En el mundo actual, es casi imposible imaginar un negocio sin algún tipo de conexión a Internet: un sitio web, correo electrónico, capacitación de empleados, CRM (gestión de relaciones con el cliente), CMS (sistema de gestión de contenido), etc. Simplifica y acelera el proceso de pedido, la búsqueda de nuevos clientes, la búsqueda y el mantenimiento de registros, etc.
Algunas empresas utilizan soluciones ya preparadas, otras contratan profesionales para crear herramientas específicas de la empresa y algunas optan por desarrollar el software necesario para resolver sus tareas diarias por su cuenta. Con el tiempo, todos tienen su propio sitio web, correo electrónico, sus primeros clientes ingresan a una base de datos y los gerentes pueden rastrear las actividades diarias de la compañía. Desafortunadamente, una abrumadora mayoría de las empresas ignora por completo el hecho de que cada servidor, cada sitio web, cada dirección de correo electrónico es un objetivo potencial para los piratas informáticos. La excusa más frecuente utilizada es: nuestro negocio es demasiado pequeño, ¿quién podría estar interesado en nuestros datos? ¿Es realmente así?
No Este tipo de pensamiento es uno de los muchos errores que hacen que Internet moderna sea cada vez más vulnerable. Los delincuentes "digitales" modernos no piensan demasiado a quién atacan. No les importa si tienes tu propia tienda en línea, un video blog sobre gatitos o un foro de fanáticos del hockey en los suburbios del sur de Florida.
La segunda excusa popular que muchas empresas usan para ignorar su vulnerabilidad web es: ¡la seguridad web es demasiado cara! También una declaración incorrecta. El costo de pentesting comienza desde $ 99 en nuestra empresa.
Para mostrar cuán vulnerable es la presencia de Internet, instalamos un "honeypot" (un rastreador que analiza y rastrea las actividades de los piratas informáticos) en nuestro servidor en un subdominio recién creado. En 5 días, registramos más de 40 mil escaneos de más de 30 países. Aproximadamente un tercio de todos esos escaneos intentaban infiltrarse. ¡Permítame recordarle que la dirección que utilizamos fue creada recientemente y nunca se ha publicado!
Echemos un vistazo a ejemplos de cómo puede ocurrir un ataque de piratas informáticos y qué impacto puede tener en su negocio. También tocaremos qué acciones debe tomar para prevenir el ataque o al menos minimizar su exposición, incluidas las consecuencias legales (sí, el ataque de los piratas informáticos puede generar problemas legales para usted y su negocio).
Ejemplo 1
La empresa A ha creado un sitio web de "tarjeta de visita" que contiene información sobre la empresa y un formulario de comentarios. Desarrollaron este sitio por su cuenta, sin la participación de diseñadores web. Como resultado, se cometió un error de validación de datos: el sitio envió una confirmación a la dirección de correo electrónico ingresada con el siguiente mensaje "Sr. / Sra. X, gracias por tu mensaje 'aquí estaba el texto citado' ”. Los hackers usaban la misma forma de mensajes para enviar enlaces a sitios con contenido malicioso, utilizando direcciones de la lista de spam como remitentes. El dominio fue bloqueado como correo no deseado y tomó varios días desbloquear y excluir el dominio de las listas de correo no deseado de los grandes servidores de correo.
El problema fue identificado por nuestros expertos utilizando pruebas automatizadas por $ 99 que incluyeron una resolución de problemas detallada.
Ejemplo 2
La empresa B ordenó un sitio web a un equipo profesional de diseñadores web, alquiló un servidor a un ISP y lo instaló. Se instaló un software con licencia para transferir los datos. Más tarde, se presentó una queja sobre un escaneo inconsistente que se estaba realizando desde la dirección IP del servidor de esta compañía. El sitio web de la empresa B fue bloqueado de inmediato. Después de pentesting, se descubrió que el ISP no pudo cambiar el nombre de usuario y la contraseña estándar (admin / admin). Los atacantes pudieron infiltrarse fácilmente en el servidor y usar el software de la Compañía B para actividades ilegales.
Después de que el servidor fue eliminado y reiniciado, el proveedor permitió un mayor uso del sitio web. El costo fue de $ 349.
Ejemplo 3
La empresa C ha desarrollado un sistema de pedidos para que los clientes carguen datos. Al crear un punto de acceso, se cometió un error técnico que permitió a los piratas informáticos robar todos los datos de todos sus clientes mediante una inyección SQL. Como resultado, la Compañía C cerró durante una semana, las pérdidas financieras se indemnizaron por decenas de miles de dólares. El error técnico mencionado anteriormente fue descubierto por nuestra empresa. El costo por pentest fue de $ 2,500.
Estos son solo algunos ejemplos. Hay docenas, si no cientos, de opciones de ataque. Como puede ver en estos ejemplos, a estas compañías les habría costado mucho menos prevenir un ataque de piratas informáticos que lidiar con las consecuencias de ser pirateado.
Pregunte a los expertos qué hacer para evitar situaciones desagradables. Y recuerda que, desafortunadamente, no existen sistemas invulnerables.