Сегодня киберпреступлениями никого не удивить. Вирусам, вредоносным программам и DDoS-атакам подвержены любые сайты, приложения и сервисы. Но компании и корпорации защищаются от киберпреступлений, создавая целые службы и отделы информационной безопасности. А как обстоят дела в арбитраже трафика?
Команда Партнеркина пообщалась со специалистами, успешно совмещающими два разных направления — арбитраж и кибербезопасность. Рассказываем, какие киберпреступления чаще встречаются в арбитраже и как можно противостоять злоумышленникам.
«Безопасность в IT как дорогое нижнее белье — никому не видно, но чувствуешь себя уверенно», — Алексей Алексеев, руководитель IT
Привет. Расскажи немного о себе — чем занимаешься и какое отношение имеешь к кибербезопасности и арбитражу?
Меня зовут Алексеев Алексей. Я руководитель IT, в сфере работаю более 11 лет. Начинал с программирования, глубоко проварился в сфере веб-разработки от дизайна до SEO. Последние 3 года работаю в арбитраже (CTO, руководитель ИТ, product owner). Работал и в cpa-сети, и в арбитражных командах, поэтому знаком со многими процессами, инструментами и проблемами кибербезопасности в этих направлениях.
С какими киберпреступлениями ты сталкивался в работе и как часто они случаются в сфере арбитража трафика?
На самом деле сталкивался с немалым количеством киберпреступлений. Например, фрод. Для партнерок это типичные будни и основа всех основ. Фишинг, вирусы и прочее тоже нередкая угроза для арбитража. Помню случай, когда установку браузера провели по поддельной ссылке и даже полная переустановка не смогла помочь.
Лично сталкивался со взломом серверов крупного хостинг-провайдера, когда на сайте отображалось совсем не то, что планировалось (взлом с политическим контекстом). Были случаи с эксплойтами. Умельцы применили вредоносный код к старой версии wordpress и получили доступ к сайту веба. Он не сразу заметил косяк и все это время страницы сайта вели трафик к злоумышленнику.
Еще сталкивался с тем, что преступники зашивали хитрый код в лендинги. То есть вы копируете лендинг, а обфусцированный код редиректит ваш трафик на ресурс злоумышленника или блокирует отображение лендинга через некоторое время.
Как считаешь для арбитражников, какие киберпреступления самые чувствительные?
На мой взгляд, самые чувствительные киберпреступления — те, что приводят к потере данных, утрате доступов или к падению ресурсов. В первом случае вы теряете время и деньги, но осознаете ценность информации и важность вопроса безопасности. Во втором случае вы теряете репутацию и, возможно, несете крупные финансовые потери.
Ты знаешь, как справляться с атаками киберпреступников или защищаться от них?
Начну с очевидного, но первично важного. Не откладывайте вопрос проработки безопасности, даже если вы небольшая команда. Рано или поздно вы с ним столкнетесь, но лучше заранее подготовиться.
Озвучу несколько базовых пунктов:
- Доступы. Храните их надежно, зная, для кого и какие доступы были выданы. Избегайте передачи root-доступов, по возможности создавайте пользователей с урезанными правами. Ваши гугл-доки дают доступ по ссылке, а не расшарены на конкретные почты? Примите тот факт, что в этом случае они общедоступны. У вас ушел сотрудник и вы не поменяли пароли к ресурсам, к которым он имел доступ? Ждите неприятностей и сливов инсайд-информации.
- Серверы. Для действительно важных ресурсов подбирайте надежных хостинг-провайдеров, желательно с быстро отвечающей техподдержкой. Помните, что не все серверы поддерживают ipv6. Поэтому вы можете не знать, что ваш сайт не открывается у пользователей ipv6 и терять трафик.
- Авторизация. Старайтесь использовать многофакторную аутентификацию (MFA) для ключевых сервисов. Это повысит безопасность при попытках несанкционированного доступа.
- Резервное копирование. Отдельного внимания заслуживают бекапы. Любой сервер может потерять данные, даже если он стоит у вас в гараже. Поэтому возьмите за правило — если данные важны, они должны быть в бекапе.
- Обучение сотрудников. Обучайте ребят в команде принципам кибербезопасности, таким как распознавание фишинговых писем, безопасное использование паролей и т. д. Это поможет предотвратить социальную инженерию и другие виды атак.
Это минимум, который поможет справляться с атаками и защитить ваши данные.
Как ты считаешь, нужен ли арбитражникам в команде специалист по кибербезопасности?
Я думаю, этот вопрос каждый арбитражник должен задать себе сам. Но в целом безопасность в IT как дорогое нижнее белье — никому не видно, но чувствуешь себя уверенно. Хотите чувствовать себя уверенно — позаботьтесь о кибербезопасности.
Расскажи о каком-то интересном кейсе, связанном с киберпреступлением.
Достаточно интересный кейс был, когда я работал техническим директором в арбитражной команде. Все банально просто — скачали файл из ненадежного источника и получили вирус в подарок. По закону подлости он попал в отдел финансов, который занимается выплатами. Суть вируса максимально простая — при копировании криптовалютного кошелька подменялось значение в буфере обмена. Скопировали один кошелек, а вставили уже другой. И деньги ушли злоумышленникам.
Повезло, что у нас работал бдительный человек, который перепроверял начало и конец адреса криптокошелька (и вам советую!), поэтому в тот же час вопрос прилетел ко мне. Оказалось, что вирус очень цепкий и не обнаруживался антивирусными программами. Помогла только полная переустановка операционной системы. Мошенникам, к счастью, мы ничего не отправили.
«Кибербезопасность — это страховка. Мы платим деньги сейчас, чтобы не потерять их потом», — Антон Бочкарев, эксперт по информационной безопасности, спикер Broconf 2
Привет. Расскажи немного о себе — чем занимаешься и какое отношение имеешь к кибербезопасности и арбитражу?
Привет. Меня зовут Антон Бочкарев и я уже 10 лет в кибербезопасности. Занимался тестированием на проникновения, был внешним директором по кибербезу, побеждал в хакерских соревнованиях и основал компанию «Третья сторона». С арбитражем меня связывают рабочие отношения — я знаю, как вебам и арбитражным командам сохранить деньги, с чего начать осваивать кибербез и как выгодно защитить свою компанию.
С какими киберпреступлениями ты сталкивался в работе и как часто они случаются в сфере арбитража трафика?
Все компании, которые зарабатывают деньги, используют веб-приложения и имеют какую-то инфраструктуру, подвержены атакам киберкриминала. Чаще всего это фрод. Мошенники используют доступы к внутренним данным и у веба или команды начинают куда-то утекать деньги, происходят какие-то непонятные платежи или банально переливается трафик.
В сфере арбитража случаются и встречи с шифровальщиками. Задача этих преступников — зашифровать инфраструктуры жертвы и запросить выкуп за расшифровку. К сожалению, если вы попали под атаку шифровальщиков, придется либо платить, либо смириться с тем, что ваши данные потеряны. Самостоятельно расшифровать ничего не получится. Хочется отметить, что не всегда шифровальщики финансово мотивированы. Зачастую цель атаки — репутация, нужно затопить конкурента и подорвать доверие к нему.
Но на репутацию чаще направлены DDoS-атаки. Их проще всего организовать и показать, что репутационно конкуренты слабее, что они не защищают себя и т. д.
Как считаешь для арбитражников, какие киберпреступления самые чувствительные?
Все зависит от ситуации и конкретной арбитражной команды. Кому-то больнее понести финансовый урон, а другим — репутационные потери. И владельцам команд стоит задуматься, что действительно для них опаснее и какие критические события наиболее чувствительны.
Ты знаешь, как справляться с атаками киберпреступников или защищаться от них?
Конечно, ведь это моя работа. А вебам и арбитражным командам я могу дать несколько советов, как справляться с атаками и защитить свои данные:
- Проводить анализ защищенности — вы должны понимать, насколько защищены ваши приложения и насколько просто их взломать.
- Обучать сотрудников — простое объяснение, что нельзя переходить по мутным ссылкам, открывать левые письма, скачивать и запускать незнакомые файлы, защитит вас от фишинга.
- Мониторить безопасность — периодически просматривайте, не вывалилось ли что-то лишнее в интернет из-за ошибки админов и прочих ребят, которые обслуживают сайты.
Когда успешно отразил атаку киберпреступников
Кибербезопасностью обязательно надо заниматься. Если у вас не было проблем с киберкриминалом сегодня, не факт, что они не случатся завтра. И помните, что чаще всего атакуют не конкретные компании, сайты или приложения, а менее защищенные.
Как ты считаешь, нужен ли арбитражникам в команде специалист по кибербезопасности?
Нет, точно не нужен. У команды нет столько задач, чтобы загрузить безопасника на фуллтайм. Да и стоит такой спец очень дорого. Лучший вариант — разово привлекать человека под конкретные задачи. Например, проверить инфраструктуру, посмотреть новые продукты, отследить, насколько члены команды ведутся на фишинг и т. д.
Если же команде нужно постоянно управлять своей безопасностью, рекомендую привлечь внешнего директора по кибербезопасности (VCISO) на несколько часов в месяц. Он сможет управлять безопасностью, подсказывать команде, куда дальше развиваться, что нужно делать, что безопасно и т. д.
Расскажи о каком-то интересном кейсе, связанном с киберпреступлением.
Забавная история была с одной командой, в которой при внутренней проверке нашли сразу двух инсайдеров. Причем они работали параллельно и второй спалил первого. Дело было так. Чувак давно работал в команде, дополнительно потихонечку фродил и зарабатывал на стороне. Он был опытный, хитрый и прошаренный. Но в команду пришел еще один человек, которому в голову тоже пришла идея подзаработать на стороне. Второй был глупый и сразу же спалился. Команда провела внутреннее расследования и заодно выявила первого инсайдера.
«SOC-специалиста нанимают тогда, когда приходят люди в форме и изымают все оборудование», — #Pumba апрр, технический специалист
Привет. Расскажи немного о себе — чем занимаешься и какое отношение имеешь к кибербезопасности и арбитражу?
Привет. Я #Pumba апрр, технический специалист и мастер на все руки. Занимаюсь всем, кроме верстки (фронтенд) и залива трафика.
С какими киберпреступлениями ты сталкивался в работе и как часто они случаются в сфере арбитража трафика?
Сталкивался много с чем. Например, DDoS-атаки. Для seo-трафика это обычная история. А вот для PWA приложений DDoS-атаки стали чем-то новым, но не менее неприятным. Киберпреступники прошарили, что PWA не прячут url и целенаправленно атакуют прилы.
Случаются и взломы. В seo-трафике взломы происходят, если вы не обновляете плагины. Без обновлений накапливаются ошибки и уязвимости, которые становятся открытыми дверями для взломщиков. Взламывают и приложения. Но обычно с другой целью — посмотреть, как сделано у конкурентов, чтобы повторить кейс. В миру это называют реверс-инжиниринг в кейсе арбитража. Такой взлом прилы позволяет экономить время и деньги.
Фишинг в арбитраже — редкость, но случается, если кому-то очень надо получить доступ к партнерской программе или софту. Обычно это направленная атака и цель — конкретно вы, ваш софт или ПП. Даже скорее это ниша для арбитража, чтобы юзать логи.
Как считаешь для арбитражников, какие киберпреступления самые чувствительные?
На мой взгляд, для арбитражников самое чувствительное — это DDoS-атака. Потому что пока длится атака весь трафик идет в «молоко».
Еще больно ударить может слив инсайд-информации, лендов и прочей внутрянки. Был случай, когда из команды ушел head и несколько месяцев сливал информацию. Так получилось потому, что после его ухода забыли сменить API-ключ Keitaro.
Ты знаешь, как справляться с атаками киберпреступников или защищаться от них?
На самом деле это не так уж и сложно. Ограничьте круг доступов к серверам, применяйте логирование действий и файрволы. А от DDoS-атак защитит Cloudflare. Вот такие нехитрые правила помогут предотвратить самые распространенные в арбитраже киберпреступления.
А еще поделюсь секретной фишкой, чтобы у вас не смогли украсть лендинг. Вставляйте этот код <?php if (!isset($rawClick) && !isset($click)) { die(); } ?> в начале ленда на Кейтаро и никто не сможет увести его. Важное условие — лендинг должен быть index.php.
Как ты считаешь, нужен ли арбитражникам в команде специалист по кибербезопасности?
Может он и нужен, но обычно, например, в крупных арбитражных командах от 100 человек и больше, SOC-специалиста нанимают после каких-то инцидентов. Или когда приходят люди в форме и изымают оборудование. После сразу нанимают спеца, который контролирует периметр и настраивает правила работы отделов.
Расскажи о каком-то интересном кейсе, связанном с киберпреступлением.
Самый интересный был с Галей Бушаевой (ака Сеошница). Через фишинг у нее угнали аккаунт и дропнули всю инфу.
А еще была забавная история из разряда «преступления, которые не состоялись». Один мой клиент написал статью про блогера. Статья как статья, но блогер и его фанаты обиделись. Случайно в чате этого блогера я увидел обсуждение DDoS-атаки на сайт моего клиента. Я связал блогера и моего клиента, они пообщались и закрыли все вопросы. В итоге ддоса не было.
Вывод
Арбитраж, как и любая сфера, где есть деньги и ценная информация, подвержен атакам киберпреступников. Но справиться с ними и защитить свои ресурсы можно, если своевременно обновлять ПО, следить за доступами и использовать специальные сервисы, например, Cloudflare. А нанимать ли специалиста по информационной безопасности или самостоятельно стоять на страже своих финансов и информации — решать только вам.
Источник