На протяжении последних 6 месяцев ряд крупных европейских компаний подвергся хакерским атакам, результатом которых стало хищение средств в особо крупных размерах. Основной мишенью злоумышленников стали разнообразные международные компании, представляющие различные сферы бизнеса. Отличительной чертой всех операций являлась примерно одинаковая схема нападения на жертву.
Специалисты по безопасности детально изучили один из случаев, произошедших в апреле, во Франции.
Секретарю крупной компании пришло письмо со ссылкой на инвойс, который хранился на одном из файлообменников. Буквально через несколько мгновений поступил звонок от человека, представившегося исполнительным директором этой же компании. Звонивший уверенным тоном попросил ее обработать этот инвойс. И секретарь без лишних вопросов выполнила просьбу.
Присланный файл на самом деле являлся программой-трояном, позволяющим получить удаленный доступ (Remote Access Trojan, сокращенно именуемый RAT), и был настроен на передачу данных на сервер, расположенный в Украине. После установки RAT, злоумышленник получил полный доступ к рабочей машине секретаря: выгрузке файлов, перехвату рабочего стола, перехвату вводимых символов — логинов и паролей.
Этот кейс демонстрирует, как с помощью достаточно простого программного обеспечения в совокупности с психологическим воздействием можно легко получить доступ к совершенно секретной информации и заставить сотрудника выполнить действия, которые он категорически не должен совершать. При этом для проникновения не нужны особые ухищрения, например внедрение «инсайдера» или поиска недовольного работника, готового «слить» данные за взятку.
Проникновение совершенно с хирургической точностью и минимальными затратами. По словам европейских специалистов по безопасности такая стратегия – ноу-хау, и ранее была не характерна для атак. Однако же хищение информации с помощью технических средств и прямой коммуникации с сотрудниками набирает обороты.
За последние несколько месяцев это далеко не первый случай, когда хакеры использовали многоходовые стратегии по проникновению в организации. Причем в большинстве случаев, кроме технических средств были применены приемы психологического воздействия на сотрудников.
Перед атакой злоумышленники проводят обязательную подготовку: собирают номера телефонов сотрудников, почтовые ящики. Основной целью, чаще всего, являются секретари, бухгалтерия и другие сотрудники, работающие с финансовой документацией. Присылаемые файлы всегда убедительны и входят в обычный ежедневный документооборот «жертвы». Очень часто целью становятся сотрудники, которые могут подтвердить электронные переводы денег. Если работник, на которого вышел хакер, не имеет дела с финансами, злоумышленник вытягивает у него информацию о новой жертве.
В атаках, состоящих из двух фаз, хакеры обычно используют вредоносное программное обеспечение и психологическое воздействие на сотрудника. Ведь главная задача – заставить установить RAT. А сделать это можно с помощью авторитета и доверия, например, представившись кем-либо из высшего руководства компании. Особенно хорошо, если сотрудник-«цель» редко общается с ТОП менеджментом, и не отличит «фальшивку» по телефону.
После установки ПО, хакеры легко получают доступ к информации о поставщиках телеком услуг. Это необходимо для следующего шага операции: звонка оператору с просьбой перенаправлять все входящие звонки на другие номера.
Финальная часть атаки – запрос в банк, обслуживающий компанию, с просьбой перевести большие суммы на разнообразные оффшорные счета. Поскольку такие запросы требуют дополнительного подтверждения, работник банка звонит по указанным контактным телефонам. А звонки, естественно, переводятся на телефоны злоумышленников, которые с радостью подтверждают трансфер. И финансы компании уходят на множество разных счетов.
Отследить злоумышленников практически невозможно, так как они используют мобильные Wi-Fi соединения. И единственный способ защитить финансовую и интеллектуальную собственность – подготовиться к таким нападениям.
Прежде всего, нужно вести мониторинг и контроль веб-серфинга сотрудников. Если нельзя зайти на небезопасный сайт – становится просто невозможно скачать вредоносный файл. Также необходим контроль файловый операций, ответственное лицо должно быть в курсе что, куда и зачем перемещают или копируют сотрудники. С помощью мониторинга почты можно предупредить большинство атак в зародыше: ведь злоумышленники редко рассчитывают на удачу с одной попытки, а значит будут отправлять как минимум несколько писем с похожим содержанием. Своевременное выявление такой атаки поможет нейтрализовать угрозу.
Не будет лишним и установка систем, позволяющих перехватывать, распознавать и уведомлять об упоминаниях подозрительных заголовков в документах, номеров счетов. Если злоумышленник маскирует RAT под финансовую документацию, руководитель сможет своевременно выявить подозрительный счет и принять соответствующие меры.
Ну и последний эшелон защиты – перехват, распознавание и анализ звуковых переговоров. Ведь, большинство преступных схем работает только в том случае, если на другом конце провода человек, готовый по наивности готовый к сотрудничеству. Выявление подозрительных звонков и переговоров наиболее эффективный метод распознать скрытую угрозу и не допустить утечки данных.
