Фишинговая атака на сотрудников vc.ru прошла успешно
Эксперимент Microsoft и редакции.
Пару недель назад сотрудники компании «Комитет» (управляет площадками vc.ru, TJournal, DTF и Coub) получили письмо от директора по продукту Владислава Цыплухина. Оно по разным причинам могло показаться странным, но не при беглом изучении, как мы обычно просматриваем письма.
Большинство адресатов не обратили внимания на детали и прочитали только текст, который не вызывал подозрений:
Привет.
Как вы знаете, мы переделываем московский офис. Строим стену, которая отрежет «мягкую» зону, переговорку и значительную часть арендной платы. Сэкономленные деньги пойдут на переоборудование оставшейся площади.
Скорее всего, появится второй этаж — я решил, что будет справедливо, если у каждого сотрудника будет право голоса, как он должен выглядеть.
Есть три идеи, у каждой свои преимущества и недостатки. Поделитесь, какая из них вам нравится больше и почему. Вся информация — в документе по ссылке. Там же есть небольшой опрос. Его нужно пройти до конца завтрашнего дня.
Ссылка вела на страницу, которая точно повторяет дизайн авторизации внутреннего портала. На этом сайте в целом нет ничего секретного — неформальное корпоративное общение и обмен технической информацией между сотрудниками.
Домен этой страницы не имел ничего общего с адресом настоящего интранета:
Но результаты получились безрадостными:
- 57 человек получили письмо.
- 53 открыли его.
- 41 сотрудник перешёл по ссылке.
- 34 ввели логин и пароль.
Один слитый пароль — это уже провал
К счастью, случилась не настоящая фишинговая атака, а её лёгкая имитация — кибераудит, который Microsoft проводит вместе с партнёрами MONT и «Технополис». Это бесплатная услуга для пользователей корпоративных продуктов службы Microsoft 365. Кибераудит позволяет выявить у сотрудников пробелы в базовых знаниях кибербезопасности.
По статистике, около 80% всех киберинцидентов происходят из-за человеческого фактора. А их средний ущерб для малого и среднего бизнеса оценивается в 1,6 миллиона рублей.
Специалисты узнают у клиента, о чём стоит написать в письме, чтобы зацепить сотрудников. А по завершении атаки составляют статистический отчёт и проводят консультацию — какие бреши нашлись в системе безопасности даже при таком поверхностном пентесте и как их закрыть.
В зависимости от вовлечённости заказчика письмо для кибераудита может получиться шаблонным или настолько же сложным для распознавания фишинга, как сообщение для сотрудников «Комитета».
Наш офис действительно перестраивается. Кто там не появляется из-за пандемии, давно узнали о ремонте из интранета. Так что текст получился актуальным и беспощадным.
Но казалось, сам факт того, что сооснователь вдруг решил обратиться к сотрудникам по электронной почте, должен был насторожить — он обычно так не делает. О новостях мы объявляем в интранете, а уведомления о новых публикациях приходят по другому каналу — отправлять письмо нет смысла.
К тому же в письме не было подписи, а домен страницы по ссылке кричал о своей нечистоплотности.
Почти 60% адресатов ввели логин и пароль, тем самым как бы передав их преступникам, — провальный результат. Впрочем, процент не имеет значения, если он выше ноля. Одного скомпрометированного аккаунта более чем достаточно для доступа к конфиденциальной информации.
Если бы атака была реальной, после неё хакеры смогли бы следить за всем, что происходит в компании. А когда подвернётся подходящий повод, провести таргетированную атаку на кого-то из топ-менеджеров. Она могла бы привести к куда более печальным последствиям.
Считается, что популярные почтовые сервисы вычисляют потенциально опасные письма и отправляют их в спам или как минимум помечают. В действительности профессиональный пентестер с лёгкостью обойдёт спам-фильтр. И даже наш не слишком серьёзный эксперимент показал, что способности алгоритмов переоценены.
Мы не использовали подмену домена, отправляли письма через стандартный SMTP-протокол. Если бы адресаты открыли его в клиенте Outlook, то увидели бы адрес отправителя — product=cmmt.ru@mg.tpko.ru. Но их сервис показал только присвоенный ник — product@cmtt.ru. Иконка, предупреждающая об опасности, не появилась.
У нас было много обращений от компаний, которые столкнулись со взломом рабочей почты. Иногда это приводит к дискредитации корпоративных систем — например, CRM. Но чаще орудуют дилетанты, которые не идут дальше почты и пытаются там найти полезную для себя информацию.
В любом случае, мы всегда советуем перейти со стандартного почтового сервиса на Microsoft Exchange. Встроенные алгоритмы безопасности фильтруют спам и защищают ящики от вредоносных программ.
Настроив специализированные решения, можно защитить не только пользователей, но и сами сервисы. Сценарий атаки на «Комитет» был бы неэффективным, если бы для доступа к интранету требовалась двухфакторная аутентификация, которая теперь там появится. Сейчас, когда многие работают с домашних компьютеров и не обновляют ПО, это особенно актуально.
Мы заметили, что одна из сотрудниц открыла письмо в Chrome 60-й версии, вышедшей более трёх лет назад. Она настолько уязвима, что браузер можно взломать без каких-либо действий со стороны пользователя. И включённая функция автозаполнения откроет преступникам все двери.
Если мошенники захотят, они узнают о вашей компании почти всё
Хакеры не персонализируют фишинговые рассылки, ориентированные на рядовых пользователей. Рассчитывают, что кто-то из сотен адресатов легкомысленно отнесётся даже к откровенно подозрительному письму. И познакомится с вирусом-шифровальщиком.
Атаки на корпоративные системы — совсем другая история. Им предшествует сбор информации о компании и её сотрудниках, социотехнический сценарий наполняют деталями, чтобы усыпить бдительность. И чем больше потенциальная выгода для преступников, тем более изощрённые приёмы они используют.
Сбор информации, бывает, занимает несколько месяцев. Разведка проводится на основе открытых источников — о любой компании можно многое узнать в интернете. Для этого созданы десятки автоматизированных инструментов. Подходящая наживка может обнаружиться на сайте с вакансиями, в финансовой отчётности или новостной ленте.
Более того, большинство компаний сами упрощают работу хакерам, подробно рассказывая о тонкостях организации рабочих процессов в публичном пространстве. А соцсети сотрудников — и вовсе бесценный источник знаний для преступников. Очень легко представить ситуацию, когда кто-то из коллег выложил фотографию ремонтируемого офиса с подробным описанием.
От изощрённых атак спасёт песочница
Кибераудит «Комитета» открыл вымышленным мошенникам прямую дорогу к внутреннему сервису — пользователи передали логины и пароли. Но на деле сценарии с фальшивой страницей, имитирующей корпоративную, используют сравнительно редко. К ней ещё нужно получить доступ, а сервис может быть программно закрыт для незарегистрированных устройств.
Так что хакеры обычно идут в обход — с помощью вредоносного софта эксплуатируют компьютер ничего не подозревающего сотрудника. Встречаются, например, программы, записывающие все нажатия на кнопки клавиатуры. А в худшем случае на компьютере поселится «троян», атакующий компанию изнутри. Чтобы впустить его, достаточно перейти по ссылке в письме или открыть вложенный файл.
То есть целевое для преступников действие — это всего один клик. Ошибиться может и самый недоверчивый. А стандартные алгоритмы защиты электронной почты, вероятно, не выручат. Они блокируют известные угрозы, но бессильны перед угрозами нулевого дня.
Письмо обойдёт фильтр, если при проверке ссылки она окажется недоступной или будет вести на нескомпрометированный сайт. Через некоторое время хакер поменяет указатель, и пользователь кликнет уже на вредоносную ссылку.
Предотвратить такие угрозы позволяют решения службы Microsoft Defender. Все ссылки по умолчанию проверяются в облачном фильтре в реальном времени. Если она оказывается подозрительной, появляется предупреждение.
А вложенные файлы отправляются в так называемую песочницу. Песочница эмулирует операционную систему и приложения, установленные на компьютере, и анализирует, как ведёт себя файл. Зловред выдаст себя, запустив неположенный процесс.
Пакет решений, обеспечивающих базовую защиту, включая двухфакторную аутентификацию, входит в состав Microsoft Exchange. Если компании требуется детализированная политика безопасности, стоит подключить один из расширенных тарифов. Не обязательно платить за все услуги, логичнее действовать избирательно.
Скажем, некоторых пользователей можно снабдить максимальной защитой, а для рядовых сотрудников установить только контроль доступа к электронной почте. При входе с проверенного устройства никаких дополнительный проверок не будет. А если устройство не соответствует той конфигурации, которую задал администратор, может потребоваться та же двухфакторная аутентификация.
Пароли — один из наиболее уязвимых элементов кибербезопасности. Поэтому Microsoft вкладывает много усилий в продвижение и развитие поддержки беспарольных методов аутентификации. И в собственных сервисах, и в унаследованных инфраструктурах.
Замена паролей на аутентификацию на основе ключей (FIDO2 и Windows Hello for Business), использование одноразовых TOTP-кодов или подтверждение через зарегистрированное устройство с Microsoft Authenticator полностью разрушает устоявшиеся тактики атаки на учётные данные. Пользователь, отвыкший вводить пароль, будет более насторожено относиться к призыву ввести его на ресурсах, где этого ранее не требовалось.
Проверку сотрудников на знание базовых правил кибергигиены можно заказать здесь, а «Комитет» пойдёт усиливать безопасность своего интранета.
И за это не увольняют?
В любой компании сделай такой тест — придется уволить половину. Потому что вторая половина редко в почту заходит
Все ошибаются, но нужно кратко обучать сотрудников быть внимательными. Иначе можно остаться без сотрудников)))
Во-первых вы растеряете весь вой офис, потому что тогда увольнять выходит 60% работников. Работать будет некому. А во-вторых совершенно не факт, что вы потом наберете более грамотных. Те, кто работают в компании сейчас, они уже знакомы с работой, пока наберешь, пока обучишь, а потом опять проверишь и опять выяснится, что те же 60% опять допустили такие ошибки. Плюс в принципе все зависит от цели хакера, обмануть можно любого пользователя, в том числе и вас. Может быть не так просто, впрочем это уже и не очень просто было, но в любом случае обмануть возможно. Написать текст к которому не прикопаешься, сделать адрес сайта максимально похожим на нужный и все, если сделать отличие в пару символов, то фиг ты отличишь оригинальный сайт от неоригинального при том, что ты не заподозришь проблем в конкретном письме, а об атаке никто никогда заранее не предупреждает. Вопрос в целях, если взлом сулит большие деньги в итоге, то найдут как взломать или через кого взломать. Достаточно увести данные от одного аккаунта и все. Плюс в конце концов есть другие способы. В любом случае кирпичную стену ты никогда не выстроишь, если очень надо будет данные уведут. Другое дело, что это лучше бы, чтобы было как можно более трудоемкое дело. Но опять же, такая атака уже не очень простая, по тексту совершенно не очевидно, что это странное письмо, а на домен все равно никто никогда не смотрит.
не все же сотрудники достаточно грамотные
Что понятно из статьи — уровень сетевой культуры в редакции низкий, пользовались бы хранилками паролей — такая ситуация была бы невозможна. Человек может не обратить внимания на адрес сайта, но менеджер паролей такого сайта не знает. 🤷♀️
Осталось только список скомпрометированных паролей выложить:
имя кошки+год рождения
номер машины+телефон
и т.д.
😂
А разве хранилки паролей надёжны? Полный архив ваших сайтов и доступов к ним