Microsoft

Фишинговая атака на сотрудников vc.ru прошла успешно

Эксперимент Microsoft и редакции.

Пару недель назад сотрудники компании «Комитет» (управляет площадками vc.ru, TJournal, DTF и Coub) получили письмо от директора по продукту Владислава Цыплухина. Оно по разным причинам могло показаться странным, но не при беглом изучении, как мы обычно просматриваем письма.

Большинство адресатов не обратили внимания на детали и прочитали только текст, который не вызывал подозрений:

Привет.

Как вы знаете, мы переделываем московский офис. Строим стену, которая отрежет «мягкую» зону, переговорку и значительную часть арендной платы. Сэкономленные деньги пойдут на переоборудование оставшейся площади.

Скорее всего, появится второй этаж — я решил, что будет справедливо, если у каждого сотрудника будет право голоса, как он должен выглядеть.

Есть три идеи, у каждой свои преимущества и недостатки. Поделитесь, какая из них вам нравится больше и почему. Вся информация — в документе по ссылке. Там же есть небольшой опрос. Его нужно пройти до конца завтрашнего дня.

Ссылка вела на страницу, которая точно повторяет дизайн авторизации внутреннего портала. На этом сайте в целом нет ничего секретного — неформальное корпоративное общение и обмен технической информацией между сотрудниками.

Домен этой страницы не имел ничего общего с адресом настоящего интранета:

Но результаты получились безрадостными:

  • 57 человек получили письмо.
  • 53 открыли его.
  • 41 сотрудник перешёл по ссылке.
  • 34 ввели логин и пароль.

Один слитый пароль — это уже провал

К счастью, случилась не настоящая фишинговая атака, а её лёгкая имитация — кибераудит, который Microsoft проводит вместе с партнёрами MONT и «Технополис». Это бесплатная услуга для пользователей корпоративных продуктов службы Microsoft 365. Кибераудит позволяет выявить у сотрудников пробелы в базовых знаниях кибербезопасности.

По статистике, около 80% всех киберинцидентов происходят из-за человеческого фактора. А их средний ущерб для малого и среднего бизнеса оценивается в 1,6 миллиона рублей.

Специалисты узнают у клиента, о чём стоит написать в письме, чтобы зацепить сотрудников. А по завершении атаки составляют статистический отчёт и проводят консультацию — какие бреши нашлись в системе безопасности даже при таком поверхностном пентесте и как их закрыть.

В зависимости от вовлечённости заказчика письмо для кибераудита может получиться шаблонным или настолько же сложным для распознавания фишинга, как сообщение для сотрудников «Комитета».

Наш офис действительно перестраивается. Кто там не появляется из-за пандемии, давно узнали о ремонте из интранета. Так что текст получился актуальным и беспощадным.

Но казалось, сам факт того, что сооснователь вдруг решил обратиться к сотрудникам по электронной почте, должен был насторожить — он обычно так не делает. О новостях мы объявляем в интранете, а уведомления о новых публикациях приходят по другому каналу — отправлять письмо нет смысла.

К тому же в письме не было подписи, а домен страницы по ссылке кричал о своей нечистоплотности.

Дмитрий Мухин
креативный продюсер vc.ru

Почти 60% адресатов ввели логин и пароль, тем самым как бы передав их преступникам, — провальный результат. Впрочем, процент не имеет значения, если он выше ноля. Одного скомпрометированного аккаунта более чем достаточно для доступа к конфиденциальной информации.

Если бы атака была реальной, после неё хакеры смогли бы следить за всем, что происходит в компании. А когда подвернётся подходящий повод, провести таргетированную атаку на кого-то из топ-менеджеров. Она могла бы привести к куда более печальным последствиям.

Считается, что популярные почтовые сервисы вычисляют потенциально опасные письма и отправляют их в спам или как минимум помечают. В действительности профессиональный пентестер с лёгкостью обойдёт спам-фильтр. И даже наш не слишком серьёзный эксперимент показал, что способности алгоритмов переоценены.

Мы не использовали подмену домена, отправляли письма через стандартный SMTP-протокол. Если бы адресаты открыли его в клиенте Outlook, то увидели бы адрес отправителя — product=cmmt.ru@mg.tpko.ru. Но их сервис показал только присвоенный ник — product@cmtt.ru. Иконка, предупреждающая об опасности, не появилась.

У нас было много обращений от компаний, которые столкнулись со взломом рабочей почты. Иногда это приводит к дискредитации корпоративных систем — например, CRM. Но чаще орудуют дилетанты, которые не идут дальше почты и пытаются там найти полезную для себя информацию.

В любом случае, мы всегда советуем перейти со стандартного почтового сервиса на Microsoft Exchange. Встроенные алгоритмы безопасности фильтруют спам и защищают ящики от вредоносных программ.

Настроив специализированные решения, можно защитить не только пользователей, но и сами сервисы. Сценарий атаки на «Комитет» был бы неэффективным, если бы для доступа к интранету требовалась двухфакторная аутентификация, которая теперь там появится. Сейчас, когда многие работают с домашних компьютеров и не обновляют ПО, это особенно актуально.

Мы заметили, что одна из сотрудниц открыла письмо в Chrome 60-й версии, вышедшей более трёх лет назад. Она настолько уязвима, что браузер можно взломать без каких-либо действий со стороны пользователя. И включённая функция автозаполнения откроет преступникам все двери.

Антон Коваленченко
технический эксперт по решениям Microsoft Azure компании MONT

Если мошенники захотят, они узнают о вашей компании почти всё

Хакеры не персонализируют фишинговые рассылки, ориентированные на рядовых пользователей. Рассчитывают, что кто-то из сотен адресатов легкомысленно отнесётся даже к откровенно подозрительному письму. И познакомится с вирусом-шифровальщиком.

Атаки на корпоративные системы — совсем другая история. Им предшествует сбор информации о компании и её сотрудниках, социотехнический сценарий наполняют деталями, чтобы усыпить бдительность. И чем больше потенциальная выгода для преступников, тем более изощрённые приёмы они используют.

Сбор информации, бывает, занимает несколько месяцев. Разведка проводится на основе открытых источников — о любой компании можно многое узнать в интернете. Для этого созданы десятки автоматизированных инструментов. Подходящая наживка может обнаружиться на сайте с вакансиями, в финансовой отчётности или новостной ленте.

Более того, большинство компаний сами упрощают работу хакерам, подробно рассказывая о тонкостях организации рабочих процессов в публичном пространстве. А соцсети сотрудников — и вовсе бесценный источник знаний для преступников. Очень легко представить ситуацию, когда кто-то из коллег выложил фотографию ремонтируемого офиса с подробным описанием.

От изощрённых атак спасёт песочница

Кибераудит «Комитета» открыл вымышленным мошенникам прямую дорогу к внутреннему сервису — пользователи передали логины и пароли. Но на деле сценарии с фальшивой страницей, имитирующей корпоративную, используют сравнительно редко. К ней ещё нужно получить доступ, а сервис может быть программно закрыт для незарегистрированных устройств.

Так что хакеры обычно идут в обход — с помощью вредоносного софта эксплуатируют компьютер ничего не подозревающего сотрудника. Встречаются, например, программы, записывающие все нажатия на кнопки клавиатуры. А в худшем случае на компьютере поселится «троян», атакующий компанию изнутри. Чтобы впустить его, достаточно перейти по ссылке в письме или открыть вложенный файл.

То есть целевое для преступников действие — это всего один клик. Ошибиться может и самый недоверчивый. А стандартные алгоритмы защиты электронной почты, вероятно, не выручат. Они блокируют известные угрозы, но бессильны перед угрозами нулевого дня.

Письмо обойдёт фильтр, если при проверке ссылки она окажется недоступной или будет вести на нескомпрометированный сайт. Через некоторое время хакер поменяет указатель, и пользователь кликнет уже на вредоносную ссылку.

Предотвратить такие угрозы позволяют решения службы Microsoft Defender. Все ссылки по умолчанию проверяются в облачном фильтре в реальном времени. Если она оказывается подозрительной, появляется предупреждение.

А вложенные файлы отправляются в так называемую песочницу. Песочница эмулирует операционную систему и приложения, установленные на компьютере, и анализирует, как ведёт себя файл. Зловред выдаст себя, запустив неположенный процесс.

Пакет решений, обеспечивающих базовую защиту, включая двухфакторную аутентификацию, входит в состав Microsoft Exchange. Если компании требуется детализированная политика безопасности, стоит подключить один из расширенных тарифов. Не обязательно платить за все услуги, логичнее действовать избирательно.

Скажем, некоторых пользователей можно снабдить максимальной защитой, а для рядовых сотрудников установить только контроль доступа к электронной почте. При входе с проверенного устройства никаких дополнительный проверок не будет. А если устройство не соответствует той конфигурации, которую задал администратор, может потребоваться та же двухфакторная аутентификация.

Дмитрий Узлов
специалист по решениям безопасности в экосистеме Microsoft компании «Технополис»

Пароли — один из наиболее уязвимых элементов кибербезопасности. Поэтому Microsoft вкладывает много усилий в продвижение и развитие поддержки беспарольных методов аутентификации. И в собственных сервисах, и в унаследованных инфраструктурах.

Замена паролей на аутентификацию на основе ключей (FIDO2 и Windows Hello for Business), использование одноразовых TOTP-кодов или подтверждение через зарегистрированное устройство с Microsoft Authenticator полностью разрушает устоявшиеся тактики атаки на учётные данные. Пользователь, отвыкший вводить пароль, будет более насторожено относиться к призыву ввести его на ресурсах, где этого ранее не требовалось.

Кирилл Богданов

эксперт по решениям Microsoft в области информационной безопасности

Проверку сотрудников на знание базовых правил кибергигиены можно заказать здесь, а «Комитет» пойдёт усиливать безопасность своего интранета.

{ "author_name": "Microsoft", "author_type": "editor", "tags": [], "comments": 68, "likes": 81, "favorites": 26, "is_advertisement": false, "subsite_label": "microsoft", "id": 185135, "is_wide": true, "is_ugc": false, "date": "Tue, 08 Dec 2020 14:08:42 +0300", "is_special": false }
0
68 комментариев
Популярные
По порядку
Написать комментарий...
1

И за это не увольняют?

Ответить
66

В любой компании сделай такой тест — придется уволить половину. Потому что вторая половина редко в почту заходит

Ответить
15

У меня яндекс своё же письмо от юmoney в спам кинул, потому что подозрительным посчитал.

Ответить
49

Это специально, назло Сберу

Ответить
2

Потому что юмани - уже не яндексовские, яндекс продал все акции сберу, вот и отделился

Ответить
3

@Роман Анисимов
Основная задача ИБ в компаниях не специализирующихся на ИБ - это не мешать основному бизнесу, косвенный ущерб не сопоставим с доходами. Никто увольнять классного маркетолога за это не будет. Вот сис админа - можно пожурить. Потому что не провел вовремя обучение по безопасности.

Ответить
6

Все ошибаются, но нужно кратко обучать сотрудников быть внимательными. Иначе можно остаться без сотрудников)))

Ответить
4

Во-первых вы растеряете весь вой офис, потому что тогда увольнять выходит 60% работников. Работать будет некому. А во-вторых совершенно не факт, что вы потом наберете более грамотных. Те, кто работают в компании сейчас, они уже знакомы с работой, пока наберешь, пока обучишь, а потом опять проверишь и опять выяснится, что те же 60% опять допустили такие ошибки. Плюс в принципе все зависит от цели хакера, обмануть можно любого пользователя, в том числе и вас. Может быть не так просто, впрочем это уже и не очень просто было, но в любом случае обмануть возможно. Написать текст  к которому не прикопаешься, сделать адрес сайта максимально похожим на нужный и все, если сделать отличие в пару символов, то фиг ты отличишь оригинальный сайт от неоригинального при том, что ты не заподозришь проблем в конкретном письме, а об атаке никто никогда заранее не предупреждает. Вопрос в целях, если взлом сулит большие деньги в итоге, то найдут как взломать или через кого взломать. Достаточно увести данные от одного аккаунта и все. Плюс в конце концов есть другие способы. В любом случае кирпичную стену ты никогда не выстроишь, если очень надо будет данные уведут. Другое дело, что это лучше бы, чтобы было как можно более трудоемкое дело. Но опять же, такая атака уже не очень простая, по тексту совершенно не очевидно, что это странное письмо, а на домен все равно никто никогда не смотрит.

Ответить
1

не все же сотрудники достаточно грамотные 

Ответить
16

Что понятно из статьи — уровень сетевой культуры в редакции низкий, пользовались бы хранилками паролей — такая ситуация была бы невозможна. Человек может не обратить внимания на адрес сайта, но менеджер паролей такого сайта не знает. 🤷‍♀️

Осталось только список скомпрометированных паролей выложить:

имя кошки+год рождения
номер машины+телефон
и т.д.

😂

Ответить
2

А разве хранилки паролей надёжны? Полный архив ваших сайтов и доступов к ним

Ответить
6

Разумеется зашифрованный архив с двухфакторной аутентификацией совершенно ненадёжная вещь, кот+год рождения обладает куда большей криптостойкостью.

Ответить
2

Хранить что-то на чужом сервере, даже с декларируемой двухфакторной аутентификацией. Нет, спасибо. У себя надежнее

Ответить
6

Я на эту тему на VC уже раз 15 спорил, даже начинать не буду. 😊

Ответить
2

Когда неграмотность пытаются компенсировать паранойей...

Ответить
1

Это если хранилка паролей в виде плагина к браузеру. Это один из многих вариантов.

Ответить
12

Хотелось бы успокоить сотрудников «Комитет», судя по результатам наших тестов в разных компаниях, 40-60% сотрудников попадаются на социальную инженерию и попадаются на уловки хакеров, т.е. это обычный средний показатель. И судя по кейсам, не принципиально, обучали сотрудников до этого или нет.
Всё дело в секретном ингредиенте, тогда через несколько месяцев с 60% показатель снизится до 2%.
Желаю успехов в повышении осведомленности, в России эта область только развивается (к сожалению). 

Ответить
1

Что за секретный ингредиент?

Ответить
8

Пацан самопиарится.
Речь об обучении сотрудников, учебных атаках и т.п. Его компания занимается этим.

Ответить
15

Не пиарится, а внаглую рекламируется

Ответить
4

Децимация.

Ответить
0

Некоторым даже центезимация помогает, но такое можно применять только к диверсантам, которые отказываются от обучения

Ответить
1

Регулярность

Ответить
8

Плохой аудит , надо было там же заставить пройти «анонимный « опрос- скажите , кто самый самый конченый руководитель в нашей компании )

Ответить
6

А ведь @Юрий Другач предупреждал.

Ответить
6

Спасибо, что помните, Артур :)

Ответить
7

Вообще, ничего такая статья. Думаю подобное устроить у себя в компании)

Ответить
6

надо было так:
"Привет.
Как вы знаете, мы переделываем московский офис. Скидываемся по 1500р на шторы."

Ответить

Голый бинокль

4

Комментарий удален по просьбе пользователя

Ответить
6

Вы зря ржете, а может она просто user-agent'а подменила, с целью повышения собственной анонимности?

Ответить

Голый бинокль

Anonim
0

Комментарий удален по просьбе пользователя

Ответить
1

Есть расширение на FireFox - User-Agent Switcher and Manager, оно подменяет и OS, и браузер, и его версию. Также в FireFox можно зайти в about:config и вообще отключить user-agent. То есть, в этом вообще нет ничего сложного.

Ответить
1

Тоже интересно

Ответить
1

Я раньше сомневался, но теперь точно уверен, что на vc.ru, TJournal, DTF и Coub работают одни дегенераты упоротые, которых может развести даже школьник без навыков СИ

Ответить
5

Спасибо что читаете нас! 💖

Ответить
2

Нас не изнасиловали, мы сами попросили

Ответить
1

Какая-то неуместная шутка

Ответить
0

как и статья

Ответить
1

Почаще надо делать такую симуляцию сотрудникам, чтоб были всегда на чеку.
+ обязательное оебновление софта. Ведь если засекли что ктото вошел со старой версии браузера то можно и ограничить любые действия на сайте если версия не соответствует требуемой.
+ двух факторная авторизация конечно.

Ответить
1

А где тэг #постпроплачен ?

Ответить
1

На самом деле замена парольной авторизации это еще большее зло - еще меньше будет способов определить подставу, еще меньше вариантов быстро своими силами закрыть дыру в безопасности - любой 0day сразу станет массовым а вам останется только отключать скомпроментированную систему из сети.

Единственная на практике работающая технология защиты это зонирование, разделение инфраструктуры на закрытые зоны, без сквозного доступа.

Так работают ИТ-системы во всех спецслужбах, в банках и всяких газпромах.

Ответить
1

Помнится, лет 10 назад какая-то компания, занимающаяся ИБ, пришла к крупному клиенту и предложила свои услуги. Ответом на это стало что-то типа "у нас все хорошо". ИБ-шники предложили тест: если они за 1 день получат доступ в систему, договор все-таки будет заключен. 
Контракт они получили. Утром перед входом в офис были разбросаны флешки, которые нерадивые сотрудники подбирали и... втыкали в свои АРМ-ы. Так человеческий фактор доказал, что он всегда придумает, как сломать нерушимое.

P.S. да, я понимаю, что обычно порты залочены. За что купил - за то продал.

Ответить
0

Вообще, опасно взламывать до подписания договора)

Ответить
1

- Письмо от директора;
- Скопирован внешний вид внутреннего сайта;
- В письме инфа о внутренней кухне конторы;
- Есть инфа обо всех адресах рассылки.

Если в действительности такое письмо придет сотрудникам, то это не к ним вопросы должны быть, а к СБ и самому директору.

Завтра к сотруднику придет генеральный директор и лично и попросит отправить письмо на левую почту с инфой. А потом хоп - это была проверка и сотрудник слил инфу конкурентам. Виноват сотрудник, а гендир просто проверочку устроил))

Ответить
1

Прочитав статистику, бросила читать дальше. Потому что пошла реклама бесполезной, на мой взгляд, услуги. Хотя, может, только мне так кажется, а в больших компаниях будут другого мнения. 

Ответить
1

авторизация по кредам

нет принудительного 2FA

плакать, что всё плохо

Ну конечно плохо. Использовать технологии 19 века и думать, что они ещё актуальны.

Ответить
0

Ага, записываем

Ответить
0

«Если бы атака была реальной, после неё хакеры смогли бы следить за всем, что происходит в компании. А когда подвернётся подходящий повод, провести таргетированную атаку на кого-то из топ-менеджеров. Она могла бы привести к куда более печальным последствиям.»

да ну? так вообще бывает?

Ответить
1

в твиттере было

Ответить
0

ну в больших корпорациях понятно – там куш может быть интересным, но что может заставить хакеров внедряться и мониторить внутреннюю переписку vc.ru – меня удивил подобный варант развития событий 

Ответить
2

ну, я фразу про топ-менеджеров воспринял именно применительно к большим компаниям - откуда топ-менеджеры в vc.ru? :)

Ответить
0

Аналогично

Ответить
0

Хех, а я думал Технополис чисто кировская шарашка, за его пределами неизвестная.

Ответить
0

Но результаты получились безрадостными:

Слитое фото, видео, матерные переписки и все такое будут?

Ответить
0

Можно для тупых?

Как интранет вообще позволил инородную ссылку и переход по ней?

Ответить
0

очень много способов обойти систему безопасности, есть даже универсальные. Визжащий свиньей касперский или блокирующий каждый выход в интернет аваст нервно курят в сторонке. 

Ответить
0

А что не так в ссылках? У людей же компьютеры подключены к интернету.

Ответить
0

Ну я просто думал смысл Интранета это контроль доступа доменом и не пущать людей в мир Всемирной паутины внутри интранета.

Но видать представление мое неверное, или пользование товарищем статьи самим понятием Интранета))

Ответить
0

Специалисты узнают у клиента, о чём стоит написать в письме, чтобы зацепить сотрудников

А может быть, имитировать всё-таки реальные кейсы, когда злоумышленники высылают письма, основываясь на информации из собственных источников? 

Ответить
0

Судя по тексту, 34 ввели пароль, а остальные решили, отложить на потом? Хоть 1 из 50 понял, что это атака?

Ответить
0

Порочная практика, сводящая ВСЮ безопасность к ОДНОЙ общей для всего учётной записи, когда достаточно получить один пароль - и всё, доступное этому сотруднику известно с потрохами.
Вы когда-нибудь в жизни встречали, чтобы сейф, квартира и почтовый ящик открывались одним и тем же ключом от домофона? А политика Микрософт устроена именно так. 

Ответить
0

Кстати в одной из наших компаний доступ к интранету был по емайл. Вводишь мыло, тебе прилетает ссылка, идёшь по ней получаешь на неделю куку. В такой системе подобный фишинг не сработает.

Ответить
0

Я подозрительные письма и вложения открываю на айфоне - ему не страшно. 
:)))

Ответить
0

Юзайте автозаполнение, оно привязано к домену

Ответить
0

Компании спасает только то, что они, в абсолютно подавляющим большинстве, нафик не нужны никаким хакерам.

Ответить

Комментарий удален

Комментарии

null