Мониторинг Dark Web: использование разведданных для защиты бизнеса

Dark Web — это скрытая часть интернета, работающая на доменах формата .onion и недоступная для индексирования стандартными поисковыми системами. Здесь злоумышленники, стремясь сохранить анонимность, ведут противозаконную деятельность, обмениваются данными и приобретают различные ресурсы для осуществления кибератак, мошенничества или иной незаконной активности.

Мониторинг Dark Web является важной частью защиты бизнеса, поскольку позволяет заранее выявлять потенциальные угрозы и предпринимать упреждающие меры. Его актуальность обусловлена широким спектром мошеннической и хакерской активности, непосредственно влияющей на репутацию и финансовую безопасность компании, а также на сохранность данных её клиентов, сотрудников и партнёров.

Сегодня одной из наиболее распространённых угроз является продажа баз данных на теневых площадках. В базах могут оказаться как персональные сведения сотрудников, так и конфиденциальная информация о бизнес-партнёрах. Злоумышленники способны получить доступ к системам, просто имея в распоряжении скомпрометированный ранее пароль — «Login проще, чем Hackin». Хакеры нередко пользуются уязвимостями подрядчиков (так называемые атаки «через цепочку поставок»), чтобы проникнуть во внутренние системы, поэтому особое внимание стоит уделять мониторингу упоминаний контрагентов в даркнете.

Опасность также представляет незаконная деятельность, при которой злоумышленники используют ресурсы компании в корыстных целях. Например, они могут создавать фиктивные аккаунты и привлекать «дроперов» — подставных лиц (либо сотрудников), оформляющих платежи и переводы на себя для последующего обналичивания или передачи средств третьим сторонам. Регулярный мониторинг Dark Web даёт возможность вовремя выявлять подобные схемы, отслеживать аномальную активность, связанную с корпоративными ресурсами, и принимать оперативные меры по предотвращению дальнейшей компрометации, а также совершенствовать антифрод-системы.

Кроме того, нельзя недооценивать риск инсайдерских угроз: недобросовестные сотрудники могут предлагать на продажу критически важные сведения о компании. Раннее выявление подобных предложений на закрытых форумах Dark Web позволяет предотвращать утечки и оперативно реагировать на внутренние угрозы.

Наконец, важнейшим аспектом является мониторинг заявлений хакерских группировок об успешных атаках. Если инцидент уже произошёл, крайне важно получать информацию о нём сначала из собственных разведывательных каналов, а не из публичных источников. Это даёт компании драгоценное время для выработки антикризисного плана, минимизации репутационных и экономических потерь, а также проведения оперативного расследования, направленного на нейтрализацию возможных последующих атак.

Автор: Дубошей Юрий, эксперт по киберразведке Angara SOC.