Надежная защита от киберугроз нужна каждой компании, но важно понимать, что антивирус— это не лекарство от всех болезней. У истоков большинства атак на компании стоит человеческая ошибка: какой-то сотрудник нажал на вредоносную ссылку, активировал макрос, скачал зараженный файл, и еще масса подобных вариантов. Но в некоторых случаях преступникам даже не приходится использовать зловреды: им удается получить доступ к инфраструктуре компании исключительно с помощью социальной инженерии и легальных технических средств. Вот пара недавних примеров.
Вымогатели, но не шифровальщики
Недавно в Интернете опубликовали новость об активности Luna Moth — группировки, специализирующейся на воровстве корпоративных данных и шантаже. Уникальность Luna Moth состоит в том, что она добывает информацию без использования вредоносного ПО.
Сама атака на компанию начинается с типичной мошеннической рассылки. Преступники притворяются представителями различных онлайн-сервисов и убеждают получателей, что они оформили подписку и оплата за нее спишется завтра. Если сотрудник желает отменить оплату или получить дополнительную информацию, то ему или ей необходимо позвонить по телефону, который можно найти в самом письме или в прикрепленном к нему PDF-файле.
Кажется, вот оно — в файле явно есть какой-то подвох! Но нет, вопреки ожиданиям файл не содержит никаких зловредов, а значит, антивирус с большой долей вероятности спокойно пропустит его к пользователю. Задача преступников на этом этапе только в том, чтобы заставить какого-нибудь сотрудника позвонить по номеру.
В случае если им это удается, злоумышленники во время разговора обманом заставляют жертву установить средство удаленного администрирования (RAT — remote administration tool) на свое устройство. Вероятно, они рассчитывают на неопытность жертвы и предлагают ей помочь отказаться от подписки. Формально RAT — это не вредоносная программа, поэтому большинство антивирусов ее пропускают, и далеко не все предупреждают пользователя о потенциальной опасности. В результате преступники получают удаленный доступ и контроль над устройством.
Добавим еще несколько заметок на полях. Во многих случаях преступники устанавливают более одного средства удаленного администрирования на устройство. Поэтому даже если одно из них удалить, другое поможет сохранить контроль и переустановить первое. После получения контроля над компьютером жертвы преступники также часто устанавливают дополнительные инструменты для проведения разведки внутри инфраструктуры, доступа к дополнительным ресурсам и извлечения данных.
Развод по телефону на корпоративном уровне
Жертвой еще более нелепого шантажа недавно стала американская телекоммуникационная компания Verizon. Анонимный хакер сообщил изданию Motherboard, что смог по телефону убедить сотрудника компании предоставить ему удаленный доступ к своему корпоративному компьютеру, представившись сотрудником внутренней техподдержки. Через компьютер он якобы воспользовался внутренним инструментом, обрабатывающим информацию о сотрудниках компании. После чего с помощью скрипта собрал базу данных, содержащую полные имена, адреса электронной почты, корпоративные ID и мобильные телефоны сотен человек.
При этом Verizon подтверждает, что хакер связался с компанией и потребовал 250 000 долларов, пригрозив опубликовать украденные данные, но отрицает, что ему действительно удалось добыть что-либо важное. Впрочем, журналисты из Motherboard обзвонили некоторых людей, чьи контакты имелись в базе. Часть из них ответили и подтвердили свои имена, адреса электронной почты и факт работы в Verizon.
Чему нас должны научить эти истории?
Мораль проста: сколь бы современными ни были защитные решения в вашей компании, они не защитят ваши данные, если сотрудники не будут готовы к атакам при помощи социальной инженерии. Поэтому продуманная стратегия киберзащиты должна включать в себя не только установку технических средств обеспечения безопасности, но и повышение осведомленности сотрудников о современных киберугрозах и мошеннических приемах. Например, при помощи онлайн-платформы для обучения.