Атака на компанию через Telegram
Самая уязвимая часть Telegram - это люди. Подделка документов, конкурентная разведка, любовные связи и любители запрещенных веществ. Читайте об этом в кейсе атаки на компанию.
Я Альберт Базалеев, эксперт в сфере информационной безопасности бизнеса. Одно из моих направлений - проект “Варежка”, это софт, который защищает корпоративные Telegram-аккаунты от злоумышленников и конкурентной разведки.
Две предыдущие статьи собрали много комментариев. Спасибо за обратную связь!
Если вы мои статьи ещё не читали:
Были пожелания, что полезно бы в дополнение к теории добавить конкретики.
ОК, делюсь недавним кейсом.
С чего все начиналось
2021 год. Компания N расширяет свое присутствие в соседних регионах. При входе на новый рынок столкнулась с компьютерными атаками, организованными конкурентами. Информационные ресурсы компании постоянно сканировались на уязвимости с целью проникновения, сайты подверглись DDoS-атакам, на корпоративные почты точечно направлялись письма с вредоносными вложениями. Со временем атаки прекратились, но в компании заметили, что клиенты уходят к конкурентам.
В процессе расследования выяснилось, что конкуренты знали подробности конфиденциальных условий договоров - и переманивали старых клиентов на более выгодные условия. И порой цена предложения конкурента была ниже себестоимости продукции.
Внутри компании N решили провести проверку режима коммерческой тайны, а также уделить внимание конфиденциальности внутренней информации. С таким запросом компания обратилась к моей команде.
Что показала проверка
В ходе проверки было выявлено много мелких нарушений режима коммерческой тайны, которые не могли привести к таким утечкам данных о клиентах. Однако мы обратили внимание, что многие рабочие вопросы обсуждались сотрудниками в Telegram. Например, в подразделениях создавались группы, в которых обсуждались результаты планерок.
В процессе беседы с некоторыми сотрудниками выяснилось, что во время компьютерных атак им в Telegram приходили фишинговые сообщения от имени технической поддержки мессенджера. Пользователю рекомендовалось подтвердить право владения аккаунтом во избежание его блокировки.
Проблема якобы решалась переходом на веб-версию Telegram, в которой нужно было авторизоваться. Мы просили показать данные об открытых сеансах (на каких устройствах открыт Telegram), чтобы понять, имеет ли доступ к переписке потенциальный злоумышленник. И сотрудники искренне удивлялись неизвестному сеансу!
Кроме того, службой безопасности компании N был выявлен круг лиц, которые могли получать данные о скидках и иных особых условиях коммерческих предложений. Среди них нашлись те, кто скрывал факт взлома Telegram.
Разоблачение
Оказалось, что один из сотрудников очень любил дымящиеся запрещенные вещества, состоял в соответствующих группах. Злоумышленники это выяснили в результате анализа переписки, получили фото и видеозаписи досуга. После чего начали шантажировать тем, что сдадут его правоохранительным органам, если сотрудник не будет предоставлять информацию о компании.
Другая же сотрудница попалась на крючок, так как имела близкие отношения с коллегой. Конечно, она не хотела, чтобы ее супруг был в курсе этих подробностей. Поэтому согласилась выполнять просьбы злоумышленников.
Реакция собственников на всё это:
Вопросы правовой ответственности за утечку коммерческой тайны тут рассматривать не будем, как и личную жизнь людей.
Атака через SIM
Интересная ситуация получилась с одним из топ-менеджеров.
Получив от других сотрудников личные данные топа, злоумышленник подделал документы и обратился в салон связи. Получил SIM-карту, к которой был привязан мессенджер. Двухфакторная аутентификация не была активирована, поэтому злоумышленник сразу получил доступ к переписке.
Оператор связи отправляет оповещение на номер, который собираются восстановить. В оповещении предупреждает: если это не вы меняете номер, то позвоните оператору. Топ-менеджер обратил внимание на оповещение оператора связи об операции с SIM-картой спустя 15 минут.
Неизвестно, что именно злоумышленник мог успеть скопировать из переписки. Топ заявил, что в переписке не было “ничего такого”, но, честно говоря, мы в этом не уверены.
Что дальше
В результате проверок были приняты меры по усилению режима коммерческой тайны. В компании N понимали, что у злоумышленников в руках находится база контактов, которую они получили в результате доступа в Telegram, а также много информации от сотрудников, которые были на крючке. Было логично ожидать повторную волну атаки через Telegram.
Сложно контролировать, как сотрудники используют мессенджер: устанавливают ли они двухфакторную аутентификацию, с каких устройств работают. Это закон больших чисел: в компании всегда найдется кто-то уязвимый к атакам.
Что касается защиты аккаунтов Telegram, мы поняли, что двухфакторной аутентификации не хватает. Нужен продвинутый уровень защиты аккаунта. И решение мы увидели в постоянном мониторинге списка открытых сеансов аккаунта. Если IP-адрес сеанса вдруг стал иностранным, то нужно такой сеанс разрывать. Или если появляется новая сессия (с нового устройства), и мы понимаем, что она несанкционированная, то следует предотвращать подключение к аккаунту.
Такое техническое решение для компании мы разработали и внедрили.
А еще мы выяснили, что и злоумышленники совершают ошибки. Нам удалось зафиксировать IP-адреса российского сегмента сети Интернет, с которых велись несанкционированные подключения. Видимо, у кого-то VPN отвалился.
Вот такая история.
Так что и в жизни бывают истории, похожие больше на дешевый сериал. В этом кейсе конкуренты слишком агрессивно начали атаковать, поэтому атака была быстро замечена.
Более опасны варианты, когда “крот” внедряется в компанию и начинает методично сливать данные. И не менее опасен вариант, когда у сотрудников есть вербовочная уязвимость, за которую можно зацепиться.
Поделитесь в комментариях, сталкивались ли со взломом или нечестным поведением конкурентов?
Я ждал истории про то, как злоумышленнику пришлось спать с бухгалтершей, чтобы потом шантажировать...
Често говоря звучит как бред.
Кому вообще надо прикладывать такие усилия для взлома и шантажа.
Мне кажется процентов 80 вымысел, некая страшилка для заказчиков
Прикладывают еще какие усилия. Деньги всем нужны. Это еще не усилия. Для заказчиков атак - это всего лишь найм специалистов.
в смысле кому? конкурентам жеж.
Комментарий недоступен
Я так понимаю, что за что смогли зацепиться, так и начали давить.
А что касается таких чатов, то они есть и видимо будут. Группы насчитывают с десяток тысяч пользователей.
Так этот сказочник начитался Кевина Митника и просто переписал кейсы под ру аудиторию . Наркоманы, шантаж , обсуждение планёрок в телеге , когда есть более защищённые мессенджеры .ну бред же 😂
И на видео снимать
Вполне неплохо. Было бы интересно узнать, в какой области работает компания N, раз даже вербовка человека уровня увлечения дымящимися веществам потенциально можеть принести столько вреда.
Отрасль называть не буду, NDA. Поверьте, люди разного уровня чем только не балуются в любой отрасли.
Комментарий недоступен
Все как обычно
Гм. интересно, спасибо
Такие схемы больше для крупного бизнеса, для той же конкурентойн разведки это наверное дорого, даже если есть что разведывать. но цели разные конечно
ну не так дорого, думаю, чем последствия
Неспроста о проблеме нехватке специалистов информационной безопасности уже начали говорить открыто, как бизнес так и госсектор. Если компания крупная, то для нее это копейки.
Интересный кейс особенно, когда понимаешь, что в основном взламывают людей, а не устройства. Помню как раньше взламывали - отправляли фишинговые письма на почту с вирусом или делали липовые страницы входя для вк
Правильно Вы сказали о людях. Есть другой пример. Не взлом телеги, а вк. Причем у такой крупной компании как Яндекс: в ходе атаки выяснилось, что у админа не была включена двухфакторка. https://www.rbc.ru/rbcfreenews/61c08e4e9a79470da102917f
Атаки носят комбинированный характер: проводится работа как с людьми, так и техникой.
Не понимаю, чаще всего используют телеграм для таких дел или как? Если да, то почему его?
Он сейчас пользуется большой популярностью, именно для рабочих моментов , тк его сложно сзломать и прочесть переписку
У телеграма сообщения хранятся в облаке, он удобен и популярен. Поэтому он и интересен злоумышленникам.
Как пример, у того же вотсапа доступ к сообщениям можно получить только через веб-версию.
А тех сотрудников, что сливали, оставили что ли?
Кто сливал уволили в конечном итоге, но не сразу. На кого-то уголовку возбудили.
Из практике прошлой работы знаю, что такого рода разведка - норм. Для службы безопасности крупных компаний это просто ежедневная рутина
Да, причем сейчас уже в порядке вещей при приеме на работу смотреть человека по социальным сетям, его родственников. А когда речь идет о защите бизнеса, то те, кто может позволить, проводят разведку по опасным конкурентам.
"Мгновенный разрыв" - как это мониторится? апи?
https://t.me/viavidchat/85
))) Да, API для Telegram.
Комментарий удален модератором
однозначно сказать нельзя. бывает что цепочка то нужной цели как раз с рядового персонала начинается