Hackers met toegang tot een netwerk, gebruiken in de meeste gevallen Windows Network Shares voor het naar buiten sluizen van gegevens. Het Trustwave SpiderLab onderzocht meer dan 200 incidenten, waarbij slechts 9% door de slachtoffers zelf werd opgemerkt. In tachtig procent was het een toezichthouder of externe partij die aan de bel trok. De incidenten vonden met name bij financiële instellingen, de hospitality sector en retail plaats.

Het was de aanvallers in de meeste gevallen (83%) om softwarematige point of sale (POS) systemen te doen. Dit soort systemen wordt voornamelijk (81%) door externe partijen beheerd. Het zijn vaak deze partijen die aanvallers de mogelijkheid geven om het systeem te infiltreren, zoals standaard inloggegevens en onveilige remote access applicaties. De meeste aanvallers gebruiken dan ook de kanalen die al aanwezig zijn, zoals de eerder genoemde remote access applicaties en interne netwerkverbindingen.

Netwerkmappen
Heeft een aanvaller toegang tot het systeem, dan is de volgende stap het verzamelen van de gewenste gegevens. Een "memory parser" is in dit geval het favoriete wapen (67%). Deze programma's lezen het geheugen uit als bepaalde processen het gebruiken. Ook keyloggers (18%) en netwersniffers (9%) worden regelmatig aangetroffen.

Is de informatie verzameld, dan moet die naar de aanvallers toe. Die gebruiken hiervoor het vaakst Microsoft Windows Network Shares (28%). Bij 38 van de onderzochte incidenten (27%), werd de data gestolen via de remote acces applicatie waarmee aanvallers ook toegang tot het systeem kregen. Op de derde plaats (17%) staat malware met FTP mogelijkheden, terwijl de al aanwezige FTP client bij 10% wordt gebruikt.

Trustwave geeft bedrijven tien tips om systemen beter te beschermen, zoals het gebruik van multifactor authenticatie, toepassen van een Software Development Life Cycle (SDLC), versleutelen van gegevens, onderwijzen van personeel, interne segmentatie en het monitoren van derde partijen.