Чем опасны рабочие чаты в мессенджерах

Фото: Михаил Гребенщиков / РБК

По данным ГК «Солар», в 35% случаев конфиденциальные данные попадают в открытый доступ через мессенджеры, при этом сумма их выкупа стартует от $1 тыс. для малого бизнеса и от $50 тыс. для крупного. Кроме того, от одной подобной утечки компании теряют 5,5 млн руб. И это только прямые издержки — без учета штрафных санкций со стороны Роскомнадзора, компенсаций клиентам и затрат на восстановление репутации.

2 способа и 8 схем: как крадут данные через мессенджеры

Как правило, хакеры действуют двумя способами. Первый — с помощью приемов социальной инженерии убеждают сотрудников самостоятельно поделиться данными. Второй — взламывают аккаунт.

Разберем эти способы подробнее.

1. Техники социальной инженерии

Хакеры играют на чувствах сотрудников и выманивают конфиденциальную информацию.

— Претекстинг — манипуляция по заранее срежиссированному сценарию, то есть претексту.

Сначала хакер собирает максимум информации о жертве: имя, должность, названия проектов, имена и роли коллег. Эти данные он может получить из открытых источников — соцсетей, интервью, публикаций на сайте компании.

Затем, вооружившись собранной информацией, хакер выходит на контакт. Он представляется, например, сотрудником другого отдела или внешним подрядчиком, ссылается на реальные внутренние проекты и упоминает имена коллег. За счет деталей у жертвы возникает ощущение, что собеседник «свой». Это снижает бдительность — и жертва сама выдает нужные данные, пропускает письмо с вредоносной ссылкой или предоставляет доступ к системе.

Пример: злоумышленник заранее собрал информацию о компании и ее руководителе: имя, должность, стиль общения, фото из открытых источников. Затем создал поддельный аккаунт руководителя — с похожим именем и фотографией — и написал сотрудникам: якобы произошла утечка, их персональные данные могли попасть к мошенникам, и скоро с ними свяжется представитель банка, чтобы помочь обезопасить счета.

Через некоторое время сотруднику действительно позвонил «банковский специалист», который назвал имя и должность «руководителя» и сослался на его сообщение. Он убедил сотрудников снять деньги с карты, перевести их на «безопасный счет» или передать курьеру. Деньги присвоил себе.

Каждый оставляет в интернете цифровой след. Как его контролировать

Образование

— Quid pro quo/кви про кво (услуга за услугу) — техника, при которой мошенник сообщает о фейковой проблеме и помогает ее «исправить», а на самом деле подталкивает жертву к опасным действиям: установить на компьютер зараженное ПО или поделиться своим логином и паролем от сервиса.

Пример: фальшивый сотрудник написал бухгалтеру компании, что в работе серверов произошел сбой, у многих клиентов файлы отправляются некорректно. Мошенник попросил у бухгалтера логин и пароль, чтобы проверить, все ли в порядке с документами. Бухгалтер отправил доступы, мошенник авторизовался в системе от его имени и выгрузил данные о клиентах, контрагентах и сотрудниках компании.

— Фишинг — техника получения данных через поддельную ссылку. Хакер отправляет сотруднику компании сообщение от имени коллеги или партнера. В сообщении содержится ссылка на фейковый сайт, который запрашивает данные сотрудника — логин, пароль, реквизиты счетов. Сотрудник вводит данные, и они попадают к хакеру.

Пример: email-маркетолог общался в telegram-чате с персональным менеджером, представляющим платформу для автоматизации рассылок. В какой-то момент ему написал хакер. Он представился новым менеджером и прислал ссылку на отчет якобы в системе, а на самом деле на поддельном сайте. Маркетолог авторизовался на поддельном сайте, а злоумышленник получил доступ к его корпоративному аккаунту и выгрузил клиентскую базу.

2. Взлом аккаунтов

Компания не застрахована от утечек, даже если сотрудник ведет себя осторожно: проверяет адреса ссылок, не пересылает важные документы и не хранит пароли в «избранном» или переписке с самим собой. Ни один мессенджер не может гарантировать 100-процентную защиту от взлома.

Вот как взламывают аккаунты в мессенджерах.

— Фишинг и социальная инженерия

Злоумышленник присылает сотруднику ссылку якобы на рабочий ресурс. При переходе сотрудник вводит логин и код из СМС и передает доступ атакующему. На примере с Telegram злоумышленники могут подменить домен telegram.org, меняя буквы на похожие из других алфавитов (кириллица/латиница).

— Перехват СМС с кодом

Если сотрудник использует для входа только СМС, возможен перехват кода через уязвимости мобильного оператора или вредоносные приложения, запрашивающие доступ к СМС.

— Установка вредоносного ПО

Злоумышленник под видом PDF-файла или видео присылает сотруднику приложение, которое устанавливает на его компьютер троян. После чего троян перехватывает сеансы, снимки экрана и даже экспортирует переписки.

— Взлом через web- или desktop-версию

Если сотрудник не выходит из сеанса в веб-версии мессенджера, злоумышленник, получив доступ к компьютеру, например через кейлоггер (от англ. key — клавиша, logger — регистратор — это программное обеспечение или аппаратное устройство, которое записывает все нажатия клавиш на клавиатуре компьютера или другого устройства ввода), может незаметно читать переписку.

— Сторонние боты и расширения

В Telegram опасность представляют боты, которым пользователь сам разрешает доступ к сообщениям. Некоторые из них могут собирать данные о пользователях — номера телефонов, ID, активность.

Злоумышленники также крадут данные во время ремонта смартфонов. Обычно это медиафайлы, а также логины и пароли для входа в сервисы.

Как защитить компанию: 9 советов

1. Организуйте доступ работников к корпоративному мессенджеру только с помощью двухфакторной аутентификации.

Применяйте как минимум один дополнительный фактор.

Самый распространенный вариант, доступный в большинстве программ, — использование кода подтверждения. Когда человек заходит в аккаунт, он сначала вводит логин и пароль, а потом получает код в СМС или через OTP (аббр. от One Time Password — одноразовый пароль).

«Простите, не тот чат»: цифровые навыки, без которых не состоится карьера

Образование

2. Используйте защищенный мессенджер.

Выбирайте мессенджеры, которые позволяют контролировать доступ и шифрование переписки. Это могут быть корпоративные мессенджеры в облаке, защищенные решения, развернутые на собственной инфраструктуре или встроенные чаты в корпоративных платформах. При таком подходе вы будете уверены, что в переписке участвуют только ваши сотрудники, что сводит к минимуму вероятность ряда причин взлома.

При использовании обычных мессенджеров обязательно добавляйте в каждую группу специального бота — он будет следить за ее составом и вовремя сообщит вам о появлении «чужака» или сотрудника, который с вами больше не работает.

3. Разграничивайте доступы для сотрудников.

Чтобы защитить конфиденциальную информацию, придерживайтесь принципов.

• Минимальные привилегии — предоставляйте сотрудникам только те права, которые им действительно нужны для выполнения работы. Например, менеджеру не нужно право редактировать финансовую отчетность.
• Минимальный доступ — ограничьте объем данных, к которым сотрудник имеет доступ. Даже если он работает с клиентами, ему не обязательно видеть полную базу, достаточно только своей части.
• Гранулированный доступ — настраивайте доступ не только по ролям, но и по уровням, задачам, времени или контексту. Например, разрешать доступ к документу только в рабочее время или только с корпоративного устройства.

Закрывайте все документы и сервисы и давайте доступ только по индивидуальному запросу или только специалистам с определенной ролью. Разграничить доступ можно централизованно, а можно в каждом отдельном сервисе. Даже если мошенники взломают аккаунт сотрудника в мессенджере и получат ссылку на закрытый файл, они не смогут его изучить.

4. Используйте DLP-системы.

DLP-системы отслеживают передачу данных в компании и предотвращают утечки. Они работают на основе правил и заранее заданных политик: система анализирует, что, кому и как отправляет сотрудник.

Например, она может среагировать, если пользователь пытается переслать файл с большим количеством персональных данных (ФИО, СНИЛС, паспортов) через незащищенный канал, загрузить его в публичное облако или упоминает в переписке словосочетания вроде «база клиентов», «договор с X», где X — название компании конкретного клиента. В таких случаях система автоматически уведомит службу безопасности или заблокирует действие.

5. Обучайте сотрудников основам кибербезопасности.

Нехватка навыков у сотрудников — на втором месте среди крупнейших угроз информационной безопасности компаний. В популярных антивирусных программах обычно есть встроенная защита от фишинга: она защитит компанию от большинства атак. Но дополнительно важно учить сотрудников распознавать фейковые ссылки, сайты, письма, сообщения в мессенджерах и знакомить их с основными мошенническими схемами. С этой целью корпорации проводят киберучения.

6. Забирайте у бывших сотрудников доступы к рабочим аккаунтам.

Утечки данных часто происходят по вине уволившихся сотрудников, которые сами крадут данные. Кроме этого неиспользуемые аккаунты бывших работников создают брешь в системе безопасности — к ним могут получить доступ мошенники.

Поэтому блокируйте учетные записи сотрудников сразу после их увольнения. А в идеале вдобавок меняйте пароли к корпоративным аккаунтам после каждого увольнения.

7. Регулярно обновляйте мессенджеры.

Даже в защищенных мессенджерах иногда возникают уязвимости, которыми могут воспользоваться мошенники. Но разработчики регулярно выпускают обновления, в которых закрывают эти уязвимости. Поэтому важно, чтобы сотрудники регулярно обновляли мессенджеры на всех устройствах — это снизит риски взлома и утечки информации. Если корпоративный мессенджер работает на собственных серверах и инфраструктуре компании, серверную часть тоже нужно обновлять вовремя.

8. Организуйте доступ к рабочему мессенджеру через сервис для безопасного доступа к корпоративной инфраструктуре.

С его помощью даже дистанционные сотрудники смогут безопасно обмениваться любыми файлами, потому что вся информация шифруется. Даже если злоумышленники перехватят данные, они не смогут ими воспользоваться. Однако такое решение может вызвать проблемы в работе мессенджеров.

9. Застрахуйте информационные риски.

Страховые компании покрывают расходы бизнеса, вызванные утечками данных. Например, затраты на расследование преступления или на восстановление потерянных данных.

С мая 2024 года спрос на киберстрахование вырос почти на 60%, подсчитало ООО «ТендерПро» (владеет одноименной электронной торговой площадкой). Пока услуга доступна только крупным компаниям — в 2023 году страховые компании, развивающие направление покрытия ущерба от последствий кибератак, увеличили сбор страховых премий по услуге на 80%, до 1,3 млрд руб. А Евгений Уфимцев, президент Всероссийского союза страховщиков, в 2024 году оценил объем российского рынка страхования киберрисков в 900 млн руб. Согласно прогнозам брокера Mainsgroup, рынок будет ежегодно расти на 40–50% в год, особенно на фоне ужесточения регуляторных требований в области обработки персональных данных.