Фишинговая атака на сотрудников vc.ru прошла успешно
Эксперимент Microsoft и редакции.
Пару недель назад сотрудники компании «Комитет» (управляет площадками vc.ru, TJournal, DTF и Coub) получили письмо от директора по продукту Владислава Цыплухина. Оно по разным причинам могло показаться странным, но не при беглом изучении, как мы обычно просматриваем письма.
Большинство адресатов не обратили внимания на детали и прочитали только текст, который не вызывал подозрений:
Ссылка вела на страницу, которая точно повторяет дизайн авторизации внутреннего портала. На этом сайте в целом нет ничего секретного — неформальное корпоративное общение и обмен технической информацией между сотрудниками.
Домен этой страницы не имел ничего общего с адресом настоящего интранета:
Но результаты получились безрадостными:
- 57 человек получили письмо.
- 53 открыли его.
- 41 сотрудник перешёл по ссылке.
- 34 ввели логин и пароль.
Один слитый пароль — это уже провал
К счастью, случилась не настоящая фишинговая атака, а её лёгкая имитация — кибераудит, который Microsoft проводит вместе с партнёрами MONT и «Технополис». Это бесплатная услуга для пользователей корпоративных продуктов службы Microsoft 365. Кибераудит позволяет выявить у сотрудников пробелы в базовых знаниях кибербезопасности.
Специалисты узнают у клиента, о чём стоит написать в письме, чтобы зацепить сотрудников. А по завершении атаки составляют статистический отчёт и проводят консультацию — какие бреши нашлись в системе безопасности даже при таком поверхностном пентесте и как их закрыть.
В зависимости от вовлечённости заказчика письмо для кибераудита может получиться шаблонным или настолько же сложным для распознавания фишинга, как сообщение для сотрудников «Комитета».
Почти 60% адресатов ввели логин и пароль, тем самым как бы передав их преступникам, — провальный результат. Впрочем, процент не имеет значения, если он выше ноля. Одного скомпрометированного аккаунта более чем достаточно для доступа к конфиденциальной информации.
Если бы атака была реальной, после неё хакеры смогли бы следить за всем, что происходит в компании. А когда подвернётся подходящий повод, провести таргетированную атаку на кого-то из топ-менеджеров. Она могла бы привести к куда более печальным последствиям.
Если мошенники захотят, они узнают о вашей компании почти всё
Хакеры не персонализируют фишинговые рассылки, ориентированные на рядовых пользователей. Рассчитывают, что кто-то из сотен адресатов легкомысленно отнесётся даже к откровенно подозрительному письму. И познакомится с вирусом-шифровальщиком.
Атаки на корпоративные системы — совсем другая история. Им предшествует сбор информации о компании и её сотрудниках, социотехнический сценарий наполняют деталями, чтобы усыпить бдительность. И чем больше потенциальная выгода для преступников, тем более изощрённые приёмы они используют.
Сбор информации, бывает, занимает несколько месяцев. Разведка проводится на основе открытых источников — о любой компании можно многое узнать в интернете. Для этого созданы десятки автоматизированных инструментов. Подходящая наживка может обнаружиться на сайте с вакансиями, в финансовой отчётности или новостной ленте.
Более того, большинство компаний сами упрощают работу хакерам, подробно рассказывая о тонкостях организации рабочих процессов в публичном пространстве. А соцсети сотрудников — и вовсе бесценный источник знаний для преступников. Очень легко представить ситуацию, когда кто-то из коллег выложил фотографию ремонтируемого офиса с подробным описанием.
От изощрённых атак спасёт песочница
Кибераудит «Комитета» открыл вымышленным мошенникам прямую дорогу к внутреннему сервису — пользователи передали логины и пароли. Но на деле сценарии с фальшивой страницей, имитирующей корпоративную, используют сравнительно редко. К ней ещё нужно получить доступ, а сервис может быть программно закрыт для незарегистрированных устройств.
Так что хакеры обычно идут в обход — с помощью вредоносного софта эксплуатируют компьютер ничего не подозревающего сотрудника. Встречаются, например, программы, записывающие все нажатия на кнопки клавиатуры. А в худшем случае на компьютере поселится «троян», атакующий компанию изнутри. Чтобы впустить его, достаточно перейти по ссылке в письме или открыть вложенный файл.
То есть целевое для преступников действие — это всего один клик. Ошибиться может и самый недоверчивый. А стандартные алгоритмы защиты электронной почты, вероятно, не выручат. Они блокируют известные угрозы, но бессильны перед угрозами нулевого дня.
Письмо обойдёт фильтр, если при проверке ссылки она окажется недоступной или будет вести на нескомпрометированный сайт. Через некоторое время хакер поменяет указатель, и пользователь кликнет уже на вредоносную ссылку.
Предотвратить такие угрозы позволяют решения службы Microsoft Defender. Все ссылки по умолчанию проверяются в облачном фильтре в реальном времени. Если она оказывается подозрительной, появляется предупреждение.
А вложенные файлы отправляются в так называемую песочницу. Песочница эмулирует операционную систему и приложения, установленные на компьютере, и анализирует, как ведёт себя файл. Зловред выдаст себя, запустив неположенный процесс.
Проверку сотрудников на знание базовых правил кибергигиены можно заказать здесь, а «Комитет» пойдёт усиливать безопасность своего интранета.
И за это не увольняют?
В любой компании сделай такой тест — придется уволить половину. Потому что вторая половина редко в почту заходит
Все ошибаются, но нужно кратко обучать сотрудников быть внимательными. Иначе можно остаться без сотрудников)))
Во-первых вы растеряете весь вой офис, потому что тогда увольнять выходит 60% работников. Работать будет некому. А во-вторых совершенно не факт, что вы потом наберете более грамотных. Те, кто работают в компании сейчас, они уже знакомы с работой, пока наберешь, пока обучишь, а потом опять проверишь и опять выяснится, что те же 60% опять допустили такие ошибки. Плюс в принципе все зависит от цели хакера, обмануть можно любого пользователя, в том числе и вас. Может быть не так просто, впрочем это уже и не очень просто было, но в любом случае обмануть возможно. Написать текст к которому не прикопаешься, сделать адрес сайта максимально похожим на нужный и все, если сделать отличие в пару символов, то фиг ты отличишь оригинальный сайт от неоригинального при том, что ты не заподозришь проблем в конкретном письме, а об атаке никто никогда заранее не предупреждает. Вопрос в целях, если взлом сулит большие деньги в итоге, то найдут как взломать или через кого взломать. Достаточно увести данные от одного аккаунта и все. Плюс в конце концов есть другие способы. В любом случае кирпичную стену ты никогда не выстроишь, если очень надо будет данные уведут. Другое дело, что это лучше бы, чтобы было как можно более трудоемкое дело. Но опять же, такая атака уже не очень простая, по тексту совершенно не очевидно, что это странное письмо, а на домен все равно никто никогда не смотрит.
не все же сотрудники достаточно грамотные
Что понятно из статьи — уровень сетевой культуры в редакции низкий, пользовались бы хранилками паролей — такая ситуация была бы невозможна. Человек может не обратить внимания на адрес сайта, но менеджер паролей такого сайта не знает. 🤷♀️
Осталось только список скомпрометированных паролей выложить:
имя кошки+год рождения
номер машины+телефон
и т.д.
😂
А разве хранилки паролей надёжны? Полный архив ваших сайтов и доступов к ним
Это если хранилка паролей в виде плагина к браузеру. Это один из многих вариантов.
Хотелось бы успокоить сотрудников «Комитет», судя по результатам наших тестов в разных компаниях, 40-60% сотрудников попадаются на социальную инженерию и попадаются на уловки хакеров, т.е. это обычный средний показатель. И судя по кейсам, не принципиально, обучали сотрудников до этого или нет.
Всё дело в секретном ингредиенте, тогда через несколько месяцев с 60% показатель снизится до 2%.
Желаю успехов в повышении осведомленности, в России эта область только развивается (к сожалению).
Что за секретный ингредиент?
Плохой аудит , надо было там же заставить пройти «анонимный « опрос- скажите , кто самый самый конченый руководитель в нашей компании )
Комментарий недоступен
Спасибо, что помните, Артур :)
Вообще, ничего такая статья. Думаю подобное устроить у себя в компании)
надо было так:
"Привет.
Как вы знаете, мы переделываем московский офис. Скидываемся по 1500р на шторы."
Комментарий недоступен
Комментарий недоступен
Тоже интересно
Я раньше сомневался, но теперь точно уверен, что на vc.ru, TJournal, DTF и Coub работают одни дегенераты упоротые, которых может развести даже школьник без навыков СИ
Спасибо что читаете нас! 💖
Комментарий недоступен
Какая-то неуместная шутка
Почаще надо делать такую симуляцию сотрудникам, чтоб были всегда на чеку.
+ обязательное оебновление софта. Ведь если засекли что ктото вошел со старой версии браузера то можно и ограничить любые действия на сайте если версия не соответствует требуемой.
+ двух факторная авторизация конечно.
А где тэг #постпроплачен ?
На самом деле замена парольной авторизации это еще большее зло - еще меньше будет способов определить подставу, еще меньше вариантов быстро своими силами закрыть дыру в безопасности - любой 0day сразу станет массовым а вам останется только отключать скомпроментированную систему из сети.
Единственная на практике работающая технология защиты это зонирование, разделение инфраструктуры на закрытые зоны, без сквозного доступа.
Так работают ИТ-системы во всех спецслужбах, в банках и всяких газпромах.
Помнится, лет 10 назад какая-то компания, занимающаяся ИБ, пришла к крупному клиенту и предложила свои услуги. Ответом на это стало что-то типа "у нас все хорошо". ИБ-шники предложили тест: если они за 1 день получат доступ в систему, договор все-таки будет заключен.
Контракт они получили. Утром перед входом в офис были разбросаны флешки, которые нерадивые сотрудники подбирали и... втыкали в свои АРМ-ы. Так человеческий фактор доказал, что он всегда придумает, как сломать нерушимое.
P.S. да, я понимаю, что обычно порты залочены. За что купил - за то продал.
Вообще, опасно взламывать до подписания договора)
- Письмо от директора;
- Скопирован внешний вид внутреннего сайта;
- В письме инфа о внутренней кухне конторы;
- Есть инфа обо всех адресах рассылки.
Если в действительности такое письмо придет сотрудникам, то это не к ним вопросы должны быть, а к СБ и самому директору.
Завтра к сотруднику придет генеральный директор и лично и попросит отправить письмо на левую почту с инфой. А потом хоп - это была проверка и сотрудник слил инфу конкурентам. Виноват сотрудник, а гендир просто проверочку устроил))
Прочитав статистику, бросила читать дальше. Потому что пошла реклама бесполезной, на мой взгляд, услуги. Хотя, может, только мне так кажется, а в больших компаниях будут другого мнения.
нет принудительного 2FA
плакать, что всё плохо
Ну конечно плохо. Использовать технологии 19 века и думать, что они ещё актуальны.
Ага, записываем
«Если бы атака была реальной, после неё хакеры смогли бы следить за всем, что происходит в компании. А когда подвернётся подходящий повод, провести таргетированную атаку на кого-то из топ-менеджеров. Она могла бы привести к куда более печальным последствиям.»
да ну? так вообще бывает?
в твиттере было
Хех, а я думал Технополис чисто кировская шарашка, за его пределами неизвестная.
Слитое фото, видео, матерные переписки и все такое будут?
Можно для тупых?
Как интранет вообще позволил инородную ссылку и переход по ней?
очень много способов обойти систему безопасности, есть даже универсальные. Визжащий свиньей касперский или блокирующий каждый выход в интернет аваст нервно курят в сторонке.
А что не так в ссылках? У людей же компьютеры подключены к интернету.
А может быть, имитировать всё-таки реальные кейсы, когда злоумышленники высылают письма, основываясь на информации из собственных источников?
Судя по тексту, 34 ввели пароль, а остальные решили, отложить на потом? Хоть 1 из 50 понял, что это атака?
Порочная практика, сводящая ВСЮ безопасность к ОДНОЙ общей для всего учётной записи, когда достаточно получить один пароль - и всё, доступное этому сотруднику известно с потрохами.
Вы когда-нибудь в жизни встречали, чтобы сейф, квартира и почтовый ящик открывались одним и тем же ключом от домофона? А политика Микрософт устроена именно так.
Кстати в одной из наших компаний доступ к интранету был по емайл. Вводишь мыло, тебе прилетает ссылка, идёшь по ней получаешь на неделю куку. В такой системе подобный фишинг не сработает.
Я подозрительные письма и вложения открываю на айфоне - ему не страшно.
:)))
http://www.spacesounds.com
Юзайте автозаполнение, оно привязано к домену
Комментарий удален модератором
Компании спасает только то, что они, в абсолютно подавляющим большинстве, нафик не нужны никаким хакерам.
Комментарий удален модератором
Комментарий удален модератором
Комментарий удален модератором
Комментарий удален модератором
Комментарий удален модератором