Фишинговая атака на сотрудников vc.ru прошла успешно
Эксперимент Microsoft и редакции.
Пару недель назад сотрудники компании «Комитет» (управляет площадками vc.ru, TJournal, DTF и Coub) получили письмо от директора по продукту Владислава Цыплухина. Оно по разным причинам могло показаться странным, но не при беглом изучении, как мы обычно просматриваем письма.
Большинство адресатов не обратили внимания на детали и прочитали только текст, который не вызывал подозрений:
Ссылка вела на страницу, которая точно повторяет дизайн авторизации внутреннего портала. На этом сайте в целом нет ничего секретного — неформальное корпоративное общение и обмен технической информацией между сотрудниками.
Домен этой страницы не имел ничего общего с адресом настоящего интранета:
Но результаты получились безрадостными:
- 57 человек получили письмо.
- 53 открыли его.
- 41 сотрудник перешёл по ссылке.
- 34 ввели логин и пароль.
Один слитый пароль — это уже провал
К счастью, случилась не настоящая фишинговая атака, а её лёгкая имитация — кибераудит, который Microsoft проводит вместе с партнёрами MONT и «Технополис». Это бесплатная услуга для пользователей корпоративных продуктов службы Microsoft 365. Кибераудит позволяет выявить у сотрудников пробелы в базовых знаниях кибербезопасности.
Специалисты узнают у клиента, о чём стоит написать в письме, чтобы зацепить сотрудников. А по завершении атаки составляют статистический отчёт и проводят консультацию — какие бреши нашлись в системе безопасности даже при таком поверхностном пентесте и как их закрыть.
В зависимости от вовлечённости заказчика письмо для кибераудита может получиться шаблонным или настолько же сложным для распознавания фишинга, как сообщение для сотрудников «Комитета».
Почти 60% адресатов ввели логин и пароль, тем самым как бы передав их преступникам, — провальный результат. Впрочем, процент не имеет значения, если он выше ноля. Одного скомпрометированного аккаунта более чем достаточно для доступа к конфиденциальной информации.
Если бы атака была реальной, после неё хакеры смогли бы следить за всем, что происходит в компании. А когда подвернётся подходящий повод, провести таргетированную атаку на кого-то из топ-менеджеров. Она могла бы привести к куда более печальным последствиям.
Если мошенники захотят, они узнают о вашей компании почти всё
Хакеры не персонализируют фишинговые рассылки, ориентированные на рядовых пользователей. Рассчитывают, что кто-то из сотен адресатов легкомысленно отнесётся даже к откровенно подозрительному письму. И познакомится с вирусом-шифровальщиком.
Атаки на корпоративные системы — совсем другая история. Им предшествует сбор информации о компании и её сотрудниках, социотехнический сценарий наполняют деталями, чтобы усыпить бдительность. И чем больше потенциальная выгода для преступников, тем более изощрённые приёмы они используют.
Сбор информации, бывает, занимает несколько месяцев. Разведка проводится на основе открытых источников — о любой компании можно многое узнать в интернете. Для этого созданы десятки автоматизированных инструментов. Подходящая наживка может обнаружиться на сайте с вакансиями, в финансовой отчётности или новостной ленте.
Более того, большинство компаний сами упрощают работу хакерам, подробно рассказывая о тонкостях организации рабочих процессов в публичном пространстве. А соцсети сотрудников — и вовсе бесценный источник знаний для преступников. Очень легко представить ситуацию, когда кто-то из коллег выложил фотографию ремонтируемого офиса с подробным описанием.
От изощрённых атак спасёт песочница
Кибераудит «Комитета» открыл вымышленным мошенникам прямую дорогу к внутреннему сервису — пользователи передали логины и пароли. Но на деле сценарии с фальшивой страницей, имитирующей корпоративную, используют сравнительно редко. К ней ещё нужно получить доступ, а сервис может быть программно закрыт для незарегистрированных устройств.
Так что хакеры обычно идут в обход — с помощью вредоносного софта эксплуатируют компьютер ничего не подозревающего сотрудника. Встречаются, например, программы, записывающие все нажатия на кнопки клавиатуры. А в худшем случае на компьютере поселится «троян», атакующий компанию изнутри. Чтобы впустить его, достаточно перейти по ссылке в письме или открыть вложенный файл.
То есть целевое для преступников действие — это всего один клик. Ошибиться может и самый недоверчивый. А стандартные алгоритмы защиты электронной почты, вероятно, не выручат. Они блокируют известные угрозы, но бессильны перед угрозами нулевого дня.
Письмо обойдёт фильтр, если при проверке ссылки она окажется недоступной или будет вести на нескомпрометированный сайт. Через некоторое время хакер поменяет указатель, и пользователь кликнет уже на вредоносную ссылку.
Предотвратить такие угрозы позволяют решения службы Microsoft Defender. Все ссылки по умолчанию проверяются в облачном фильтре в реальном времени. Если она оказывается подозрительной, появляется предупреждение.
А вложенные файлы отправляются в так называемую песочницу. Песочница эмулирует операционную систему и приложения, установленные на компьютере, и анализирует, как ведёт себя файл. Зловред выдаст себя, запустив неположенный процесс.
Проверку сотрудников на знание базовых правил кибергигиены можно заказать здесь, а «Комитет» пойдёт усиливать безопасность своего интранета.
Помнится, лет 10 назад какая-то компания, занимающаяся ИБ, пришла к крупному клиенту и предложила свои услуги. Ответом на это стало что-то типа "у нас все хорошо". ИБ-шники предложили тест: если они за 1 день получат доступ в систему, договор все-таки будет заключен.
Контракт они получили. Утром перед входом в офис были разбросаны флешки, которые нерадивые сотрудники подбирали и... втыкали в свои АРМ-ы. Так человеческий фактор доказал, что он всегда придумает, как сломать нерушимое.
P.S. да, я понимаю, что обычно порты залочены. За что купил - за то продал.
Вообще, опасно взламывать до подписания договора)