2 истории, как компании теряют деньги из-за взлома бизнес-почты, и 6 рекомендаций

Утечки данных через корпоративную почту — не редкость. По статистике Positive Technologies, за I квартал 2022 именно через электронную почту было доставлено больше всего вредоносных программ — этот метод используется в 52% случаях атак на организации по всему миру. Причём злоумышленники проявляют интерес не только к глобальным корпорациям вроде Nvidia и Samsung — в Беларуси тоже встречаются довольно изощрённые кейсы взломов. 

Провайдер облачных решений и хостинга для бизнеса hoster.by рассказал, как сейчас обстоят дела с безопасностью почты, поделился детективными историями взломов и дал советы, как уменьшить шансы на попадание в даркнет ваших баз данных. 

Кейс #1. Компания теряет большие деньги на оплате «левых» счетов

Это история про крупную компанию, один из сотрудников которой исправно оплачивал счета с пятью нулями по реквизитам, приходившим на корпоративную почту. В итоге каждый раз оплата будто терялась — никаких следов. Внутри компании причину найти так и не смогли и обратились к нам. 

Расследование 

Внимательно изучаем почту сотрудника, который проводил оплату. Поднимаем письмо с реквизитами и начинаем детально изучать. Письмо оформлено по канонам обычного рабочего письма, ничего подозрительного. 

Идем разбираться дальше и анализируем всю почтовую систему клиента. Тут обнаруживаем троян, который злоумышленники подкинули в почтовую программу. Вирус сканировал все письма и отправлял их злоумышленнику. На основе этой информации он составлял фишинговые письма и отправлял их второму получателю якобы от первого лица. В нем предлагал перечислить средства за реальные услуги, которые этой компании оказывал один из подрядчиков. Получатель письма не перезванивал отправителю, ничего не уточнял, а сразу всё оплачивал. И только когда реальный подрядчик связывался, чтобы узнать, будет ли оплата, выяснялось, что никаких денег никто так и не получил. Так несколько раз, потому что все думали, что «просто не прошла оплата». И пробовали ещё. 

Такой тип атаки называется «Компрометация электронной почты». Она одна из опаснейших, так как позволяет писать письма как бы от реального лица реальному лицу. Письмо не вызывает никаких подозрений, так как с точки зрения безопасности все в порядке — внутренние системы ничего не улавливают. 

Главный вопрос: как троян попал в почту и скомпрометировал её? Элементарно: однажды одному из сотрудников прислали фишинговое письмо. Это когда адрес отправителя подменяется. Достаточно заменить один символ — например, o на 0. Визуально, если внимательно не проверять письмо на фишинговые маркеры, все чисто. И вот сотрудник, который получил это письмо, без задней мысли открыл файл, который был во вложении. А файл был с тем самым трояном, который автоматически заразил всю корпоративную почту компании. И обнаружилось это не сразу. 

Кейс #2. Клиенты уходят к конкуренту на этапе заключения сделки. Как так? 

Компания работает, заключает договоры, жизнь кипит. Но в какой-то момент клиенты на финальном этапе заключения сделки начинают уходить к конкуренту. Разбираются с маркетологом, что не так, проводят небольшие внутренние разбирательства — всё чисто. Думают дальше и понимают, что началось всё с увольнения одного из сотрудников. Первая мысль — «просто забыли сменить пароль, поэтому бывший коллега продолжает получать доступ ко всей переписке компании». Но нет — сразу после увольнения сотрудника сменили пароль. Откуда тогда утечка, если ни один из нынешних работников никому ничего не сливал? Компания стучится к нам, чтобы разобраться. 

Расследование 

Инфобезопасник начинает прощупывать почву и первым делом выясняет, что это небольшая компания, где работают меньше 10 человек. Рабочий ящик заведен на базе mail.ru. Он единый, доступ к нему есть сразу у 4 человек. 

Дальше — опрос сотрудников, чтобы узнать больше подробностей. Схема взаимодействия с почтой такая: на неё приходит заказ, кто-то из сотрудников берёт мейл в работу, начинает общаться с заказчиком и согласовывает детали для выставления счёта. И вот практически каждый раз сделка срывается на этапе заключения. Прослеживают путь — клиент оплачивает эту же услугу у конкурента. 

Расследование ведёт к уволенному сотруднику. Он работал в команде с того же общего ящика (что очень плохо). Но минимально возможные в этой ситуации меры команда предприняла — через пару часов после увольнения сменила пароль. При таком сценарии у уволенного сотрудника ящик автоматически разлогинивается. 

Но как получается, что клиенты уходят?

Изучение механизма работы почты mail.ru показало: её особенность в том, что она функционирует не напрямую по маршруту «Отправитель — Получатель», а дополнительно останавливается в точке «Сервисы mail.ru». То есть весь трафик перебрасывается через их сервисы, а там в своё время с безопасностью было не очень, скажем так.

Тестирование почты mail.ru и отслеживание всех путей показало, что при смене пароля он запрашивается лишь однажды — только у пользователя, который логинится первым. В нашем случае это было очень важно, так как с одного ящика одновременно работали несколько сотрудников. 

Получается, когда команда сменила пароль, новую версию ввёл только первый сотрудник, который, к слову, и менял его. А у всей оставшейся команды даже не произошло процесса автоматического разлогинивания. Как и у уволенного сотрудника. Получается, у него остался доступ к ящику на его устройстве, поэтому он мог читать всю переписку, перехватывать её, а вместе с ней и клиентов. 

Что делать, чтобы избежать таких ситуаций

1. Разговаривать. Первое, что нужно сделать для защиты корпоративной почты, — объяснить сотрудникам, что нельзя открывать письма от неизвестных или сомнительных отправителей. Также надо внимательно проверять каждый символ в адресе отправителя. Если есть подозрения — отложить письмо подальше, взять телефон в руки и позвонить отправителю, чтобы уточнить, присылал ли он письмо с указанной темой. 
2. Шифроваться. В почте тоже надо использовать зашифрованное соединение (https). Для этого на почтовую программу устанавливаются специальные протоколы. 
3. Не скупиться на антивирус. Он обязательно должен быть установлен на каждом локальном компьютере. Дело в том, что даже если вы всё проверили в письме и видите, что оно от надежного адресата, это не гарантия того, что на той стороне уже не подхватили вирус. Отправитель может даже не догадываться об этом и как ни в чём не бывало спокойно работать, отправлять письма и вложения в них. Отправил вам договор или обновленный прайс — а в этот документ уже проник вирус с его компьютера. И вроде бы всё чисто — но всё, макрос делает свое чёрное дело, запускает троян и получает всю информацию уже и с вашего компьютера на радость злоумышленников. Антивирус же оповестит, если увидит, что файл подозрительный или заражённый. 
4. Использовать систему от подбора паролей, чтобы никто извне не мог проникнуть к вам. Система запоминает все попытки ввода пароля (от 10 раз подряд) и автоматически блокирует действия на какое-то время. 
5. Применять SPF, DKIM, DMARC. Это специальные средства защиты, которые позволяют проверить подлинность почты и обнаружить поддельные электронные письма. 
6. Проверять всё дважды. Можно вручную, а можно с помощью технологий. Например, при получении писем, отправленных с нашего сервера, получатель может быть уверен, что входящее письмо действительно пришло от реального отправителя и не было изменено в пути. Наша система сама все проверяет и автоматически блокирует подозрительные действия. Допустим, злоумышленник получил пароль от вашего ящика и начинает отправлять с него спам или фишинговые письма. Мы блокируем такие попытки и отправляем уведомление о том, что система обнаружила подозрительную активность и с IP-адреса X было отправлено N писем.  

Все советы не так сложны, как кажется поначалу. Достаточно один раз разобраться. Так что пробуйте, будьте бдительны и берегите свою бизнес-почту!

Помогаете devby = помогаете ИТ-комьюнити.

Засапортить сейчас.