Site icon Martin Haller, Blog o ochraně a správě firemního IT

Dark Web Monitoring

Dark Web Monitoring

Dark Web Monitoring je pojem, o kterém teď budeme slýchat čím dál častěji. A není divu – právě na dark webu a jeho tržištích končí přihlašovací údaje, osobní data a další citlivé informace z hacknutých služeb a infikovaných počítačů.

Ale kde se tato data vlastně berou? A co všechno o nás mohou útočníci zjistit? Pojďme si o tom povědět trochu víc – včetně pár zajímavostí, které jsme v praxi nasbírali.

Infostealery: tichý zloděj, který si vezme, co chce

Infostealer je typ malwaru (škodlivého kódu), který po napadení počítače začne sbírat vše, co mu přijde zajímavé – uložená hesla, soubory s privátními klíči, databáze password managerů, seedy pro kryptoměny, QR kódy pro MFA, obsah schránky, cookies a někdy i screenshoty obrazovky a zašle je útočníkům.

Nejčastěji se objevuje na domácích počítačích, které bývají oproti firemním zařízením méně zabezpečené. Oběti si počítač zpravidla infikuji infostealerem samy – podlehnou phishingu, nachytají se na „QuickFix“ (např. falešná captcha), nebo pirátským softwarem.

Právě pirátský software je z našeho pohledu největší problém. Stačí si uvědomit – když někdo umí napsat funkční crack, proč by zároveň nedokázal jeho součástí udělat malware tak, aby ho antivir nechytil? A spousta lidí už má „naučeno“ si kvůli cracku antivirus rovnou vypnout.

Mimochodem – i tohle je jeden z důvodů, proč se začíná měnit pohled na BYOD (Bring Your Own Device). Pokud má firma vyšší požadavky na bezpečnost, je BYOD spíš komplikace než výhoda.

Co z praxe považuji za zajímavé (a varující)

Pokročilý uživatel = vyšší riziko?

V únicích často nacházíme přihlašovací údaje lidí, kteří by podle všeho „měli vědět“. Správci sítí, vývojáři, helpdesk admini… Tito lidé sice mají znalosti, ale možná právě proto více riskují – věří, že dokážou škodlivý kód rozpoznat. A pak stačí jeden špatný software z internetu.

Bohužel – právě tito uživatelé mívají zároveň přístup do řady systémů, a únik jejich údajů tak má mnohem závažnější dopady než u běžných uživatelů.

Stovky hesel z jednoho počítače

Možná to zní neuvěřitelně, ale z jednoho napadeného počítače často uteče několik set hesel. Část je uložená v prohlížeči, část získá infostealer přes keylogger. Následné „opravování škod“ (změna stovek hesel) pak trvá i několik dní. Pokud už není pozdě.

MFA nepomůže

Jedna z častých myšlenek je: „Máme přece vícefaktorové ověřování, to nás ochrání.“

Bohužel — ne vždy. Infostealery totiž kradou i session cookies. S jejich pomocí převezmou již přihlášenou relaci a nepotřebují k tomu heslo, MFA ani žádnou z moderních phishing-resistant metod.

Když zločinci znají vaši identitu

Infostealery běžně sbírají informace o přihlášených profilech na Facebooku nebo LinkedInu a automaticky vyplňované údaje z e-shopů a formulářů (jméno, e-mail, adresa, telefon…).

To znamená, že útočník přesně ví, koho napadl – má jméno, adresu bydliště, telefonní číslo a e-mailovou adresu.

I zločinci dělají chyby

Někteří útočníci si omylem spustí infostealer na vlastním počítači (jo, fakt 🤦‍♂️). Například tím, že sami jsou zvyklý používat kradený software a s nějakým „crackem“ se infikují.

Z jejich počítače pak uteče všechno — přístupy do e-mailu, hesla, účty na kryptoburzách, screenshoty obrazovky i historie navštívených stránek. V úniku je pak vidět jejich „anonymní“ zločinecká identita smíchaná spolu s tou skutečnou identitou. Právě tohle se dá využít pro odhalování pachatelů kyberkriminality.

Pozor i na soubory

Například .txt nebo .xlsx soubory s hesly, exporty z password managerů, nebo konfigurační soubory s uloženými přístupy…

Pokud tedy někdo stále věří, že když má hesla „jen v excelu“, tak je to v pohodě, tak bohužel — není.

Co vlastně znamená Dark Web Monitoring?

Ve zkratce: sledujeme, co se děje na dark webu a tržištích – jestli se tam neobjevila data některého z našich zákazníků. Když něco zachytíme, okamžitě varujeme dotyčného uživatele. Jeho počítač je s největší pravděpodobností kompromitovaný.

Zároveň začínáme resetovat hesla, omezovat přístupy a kontrolovat, jestli už nedošlo k jejich zneužití. Naším cílem je zastavit incident dřív, než se z něj stane průšvih.

Dark Web Monitoring je pro nás logickým rozšířením toho, co už děláme – ochrana prostředí našich zákazníků. A z pohledu cena/výkon nám to dává smysl. Je levnější resetovat pár hesel, než hasit rozjetý incident.

A jak se k těm datům dostáváme? Spolupracujeme s firmou Hudson Rock, která se na infostealer analýzu a monitoring specializuje. Mají za sebou skvělý výzkum, technologii a přístup k datům. My si k tomu přidáváme vlastní metody, naše znalosti a skripty.

Závěr

Vím, že jsem teď na blog dlouho nic nenapsal. Věnoval jsem se hlavně výzkumu bezpečnosti Microsoft 365 (Entra ID) a měl jsem možnost výsledky prezentovat na několika českých i zahraničních konferencích. Posunuli jsme se v oblasti Entra ID opravdu výrazně – sami jsme přešli plně do cloudu a zrušili starou on-prem AD.

Pokud byste potřebovali pomoc se zabezpečením svého Entra ID (Microsoft 365) nebo vás zaujal právě Dark Web Monitoring, klidně se ozvěte.

Nechť jsou vaše sítě bezpečné.

Martin

Líbí se vám témata, o kterých píši?

Abyste nemuseli kontrolovat, jestli už vyšel nový článek, rád vám ho ihned po zveřejnění pošlu do e-mailu. Každý kontakt, který mi poskytnete, si nechám vždy jen pro sebe.

Exit mobile version