Правда о кибератаках – (не)пугалки для малого бизнеса
16.12.2020

Когда всюду утечки, взломы и DDoS-атаки, самое простое – сделать вид, что ничего этого не происходит. Проблем у бизнеса и без того хватает. Понимая это, вместе с начальником отдела ИБ «СёрчИнформ» Алексеем Дроздом собрали небольшой чек-лист по реально опасным атакам. А также минимальный список действенных мер, многие из которых вообще бесплатны.  

Сначала вводные

Малый и средний бизнес также уязвим перед хакерами и прочими мошенниками (в том числе внутри компании), как и большие корпорации. Убеждение из серии «да кому мы нужны» может успокаивать до первой атаки шифровальщика. По статистике больше половины атак направлены на малый и средний бизнес, ведь «ломают» того, кого легко взломать.

Какие атаки самые распространенные и опасные для бизнеса?

1. Фишинг и его частный случай – BEC-атака (мошенничество в деловой переписке). Цель – войти в доверие к пользователю так, что он (как миленький) выполнит пожелания мошенника: сам загрузит вредоносную программу, сам введет платежные или другие полезные данные, сам оплатит счет на реквизиты злоумышленника. 

Как это может выглядеть. Вам пишет как будто контрагент. Совпадает или почти неотличима от реальной почта (вашего партнера могли взломать или мошенники им просто прикидываются), манера общения похожа, правдоподобен повод, по которому он обращается. 

Только требует как-то настойчиво: 

  • Перейди по ссылке.
  • Скачай документ/архив.
  • Оплати просроченный счет. 

Если вам кажется, что купиться на это может только болван, придется расстроить: жертв, которые второпях или по недосмотру выполняют требования мошенников, сотни и тысячи. На такие же уловки попадались и Google с Facebook, бухгалтерии которых оплачивали счета поддельных контрагентов. Компании из списка Fortune перечисляли деньги за купленный бизнес фейковому юристу. 

Думаете, что это какие-то неземные примеры? Вот вам более близкий – в Татарстане бизнесмен заплатил 6 млн рублей «продавцу спирта». Мошенник написал покупателю, умело выдавая себя за крупный завод.  

Поводы для переписки могут быть любые, главное, что актуальные для адресата: выплата субсидий, разъяснения регуляторов, обращение бывшего сотрудника – что угодно, лишь бы вы поверили. 

2. Вредоносное ПО, которое чаще всего попадает на компьютеры жертв в результате все того же фишинга, описанного выше.

Для крупного бизнеса опаснее всего вирусы-шпионы. Попадая в ИТ-инфраструктуру через компьютер жертвы, они собирают информацию, расширяют права хакера в системе, выискивают в ней новые уязвимости.

А вот вирусы-шифровальщики (вымогатели) опасны для любого бизнеса. И это настоящий бич последнего времени. Еще несколько лет назад хакеры писали вирусы неумело, и ключ шифрования иногда оставался внутри вредоноса. Таким образом, был шанс его оттуда извлечь и расшифровать данные, оставив злоумышленников ни с чем. Очень быстро писатели вредоносного кода обнаружили свой промах, поэтому новое поколение вирусов содержит только часть ключа, вторая пересылается с CC-сервера.

Такие вирусы взломать нельзя, и если в компании не был организован бэкап, с данными придется попрощаться. Но есть проблема, которую бэкапом не решить. Мошенники сейчас все чаще избирают гибридную тактику атаки. Данные они сначала могут слить себе, а потом зашифровать. Это может стать поводом для шантажа компании. 

Буквально месяц назад за консультацией обратилась соседка. Их фирма словила шифровальщик. Небольшой магазин по продаже цветов, вся бухгалтерия за 4 года на одном компьютере. Нет резервных копий. Нет антивируса. Зато есть заламывание рук и полные удивления возгласы «Неужели совсем ничего нельзя сделать?». Сумму, кстати, мошенники озвучили немалую – 3 000 долларов в криптовалюте.

Так значит, платить выкуп? Это однозначно плохая практика. Нет никакой гарантии, что вы столкнулись с «честными бандитами», которые реально пришлют код для дешифровки. Во-вторых, шифрование могло пройти с ошибкой, поэтому код просто не подойдет. Не будем забывать, что по законам ряда стран заплативший вымогателю сам становится преступником. Остается надеяться, что вредоносное ПО было не первой свежести и к нему уже выпущен дешифратор. Существуют сообщества, бесплатно помогающие пострадавшим. Например, NoMoreRansome Project. Некоторые антивирусные компании также делятся своими наработками.

3. Взлом паролей от корпоративных сервисов. Мошенники могут подобрать пароль методом перебора, с помощью специальных программ (кейлоггеров) или просто подглядев. К чему приведет перехват пароля, примерно понятно. Мошенники могут хозяйничать в вашей CRM-системе, на сайте, писать от вашего имени письма и продавать, например, спирт и прочие полезные в хозяйстве товары.

Инсайдерские инциденты – принципиально другой тип угроз, т.к. нарушитель не хакер, а сотрудник или группа сотрудников с доступом к данным компании. А часто и уволенные сотрудники, учетки которых забыли удалить. Они целенаправленно или случайно используют свои полномочия во вред компании, в том числе и для организации атак, описанных выше, то есть становятся «точкой входа» для внешних злоумышленников. Подкупить, обмануть или принудить сотрудника к нужным для хакера действиям проще, чем пытаться вас взломать.

Так что с этим делать?

Как и обещали, вот минимальный чек-лист мер, которые нужно предпринять, чтобы защитить компанию.

Со стороны ИT-инфраструктуры:

  • Предоставьте доступ к конфиденциальной информации только ключевым сотрудникам. Ситуация, когда у всех есть доступ ко всему – верный путь к утечке.
  • Пользуйтесь только шифрованными каналами передачи данных (https, ftps, VPN-сервисами).
  • Своевременно обновляйте все ПО, установленное в компании, избегайте устаревших приложений, которые накапливают уязвимости.
  • Регулярно делайте резервные копии данных.
  • Применяйте двухфакторную аутентификацию для доступа к сервисам (например, к CRM).

Подробную информацию мы собрали в специальной инструкции

В работе с сотрудниками:

  • Обучите сотрудников основам информационной безопасности: расскажите о фишинге и о вирусах-шифровальщиках.
  • Объясните необходимость сложных паролей и обязуйте их применять.
  • То же про блокировку сеанса на компьютере или ноутбуке – должно войти в привычку нажимать Win + L как только встаешь с рабочего места.
  • Применяйте системы контроля – тайм-трекеры, а по мере разрастания бизнес-процессов – DLP-системы от утечек данных. Они берут под контроль любое перемещение информации в любом формате (документы, сканы, переписки). 

Как видите, часть мер стоит не денег, а вашего внимания и времени. Это тоже дорого, но окупится сторицей. Например, собственные сотрудники – главные точки входа для мошенников снаружи: устанавливают слабые пароли, переходят по сомнительным ссылкам из писем, открывают вложения, оказываются уязвимыми к манипуляциям и шантажу. Справиться с этой бедой нельзя никак кроме как обучением.

Собрали вам в помощь несколько полезных ссылок: 

Мотивирующий тест для ваших сотрудников
Тест об уровне ИБ-знаний
Вредные ИБ-советы

Надеемся, что эта статья выполнила свою задачу и показала, что базовая безопасность – это не страшно и не супердорого. Разложила по полочкам, чего реально имеет смысл бояться и на что направить внимание, не пытаясь объять необъятное.

Подпишитесь на нашу рассылку и получите свод правил информационной безопасности для сотрудников в шуточных стишках-пирожках.