2 истории, как компании теряют деньги из-за взлома бизнес-почты, и 6 рекомендаций
hoster.by стращает кейсами утечки данных через корпоративную почту и рассказывает, как их избежать.
hoster.by стращает кейсами утечки данных через корпоративную почту и рассказывает, как их избежать.
Утечки данных через корпоративную почту — не редкость. По статистике Positive Technologies, за I квартал 2022 именно через электронную почту было доставлено больше всего вредоносных программ — этот метод используется в 52% случаях атак на организации по всему миру. Причём злоумышленники проявляют интерес не только к глобальным корпорациям вроде Nvidia и Samsung — в Беларуси тоже встречаются довольно изощрённые кейсы взломов.
Провайдер облачных решений и хостинга для бизнеса hoster.by рассказал, как сейчас обстоят дела с безопасностью почты, поделился детективными историями взломов и дал советы, как уменьшить шансы на попадание в даркнет ваших баз данных.
Это история про крупную компанию, один из сотрудников которой исправно оплачивал счета с пятью нулями по реквизитам, приходившим на корпоративную почту. В итоге каждый раз оплата будто терялась — никаких следов. Внутри компании причину найти так и не смогли и обратились к нам.
Внимательно изучаем почту сотрудника, который проводил оплату. Поднимаем письмо с реквизитами и начинаем детально изучать. Письмо оформлено по канонам обычного рабочего письма, ничего подозрительного.
Идем разбираться дальше и анализируем всю почтовую систему клиента. Тут обнаруживаем троян, который злоумышленники подкинули в почтовую программу. Вирус сканировал все письма и отправлял их злоумышленнику. На основе этой информации он составлял фишинговые письма и отправлял их второму получателю якобы от первого лица. В нем предлагал перечислить средства за реальные услуги, которые этой компании оказывал один из подрядчиков. Получатель письма не перезванивал отправителю, ничего не уточнял, а сразу всё оплачивал. И только когда реальный подрядчик связывался, чтобы узнать, будет ли оплата, выяснялось, что никаких денег никто так и не получил. Так несколько раз, потому что все думали, что «просто не прошла оплата». И пробовали ещё.
Такой тип атаки называется «Компрометация электронной почты». Она одна из опаснейших, так как позволяет писать письма как бы от реального лица реальному лицу. Письмо не вызывает никаких подозрений, так как с точки зрения безопасности все в порядке — внутренние системы ничего не улавливают.
Главный вопрос: как троян попал в почту и скомпрометировал её? Элементарно: однажды одному из сотрудников прислали фишинговое письмо. Это когда адрес отправителя подменяется. Достаточно заменить один символ — например, o на 0. Визуально, если внимательно не проверять письмо на фишинговые маркеры, все чисто. И вот сотрудник, который получил это письмо, без задней мысли открыл файл, который был во вложении. А файл был с тем самым трояном, который автоматически заразил всю корпоративную почту компании. И обнаружилось это не сразу.
Компания работает, заключает договоры, жизнь кипит. Но в какой-то момент клиенты на финальном этапе заключения сделки начинают уходить к конкуренту. Разбираются с маркетологом, что не так, проводят небольшие внутренние разбирательства — всё чисто. Думают дальше и понимают, что началось всё с увольнения одного из сотрудников. Первая мысль — «просто забыли сменить пароль, поэтому бывший коллега продолжает получать доступ ко всей переписке компании». Но нет — сразу после увольнения сотрудника сменили пароль. Откуда тогда утечка, если ни один из нынешних работников никому ничего не сливал? Компания стучится к нам, чтобы разобраться.
Инфобезопасник начинает прощупывать почву и первым делом выясняет, что это небольшая компания, где работают меньше 10 человек. Рабочий ящик заведен на базе mail.ru. Он единый, доступ к нему есть сразу у 4 человек.
Дальше — опрос сотрудников, чтобы узнать больше подробностей. Схема взаимодействия с почтой такая: на неё приходит заказ, кто-то из сотрудников берёт мейл в работу, начинает общаться с заказчиком и согласовывает детали для выставления счёта. И вот практически каждый раз сделка срывается на этапе заключения. Прослеживают путь — клиент оплачивает эту же услугу у конкурента.
Расследование ведёт к уволенному сотруднику. Он работал в команде с того же общего ящика (что очень плохо). Но минимально возможные в этой ситуации меры команда предприняла — через пару часов после увольнения сменила пароль. При таком сценарии у уволенного сотрудника ящик автоматически разлогинивается.
Изучение механизма работы почты mail.ru показало: её особенность в том, что она функционирует не напрямую по маршруту «Отправитель — Получатель», а дополнительно останавливается в точке «Сервисы mail.ru». То есть весь трафик перебрасывается через их сервисы, а там в своё время с безопасностью было не очень, скажем так.
Тестирование почты mail.ru и отслеживание всех путей показало, что при смене пароля он запрашивается лишь однажды — только у пользователя, который логинится первым. В нашем случае это было очень важно, так как с одного ящика одновременно работали несколько сотрудников.
Получается, когда команда сменила пароль, новую версию ввёл только первый сотрудник, который, к слову, и менял его. А у всей оставшейся команды даже не произошло процесса автоматического разлогинивания. Как и у уволенного сотрудника. Получается, у него остался доступ к ящику на его устройстве, поэтому он мог читать всю переписку, перехватывать её, а вместе с ней и клиентов.
Все советы не так сложны, как кажется поначалу. Достаточно один раз разобраться. Так что пробуйте, будьте бдительны и берегите свою бизнес-почту!
Релоцировались? Теперь вы можете комментировать без верификации аккаунта.