Интернет-OSINT самих себя. Или какие критические данные можно извлечь из сети о любом онлайн-проекте. Эксперимент

Иногда, чтобы сделать веб-ресурсу больно, не обязательно пытаться его сломать. В интернете достаточно данных о любом сайте, которые могут стать достаточно критичными в руках опытного интернет-мошенника.

Оставить комментарий
Интернет-OSINT самих себя. Или какие критические данные можно извлечь из сети о любом онлайн-проекте. Эксперимент

Иногда, чтобы сделать веб-ресурсу больно, не обязательно пытаться его сломать. В интернете достаточно данных о любом сайте, которые могут стать достаточно критичными в руках опытного интернет-мошенника.

Мы попросили экспертов компании GigaCloud провести разведку OSINT: какие данные о нашем сайте dev.ua можно найти в интернете и насколько они критичны.

Вот что получилось

1. Паукам удалось накроулить, что мы удалили такие субдомены в 2022 году:

  • team.dev.ua
  • only.dev.ua
  • mef-dev.dev.ua
  • huawei-cybersport.dev.ua
  • Favbet-job.dev.ua

Здесь можно увидеть некоторые спецпроекты, которые мы пытались разработать, но некоторые из них по каким-то причинам так и не вышли. Есть ли среди них компроматы? Вроде бы нет. Но могло произойти и такое, что мы готовили секретный проект, о котором все вдруг узнали.

2. Также удалось найти автора нашего публичного договора — Бондарович Инна. Это могло бы дать возможность злоумышленникам подобрать логины/пароли к учетным записям системы. А хуже всего, что могло бы случиться — злоумышленник мог бы попытаться завербовать инсайдера.

Bondarovich Inna действительно когда-то работала на dev.

3. Дальнейший анализ айтишников дал понять, что на том же айпишнике, что и наши ресурсы, существует российский сайт bum-tv.ru.

Причина в том, что у CloudFlare, у которого мы заказываем услуги, на одном IP, может быть множество сайтов. И таким образом, если, например, государство заблокирует доступ к bum-tv.ru, то теоретически лечь может и наш сайт.

И это еще не все — удалось найти IP-адрес нашей админ-панели. Теоретически, хакеры могут атаковать не сам ресурс, а админ-панель, чтобы сделать невозможным дальнейшую работу медиа.

Вот так соседство: на CloudFlare мы рядом с каким-то русовым сайтом.

4. Также удалось собрать названия почтовых адресов наших сотрудников (правда, не всех). Вместе с айпишном нашей почты — это может стать инструментом в руках хакера, который будет пытаться войти в систему и сделать там все, что он считает нужным: слежка, удаление данных, заражение вирусами и прочее.

Эксперты GigaCloud утверждают, что такая уязвимость может помочь злоумышленникам подобрать пароли к найденным аккаунтам. Другая тактика — пароли можно украсть, используя социальную инженерию, потому что теперь с сотрудниками редакции можно связаться и попытаться выманить критически важные данные.

5. Родственные с нами сайты, о которых бы мы, возможно, не хотели, чтобы узнали другие:

Паукам удалось найти несколько наших проектов, которые либо заморожены (bbbl.dev), либо работают косвенно от нас: klatz-klatz.com.

В нашей ситуации здесь опять-таки нет никаких рисков, потому что это публичные, не серые интернет-проекты. Но представим себе ситуацию, когда у интернет-предпринимателя есть как белый, так и серый бизнес одновременно. Очень быстро можно узнать, что он пытался скрыть.

6. Все наши официальные страницы в социальных сетях

Здесь опять-таки нет ничего опасного для нас, как для СМИ. Но удалось найти и упоминавшие нас страницы. Здесь могут появляться нюансы.

В нашем случае на аккаунтах, которые нас упомянули, нет хейт-кампаний. Но можно предположить, что таким образом злоумышленники могут, например, найти страницы об интернет-бизнесменах, созданных для того, чтобы портить ему репутацию, его нежелательные фотки и другой компромат.

Как объясняют эксперты GigaCloud, соцсети дают еще дополнительную информацию о пользователях и событиях. К примеру, в редакции состоялся корпоратив. Об этом был пост в соцсетях.

Следующий шаг злоумышленников — письмо со ссылкой «Фото из корпоратива». Там обязательно будет фишинговая ссылка.

Соцсети dev.ua, которые удалось обнаружить

Вывод: Большинство данных о dev.ua, которые есть в свободном доступе в интернете, не представляют угрозы для нашего бизнеса.

Но есть и моменты, которые действительно могут создать проблему: например, российский сайт, у которого такой же IP-адрес как у нас, или же данные о почтовых адресах (находка для хакера).

На самом деле такой простой OSINT сейчас проводится по тысячам украинских сайтов. И провожают его те, кто действительно хочет найти уязвимости и воспользоваться ими. Ведь Украина находится в стадии войны с рф. Для этого враг использует любые механизмы, чтобы нанести нам максимальный вред.

Топ-4 совета для уменьшения риска во время OSINT-разведки

Итак, что нужно сделать, чтобы злоумышленники во время разведки могли завладеть как можно меньшим массивом данных о вашем бизнесе. Здесь эксперты GigaCloud советуют сделать следующее:

  1. Уменьшить распространение персонифицированных корпоративных аккаунтов. На веб-сайтах, к примеру, указывается почта info@PPPP, а не vasyapupkin@PPPPP. Это также касается публикации корпоративных аккаунтов на Facebook, джоб-сайтах (обычно рекрутеры оставляют персонифицированные данные и личную почту).
  2. Если вы пользуетесь гиперскейлерами безопасности типа CloudFlare, то после переезда на них лучше изменить реальный IP-адрес ресурса, это позволит закрыть его от злоумышленников. И злоумышленники не смогут атаковать по IP.
  3. Когда вы публикуете информацию на Facebook, сайтах в любых открытых источниках, проверьте, точно ли эта информация не вредит безопасности компании. Ведь из корпоративных фотографий и любых данных можно сделать выводы о дальнейшем OSINT.
  4. Любая PR- и маркетинговая информация может дать еду для OSINT, даже если вы этого не желаете. Учите этому сотрудников. Они обязательно должны разумно публиковать свои фото и данные

Что же важно знать

OSINT-разведка — это лишь один из инструментов киберпреступников. Кроме него хакеры используют вредоносное программное обеспечение, воруют пароли, перехватывают трафик, запускают фишинговые и DDoS-атаки. Цель — получить доступ к IT-системам, остановить работу важных узлов IT-инфраструктуры, прервать сделки и бизнес-операции, украсть данные и вызвать простой бизнес.

Хакерские атаки на украинский бизнес и государственные организации стали очень распространенным явлением во время войны. Вспомните хотя бы последнюю атаку на ИТ-инфраструктуру «Киевстар». Она почти на неделю парализовала компанию, а также ее партнеров.

Те компании, которые не имеют в своем штате специалистов по кибербезопасности, должны позаботиться о том, чтобы они у них появились как можно скорее. А также должны позаботиться о безопасности своих IT-систем.

Тем компаниям, для которых IT — не профильное направление, лучше воспользоваться услугами облачных операторов и перенести свои критически важные данные и сервисы в облако.

К примеру, GigaCloud предлагает высокий уровень кибербезопасности, включая брандмауэры и программное обеспечение для мониторинга угроз. Информационная безопасность в облаке подтверждена международными сертификатами PCI DSS, ISO 27001, ISO 27701, CSA STAR SAP и КСЗИ.

«Каждый год мы проходим ресертификацию наших облачных решений и подтверждаем соответствие требованиям к кибербезопасности. Облако также обладает большей пропускной способностью, чем большинство частных сетей, поэтому оно, скорее всего, не выйдет из строя, если окажется под давлением усиленных атак», — подчеркивают в GigaCloud.

Кроме того, GigaCloud предлагает облачный сервис DRaaS (Disaster Recovery as a Service) для аварийного возобновления работы IT-инфраструктуры на резервной площадке, размещённой на мощностях облачного оператора. То есть инфраструктура клиента работает в облаке или на собственном оборудовании и через определенный промежуток времени копируется в облако GigaCloud.

Но если основная площадка клиента становится частично или полностью недоступна, то в работу включается резервная инфраструктура. Таким образом, даже после самой мощной хакерской атаки бизнес сможет продолжить работать без простой и репутационных потерь.

Ukrainian Underdogs до 2-ї річниці повномасштабного вторгнення росії.

Про малий і середній технологічний бізнес, заснований під час війни

УЧАСТЬ В АЗАРТНИХ ІГРАХ МОЖЕ ВИКЛИКАТИ ІГРОВУ ЗАЛЕЖНІСТЬ. ДОТРИМУЙТЕСЯ ПРАВИЛ (ПРИНЦИПІВ) ВІДПОВІДАЛЬНОЇ ГРИ.
Ліцензія видана ТОВ "СЛОТС Ю.ЕЙ." на провадження діяльності з організації та проведення азартних ігор казино у мережі Інтернет від 15.09.23 (рішення КРАІЛ №245 від 31.08.2023); ТОВ "СЛОТС Ю.ЕЙ." – на провадження діяльності з організації та проведення азартних ігор казино у мережі Інтернет від 26.04.2021 (рішення КРАІЛ №150 від 12.04.2021); ТОВ «СПЕЙСИКС» – на провадження діяльності з організації та проведення азартних ігор казино у мережі Інтернет від 08.02.2021 (рішення КРАІЛ №34 від 02.02.2021); ТОВ «ГЕЙМДЕВ» – на провадження діяльності з організації та проведення азартних ігор казино у мережі Інтернет від 16.02.2021 (рішення № 47 від 10.02.2021).

Хотите сообщить важную новость? Пишите в Telegram-бот

Главные события и полезные ссылки в нашем Telegram-канале

Обсуждение
Комментариев пока нет.