2 октября 2018

Не подставляй своего работодателя

Советы Угрозы

Мы уделяем много внимания тому, как защищаться от всевозможных кибератак — от зловредов, от спама, фишинга, социальной инженерии и так далее. Иногда целью атаки можете быть не вы сами, а ваш работодатель. Вы в этом случае в глазах киберпреступника — всего лишь способ до него добраться. О том, как самим работодателям защищаться от такого рода угроз, мы тоже много пишем, но самим сотрудникам тоже стоит быть осторожными и не верить бездумно всем письмам, которые они получают.

Например, недавно мы натолкнулись на то, как кто-то пытался проникнуть в сеть крупной российской компании. Этот кто-то действовал именно через обычных сотрудников, пытаясь их обмануть. И действовал, надо сказать, довольно убедительно.

Указ: всем срочно скачать зловреда!

Первым делом сотрудники получают письмо якобы от главного специалиста компании о неком обновлении внутреннего портала, сообщающее, что на нем нужно повторно авторизоваться. Прилагается ссылка, которая выглядит как настоящая.

Следом приходит другое письмо, в котором тот же отправитель уточняет, что тем, у кого возникли проблемы с доступом, следует установить расширение для браузера — и опять-таки приводит ссылку, которая также выглядит легитимной. Правда, по виду ссылки можно предположить, что она должна вести на общий портал загрузки, но на самом деле по ней сразу скачивается установочный .exe-файл. Впрочем, кто обращает внимание на такие детали.

Посмотрите на адрес отправителя — он выглядит довольно нейтрально, но если смотреть на него осознанным взглядом, то сразу понятно, что с ним что-то не так. Адрес login.ru.com явно не соответствует корпоративному. Даже несмотря на то, что подпись выглядит очень легитимной, адрес все равно выдает человека со стороны.

Цель этого человека – получить логин и пароль кого-то из сотрудников (в списке получателей фигурировали коммерческие отделы и общие адреса региональных офисов, а также несколько конкретных сотрудников), когда они будут пытаться залогиниться на «внутреннем портале». Их можно получить как при помощи фишинговой страницы, прикидывающейся корпоративным порталом, так и с помощью расширения для браузера. Напомним, большинство расширений требует для работы разрешение «Все данные на посещаемых сайтах», которое позволяет им просматривать, запрашивать и изменять данные на любой веб-странице, на которую пользователь пытается зайти.

Впрочем, на самом деле по ссылке скачивалось даже не расширение для браузера, а шпионский троян с функцией кейлоггера, который может считывать все нажатия клавиш и отправлять их на сервер злоумышленников.

То есть как только пользователь с установленным расширением попробует зайти на настоящий корпоративный портал – его логин и пароль получат злоумышленники. Что они будут делать с этими данными дальше – вопрос уровня защиты компании и собственно планов злоумышленников. Быть может, они хотят заразить компанию шифровальщиком и потом требовать выкуп. Или, скажем, шпионить, чтобы заполучить какую-то коммерческую тайну для конкурирующей корпорации. Или еще что-нибудь, но точно ничего хорошего.

Даже если вы не болеете всей душой за компанию, на которую работаете, вы точно не хотите, чтобы такой инцидент произошел из-за вас. Поэтому нужно знать, что вот такие письма называются термином «целевой фишинг», используются в первую очередь именно против компаний или известных общественных деятелей, и что их нужно уметь распознавать.

Как распознать целевой фишинг

В сущности, целевой фишинг отличается от обычного тем, что он нацелен на конкретную компанию и потому, скорее всего, аккуратнее под нее заточен. Но что-нибудь с ним обязательно будет не так.

  • Обращайте внимание на адрес отправителя. Если адрес должен быть другим — не надо переходить по ссылкам из этого письма, скачивать прикрепленные к нему вложения и так далее, даже если это письмо подписано человеком, которого вы знаете лично. Уведомите службу безопасности о том, что такое письмо вам пришло, остальное – их забота.
  • Проведите мышкой над ссылкой в письме и посмотрите на реальный адрес страницы, на которую она ведет. В данном случае, например, ссылки выглядят вроде бы правильно, но на самом деле ведут на сторонние ресурсы. Если адрес, указанный в письме, и тот адрес, который высвечивается в нижней панели браузера, если навести мышку на ссылку, не совпадают – не стоит переходить по таким ссылкам. Также стоит смотреть на то, не перепутаны ли буквы в названии домена. Если, скажем, ссылка ведет не на example.com, а на exmaple.com — на такой сайт ходить не надо. Опять-таки расскажете все службе безопасности.
  • Если пользуетесь какими-либо корпоративными ресурсами с личных устройств, защищайте эти устройства. Если окажется, что из-за несоблюдения вами политик безопасности компании что-то пошло не так, это может вам очень дорого стоить. Надежное защитное решение поможет распознать фишинг и не даст заразить ваше устройство зловредом.