Самая уязвимая часть Telegram - это люди. Подделка документов, конкурентная разведка, любовные связи и любители запрещенных веществ. Читайте об этом в кейсе атаки на компанию.
Я Альберт Базалеев, эксперт в сфере информационной безопасности бизнеса. Одно из моих направлений - проект “Варежка”, это софт, который защищает корпоративные Telegram-аккаунты от злоумышленников и конкурентной разведки.
Две предыдущие статьи собрали много комментариев. Спасибо за обратную связь!
Если вы мои статьи ещё не читали:
Были пожелания, что полезно бы в дополнение к теории добавить конкретики.
ОК, делюсь недавним кейсом.
С чего все начиналось
2021 год. Компания N расширяет свое присутствие в соседних регионах. При входе на новый рынок столкнулась с компьютерными атаками, организованными конкурентами. Информационные ресурсы компании постоянно сканировались на уязвимости с целью проникновения, сайты подверглись DDoS-атакам, на корпоративные почты точечно направлялись письма с вредоносными вложениями. Со временем атаки прекратились, но в компании заметили, что клиенты уходят к конкурентам.
В процессе расследования выяснилось, что конкуренты знали подробности конфиденциальных условий договоров - и переманивали старых клиентов на более выгодные условия. И порой цена предложения конкурента была ниже себестоимости продукции.
Внутри компании N решили провести проверку режима коммерческой тайны, а также уделить внимание конфиденциальности внутренней информации. С таким запросом компания обратилась к моей команде.
Что показала проверка
В ходе проверки было выявлено много мелких нарушений режима коммерческой тайны, которые не могли привести к таким утечкам данных о клиентах. Однако мы обратили внимание, что многие рабочие вопросы обсуждались сотрудниками в Telegram. Например, в подразделениях создавались группы, в которых обсуждались результаты планерок.
В процессе беседы с некоторыми сотрудниками выяснилось, что во время компьютерных атак им в Telegram приходили фишинговые сообщения от имени технической поддержки мессенджера. Пользователю рекомендовалось подтвердить право владения аккаунтом во избежание его блокировки.
Проблема якобы решалась переходом на веб-версию Telegram, в которой нужно было авторизоваться. Мы просили показать данные об открытых сеансах (на каких устройствах открыт Telegram), чтобы понять, имеет ли доступ к переписке потенциальный злоумышленник. И сотрудники искренне удивлялись неизвестному сеансу!
Кроме того, службой безопасности компании N был выявлен круг лиц, которые могли получать данные о скидках и иных особых условиях коммерческих предложений. Среди них нашлись те, кто скрывал факт взлома Telegram.
Разоблачение
Оказалось, что один из сотрудников очень любил дымящиеся запрещенные вещества, состоял в соответствующих группах. Злоумышленники это выяснили в результате анализа переписки, получили фото и видеозаписи досуга. После чего начали шантажировать тем, что сдадут его правоохранительным органам, если сотрудник не будет предоставлять информацию о компании.
Другая же сотрудница попалась на крючок, так как имела близкие отношения с коллегой. Конечно, она не хотела, чтобы ее супруг был в курсе этих подробностей. Поэтому согласилась выполнять просьбы злоумышленников.
Реакция собственников на всё это:
Вопросы правовой ответственности за утечку коммерческой тайны тут рассматривать не будем, как и личную жизнь людей.
Атака через SIM
Интересная ситуация получилась с одним из топ-менеджеров.
Получив от других сотрудников личные данные топа, злоумышленник подделал документы и обратился в салон связи. Получил SIM-карту, к которой был привязан мессенджер. Двухфакторная аутентификация не была активирована, поэтому злоумышленник сразу получил доступ к переписке.
Оператор связи отправляет оповещение на номер, который собираются восстановить. В оповещении предупреждает: если это не вы меняете номер, то позвоните оператору. Топ-менеджер обратил внимание на оповещение оператора связи об операции с SIM-картой спустя 15 минут.
Неизвестно, что именно злоумышленник мог успеть скопировать из переписки. Топ заявил, что в переписке не было “ничего такого”, но, честно говоря, мы в этом не уверены.
Что дальше
В результате проверок были приняты меры по усилению режима коммерческой тайны. В компании N понимали, что у злоумышленников в руках находится база контактов, которую они получили в результате доступа в Telegram, а также много информации от сотрудников, которые были на крючке. Было логично ожидать повторную волну атаки через Telegram.
Сложно контролировать, как сотрудники используют мессенджер: устанавливают ли они двухфакторную аутентификацию, с каких устройств работают. Это закон больших чисел: в компании всегда найдется кто-то уязвимый к атакам.
Что касается защиты аккаунтов Telegram, мы поняли, что двухфакторной аутентификации не хватает. Нужен продвинутый уровень защиты аккаунта. И решение мы увидели в постоянном мониторинге списка открытых сеансов аккаунта. Если IP-адрес сеанса вдруг стал иностранным, то нужно такой сеанс разрывать. Или если появляется новая сессия (с нового устройства), и мы понимаем, что она несанкционированная, то следует предотвращать подключение к аккаунту.
Такое техническое решение для компании мы разработали и внедрили.
А еще мы выяснили, что и злоумышленники совершают ошибки. Нам удалось зафиксировать IP-адреса российского сегмента сети Интернет, с которых велись несанкционированные подключения. Видимо, у кого-то VPN отвалился.
Вот такая история.
Так что и в жизни бывают истории, похожие больше на дешевый сериал. В этом кейсе конкуренты слишком агрессивно начали атаковать, поэтому атака была быстро замечена.
Более опасны варианты, когда “крот” внедряется в компанию и начинает методично сливать данные. И не менее опасен вариант, когда у сотрудников есть вербовочная уязвимость, за которую можно зацепиться.
Поделитесь в комментариях, сталкивались ли со взломом или нечестным поведением конкурентов?
Не понимаю, чаще всего используют телеграм для таких дел или как? Если да, то почему его?
У телеграма сообщения хранятся в облаке, он удобен и популярен. Поэтому он и интересен злоумышленникам.
Как пример, у того же вотсапа доступ к сообщениям можно получить только через веб-версию.