Фишинговая атака на сотрудников vc.ru прошла успешно

Эксперимент Microsoft и редакции.

Пару недель назад сотрудники компании «Комитет» (управляет площадками vc.ru, TJournal, DTF и Coub) получили письмо от директора по продукту Владислава Цыплухина. Оно по разным причинам могло показаться странным, но не при беглом изучении, как мы обычно просматриваем письма.

Большинство адресатов не обратили внимания на детали и прочитали только текст, который не вызывал подозрений:

Привет.

Как вы знаете, мы переделываем московский офис. Строим стену, которая отрежет «мягкую» зону, переговорку и значительную часть арендной платы. Сэкономленные деньги пойдут на переоборудование оставшейся площади.

Скорее всего, появится второй этаж — я решил, что будет справедливо, если у каждого сотрудника будет право голоса, как он должен выглядеть.

Есть три идеи, у каждой свои преимущества и недостатки. Поделитесь, какая из них вам нравится больше и почему. Вся информация — в документе по ссылке. Там же есть небольшой опрос. Его нужно пройти до конца завтрашнего дня.

Ссылка вела на страницу, которая точно повторяет дизайн авторизации внутреннего портала. На этом сайте в целом нет ничего секретного — неформальное корпоративное общение и обмен технической информацией между сотрудниками.

Домен этой страницы не имел ничего общего с адресом настоящего интранета:

Но результаты получились безрадостными:

  • 57 человек получили письмо.
  • 53 открыли его.
  • 41 сотрудник перешёл по ссылке.
  • 34 ввели логин и пароль.

Один слитый пароль — это уже провал

К счастью, случилась не настоящая фишинговая атака, а её лёгкая имитация — кибераудит, который Microsoft проводит вместе с партнёрами MONT и «Технополис». Это бесплатная услуга для пользователей корпоративных продуктов службы Microsoft 365. Кибераудит позволяет выявить у сотрудников пробелы в базовых знаниях кибербезопасности.

По статистике, около 80% всех киберинцидентов происходят из-за человеческого фактора. А их средний ущерб для малого и среднего бизнеса оценивается в 1,6 миллиона рублей.

Специалисты узнают у клиента, о чём стоит написать в письме, чтобы зацепить сотрудников. А по завершении атаки составляют статистический отчёт и проводят консультацию — какие бреши нашлись в системе безопасности даже при таком поверхностном пентесте и как их закрыть.

В зависимости от вовлечённости заказчика письмо для кибераудита может получиться шаблонным или настолько же сложным для распознавания фишинга, как сообщение для сотрудников «Комитета».

Наш офис действительно перестраивается. Кто там не появляется из-за пандемии, давно узнали о ремонте из интранета. Так что текст получился актуальным и беспощадным.

Но казалось, сам факт того, что сооснователь вдруг решил обратиться к сотрудникам по электронной почте, должен был насторожить — он обычно так не делает. О новостях мы объявляем в интранете, а уведомления о новых публикациях приходят по другому каналу — отправлять письмо нет смысла.

К тому же в письме не было подписи, а домен страницы по ссылке кричал о своей нечистоплотности.

Дмитрий Мухин, креативный продюсер vc.ru

Почти 60% адресатов ввели логин и пароль, тем самым как бы передав их преступникам, — провальный результат. Впрочем, процент не имеет значения, если он выше ноля. Одного скомпрометированного аккаунта более чем достаточно для доступа к конфиденциальной информации.

Если бы атака была реальной, после неё хакеры смогли бы следить за всем, что происходит в компании. А когда подвернётся подходящий повод, провести таргетированную атаку на кого-то из топ-менеджеров. Она могла бы привести к куда более печальным последствиям.

Считается, что популярные почтовые сервисы вычисляют потенциально опасные письма и отправляют их в спам или как минимум помечают. В действительности профессиональный пентестер с лёгкостью обойдёт спам-фильтр. И даже наш не слишком серьёзный эксперимент показал, что способности алгоритмов переоценены.

Мы не использовали подмену домена, отправляли письма через стандартный SMTP-протокол. Если бы адресаты открыли его в клиенте Outlook, то увидели бы адрес отправителя — [email protected]. Но их сервис показал только присвоенный ник — [email protected]. Иконка, предупреждающая об опасности, не появилась.

У нас было много обращений от компаний, которые столкнулись со взломом рабочей почты. Иногда это приводит к дискредитации корпоративных систем — например, CRM. Но чаще орудуют дилетанты, которые не идут дальше почты и пытаются там найти полезную для себя информацию.

В любом случае, мы всегда советуем перейти со стандартного почтового сервиса на Microsoft Exchange. Встроенные алгоритмы безопасности фильтруют спам и защищают ящики от вредоносных программ.

Настроив специализированные решения, можно защитить не только пользователей, но и сами сервисы. Сценарий атаки на «Комитет» был бы неэффективным, если бы для доступа к интранету требовалась двухфакторная аутентификация, которая теперь там появится. Сейчас, когда многие работают с домашних компьютеров и не обновляют ПО, это особенно актуально.

Мы заметили, что одна из сотрудниц открыла письмо в Chrome 60-й версии, вышедшей более трёх лет назад. Она настолько уязвима, что браузер можно взломать без каких-либо действий со стороны пользователя. И включённая функция автозаполнения откроет преступникам все двери.

Антон Коваленченко, технический эксперт по решениям Microsoft Azure компании MONT

Если мошенники захотят, они узнают о вашей компании почти всё

Хакеры не персонализируют фишинговые рассылки, ориентированные на рядовых пользователей. Рассчитывают, что кто-то из сотен адресатов легкомысленно отнесётся даже к откровенно подозрительному письму. И познакомится с вирусом-шифровальщиком.

Атаки на корпоративные системы — совсем другая история. Им предшествует сбор информации о компании и её сотрудниках, социотехнический сценарий наполняют деталями, чтобы усыпить бдительность. И чем больше потенциальная выгода для преступников, тем более изощрённые приёмы они используют.

Сбор информации, бывает, занимает несколько месяцев. Разведка проводится на основе открытых источников — о любой компании можно многое узнать в интернете. Для этого созданы десятки автоматизированных инструментов. Подходящая наживка может обнаружиться на сайте с вакансиями, в финансовой отчётности или новостной ленте.

Более того, большинство компаний сами упрощают работу хакерам, подробно рассказывая о тонкостях организации рабочих процессов в публичном пространстве. А соцсети сотрудников — и вовсе бесценный источник знаний для преступников. Очень легко представить ситуацию, когда кто-то из коллег выложил фотографию ремонтируемого офиса с подробным описанием.

От изощрённых атак спасёт песочница

Кибераудит «Комитета» открыл вымышленным мошенникам прямую дорогу к внутреннему сервису — пользователи передали логины и пароли. Но на деле сценарии с фальшивой страницей, имитирующей корпоративную, используют сравнительно редко. К ней ещё нужно получить доступ, а сервис может быть программно закрыт для незарегистрированных устройств.

Так что хакеры обычно идут в обход — с помощью вредоносного софта эксплуатируют компьютер ничего не подозревающего сотрудника. Встречаются, например, программы, записывающие все нажатия на кнопки клавиатуры. А в худшем случае на компьютере поселится «троян», атакующий компанию изнутри. Чтобы впустить его, достаточно перейти по ссылке в письме или открыть вложенный файл.

То есть целевое для преступников действие — это всего один клик. Ошибиться может и самый недоверчивый. А стандартные алгоритмы защиты электронной почты, вероятно, не выручат. Они блокируют известные угрозы, но бессильны перед угрозами нулевого дня.

Письмо обойдёт фильтр, если при проверке ссылки она окажется недоступной или будет вести на нескомпрометированный сайт. Через некоторое время хакер поменяет указатель, и пользователь кликнет уже на вредоносную ссылку.

Предотвратить такие угрозы позволяют решения службы Microsoft Defender. Все ссылки по умолчанию проверяются в облачном фильтре в реальном времени. Если она оказывается подозрительной, появляется предупреждение.

А вложенные файлы отправляются в так называемую песочницу. Песочница эмулирует операционную систему и приложения, установленные на компьютере, и анализирует, как ведёт себя файл. Зловред выдаст себя, запустив неположенный процесс.

Пакет решений, обеспечивающих базовую защиту, включая двухфакторную аутентификацию, входит в состав Microsoft Exchange. Если компании требуется детализированная политика безопасности, стоит подключить один из расширенных тарифов. Не обязательно платить за все услуги, логичнее действовать избирательно.

Скажем, некоторых пользователей можно снабдить максимальной защитой, а для рядовых сотрудников установить только контроль доступа к электронной почте. При входе с проверенного устройства никаких дополнительный проверок не будет. А если устройство не соответствует той конфигурации, которую задал администратор, может потребоваться та же двухфакторная аутентификация.

Дмитрий Узлов, специалист по решениям безопасности в экосистеме Microsoft компании «Технополис»

Пароли — один из наиболее уязвимых элементов кибербезопасности. Поэтому Microsoft вкладывает много усилий в продвижение и развитие поддержки беспарольных методов аутентификации. И в собственных сервисах, и в унаследованных инфраструктурах.

Замена паролей на аутентификацию на основе ключей (FIDO2 и Windows Hello for Business), использование одноразовых TOTP-кодов или подтверждение через зарегистрированное устройство с Microsoft Authenticator полностью разрушает устоявшиеся тактики атаки на учётные данные. Пользователь, отвыкший вводить пароль, будет более насторожено относиться к призыву ввести его на ресурсах, где этого ранее не требовалось.

Кирилл Богданов,

эксперт по решениям Microsoft в области информационной безопасности

Проверку сотрудников на знание базовых правил кибергигиены можно заказать здесь, а «Комитет» пойдёт усиливать безопасность своего интранета.

0
67 комментариев
Написать комментарий...
Роман Анисимов

И за это не увольняют?

Ответить
Развернуть ветку
S.Z

В любой компании сделай такой тест — придется уволить половину. Потому что вторая половина редко в почту заходит

Ответить
Развернуть ветку
4 комментария
Mike Kosulin

Все ошибаются, но нужно кратко обучать сотрудников быть внимательными. Иначе можно остаться без сотрудников)))

Ответить
Развернуть ветку
Даниил Куденко

Во-первых вы растеряете весь вой офис, потому что тогда увольнять выходит 60% работников. Работать будет некому. А во-вторых совершенно не факт, что вы потом наберете более грамотных. Те, кто работают в компании сейчас, они уже знакомы с работой, пока наберешь, пока обучишь, а потом опять проверишь и опять выяснится, что те же 60% опять допустили такие ошибки. Плюс в принципе все зависит от цели хакера, обмануть можно любого пользователя, в том числе и вас. Может быть не так просто, впрочем это уже и не очень просто было, но в любом случае обмануть возможно. Написать текст  к которому не прикопаешься, сделать адрес сайта максимально похожим на нужный и все, если сделать отличие в пару символов, то фиг ты отличишь оригинальный сайт от неоригинального при том, что ты не заподозришь проблем в конкретном письме, а об атаке никто никогда заранее не предупреждает. Вопрос в целях, если взлом сулит большие деньги в итоге, то найдут как взломать или через кого взломать. Достаточно увести данные от одного аккаунта и все. Плюс в конце концов есть другие способы. В любом случае кирпичную стену ты никогда не выстроишь, если очень надо будет данные уведут. Другое дело, что это лучше бы, чтобы было как можно более трудоемкое дело. Но опять же, такая атака уже не очень простая, по тексту совершенно не очевидно, что это странное письмо, а на домен все равно никто никогда не смотрит.

Ответить
Развернуть ветку
Christina Homyak

не все же сотрудники достаточно грамотные 

Ответить
Развернуть ветку
Evil Pechenka

Что понятно из статьи — уровень сетевой культуры в редакции низкий, пользовались бы хранилками паролей — такая ситуация была бы невозможна. Человек может не обратить внимания на адрес сайта, но менеджер паролей такого сайта не знает. 🤷‍♀️

Осталось только список скомпрометированных паролей выложить:

имя кошки+год рождения
номер машины+телефон
и т.д.

😂

Ответить
Развернуть ветку
Сергей Королевский

А разве хранилки паролей надёжны? Полный архив ваших сайтов и доступов к ним

Ответить
Развернуть ветку
4 комментария
Максим Малыгин

Это если хранилка паролей в виде плагина к браузеру. Это один из многих вариантов.

Ответить
Развернуть ветку
1 комментарий
Юрий Другач

Хотелось бы успокоить сотрудников «Комитет», судя по результатам наших тестов в разных компаниях, 40-60% сотрудников попадаются на социальную инженерию и попадаются на уловки хакеров, т.е. это обычный средний показатель. И судя по кейсам, не принципиально, обучали сотрудников до этого или нет.
Всё дело в секретном ингредиенте, тогда через несколько месяцев с 60% показатель снизится до 2%.
Желаю успехов в повышении осведомленности, в России эта область только развивается (к сожалению). 

Ответить
Развернуть ветку
Сергей Королевский

Что за секретный ингредиент?

Ответить
Развернуть ветку
5 комментариев
Денис Денисов

Плохой аудит , надо было там же заставить пройти «анонимный « опрос- скажите , кто самый самый конченый руководитель в нашей компании )

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Юрий Другач

Спасибо, что помните, Артур :)

Ответить
Развернуть ветку
Yes, Your Grace

Вообще, ничего такая статья. Думаю подобное устроить у себя в компании)

Ответить
Развернуть ветку
Roman Perfilyev

надо было так:
"Привет.
Как вы знаете, мы переделываем московский офис. Скидываемся по 1500р на шторы."

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
2 комментария
Дамир Камалетдинов

Тоже интересно

Ответить
Развернуть ветку
Александр Орлов

Я раньше сомневался, но теперь точно уверен, что на vc.ru, TJournal, DTF и Coub работают одни дегенераты упоротые, которых может развести даже школьник без навыков СИ

Ответить
Развернуть ветку
Denis Shiryaev

Спасибо что читаете нас! 💖

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Максим Малыгин

Какая-то неуместная шутка

Ответить
Развернуть ветку
1 комментарий
Michael Goor

Почаще надо делать такую симуляцию сотрудникам, чтоб были всегда на чеку.
+ обязательное оебновление софта. Ведь если засекли что ктото вошел со старой версии браузера то можно и ограничить любые действия на сайте если версия не соответствует требуемой.
+ двух факторная авторизация конечно.

Ответить
Развернуть ветку
Andrey

А где тэг #постпроплачен ?

Ответить
Развернуть ветку
Alex Chernyshev

На самом деле замена парольной авторизации это еще большее зло - еще меньше будет способов определить подставу, еще меньше вариантов быстро своими силами закрыть дыру в безопасности - любой 0day сразу станет массовым а вам останется только отключать скомпроментированную систему из сети.

Единственная на практике работающая технология защиты это зонирование, разделение инфраструктуры на закрытые зоны, без сквозного доступа.

Так работают ИТ-системы во всех спецслужбах, в банках и всяких газпромах.

Ответить
Развернуть ветку
Олег Darrow

Помнится, лет 10 назад какая-то компания, занимающаяся ИБ, пришла к крупному клиенту и предложила свои услуги. Ответом на это стало что-то типа "у нас все хорошо". ИБ-шники предложили тест: если они за 1 день получат доступ в систему, договор все-таки будет заключен. 
Контракт они получили. Утром перед входом в офис были разбросаны флешки, которые нерадивые сотрудники подбирали и... втыкали в свои АРМ-ы. Так человеческий фактор доказал, что он всегда придумает, как сломать нерушимое.

P.S. да, я понимаю, что обычно порты залочены. За что купил - за то продал.

Ответить
Развернуть ветку
Юрий Другач

Вообще, опасно взламывать до подписания договора)

Ответить
Развернуть ветку
Mikhail Chechetka

- Письмо от директора;
- Скопирован внешний вид внутреннего сайта;
- В письме инфа о внутренней кухне конторы;
- Есть инфа обо всех адресах рассылки.

Если в действительности такое письмо придет сотрудникам, то это не к ним вопросы должны быть, а к СБ и самому директору.

Завтра к сотруднику придет генеральный директор и лично и попросит отправить письмо на левую почту с инфой. А потом хоп - это была проверка и сотрудник слил инфу конкурентам. Виноват сотрудник, а гендир просто проверочку устроил))

Ответить
Развернуть ветку
Наталья Чунина

Прочитав статистику, бросила читать дальше. Потому что пошла реклама бесполезной, на мой взгляд, услуги. Хотя, может, только мне так кажется, а в больших компаниях будут другого мнения. 

Ответить
Развернуть ветку
Dmitry Myachin
авторизация по кредам
нет принудительного 2FA
плакать, что всё плохо

Ну конечно плохо. Использовать технологии 19 века и думать, что они ещё актуальны.

Ответить
Развернуть ветку
Irek Khasyanov

Ага, записываем

Ответить
Развернуть ветку
Alexander Orlovsky

«Если бы атака была реальной, после неё хакеры смогли бы следить за всем, что происходит в компании. А когда подвернётся подходящий повод, провести таргетированную атаку на кого-то из топ-менеджеров. Она могла бы привести к куда более печальным последствиям.»

да ну? так вообще бывает?

Ответить
Развернуть ветку
Bulat Ziganshin

в твиттере было

Ответить
Развернуть ветку
3 комментария
Ray Smith

Хех, а я думал Технополис чисто кировская шарашка, за его пределами неизвестная.

Ответить
Развернуть ветку
Балкон.Ру
Но результаты получились безрадостными:

Слитое фото, видео, матерные переписки и все такое будут?

Ответить
Развернуть ветку
Кирилл Табасов

Можно для тупых?

Как интранет вообще позволил инородную ссылку и переход по ней?

Ответить
Развернуть ветку
Christina Homyak

очень много способов обойти систему безопасности, есть даже универсальные. Визжащий свиньей касперский или блокирующий каждый выход в интернет аваст нервно курят в сторонке. 

Ответить
Развернуть ветку
Максим Малыгин

А что не так в ссылках? У людей же компьютеры подключены к интернету.

Ответить
Развернуть ветку
1 комментарий
Valentin Dombrovsky
Специалисты узнают у клиента, о чём стоит написать в письме, чтобы зацепить сотрудников

А может быть, имитировать всё-таки реальные кейсы, когда злоумышленники высылают письма, основываясь на информации из собственных источников? 

Ответить
Развернуть ветку
Vladimir Medvedev

Судя по тексту, 34 ввели пароль, а остальные решили, отложить на потом? Хоть 1 из 50 понял, что это атака?

Ответить
Развернуть ветку
Макс Петров

Порочная практика, сводящая ВСЮ безопасность к ОДНОЙ общей для всего учётной записи, когда достаточно получить один пароль - и всё, доступное этому сотруднику известно с потрохами.
Вы когда-нибудь в жизни встречали, чтобы сейф, квартира и почтовый ящик открывались одним и тем же ключом от домофона? А политика Микрософт устроена именно так. 

Ответить
Развернуть ветку
Сергей Аримов

Кстати в одной из наших компаний доступ к интранету был по емайл. Вводишь мыло, тебе прилетает ссылка, идёшь по ней получаешь на неделю куку. В такой системе подобный фишинг не сработает.

Ответить
Развернуть ветку
Max Raskolnikov

Я подозрительные письма и вложения открываю на айфоне - ему не страшно. 
:)))

Ответить
Развернуть ветку
Denis Shirkin
Ответить
Развернуть ветку
CHI DA?

Юзайте автозаполнение, оно привязано к домену

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Евгений Новожилов

Компании спасает только то, что они, в абсолютно подавляющим большинстве, нафик не нужны никаким хакерам.

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку

Комментарий удален модератором

Развернуть ветку

Комментарий удален модератором

Развернуть ветку

Комментарий удален модератором

Развернуть ветку

Комментарий удален модератором

Развернуть ветку
64 комментария
Раскрывать всегда