November 1, 2019

Что произойдет, если корпоративные email-адреса попадут в руки мошенников: три печальных сценария

Как часто вам приходят письма с «километровым» списком адресатов? Если вы порядочный человек, то просто не обратите на это внимание. Но для фишеров — это тот самый «ключ от квартиры, где деньги лежат».

Алексей Парфентьев, руководитель отдела аналитики «СёрчИнформ», рассказывает о трех сценариях, по которым могли бы действовать реальные мошенники.

Раздражает, когда список адресатов в письме приходится скроллить? Сразу видно, вы не фишер. Он бы сориентировался быстро: столько «живых» адресов разом – это возможность атаковать компании в самом тонком месте – через персонал.

Только за последнюю неделю мы получили три письма с целой адресной книгой в графе «кому». И не от абы кого – от сотрудников двух министерств и одной особой экономической зоны. Мы предупредили отправителей, что так делать не стоит, но встретили непонимание: а, собственно, почему нельзя, кому это мешает?

Чтобы стало понятнее, мы решили на примерах рассказать, что может произойти, если адреса корпоративной электронной почты попадут не в те руки.

Сценарий №1: «Актуальный вариант во вложении»

Вирусная рассылка

Представьте, что мы – хакеры. Вот мы перехватываем письмо, в котором уважаемое ведомство просит своих партнеров подтвердить участие в закрытом мероприятии, а заодно предупреждает, что дата встречи переносится.

В списке адресатов – контакты генеральных директоров, которые обычно спрятаны от публики, известны только внутри компаний или доверенным партнерам. Вот тут и рождается идея: изменение даты мероприятия – зацепка для будущей атаки.

Мы создаем email на фейковом домене, который выглядит похожим на адрес отправителя – [email protected] вместо [email protected].

Все тому же списку получателей отправляем сообщение вдогонку: «Приносим извинения, в предыдущем письме прикрепили неактуальное приглашение. Актуальная версия во вложении». А в приложенном файле вредонос – например, вирус-шифровальщик.

Дальше все просто: получатели видят письмо почти идентичное предыдущему. Знакомый адрес и контекст беседы не вызывают подозрений, просьба в письме выглядит логично. Поэтому письма открывают, вложение скачивают – и корпоративная система тут же «падает».

Мы уже наготове: связываемся с пострадавшими и предлагаем за выкуп все расшифровать. Жертвам приходится выбирать между своими принципами и быстрым спасением данных – каждый час простоя стоит компании денег. Как показывает практика, многие предпочитают заплатить вымогателям.

Не верится, что схема настолько проста и работает? Опыт трех американских муниципалитетов доказывает обратное.

За лето два города во Флориде были вынуждены заплатить хакерам от $400 до $600 тысяч, после того как муниципальные служащие открыли вложения с шифровальщиками в безобидных, на первый взгляд, письмах. А в Техасе от вирусов-вымогателей пострадали 23 правительственных учреждения. И в этом случае вредоносы распространялись через почту.

Сценарий №2. Высокое начальство и дорогие контрагенты

Компрометация корпоративной почты, BEC-атака

В списке адресатов мы видим контакты финансового директора крупной компании и решаем атаковать организацию от его имени. Просматриваем информацию в открытых источниках, в LinkedIn находим адреса сотрудников из филиалов – рассчитываем, что они нечасто общаются с большим начальством напрямую, но без вопросов исполнят поручение «сверху».

Теперь надо выждать. Отслеживаем новости компании, пока наш директор не уедет в командировку – достаточно значимую, чтобы о ней знали в компании и за ее пределами.

Например, в составе официальной делегации к зарубежным партнерам. Затем создаем аккаунт на публичном домене (например, Gmail), как будто это его личный ящик. Представим, что в отъезде директор оказался без доступа к корпоративной почте, но по срочному делу связаться с коллегами ему нужно.

Так и пишем будущим жертвам, а заодно уточняем: «Заказ простаивает, срочно оплатите счет – во вложении». Реквизиты, конечно, наши. Если сотрудники на местах не начнут вдаваться в детали, велики шансы, что на наш счет упадет кругленькая сумма. Насколько велики? По опыту Сбербанка, в рамках ИБ-учений письма от «Германа Грефа» открывали 80% сотрудников. Судите сами.

Возможен и обратный вариант. Сам «подрядчик» пишет в компанию. Благо, список контрагентов компании довольно легко гуглится, при должном старании можно вытянуть из открытых источников все необходимые данные. Добавим деталей, приложим почти реальный наряд-заказ и выставим счет.

Вроде бы такая «лобовая» атака должна вызвать подозрение, но в жизни доверчивых людей больше, чем кажется. Этим с успехом пользовался литовский мошенник, который под видом подрядчика украл у Google и Facebook $122 млн.

Сценарий №3. С заботой о конкурентах

Шпионаж

А здесь мы письмо не перехватывали, а получили на вполне законных основаниях — нам, как и нашим конкурентам, написал регулятор. Решаем воспользоваться лазейкой и проникнуть в корпоративный периметр конкурента, чтобы похитить его секреты.

Сначала собираем информацию. Находим тендер от компании-конкурента о закупке аутсорсинговых услуг по обслуживанию, скажем, IP-телефонии. Находим подрядчика. На скомпрометированный адрес IT-отдела конкурентов шлем письмо под видом контрагента: «Проводим профилактическую проверку оборудования. Завтра от нас подъедет новый специалист, выпишите пропуск».

С пропуском на руках отправляем к конкуренту мастера, который на месте получит доступ к хранилищу записей со всех корпоративных телефонов и сможет их скопировать. На худой конец подвесит банального «жучка» или настроит хранилище так, чтобы записи перенаправлялись на наш сервер – а мы могли бы их прослушать.

Так мы будем в курсе всех переговоров «топов» конкурента, в том числе с потенциальными инвесторами, партнерами и клиентами. Эти сведения мы сможем использовать, чтобы сорвать будущие сделки и завладеть преимуществом на рынке.

Множество возможностей

Это только малая часть вариантов, как мошенники могут использовать вашу корпоративную почту, но каждый грозит внушительным ущербом.

В американском FinCEN подсчитали, что за последний год мошенники заработали на скомпрометированных корпоративных email $3,6 млрд.

С помощью вирусов-шифровальщиков злоумышленники ежегодно вымогают до 8 млрд долларов. Ущерб от промышленного шпионажа подсчитать сложнее, но по опыту отдельных компаний видно — дело серьезное. Так, в 2018 году Samsung недосчиталась $5,8 млрд прибыли из-за того, что ряд их технологий попал в руки конкурентов.

Поэтому важно защищаться. Когда вам пришло подозрительное письмо, свяжитесь с организацией, которая якобы его выслала, по альтернативным каналам связи. И уточните, действительно ли была рассылка. Не используйте телефоны, которые указаны в реквизитах письма. Мошенники найдут способ убедить вас, что все чисто.

А еще стоит заботиться о безопасности других. Если вашей компании нужно поделиться новостью или разослать уведомления по большому списку адресатов, лучше делать это точечно или использовать поле «скрытая копия». Мало ли кто доберется до вашего километрового списка «кому».

Источник