли.
  7. Ваш сетевой пароль не работает
  8. Вы наблюдаете неожиданные установки программного обеспечения
  9. Ваша мышь перемещается между программами и делает выбор.
  10. Защита от вредоносных программ, диспетчер задач или редактор реестра отключены
  11. В вашем онлайн-аккаунте не хватает денег
  12. Вас уведомил кто-то, кто был взломан.
  13. Произошла утечка конфиденциальных данных
  14. Ваши учетные данные находятся в дампе пароля
  15. Вы наблюдаете странные шаблоны сетевого трафика

Обратите внимание, что во всех случаях рекомендация номер 1 заключается в том, чтобы полностью восстановить вашу систему до заведомо исправного состояния, прежде чем продолжить. Раньше это означало форматирование компьютера и восстановление всех программ и данных. Сегодня это может означать просто нажатие кнопки «Восстановить». В любом случае, скомпрометированному компьютеру уже никогда нельзя будет полностью доверять. Если вы не хотите выполнять полное восстановление, выполните рекомендуемые действия по восстановлению, перечисленные в каждой категории ниже. Опять же, полное восстановление всегда является лучшим вариантом с точки зрения риска.

1. Вы получаете сообщение о программе-вымогателе.

Одно из самых ужасных сообщений, которые можно увидеть на своем компьютере, — это внезапное переключение экрана, в котором говорится, что все их данные зашифрованы, и запрашивается платеж за разблокировку. Это. Программы-вымогатели огромны! После небольшого снижения активности в 2017 году программы с требованием выкупа возобновили свою деятельность. Производительность теряется на миллиарды долларов и выплачиваются миллиарды выкупов. Программы-вымогатели останавливают малый и крупный бизнес, больницы, полицейские участки и целые города.. Около 50% жертв платят выкуп, гарантируя, что он не исчезнет в ближайшее время.

К сожалению, по данным страховых компаний по кибербезопасности, которые часто участвуют в выплатах, выплата выкупа не дает в результате системы работают примерно в 40% случаев. Оказывается, программы-вымогатели не свободны от ошибок, и разблокировать неразборчиво зашифрованные связанные системы не так просто, как ввести ключ дешифрования. Большинству жертв приходится много дней простоя и дополнительных действий по восстановлению, даже если они платят выкуп.

Что делать: Во-первых, если у вас есть хорошая, свежая, проверенная резервная копия данных затронутых систем, все, что вам нужно сделать, это восстановить задействованные системы и полностью проверить (официально называется модульное тестирование ) чтобы убедиться, что восстановление было 100%. К сожалению, у большинства компаний нет хороших резервных копий, которые, как они думали, у них есть. Проверьте свои резервные копии! Не позволяйте программе-вымогателю впервые тестировать важные резервные копии вашей компании.

Лучшая защита — это убедиться, что у вас есть хороший, надежный, проверенный, автономный режим бэкапы. Программы-вымогатели становятся все изощреннее. Плохие парни, использующие вредоносные программы, проводят время в скомпрометированных корпоративных средах, пытаясь понять, как нанести наибольший ущерб, включая шифрование или повреждение ваших недавних резервных копий в Интернете. Вы рискуете, если у вас нет хороших, протестированных резервных копий, недоступных для злоумышленников.

Если вы принадлежите к облачной службе хранения файлов, у нее, вероятно, есть резервные копии ваших данных. . Не будьте слишком уверены в себе. Не все облачные сервисы хранения имеют возможность восстановления после атак программ-вымогателей, а некоторые сервисы не охватывают все типы файлов. Подумайте о том, чтобы обратиться в облачную файловую службу и объяснить свою ситуацию. Иногда служба технической поддержки может восстановить ваши файлы, и даже больше, чем вы сами.

Наконец, несколько веб-сайтов могут помочь вам восстановить ваши файлы без уплаты выкупа. Либо они выяснили общий секретный ключ шифрования, либо какой-то другой способ реконструировать программу-вымогатель. Вам нужно будет определить программу-вымогатель и версию, с которой вы столкнулись. Обновленная программа защиты от вредоносных программ может идентифицировать виновника, хотя часто все, что вам нужно, — это сообщение о вымогательстве, но этого часто бывает достаточно. Выполните поиск по названию и версии и посмотрите, что вы найдете.

2. Вы получаете поддельное антивирусное сообщение.

На вашем компьютере или мобильном устройстве появляется всплывающее сообщение о том, что оно заражено. Всплывающее сообщение выдает себя за продукт антивирусного сканирования и претендует на обнаружение дюжины или более вредоносных программ на вашем компьютере. Хотя это уже не так популярно, как раньше, поддельные предупреждающие сообщения антивируса по-прежнему являются ситуацией, с которой необходимо бороться.

Они могут возникнуть по двум причинам: Либо ваша система уже взломана, либо она не скомпрометирована за пределами всплывающего сообщения. Надеюсь на последнее. Эти типы фальшивых антивирусных сообщений обычно находят способ заблокировать ваш браузер, чтобы вы не могли выйти из фальшивого сообщения, не убив браузер и не перезапустив его.

Что делать: Если вам повезет, вы можете закрыть вкладку и перезапустить браузер, и все будет хорошо. Поддельное сообщение больше не отображается. Это была единовременная случайность. В большинстве случаев вам придется убить браузер. Его перезапуск иногда перезагружает исходную страницу, на которой вам навязали поддельную рекламу, поэтому вы снова получаете поддельную рекламу AV. В этом случае перезапустите браузер в режиме инкогнито или в приватном режиме, и вы сможете перейти на другую страницу и предотвратить появление поддельного AV-сообщения.

Хуже того, поддельное AV-сообщение скомпрометировано ваш компьютер (обычно из-за социальной инженерии или непропатченного программного обеспечения). В этом случае выключите компьютер. Если вам нужно что-то сохранить и вы можете это сделать, сделайте это перед отключением питания. Затем восстановите вашу систему до предыдущего известного чистого образа. Большинство операционных систем имеют функции сброса, созданные специально для этого.

Примечание. Связанное с этим мошенничество — это афера со службой технической поддержки, при которой в браузере появляется неожиданное сообщение с предупреждением о том, что ваш компьютер был взломан, и с просьбой позвонить по телефону. бесплатный номер на экране, чтобы получить помощь службы технической поддержки. Часто предупреждение поступает от Microsoft (даже если вы используете компьютер Apple). Эти мошенники из службы технической поддержки просят вас установить программу, которая затем дает им полный доступ к вашей системе. Они запустят поддельный антивирус, который, что неудивительно, находит множество вирусов. Затем они продают вам программу для решения всех ваших проблем. Все, что вам нужно сделать, это дать им кредитную карту, чтобы начать процесс. К счастью, эти типы предупреждений о мошенничестве обычно можно обойти, перезагрузив компьютер или закрыв программу браузера и избегая веб-сайта, на котором оно размещено. Этот тип вредоносного ПО редко когда что-либо делает с вашим компьютером, что требует исправления.

Если вы попались на одну из этих мошеннических схем технической поддержки и дали им свою кредитную карту, немедленно сообщите об этом в компанию, обслуживающую вашу кредитную карту и получите новую кредитную карту. Перезагрузите компьютер, как описано выше, если вы дадите человеку-самозванцу удаленный доступ к своему компьютеру.

3. У вас есть нежелательные панели инструментов браузера.

Это распространенный признак эксплуатации: в вашем браузере есть несколько новых панелей инструментов с названиями, которые, кажется, указывают на то, что панель инструментов призвана помочь вам. Если вы не узнали, что панель инструментов принадлежит хорошо известному поставщику, самое время избавиться от поддельной панели инструментов.

Что делать: Большинство браузеров позволяют вам просматривать установленные и активные панели инструментов. Удалите все, что вы не хотели устанавливать. В случае сомнений удалите его. Если поддельной панели инструментов там нет или вы не можете легко удалить ее, посмотрите, есть ли в вашем браузере возможность сбросить настройки браузера до значений по умолчанию.. Если это не сработает, следуйте приведенным выше инструкциям для поддельных антивирусных сообщений.

Обычно вы можете избежать вредоносных панелей инструментов, убедившись, что все ваше программное обеспечение полностью пропатчено, и находясь в поисках бесплатных программное обеспечение, устанавливающее эти панели инструментов. Подсказка: прочтите лицензионное соглашение. Установка панели инструментов часто указывается в лицензионных соглашениях, которые большинство людей не читают.

4. Ваши поисковые запросы в Интернете перенаправляются.

Многие хакеры зарабатывают на жизнь перенаправлением вашего браузера туда, куда вы не хотите заходить. Хакеру платят за то, что ваши клики появляются на чужом веб-сайте. Они часто не знают, что переходы на их сайт из-за злонамеренного перенаправления.

Вы можете часто обнаружить этот тип вредоносного ПО, набрав несколько связанных, очень распространенных слов (например, «щенок») или «золотая рыбка») в поисковые системы Интернета и проверяет, появляются ли те же веб-сайты в результатах — почти всегда безотносительно к вашим условиям. К сожалению, многие из сегодняшних перенаправленных поисковых запросов в Интернете хорошо скрыты от пользователя за счет использования дополнительных прокси, поэтому ложные результаты никогда не возвращаются, чтобы предупредить пользователя.

В общем, если у вас есть поддельные программы панели инструментов , вас тоже перенаправляют. Технические пользователи, которые действительно хотят подтвердить, могут обнюхивать свой собственный браузер или сетевой трафик. Отправленный и возвращенный трафик всегда будет заметно отличаться на скомпрометированном компьютере и на бескомпромиссном.

Что делать: Следуйте тем же инструкциям, что и для удаления подделки. панели инструментов и программы. Обычно этого достаточно, чтобы избавиться от злонамеренного перенаправления. Кроме того, если на компьютере под управлением Microsoft Windows проверьте файл C: Windows System32 drivers etc hosts, чтобы узнать, не настроены ли какие-либо вредоносные перенаправления внутри. Файл hosts сообщает вашему компьютеру, куда идти, когда вводится конкретный URL. Он почти не используется. Если метка файла на хост-файлах является недавней, она может быть злонамеренно изменена. В большинстве случаев вы можете просто переименовать или удалить его, не вызывая проблем.

5. Вы видите частые случайные всплывающие окна.

Этот популярный признак того, что вас взломали, также является одним из самых раздражающих. Когда вы получаете случайные всплывающие окна браузера с веб-сайтов, которые обычно их не генерируют, ваша система взломана. Я постоянно удивляюсь, какие веб-сайты, законные или иные, могут обойти механизмы защиты от всплывающих окон вашего браузера. Это похоже на борьбу со спамом в электронной почте, только хуже.

Что делать: Это не звучит как неработающая запись, но обычно случайные всплывающие окна генерируются одним из упомянутые выше три предыдущих вредоносных механизма. Вам нужно будет избавиться от поддельных панелей инструментов и других программ, если вы даже надеетесь избавиться от всплывающих окон.

6. Ваши друзья получают от вас приглашения в социальные сети, которые вы не отправляли

Мы все уже видели это раньше. Либо вы, либо ваши друзья получаете приглашения «стать другом», если вы уже связаны друзьями на этой социальной сети. Обычно вы думаете: «Почему они снова меня приглашают? Они удалили меня из друзей, и я этого не заметил, а теперь они меня снова приглашают ». Затем вы замечаете, что на сайте нового друга в социальной сети нет других узнаваемых друзей (а может быть, всего несколько) и нет старых сообщений. Или ваш друг связывается с вами, чтобы узнать, почему вы отправляете новые запросы дружбы. В любом случае хакер либо контролирует ваш сайт в социальной сети, либо создал вторую почти похожую поддельную страницу, либо вы или ваш друг установили мошенническое приложение для социальных сетей.

Что делать: сначала предупредите других друзей, чтобы они не принимали неожиданный запрос на добавление в друзья. Скажите что-нибудь вроде: «Не принимай это новое приглашение от Бриджит. Думаю, ее взломали! ». Затем свяжитесь с Бриджит другим способом для подтверждения. Распространяйте новости в общих кругах социальных сетей. Затем, если не сначала, обратитесь в социальную сеть и сообщите о сайте или запросе как о подделке. У каждого сайта есть собственный метод сообщения о поддельных запросах, который вы можете найти, выполнив поиск в их онлайн-справке. Часто это так же просто, как нажать кнопку отчета. Если ваш сайт в социальной сети действительно взломан (и это не вторая фальшивая похожая страница), вам необходимо изменить свой пароль (см. Справочную информацию о том, как это сделать, если вы этого не сделаете). /p>

А еще лучше не теряйте время зря. Перейдите на многофакторную аутентификацию (MFA). Таким образом, плохие парни (и мошеннические приложения) не смогут так легко украсть и захватить ваше присутствие в социальных сетях. Наконец, с осторожностью относитесь к установке любого приложения для социальных сетей. Часто они злые. Периодически проверяйте установленные приложения, связанные с вашей учетной записью/страницей в социальной сети, и удаляйте все, кроме тех, которые вам действительно нужны.

7. Ваш сетевой пароль не работает

Если вы наверняка вводите свой сетевой пароль правильно, и он не работает, возможно, вас взломали. Обычно я пытаюсь повторить попытку через 10–30 минут, потому что у меня были сайты, на которых возникли технические проблемы, которые не принимали мой действующий пароль в течение короткого периода времени. Если вы точно знаете, что ваш текущий пароль больше не работает, скорее всего, злоумышленник-хакер вошел в систему, используя ваш пароль, и изменил его, чтобы не допустить вас.

Обычно в этом сценарии происходит следующее: что жертва ответила на аутентичное фишинговое письмо, которое якобы было отправлено службой. Плохой парень использует его для сбора информации для входа в систему, входит в систему, меняет пароль (и другую информацию, чтобы усложнить восстановление) и использует службу для кражи денег у жертвы или ее знакомых (при этом притворяясь жертвой).

Что делать: Если мошенничество является широко распространенным и уже связались со многими из ваших знакомых, немедленно сообщите всем своим близким о вашей взломанной учетной записи. Это минимизирует ущерб, нанесенный другим вашей ошибкой. Во-вторых, обратитесь в онлайн-службу, чтобы сообщить о взломанной учетной записи. Большинство онлайн-сервисов теперь имеют простые методы или адреса электронной почты для сообщения о взломанных учетных записях. Если вы сообщаете о взломе своей учетной записи, обычно служба сделает все остальное, чтобы помочь вам восстановить ваш законный доступ. Также рассмотрите возможность введения MFA.

Если скомпрометированная информация для входа в систему используется на других веб-сайтах, немедленно измените эти пароли. В следующий раз будь осторожнее. Веб-сайты редко отправляют электронные письма с просьбой предоставить информацию для входа в систему. В случае сомнений перейдите на веб-сайт напрямую (не используйте ссылки, отправленные вам по электронной почте) и посмотрите, запрашивается ли та же информация, когда вы входите в систему с использованием законного метода. Вы также можете позвонить в службу по ее телефонной линии или отправить электронное письмо, чтобы сообщить о полученном фишинговом письме или подтвердить его действительность.

8. Вы наблюдаете неожиданные установки программного обеспечения.

Нежелательные и неожиданные установки программного обеспечения являются серьезным признаком того, что ваш компьютер был взломан. На заре вредоносных программ большинство программ были компьютерными вирусами, которые работали, изменяя другие законные программы. Они сделали это, чтобы лучше спрятаться. Большинство вредоносных программ в наши дни — это трояны и черви, которые обычно устанавливаются как легитимные программы. Это может быть связано с тем, что их создатели пытаются пройти очень тонкую грань, когда суд догоняет их. Они могут попытаться сказать что-то вроде: «Но мы — законная компания-производитель программного обеспечения».

Нежелательное программное обеспечение часто легально устанавливается другими программами, поэтому прочтите ваши лицензионные соглашения. Часто я читаю лицензионные соглашения, в которых прямо указано, что они будут устанавливать одну или несколько других программ. Иногда вы можете отказаться от этих других установленных программ; иногда вы не можете.

Что делать: Есть много программ, которые покажут вам все установленные вами программы и позволят вам выборочно отключить их. Мои любимые средства проверки для Microsoft Windows — это бесплатные программы Microsoft, Autoruns или Process Explorer. Они не показывают вам все установленные программы, но сообщают, какие программы запускаются автоматически при перезапуске вашего компьютера (автозапуск) или те, которые запущены в данный момент (Process Explorer).

Большинство вредоносных программ будут найдены встроенными в гораздо больший список законно работающих программ. Сложнее всего определить, что является законным, а что — нет. Вы можете включить опцию «Проверить VirusTotal.com», и программы вместе с веб-сайтом Virustotal.com от Google сообщат вам, какие из них считаются вредоносными.. В случае сомнений отключите нераспознанную программу, перезагрузите компьютер и снова включите программу, только если некоторые необходимые функции больше не работают.

9. Ваша мышь перемещается между программами и делает выбор

Если ваш указатель мыши перемещается сам по себе, делая выбор, который работает (это важная часть), вас определенно взломали. Указатели мыши часто перемещаются беспорядочно, обычно из-за проблем с оборудованием. Если движения включают выбор запуска определенных программ, значит, в них замешаны злоумышленники.

Этот метод не так распространен, как некоторые другие атаки. Хакеры взламывают компьютер, ждут, пока он не будет долгое время (например, после полуночи), а затем попытаются украсть ваши деньги. Хакеры взламывают банковские счета и переводят деньги, торгуют вашими акциями и совершают всевозможные мошеннические действия, призванные облегчить вашу денежную нагрузку.

Что делать: Если однажды ночью ваш компьютер «оживает», потратьте минуту, прежде чем выключить его, чтобы определить, чем интересуются злоумышленники. Не позволяйте им грабить вас, но будет полезно посмотреть, на что они смотрят и пытаются пойти на компромисс. Сделайте несколько снимков, чтобы задокументировать их задачи. Когда это будет разумно, выключите компьютер. Отключите его от сети (или отключите беспроводной маршрутизатор) и вызовите профессионалов. Это единственный раз, когда вам понадобится помощь специалиста.

Используя другой заведомо исправный компьютер, немедленно измените все остальные имена для входа и пароли. Проверьте историю транзакций своего банковского счета, счета акций и т. Д. Рассмотрите возможность оплаты услуги кредитного мониторинга. Если вы стали жертвой этой атаки, отнеситесь к ней серьезно. Полное восстановление компьютера — единственный вариант, который следует выбрать для восстановления. Если вы потеряли деньги, сначала позвольте группе судебных экспертов сделать копию. Если вы понесли убытки, позвоните в правоохранительные органы и заведите дело. Эта информация понадобится вам для наилучшего возмещения ваших реальных денежных потерь, если таковые имеются.

10. Защита от вредоносных программ, диспетчер задач или редактор реестра отключены

Это серьезный признак злонамеренного взлома. Если вы заметили, что ваше антивирусное программное обеспечение отключено, а вы этого не делали, вы, вероятно, подверглись эксплуатации — особенно если вы пытаетесь запустить диспетчер задач или редактор реестра, и они не запускаются, не запускаются и не исчезают или не запускаются в сокращенном режиме. состояние.

Что делать. Выполните полное восстановление, поскольку неизвестно, что произошло. Если вы хотите сначала попробовать что-то менее радикальное, на компьютере с Windows попробуйте запустить Microsoft Autoruns или Process Explorer (или аналогичные программы), чтобы искоренить вредоносную программу, вызывающую проблемы. Обычно они идентифицируют вашу проблемную программу, которую вы затем можете удалить или удалить..

Если вредоносная программа «сопротивляется» и не позволяет легко удалить ее, изучите множество методов восстановления утраченной функциональности (любая поисковая система в Интернете выдаст много результатов), затем перезагрузите компьютер в безопасном режиме и приступайте к тяжелой работе. Я говорю «тяжелая работа», потому что обычно это нелегко или быстро. Часто мне приходится пробовать несколько разных методов, чтобы найти тот, который работает. Предварительно восстановите свое программное обеспечение, избавившись от вредоносной программы с помощью методов, перечисленных выше.

11. В вашем онлайн-аккаунте не хватает денег

То есть много денег. Плохие парни в сети обычно не воруют немного денег. Им нравится переводить все или почти все, часто в валюту или банк. Обычно это начинается с взлома вашего компьютера или с того, что вы отвечаете на поддельный фишинг от вашего банка или торговой компании. Плохие парни входят в вашу учетную запись, меняют вашу контактную информацию и переводят большие суммы денег себе.

Что делать: в большинстве случаев вы в случае удачи, потому что большинство финансовых учреждений заменят украденные средства (особенно если они смогут остановить транзакцию до того, как действительно будет нанесен ущерб). Однако были случаи, когда суды постановляли, что ответственность за недопущение взлома лежит на клиенте, и финансовое учреждение должно решить, будут ли они возмещать вам убытки.

Чтобы предотвратить это, Во-первых, включите оповещения о транзакциях, которые отправляют вам текстовые оповещения, когда происходит что-то необычное. Многие финансовые учреждения позволяют вам устанавливать пороговые значения для сумм транзакций, и если порог будет превышен или он перейдет в другую страну, вы будете предупреждены. К сожалению, часто злоумышленники сбрасывают предупреждения или вашу контактную информацию, прежде чем украсть ваши деньги. Поэтому убедитесь, что ваше финансовое или торговое учреждение отправляет вам оповещения при изменении вашей контактной информации или вариантов оповещения.

12. Вы были уведомлены кем-то о том, что вас взломали.

Один из основных способов узнать, что организация была взломана, — это уведомление от посторонней стороны. Так было с момента появления компьютеров и остается верным. Уважаемый Verizon Отчет о расследовании утечек данных показал, что больше компаний было уведомлено о том, что они были взломаны посторонними лицами, чем организаций, которые признали свои собственные взломы. В июле 2019 года Microsoft объявила, что с начала года она обнаружила атаки на уровне государства против более чем 10 000 своих клиентов.

Что делать: Сначала выясните, действительно ли вас взломали. Убедитесь, что все замедляются, пока вы не подтвердите, что вас успешно взломали. В случае подтверждения следуйте заранее определенному плану реагирования на инциденты. У тебя есть, правда? Если нет, сделайте это сейчас и практикуйтесь с заинтересованными сторонами.. Убедитесь, что все знают, что ваш IR-план — это продуманный план, которому необходимо следовать. Вы же не хотите, чтобы кто-то отправлялся на свою охоту или приглашал больше людей «на вечеринку» до того, как будет решено, кто должен участвовать. Ваша самая большая проблема будет заключаться в том, чтобы заставить людей следовать плану в чрезвычайной ситуации. Общайтесь и тренируйтесь заранее.

13. Произошла утечка конфиденциальных данных.

Ничто не подтверждает, что вас взломали, как конфиденциальные данные вашей организации, хранящиеся в Интернете или даркнете. Если вы сначала этого не заметили, то, скорее всего, СМИ и другие заинтересованные стороны свяжутся с вашей организацией, чтобы подтвердить или узнать, что вы делаете по этому поводу.

Что делать делать: Как и в предыдущем случае, сначала выясните, правда ли, что это действительно ваши конфиденциальные данные. Более чем в нескольких случаях хакеры заявляли о компрометации данных компании, но у них не было ничего конфиденциального. Либо они составили заявление и данные, у них были только общедоступные данные, либо у них были данные какой-то другой компании. Итак, сначала подтвердите.

Если это конфиденциальные данные вашей организации, пора сообщить об этом высшему руководству, начать IR-процесс и выяснить, что нужно сообщить кому и когда. Во многих странах и штатах юридическое требование сообщать о скомпрометированных данных клиента может составлять всего 72 часа, и во многих случаях вы даже не сможете подтвердить утечку или то, как это произошло, за 72 часа. Само собой разумеется, что вам нужно привлечь юридическое лицо.

14. Ваши учетные данные находятся в дампе паролей.

Буквально миллиарды действительных (по крайней мере, за один раз) учетных данных для входа в систему находятся в Интернете и в даркнете. Обычно они были скомпрометированы фишингом, вредоносным ПО или взломом баз данных веб-сайтов. Обычно вы не будете получать уведомления от третьих лиц, как в случае с другими типами утечек данных. Вы должны активно следить за такого рода угрозами. Чем раньше вы узнаете, что такое произошло, тем лучше.

Вы можете проверять скомпрометированные учетные данные по одному, используя различные веб-сайты (например, Have I Been Pwned), проверять несколько учетных записей, используя различные бесплатные инструменты разведки с открытым исходным кодом (например, The Harvester), бесплатные коммерческие инструменты (например, KnowBe4’s Password Exposure Test) или любые коммерческие службы, которые постоянно ищут данные и учетные данные вашей компании за определенную плату.

Что делать: после первого подтверждения, содержит ли дамп какие-либо используемые в данный момент учетные данные, сбросьте все свои учетные данные для входа. Начните IR-процесс, чтобы узнать, сможете ли вы выяснить, как учетные данные вашей организации оказались за пределами компании. Также внедрите MFA.

15. Вы наблюдаете странные шаблоны сетевого трафика.

Многие компромиссы были впервые замечены странными, неожиданными шаблонами сетевого трафика.. Это могла быть плохая распределенная атака типа «отказ в обслуживании» (DDoS) на веб-серверы вашей компании или ожидаемая крупная передача файлов на сайты в странах, с которыми вы не ведете бизнес. Если бы больше компаний понимало свои законные шаблоны сетевого трафика, у третьей стороны не было бы нужды сообщать им, что они скомпрометированы. Хорошо известно, что большинство серверов в вашей компании не взаимодействуют с другими серверами в вашей компании. Большинство серверов в вашей компании не обмениваются данными с каждой рабочей станцией в вашей компании, и наоборот. Большинство рабочих станций в вашей компании не должны использовать протоколы, отличные от HTTP/HTTPS, для прямой связи с другими местами в Интернете.

Что делать: если вы видите неожиданный, странный трафик, который вы не можете объяснить, вероятно, лучше всего отключить сетевое соединение и начать IR-расследование. Несколько лет назад мы, вероятно, сказали бы, что ошибаемся в сторону оперативной осторожности. Сегодня нельзя рисковать. Удаляйте любые подозрительные переводы, пока они не будут признаны законными.

Если вы не понимаете действительный сетевой трафик, вам нужно это сделать. Десятки инструментов разработаны, чтобы помочь вам лучше понять и документировать сетевой трафик. Я бы рекомендовал проверить бесплатные альтернативы с открытым исходным кодом, такие как Bro и Snort, но оба требуют много времени, ресурсов и исследований для эффективного использования. Вместо этого найдите хорошее коммерческое решение, которое уже сделало за вас всю тяжелую работу.

Профилактика — лучшее лекарство

Надежда на то, что программа для защиты от вредоносных программ сможет отлично обнаружить вредоносное ПО и злонамеренный взлом — это чистая глупость. Следите за этими общими признаками и симптомами взлома вашего компьютера. Если вы, как и я, не подвержены риску, всегда выполняйте полное восстановление компьютера в случае взлома. После того, как ваш компьютер был взломан, злоумышленники могут сделать что угодно и спрятаться где угодно. Лучше всего начать с нуля.

Большинство вредоносных хакерских атак происходит по одному из трех направлений: запуск троянских программ, непропатченное программное обеспечение и ответ на поддельные фишинговые электронные письма. Старайтесь лучше предотвращать эти три вещи, и вам с меньшей вероятностью придется полагаться на точность и удачу вашего антивирусного программного обеспечения.

Эта история, «15 признаков того, что вас взломали — и как дать отпор «был первоначально опубликован InfoWorld .

Оцените статью
Botgadget.ru
Добавить комментарий