Как и любой пользователь Интернета, даже хакеры могут оставлять после себя «крошки», которые позволят исследователям кибербезопасности и сотрудникам правоохранительных органов выследить их и, надеюсь, привлечь к ответственности. В этой статье мы обсудим три способа узнать больше о том, кто может стоять за атакой на вас или вашу компанию. Давайте углубимся.
Используйте адрес электронной почты в качестве ссылки
Большинство кибератак начинаются с фишингового электронного письма. Тем не менее, вы можете начать расследование киберугроз, используя адрес электронной почты, привязанный к точке входа в систему атаки, обычно это фишинговое электронное письмо. Хотя это правда, что субъекты угроз не используют свои настоящие имена для создания адресов электронной почты для своих кампаний, некоторые группы часто используют свою инфраструктуру и связанные с ней свойства Интернета для нескольких атак.
Например, сообщается, что злоумышленники, стоящие за программой-вымогателем WannaCry, использовали по меньшей мере 16 адресов электронной почты для регистрации доменов, которые они использовали для своих серверов командования и контроля (C & C). Если адрес электронной почты, ответственный за атаку на вас или вашу компанию, является одним из перечисленных в общедоступных репозиториях или отчетах об инцидентах, скорее всего, вы подверглись нападению со стороны той же группы. Затем вы можете обратиться в правоохранительные органы, ответственные за расследование. Они могут использовать информацию в качестве дополнительных доказательств и, возможно, даже помогут вам восстановить украденные файлы, если таковые имеются.
В дополнение к этому, вы можете использовать адрес электронной почты для поиска других доменов, которые могут быть связаны с кибератакой. Вы можете добавить эти доменные имена в свой список заблокированных, чтобы в будущем не иметь дела с той же группой.
Ознакомьтесь с известными псевдонимами участников угрозы или групп
Киберпреступники также редко используют свои настоящие имена при атаках. Но участники угроз также известны тем, что используют псевдонимы, о чем сообщают многие блоги по кибербезопасности и новостные публикации.
Использование псевдонимов позволяет злоумышленникам снискать дурную славу, что укрепляет их репутацию надежных преступников. Но следователи службы безопасности и правоохранительные органы также могут использовать эти псевдонимы для выслеживания плохих парней. И вы можете сделать то же самое.
Вы можете получить список псевдонимов киберпреступников с сайтов, подобных сайту Федерального бюро расследований (ФБР) «Самый разыскиваемый». Добавьте их в свой список наблюдения, чтобы не иметь дел с известными участниками угроз и их кампаниями. Для пущей убедительности запомните псевдоним вашего врага и сообщите об этом в соответствующие инстанции. Возможно, они лучше всего помогут вам разобраться в происходящем.
Тщательно изучите IP-адрес
Один из возможных способов узнать больше о том, кто несет ответственность за атаку на вас или вашу компанию, — это сузить круг возможных местонахождения злоумышленника с помощью таких методов, как геолокация по IP. В конце концов, часто можно получить IP-адреса из ваших сетевых журналов.
Получив IP-адрес злоумышленника, вы можете запросить его с помощью API геолокации IP. Вы получите более подробную информацию о злоумышленнике, в частности о том, откуда была произведена атака, включая страну злоумышленника, координаты долготы и широты, почтовый индекс, часовой пояс, связанные домены и, что наиболее важно, интернет-провайдера (ISP). Имея на руках эту информацию, вы можете связаться с интернет-провайдером субъекта угрозы и сообщить об инциденте. Вы также можете передать информацию сотрудникам правоохранительных органов, чтобы они могли начать углубленное расследование этого дела.
—
Хотя прямого способа идентифицировать злоумышленников с места в карьер не существует, существуют контрольные данные (адреса электронной почты, псевдонимы и IP-адреса), которые вы можете собирать и отслеживать, чтобы немного приблизиться к раскрытию их личностей. Источники информации, такие как блоги по кибербезопасности, новостные публикации, веб-сайты правоохранительных органов и инструменты, такие как API геолокации по IP, могут помочь вам начать.