Смартфоны сотрудников стали главной угрозой для корпоративных сетей Wi-Fi

Более 90% личных устройств сотрудников, подключенных к корпоративному Wi-Fi, создают критический канал утечки данных и несанкционированного доступа в сеть компании. К такому выводу пришли эксперты Angara Security по результатам регулярных тестов защищенности. Уязвимость возникает из-за привычки пользователей не отключать Wi-Fi при выходе из офиса, что позволяет злоумышленникам легко перехватывать учетные данные и проникать во внутреннюю ИТ-инфраструктуру организаций.

Покидая офис, смартфон с активной функцией «Подключаться автоматически» постоянно ищет знакомые сети, публично «выкрикивая» их имена в эфир. Злоумышленники, используя простейшее оборудование, перехватывают эти запросы вблизи бизнес-центров — в кафе, на парковках или в общественном транспорте. Получив имя корпоративной сети, они разворачивают фальшивую точку доступа с идентичным названием. При сближении с такой точкой смартфон сотрудника может подключиться к ней автоматически, в ряде случаев передав злоумышленникам пароль для доступа к сети в открытом виде.

 «Сценарий, который мы регулярно наблюдаем на пентестах, напоминает сюжет из шпионского триллера, но он абсолютно реален, — комментирует Роман Просветов, руководитель направления анализа защищенности Angara Security. — Сотрудник с телефоном в кармане, идущий на обед в соседнее кафе, сам того не зная, выступает в роли курьера, который доставляет злоумышленнику ключи от корпоративной сети. Этих ключей достаточно не только для доступа во внутреннюю сеть, но и для подключения к сервисам компании, таким как почта, файловые хранилища или VPN».

Эксперты подчеркивают, что стандартных мер защиты Wi-Fi, таких как скрытие имени сети (SSID) или фильтрация по MAC-адресам, недостаточно для противодействия этой угрозе, так как атака нацелена не на саму точку доступа, а на поведение мобильных устройств.

Угроза касается не только бизнеса. При атаках на домашние сети злоумышленники получают доступ к конфиденциальной информации, камерам наблюдения, устройствам «умного дома» и могут включить оборудование в бот-сети.

Рекомендации для корпоративной безопасности:

1. Выделить все личные смартфоны и планшеты сотрудников в отдельную, изолированную беспроводную PSK сеть с выходом только в интернет.
2. Обязать сотрудников удалить («забыть») корпоративную сеть на личных устройствах.
3. Использовать современные стандарты аутентификации (WPA3) и системы контроля доступа в сеть (NAC).

Рекомендации для защиты домашних сетей:

• Установить длинный (не менее 18 символов), не словарный пароль. Под это хорошо может подойти, например,  крылатая фраза или строчка из песни/фильма.
• Настроить фильтрацию по MAC-адресам, разрешив подключение только доверенным устройствам.
• Скрыть имя сети (SSID).

«Особое внимание необходимо уделить смартфонам и планшетам, которые используются за пределами квартиры или частного дома, — советует Роман Просветов. — Рекомендуется выключать Wi-Fi на гаджетах вне дома или офиса и использовать мобильный интернет. Публичные точки доступа использовать только в проверенных местах и крайних случаях. Таким образом пользователь защищает себя от возможных утечек информации. Также важно проверить свой смартфон и «забыть» старые и неактуальные Wi-Fi-сети».