Опыт Innostage: как выявить и блокировать фишинг

ИТ-компания Innostage 19 июля столкнулась с хакерской атакой, в ходе которой один из сотрудников ввел по фишинговой ссылке данные своей учетной записи, тем самым открыв взломщику путь к ИТ-инфраструктуре. Бдительные сотрудники Центра противодействия киберугрозам Innostage SOC CyberART оперативно блокировали попытку. Директор по цифровой трансформации ИТ-компании Innostage Руслан Сулейманов раскрывает подробности «прорыва границы», чтобы другие компании узнали про схему реализации инцидента и получили рекомендации, как действовать, если подобное произошло с ними.

Цена фишинга

Можно ли подловить на фишинговую ссылку сотрудников компании, специализирующейся на кибербезопасности? Оказалась, что да. Что же тогда говорить о компаниях других сфер, например, ретейла, медицины, строительства. Я решил раскрыть схему проведения атаки, стоившей нам денег, попутно объясняя, что делать, если вас или кого-то из ваших коллег взломали.

В мае 2024 году мы вышли на программу открытых кибериспытаний и предложили независимым исследователям ИБ атаковать нашу инфраструктуру за вознаграждение. Это своего рода краш-тест, в котором опытным путем проверяется цифровая устойчивость бизнеса и предусмотрены несколько градаций денежного поощрения. За выполнение главного условия — перевода со счетов компании до 2000 рублей на счета взломщиков — мы готовы заплатить белым хакерам 5 млн рублей.

В начале июля я объявил о дополнительных выплатах от 100 до 300 тысяч рублей — за закрепление на рабочей станции и реализацию ряда связанных с этим инцидентов. И 19 июля стал днем, когда этичный хакер под ником Prorok своими действиями на кибериспытаниях Innostage заработал 100 тысяч рублей. Такова, по большому счету, оказалась цена фишинга — именно этот прием стал отправной точкой атаки. 

«У меня не было ни одного проекта, где бы социальная инженерия не дала никакого эффекта», — констатирует Петр Тарасов, так зовут Prorok’а в обычном, нецифровом мире.

Заход через кадры

Отчет, прикрепленный Prorok’ом на платформе кибериспытаний, и отчет Innostage SOC CyberART сходятся в том, что первичное звено атаки — фишинговое письмо, якобы написанное внутренней службой технической поддержки компании. Стиль письма и характерные атрибуты белый хакер узнал, отправив с сайта запрос об условиях удаленной работы в компании и получив на него письменный ответ. К тому же он использовал генеративную нейросеть, чтобы составить убедительный текст в полуофициальном стиле, характерном для многих ИТ-компаний.

По всем канонам социальной инженерии, тут была и правдоподобная причина ввести данные учетной записи (переезд на другой почтовый сервер с риском потерять важные письма и встречи в календаре) и срочность действий (чтобы сотрудники особо не задумывались, а сразу кликали по вредоносной ссылке).

Кроме того, Prorok провел основательную киберразведку, собрав в соцсетях (преимущественно в LinkedIn и ВКонтакте) сведения о сотрудниках. Предположив, что почтовые адреса состоят из полного имени и фамилии сотрудника и завершаются тем же доменным именем, что и официальный сайт, исследователь составил порядка 1000 вариаций корпоративных email-адресов. Также он предварительно позаботился о выкупе домена, максимально замаскированного под настоящий. Так, для первой серии рассылок взломщик поменял букву «i» в Innostage на «l», которые в тексте выглядят как близнецы, а во второй раз добавил в конце com.ru. Обе уловки достаточно коварны и многие пользователи, даже те, кто чуть ли не ежедневно встречаются с фишингом, не сразу их распознали.

Как результат, несколько сотрудников перешли по ссылке, но вовремя одумались и сообщили в SOC CyberART о фишинге. Однако, было и исключение: одна из учеток все-таки оказалась скомпрометирована, т.е. взломщик получил к ней полный доступ с перспективой дальнейших нелегитимных или даже разрушительных действий. Конечно, в нашем случае подобного сценария удалось избежать: уже через 10-15 минут после начала рассылки наши коллеги из службы мониторинга и реагирования на инциденты определили источник угрозы и блокировали его. Учетки пользователей, которые перешли по ссылке были заблокированы, а рабочая станция сотрудника, который ввел свои аутентификационные данные, была изолирована от сети компании. Примерно в то же время в SOC стали поступать оповещения от бдительных коллег, а чуть позже по всей сети контактов было разослано письмо с высоким приоритетом и темой «Фишинговая атака».

Меры профилактики

Человек — самое уязвимое звено в цепи кибербезопасности. Свыше 80% инцидентов ИБ происходят по халатности или излишней доверчивости сотрудников. Чтобы обезопасить бизнес, нужно стремиться сократить эти пугающие цифры в статистике. В первую очередь — устраивать обучения по фишингу и другими средствам социальной инженерии. Это нужно делать систематически и на актуальных примерах, ведь хакеры не стоят на месте и постоянно усложняют свои схемы обмана. За обучением нужно устраивать внезапные проверки: сотрудники должны понимать, что их в любой момент могут проверять, и с утроенным вниманием относиться ко всем письмам, сообщениям в мессенджерах, соцсетях и других каналах коммуникации.

Поясните коллегам, что крайне желательно сверять каждую букву в адресе отправителя. А если сообщении есть призыв перейти по ссылке сомнительного вида — то попытаться связаться с адресатом по альтернативному каналу и уточнить, он ли отправлял письмо. 

Также нелишне будет направить подозрительное письмо в службу информационной безопасности — там его проверят и вернутся с обратной связью.

Некоторые сотрудники боятся показаться слишком мнительными и завалить отдел ИБ ложно-фишинговыми сигналами. Объясните им, что на самом деле лучше перестраховаться, чем недосмотреть. Можно даже ввести поощрение для тех, кто распознал фишинг и уведомил об этом ответственные службы.

Конечно, не стоит надеяться только на внимательных коллег. Компания должна обеспечить комплексную киберзащиту своих ИТ-активов, установив средства защиты информации, которые помогут мониторить и пресекать хакерские маневры. К примеру, в нашем случае мы быстро приметили рассылку с нехарактерно высокой интенсивностью, которая поступала на адреса действующих и уволенных сотрудников (вылавливая сведения о персонале, белый хакер не отсортировал тех, кто у нас уже не работает, тем самым позволил себя вычислить в два счета). А далее — блокировали и расследовали действия взломщика.