Атака на компанию через Telegram

Самая уязвимая часть Telegram - это люди. Подделка документов, конкурентная разведка, любовные связи и любители запрещенных веществ. Читайте об этом в кейсе атаки на компанию.

Я Альберт Базалеев, эксперт в сфере информационной безопасности бизнеса. Одно из моих направлений - проект “Варежка”, это софт, который защищает корпоративные Telegram-аккаунты от злоумышленников и конкурентной разведки.

Две предыдущие статьи собрали много комментариев. Спасибо за обратную связь!

Если вы мои статьи ещё не читали:

Были пожелания, что полезно бы в дополнение к теории добавить конкретики.

ОК, делюсь недавним кейсом.

С чего все начиналось

2021 год. Компания N расширяет свое присутствие в соседних регионах. При входе на новый рынок столкнулась с компьютерными атаками, организованными конкурентами. Информационные ресурсы компании постоянно сканировались на уязвимости с целью проникновения, сайты подверглись DDoS-атакам, на корпоративные почты точечно направлялись письма с вредоносными вложениями. Со временем атаки прекратились, но в компании заметили, что клиенты уходят к конкурентам.

В процессе расследования выяснилось, что конкуренты знали подробности конфиденциальных условий договоров - и переманивали старых клиентов на более выгодные условия. И порой цена предложения конкурента была ниже себестоимости продукции.

Внутри компании N решили провести проверку режима коммерческой тайны, а также уделить внимание конфиденциальности внутренней информации. С таким запросом компания обратилась к моей команде.

Что показала проверка

В ходе проверки было выявлено много мелких нарушений режима коммерческой тайны, которые не могли привести к таким утечкам данных о клиентах. Однако мы обратили внимание, что многие рабочие вопросы обсуждались сотрудниками в Telegram. Например, в подразделениях создавались группы, в которых обсуждались результаты планерок.

В процессе беседы с некоторыми сотрудниками выяснилось, что во время компьютерных атак им в Telegram приходили фишинговые сообщения от имени технической поддержки мессенджера. Пользователю рекомендовалось подтвердить право владения аккаунтом во избежание его блокировки.

Проблема якобы решалась переходом на веб-версию Telegram, в которой нужно было авторизоваться. Мы просили показать данные об открытых сеансах (на каких устройствах открыт Telegram), чтобы понять, имеет ли доступ к переписке потенциальный злоумышленник. И сотрудники искренне удивлялись неизвестному сеансу!

Кроме того, службой безопасности компании N был выявлен круг лиц, которые могли получать данные о скидках и иных особых условиях коммерческих предложений. Среди них нашлись те, кто скрывал факт взлома Telegram.

Разоблачение

Оказалось, что один из сотрудников очень любил дымящиеся запрещенные вещества, состоял в соответствующих группах. Злоумышленники это выяснили в результате анализа переписки, получили фото и видеозаписи досуга. После чего начали шантажировать тем, что сдадут его правоохранительным органам, если сотрудник не будет предоставлять информацию о компании.

Другая же сотрудница попалась на крючок, так как имела близкие отношения с коллегой. Конечно, она не хотела, чтобы ее супруг был в курсе этих подробностей. Поэтому согласилась выполнять просьбы злоумышленников.

Реакция собственников на всё это:

Вопросы правовой ответственности за утечку коммерческой тайны тут рассматривать не будем, как и личную жизнь людей.

Атака через SIM

Интересная ситуация получилась с одним из топ-менеджеров.

Получив от других сотрудников личные данные топа, злоумышленник подделал документы и обратился в салон связи. Получил SIM-карту, к которой был привязан мессенджер. Двухфакторная аутентификация не была активирована, поэтому злоумышленник сразу получил доступ к переписке.

Оператор связи отправляет оповещение на номер, который собираются восстановить. В оповещении предупреждает: если это не вы меняете номер, то позвоните оператору. Топ-менеджер обратил внимание на оповещение оператора связи об операции с SIM-картой спустя 15 минут.

Неизвестно, что именно злоумышленник мог успеть скопировать из переписки. Топ заявил, что в переписке не было “ничего такого”, но, честно говоря, мы в этом не уверены.

Что дальше

В результате проверок были приняты меры по усилению режима коммерческой тайны. В компании N понимали, что у злоумышленников в руках находится база контактов, которую они получили в результате доступа в Telegram, а также много информации от сотрудников, которые были на крючке. Было логично ожидать повторную волну атаки через Telegram.

Сложно контролировать, как сотрудники используют мессенджер: устанавливают ли они двухфакторную аутентификацию, с каких устройств работают. Это закон больших чисел: в компании всегда найдется кто-то уязвимый к атакам.

Что касается защиты аккаунтов Telegram, мы поняли, что двухфакторной аутентификации не хватает. Нужен продвинутый уровень защиты аккаунта. И решение мы увидели в постоянном мониторинге списка открытых сеансов аккаунта. Если IP-адрес сеанса вдруг стал иностранным, то нужно такой сеанс разрывать. Или если появляется новая сессия (с нового устройства), и мы понимаем, что она несанкционированная, то следует предотвращать подключение к аккаунту.

Такое техническое решение для компании мы разработали и внедрили.

А еще мы выяснили, что и злоумышленники совершают ошибки. Нам удалось зафиксировать IP-адреса российского сегмента сети Интернет, с которых велись несанкционированные подключения. Видимо, у кого-то VPN отвалился.

Вот такая история.

Так что и в жизни бывают истории, похожие больше на дешевый сериал. В этом кейсе конкуренты слишком агрессивно начали атаковать, поэтому атака была быстро замечена.

Более опасны варианты, когда “крот” внедряется в компанию и начинает методично сливать данные. И не менее опасен вариант, когда у сотрудников есть вербовочная уязвимость, за которую можно зацепиться.

Поделитесь в комментариях, сталкивались ли со взломом или нечестным поведением конкурентов?

0
54 комментария
Написать комментарий...
Андрей Чуринов
Ответить
Развернуть ветку
Pavel Loginov

Я ждал истории про то, как злоумышленнику пришлось спать с бухгалтершей, чтобы потом шантажировать...

Ответить
Развернуть ветку
2 комментария
Юрий

Често говоря звучит как бред.
Кому вообще надо прикладывать такие усилия для взлома и шантажа.

Ответить
Развернуть ветку
Alexey QuQu

Мне кажется процентов 80 вымысел, некая страшилка для заказчиков

Ответить
Развернуть ветку
2 комментария
Альберт Базалеев
Автор

Прикладывают еще какие усилия. Деньги всем нужны. Это еще не усилия. Для заказчиков атак - это всего лишь найм специалистов.

Ответить
Развернуть ветку
Филипп Р

в смысле кому? конкурентам жеж.

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Альберт Базалеев
Автор

Я так понимаю, что за что смогли зацепиться, так и начали давить.
А что касается таких чатов, то они есть и видимо будут. Группы насчитывают с десяток тысяч пользователей.

Ответить
Развернуть ветку
8 комментариев
Денис Денисов

Так этот сказочник начитался Кевина Митника и просто переписал кейсы под ру аудиторию . Наркоманы, шантаж , обсуждение планёрок в телеге , когда есть более защищённые мессенджеры .ну бред же 😂

Ответить
Развернуть ветку
2 комментария
Andrey Shevtsov

И на видео снимать

Ответить
Развернуть ветку
Andrew Simon

Вполне неплохо. Было бы интересно узнать, в какой области работает компания N, раз даже вербовка человека уровня увлечения дымящимися веществам потенциально можеть принести столько вреда.

Ответить
Развернуть ветку
Альберт Базалеев
Автор

Отрасль называть не буду, NDA. Поверьте, люди разного уровня чем только не балуются в любой отрасли.

Ответить
Развернуть ветку
4 комментария
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Artem Sabaev

Все как обычно

Ответить
Развернуть ветку
Kira Lee

Гм. интересно, спасибо

Ответить
Развернуть ветку
Камиль Авгаев

Такие схемы больше для крупного бизнеса, для той же конкурентойн разведки это наверное дорого, даже если есть что разведывать. но цели разные конечно

Ответить
Развернуть ветку
Филипп Р

ну не так дорого, думаю, чем последствия

Ответить
Развернуть ветку
Альберт Базалеев
Автор

Неспроста о проблеме нехватке специалистов информационной безопасности уже начали говорить открыто, как бизнес так и госсектор. Если компания крупная, то для нее это копейки.

Ответить
Развернуть ветку
Nort

Интересный кейс особенно, когда понимаешь, что в основном взламывают людей, а не устройства. Помню как раньше взламывали - отправляли фишинговые письма на почту с вирусом или делали липовые страницы входя для вк

Ответить
Развернуть ветку
Альберт Базалеев
Автор

Правильно Вы сказали о людях. Есть другой пример. Не взлом телеги, а вк. Причем у такой крупной компании как Яндекс: в ходе атаки выяснилось, что у админа не была включена двухфакторка. https://www.rbc.ru/rbcfreenews/61c08e4e9a79470da102917f

Ответить
Развернуть ветку
1 комментарий
Альберт Базалеев
Автор

Атаки носят комбинированный характер: проводится работа как с людьми, так и техникой.

Ответить
Развернуть ветку
2 комментария
Pol Bal

Не понимаю, чаще всего используют телеграм для таких дел или как? Если да, то почему его?

Ответить
Развернуть ветку
Меркушев Леонид

Он сейчас пользуется большой популярностью, именно для рабочих моментов , тк его сложно сзломать и прочесть переписку

Ответить
Развернуть ветку
2 комментария
Альберт Базалеев
Автор

У телеграма сообщения хранятся в облаке, он удобен и популярен. Поэтому он и интересен злоумышленникам.
Как пример, у того же вотсапа доступ к сообщениям можно получить только через веб-версию.

Ответить
Развернуть ветку
Семен Переделкин

А тех сотрудников, что сливали, оставили что ли?

Ответить
Развернуть ветку
Альберт Базалеев
Автор

Кто сливал уволили в конечном итоге, но не сразу. На кого-то уголовку возбудили.

Ответить
Развернуть ветку
Дмитрий Кудряшов

Из практике прошлой работы знаю, что такого рода разведка - норм. Для службы безопасности крупных компаний это просто ежедневная рутина

Ответить
Развернуть ветку
Альберт Базалеев
Автор

Да, причем сейчас уже в порядке вещей при приеме на работу смотреть человека по социальным сетям, его родственников. А когда речь идет о защите бизнеса, то те, кто может позволить, проводят разведку по опасным конкурентам.

Ответить
Развернуть ветку
Tim Akhmetov

"Мгновенный разрыв" - как это мониторится? апи?

https://t.me/viavidchat/85

Ответить
Развернуть ветку
Альберт Базалеев
Автор

))) Да, API для Telegram.

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Наврузжон Нарматов

однозначно сказать нельзя. бывает что цепочка то нужной цели как раз с рядового персонала начинается

Ответить
Развернуть ветку
51 комментарий
Раскрывать всегда