Атака на компанию через Telegram

Самая уязвимая часть Telegram - это люди. Подделка документов, конкурентная разведка, любовные связи и любители запрещенных веществ. Читайте об этом в кейсе атаки на компанию.

Я Альберт Базалеев, эксперт в сфере информационной безопасности бизнеса. Одно из моих направлений - проект “Варежка”, это софт, который защищает корпоративные Telegram-аккаунты от злоумышленников и конкурентной разведки.

Две предыдущие статьи собрали много комментариев. Спасибо за обратную связь!

Если вы мои статьи ещё не читали:

Потерять канал в телеграме и заодно репутацию? Это легче, чем вы думаете

Взломан Telegram миллиардера. Как злоумышленники могут навредить после взлома

Были пожелания, что полезно бы в дополнение к теории добавить конкретики.

ОК, делюсь недавним кейсом.

2021 год. Компания N расширяет свое присутствие в соседних регионах. При входе на новый рынок столкнулась с компьютерными атаками, организованными конкурентами. Информационные ресурсы компании постоянно сканировались на уязвимости с целью проникновения, сайты подверглись DDoS-атакам, на корпоративные почты точечно направлялись письма с вредоносными вложениями. Со временем атаки прекратились, но в компании заметили, что клиенты уходят к конкурентам.

В процессе расследования выяснилось, что конкуренты знали подробности конфиденциальных условий договоров - и переманивали старых клиентов на более выгодные условия. И порой цена предложения конкурента была ниже себестоимости продукции.

Внутри компании N решили провести проверку режима коммерческой тайны, а также уделить внимание конфиденциальности внутренней информации. С таким запросом компания обратилась к моей команде.

В ходе проверки было выявлено много мелких нарушений режима коммерческой тайны, которые не могли привести к таким утечкам данных о клиентах. Однако мы обратили внимание, что многие рабочие вопросы обсуждались сотрудниками в Telegram. Например, в подразделениях создавались группы, в которых обсуждались результаты планерок.

В процессе беседы с некоторыми сотрудниками выяснилось, что во время компьютерных атак им в Telegram приходили фишинговые сообщения от имени технической поддержки мессенджера. Пользователю рекомендовалось подтвердить право владения аккаунтом во избежание его блокировки.

Проблема якобы решалась переходом на веб-версию Telegram, в которой нужно было авторизоваться. Мы просили показать данные об открытых сеансах (на каких устройствах открыт Telegram), чтобы понять, имеет ли доступ к переписке потенциальный злоумышленник. И сотрудники искренне удивлялись неизвестному сеансу!

Кроме того, службой безопасности компании N был выявлен круг лиц, которые могли получать данные о скидках и иных особых условиях коммерческих предложений. Среди них нашлись те, кто скрывал факт взлома Telegram.

Оказалось, что один из сотрудников очень любил дымящиеся запрещенные вещества, состоял в соответствующих группах. Злоумышленники это выяснили в результате анализа переписки, получили фото и видеозаписи досуга. После чего начали шантажировать тем, что сдадут его правоохранительным органам, если сотрудник не будет предоставлять информацию о компании.

Другая же сотрудница попалась на крючок, так как имела близкие отношения с коллегой. Конечно, она не хотела, чтобы ее супруг был в курсе этих подробностей. Поэтому согласилась выполнять просьбы злоумышленников.

Реакция собственников на всё это:

Вопросы правовой ответственности за утечку коммерческой тайны тут рассматривать не будем, как и личную жизнь людей.

Интересная ситуация получилась с одним из топ-менеджеров.

Получив от других сотрудников личные данные топа, злоумышленник подделал документы и обратился в салон связи. Получил SIM-карту, к которой был привязан мессенджер. Двухфакторная аутентификация не была активирована, поэтому злоумышленник сразу получил доступ к переписке.

Оператор связи отправляет оповещение на номер, который собираются восстановить. В оповещении предупреждает: если это не вы меняете номер, то позвоните оператору. Топ-менеджер обратил внимание на оповещение оператора связи об операции с SIM-картой спустя 15 минут.

Неизвестно, что именно злоумышленник мог успеть скопировать из переписки. Топ заявил, что в переписке не было “ничего такого”, но, честно говоря, мы в этом не уверены.

В результате проверок были приняты меры по усилению режима коммерческой тайны. В компании N понимали, что у злоумышленников в руках находится база контактов, которую они получили в результате доступа в Telegram, а также много информации от сотрудников, которые были на крючке. Было логично ожидать повторную волну атаки через Telegram.

Сложно контролировать, как сотрудники используют мессенджер: устанавливают ли они двухфакторную аутентификацию, с каких устройств работают. Это закон больших чисел: в компании всегда найдется кто-то уязвимый к атакам.

Что касается защиты аккаунтов Telegram, мы поняли, что двухфакторной аутентификации не хватает. Нужен продвинутый уровень защиты аккаунта. И решение мы увидели в постоянном мониторинге списка открытых сеансов аккаунта. Если IP-адрес сеанса вдруг стал иностранным, то нужно такой сеанс разрывать. Или если появляется новая сессия (с нового устройства), и мы понимаем, что она несанкционированная, то следует предотвращать подключение к аккаунту.

Такое техническое решение для компании мы разработали и внедрили.

А еще мы выяснили, что и злоумышленники совершают ошибки. Нам удалось зафиксировать IP-адреса российского сегмента сети Интернет, с которых велись несанкционированные подключения. Видимо, у кого-то VPN отвалился.

Вот такая история.

Так что и в жизни бывают истории, похожие больше на дешевый сериал. В этом кейсе конкуренты слишком агрессивно начали атаковать, поэтому атака была быстро замечена.

Более опасны варианты, когда “крот” внедряется в компанию и начинает методично сливать данные. И не менее опасен вариант, когда у сотрудников есть вербовочная уязвимость, за которую можно зацепиться.

Поделитесь в комментариях, сталкивались ли со взломом или нечестным поведением конкурентов?