Опубликовано: 30.11.2021
Руководители — привлекательные жертвы для мошенников. В их руках находятся не только большие финансы, но и доступы ко всем критически важным информационным активам компании. Попадаются на удочку преступников предприниматели и директора, увы, нередко. Кто-то — из-за доверчивости, кто-то — из-за невнимательности, а кто-то — из-за собственной халатности.
Кроме того, сегодня преступникам и мошенникам куда проще действовать: они используют цифровые методы мошенничества, дипфейки, подмену номеров и многое другое. На какие угрозы стоит обратить внимание, если вы руководитель?
С чем может столкнуться руководитель
У киберпреступников разные намерения: они могут быть нацелены на данные, счета компании или личные деньги топ-менеджера. Они также могут выполнять чей-то заказ, чтобы пошатнуть надежность компании или её репутацию — и распространять порочащие сведения.
Способов получить доступ к информации у преступников более, чем достаточно — от взлома телефонов и компьютеров руководителя до вербовки инсайдеров. При этом собственные сотрудники тоже могут оказаться злоумышленниками. Поэтому все угрозы ИБ-специалисты обычно разделяют на внутренние и внешние.
Внешние киберугрозы
Причина, как понятно из названия, находится за пределами компании. Видов атак великое множество, но злоумышленники проворачивают их двумя основными способами: либо грубым взломом, либо хитрой социальной инженерией.
Социальная инженерия и фишинг (как её частный случай) — это универсальное оружие мошенников. У него множество разновидностей, но цель всегда одна — заставить жертву обманом действовать по воле мошенника. Обман — это фейковые письма, сайты, телефонные звонки. С развитием аудио- и видео-дипфейков, возможностью подменять телефонные номера и почты ситуация становится и вовсе угрожающей, потому что жертве почти невозможно отличить подделку от оригинала. Проблем добавляет и то, что фишинг — часто многоступенчатая атака, и если кто-то ведет целенаправленную охоту за вами, он может развернуть целый спектакль. Распознать такую схему сложно, потому что мошенник вовлекает в длительное взаимодействие, в котором вы проникаетесь доверием.
Простой фишинг направлен на быстрое достижение цели — мошенник хочет, чтобы вы скачали какой-нибудь контент с вирусом-шифровальщиком, или «шпионом», указали платежные или персональные данные, перевели деньги на поддельные счета.
Вот пара примеров историй о простых и сложных атаках.
В Вологодской области предприниматели региона начали массово получать письма и звонки от мошенников, которые представлялись губернатором области. Они утверждали, что собирают деньги на реализацию госпрограмм. За первую половину года было зарегистрировано 1 144 заявлений от пострадавших, которые заявили об ущербе в 109 млн рублей.
И это — не единичный случай. С начала года зафиксировано немало подобных атак на людей «с должностью»: звонки от «пожарных», «Роспотребнадзора» и других важных лиц.
История вторая. Перед конференцией руководитель в срочном порядке дал задачу заказать партию брендированных канцелярских принадлежностей. Чтобы цена была выгоднее, решили делать большой заказ и восполнить тем самым запас на год вперед. Выбор пал на онлайн-магазин, предлагающий подходящую цену и сроки изготовления. Условия тоже более, чем устраивали — предоплата 20%. С размещением заказа исполнитель торопил, а получив деньги на счёт, перестал выходить на связь. Через какое-то время сайт магазина и вовсе ушел в небытие, но появились подозрительно похожие на него клоны. В спешке руководитель не поставил задачу подчиненным проверить контрагента или дату регистрации сайта.
Вот ещё одна история, которую рассказал директор по безопасности.
Во время авиаперелета руководитель одной компании обратил внимание, что сосед по ряду читал про курсы криптовалют. Разговорились, оказалось, что собеседник — большой эксперт в крипте, по прилету состоялась и сделка по инвестированию в 300 тыс. долларов в одну из валют. После чего «попутчик» пропал, сделка оказалась обманом. Расследование показало, что на бизнесмена была организована охота: мошенники знали о его интересе к инвестированию криптовалют, выяснили его график и даже выкупили место в самолете рядом с ним. Дальше — талант убеждать завершил дело.
Взломы
Как и в случае с социальной инженерией, самые опасные последствия могут наступить, если злоумышленник организует целевую атаку. Она может быть направлена как на ваши личные гаджеты и аккаунты, так и на корпоративные. Пример ниже демонстрирует это как нельзя лучше.
Московский бизнесмен обнаружил, что не может воспользоваться своим телефонным номером, а вслед за ним — сервисами, которые привязаны к нему. Самым критичным оказалась потеря доступа к банковскому приложению — злоумышленники перехватили его и сняли все деньги с личного и корпоративного счета в сумме — 26 млн рублей. Выяснилось, что кто-то перевыпустил SIM-карту по доверенности. Такое возможно, когда у мошенника есть скан паспорта или просто его данные и «прихват» в салоне связи. Подобных случаев немало.
Описанный выше случай произошел два года назад, на каждую подобную ситуацию хорошие банки реагируют сменой политики безопасности. Если банк видит, что поменялся уникальный идентификатор SIM-карты (IMSI), он блокирует операции до момента подтверждения перевыпуска сим-карты. Для снятия блокировки мошеннику придется узнать кодовое слово владельца карты.
Но несмотря на принимаемые банками меры, мошенники тоже не стоят на месте. Это означает, что вместо лобовых схем они начинают использовать более изощренные.
Вот другой пример последствий использования слабого пароля.
Логины-пароли руководителя попали в базу утечек, после чего взломали его корпоративную почту. С неё мошенник написал сотруднику, у которого запросил договор и счёт одного из контрагентов «на проверку». Сотрудник ничего не заподозрил и отправил документы. После этого мошенник под видом руководителя поменял в документах реквизиты и отдал счет на оплату, которая ушла налево.
Внутренние угрозы
Это любые риски, связанные с действиями собственных сотрудников. Тему внутреннего мошенничества руководители не любят обсуждать: неприятно, когда нарушителем оказывается кто-то из доверенного окружения. Несмотря на это, 80% опрошенных нами компаний считают внутренние инциденты опаснее внешних, так как инсайдерам не нужно взламывать ИТ-инфраструктуру, они имеют доступ к системе по роду деятельности.
Среди инсайдерских рисков: утечки информации, попытки откатов и взяточничества, саботажа, промышленного шпионажа и работы на конкурентов, организации фирм-боковиков — только 12% российских компаний не фиксировали инциденты по вине сотрудников и всего 38% не получили ущерба от подобных нарушений.
Статистика из исследования уровня информационной безопасности в компаниях России и СНГ за 2020 год
Для примера еще несколько случаев, уже о внутренних инцидентах.
ИБ-специалист обратил внимание на подозрительную активность на компьютере руководителя в нерабочее время. Оказалось, что в него вошёл сисадмин, используя для этого TeamViewer, пароль подобрал перебором. Целью были данные, которые он начал сгружать в облако. К счастью, работника вовремя остановили и данные никуда не утекли.
Во втором случае сотрудник решил отомстить начальнику за выговор и лишение премии из-за ежедневных опозданий и невыполнения рабочих обязанностей. Работник начал жаловаться друзьям в переписке в мессенджере на ужасного руководителя и обещал устроить ему «веселую жизнь». После этого приступил к действиям. Он скопировал на съемный жесткий диск большой объем информации: сведения о поставщиках и клиентах, скидках, а также финансовые документы. Однако, благодаря службе безопасности, вынести информацию за пределы офиса сотрудник не успел.
Почему же руководители так часто оказываются жертвами мошенников?
Решительность, привычка действовать в цейтноте, доверие ближнему кругу и своей интуиции, фокусировка только на главном — это те качества и привычки, которые помогают преуспевать в бизнесе. Руководитель не обращает внимание на незначительные мелочи. Он не хочет подрывать доверие к сотрудникам, чтобы получить больше отдачи от их работы. Он привык закрывать вопросы быстро, потому что время — деньги.
Мошенники знают эти особенности и оборачивают их в уязвимости.
Конечно, защититься от мошенников полностью не поможет даже развитая паранойя. Но что вы точно можете сделать — это не облегчать мошенникам жизнь. А именно:
- Не передавайте свои гаджеты в третьи руки. Современные средства взлома позволяют получить доступ даже к заблокированным устройствам. Конечно, мошенникам неинтересно применять спецсредства всякий раз, когда они видят бесхозный смартфон. Но это не значит, что с вас нечего взять и на ваш гаджет никто не захочет установить программу-шпион.
- Используйте антивирусы и обновляйте программы и приложения, чтобы устройства были защищены от новых зловредов и уязвимостей.
- Настраивайте двухфакторную аутентификацию во всех сервисах, где это возможно (банковские приложения, CRM, соцсети). Настраивайте сложные пароли и придерживайтесь правила «один аккаунт — один пароль».
- Берегите персональные данные, которые могут быть использованы в мошеннических целях. Это в общем случае сканы паспорта и платежные данные. Но специфика вашего бизнеса может диктовать и другие меры предосторожности: например, защиту информации о местонахождении.
- Включайте здоровую бдительность в личной жизни и обращайте внимание, когда кто-то настойчиво чего-то от вас добивается. В корпоративной жизни лучше завести «профессионального параноика» в лице специалиста ИБ или службу безопасности, чтобы подсказывали, где ваш бизнес может встать на «тонкий лёд».
- Внедряйте защитные инструменты. Минимум — это антивирусные программы, файрволы, спам-фильтры, разграничение доступа и системы контроля сотрудников (DLP-системы).
И еще один общий совет напоследок. Чтобы вы и ваши сотрудники могли тратить время не на то, чтобы озираться по сторонам, а на продуктивную работу, повышайте уровень ИБ-культуры. Пусть навыки грамотного компьютерного поведения будут выработаны до автоматизма. Проверьте уровень своих знаний и знаний ваших сотрудников небольшим ИБ-тестом.