По оценкам компании «Интернет-розыск» число фишинговых атак с началом эпидемии коронавируса выросло в четыре раза. Это правдоподобные цифры, ведь фишинг – одна из любимых схем мошенников, а в «любой непонятной ситуации» становится эффективнее обычного, считает начальник отдела информационной безопасности «СёрчИнформ» Алексей Дрозд. Разбираемся, каких рисков добавляет удаленка.

– Фишинговые атаки – это самый эффективный способ компрометации IT-инфраструктуры, т.к. не надо атаковать защищенные сети, человек оказывается более восприимчивым к манипуляциям мошенников, в ситуации большого информационного давления – тем более. А компрометация корпоративной почты – т.н. BEC-атака, так вообще считается одной из самых опасных и результативных с точки зрения выручки для мошенников. Хакерам, которые получили доступ к электронной почте должностного лица, дальше не нужно преодолевать барьеры доверия. Они могут действовать от имени сотрудника: распространять информацию и вредоносные программы, отправлять счета на оплату – сценариев может быть множество. 

Четырехкратный рост атак в наше карантинно-удаленное время объясняется просто – хакеры стремятся использовать благоприятную для себя ситуацию, не упускают шанс. Нельзя сказать, что удаленный формат работы как-то изменил схемы, по которым атакуют фишеры. Сам контекст, интерес к теме коронавируса, неизвестность, в которой оказались люди, создает предпосылки к более успешному восприятию уловок хакеров, эксплуатирующих актуальные темы «на злобу дня». Не исключено, что во время карантина начнутся рассылки по сотрудникам от якобы коллег, мол, ознакомьтесь с графиком работы, компенсаций и прочего. Поэтому ситуационный контекст всегда играет на руку хакерам. 

Вспомним, что компрометация сети через удаленного сотрудника возможна по двум вариантам: сотрудник стал жертвой социальных инженеров или сотрудник сам был инициатором противоправных действий. Если говорить конкретно о фишинге, описаны многие варианты атак, которые ставят целью получить доступ к инфраструктуре. Примеров успешных реализованных атак из нынешнего карантина пока нет. Но это неважно, т.к. их сценарий всегда одинаков, и «удалённость» сотрудника не делает разницы. Вот три примера типовых атак. 

Относительно свежий кейс – атака на белорусские медицинские организации, реализованная судя по всему через фишинг. Доступ к почте медиков получили злоумышленники и начали рассылать информацию о ситуации с эпидемией в Беларуси от своего имени. В этих письмах содержались ссылки на вредоносные программы. 

Еще один пример: вначале преступники получали несанкционированный доступ к почте предприятий-жертв, изучали служебную переписку с иностранными поставщиками о сроках оплаты товаров или услуг. Затем мошенники создавали электронный почтовый ящик, схожий по названию с ящиком поставщика, отличающийся лишь одним символом. Такие названия ящиков сотрудники предприятия воспринимали как подлинный. С поддельного почтового ящика от имени поставщика вели переписку, предоставляя сведения о новом банковском счете, на который необходимо осуществить оплату за поставленный товар.  

Что же касается специфических рисков, связанных конкретно с удаленкой, все они связаны с экстренным характером перехода в такой формат, компании часто не успевают принять необходимые защитные меры. 

Основных слабых мест несколько. Это отсутствие двухфакторной аутентификации в корпоративных сервисах, доступ по «словарным» паролям, которые легко подобрать. Избыточные права доступа – в аврале могут решить выдать «с запасом», чтобы потом сократить. И забывают, потому что мало кто оказался готов действовать в такие сжатые сроки и в таких объемах.

Еще одна проблема, что на удаленный формат перешли тысячи людей, неподготовленных с точки зрения цифровой грамотности. Офисная работа нивелирует эти риски: в непосредственной близости системный администратор, коллеги, с которыми можно посоветоваться. В домашних условиях, когда человек предоставлен лишь самому себе и за спиной начальник случайно не пройдет, ситуация совершенно иная, а системы контроля действий сотрудников на рабочем месте (DLP-системы) по нашим данным стоят только в трети компаний.