Comments 35
Так всегда и бывает. Я тоже не могу продать руководству некоторые идеи, которые могли быть полезны, но им и так удобно
Думаю, что Вы негласно назначены крайним для коллектива и партнёров - айтишник виноват и его уволили. Кроме того зачем руководству постоянно видеть человека, точно знающего об их ошибке - отказе от обновления системы безопасности. В общем шансов остаться там не было.
Ну а так то надо было бухгалтерии созвонится с контрагентом по поводу смены счетов, сумму не маленькую отправляли. Но в целом схема была хорошо проработана со стороны мошенников.
Как-то все странно.
Когда начали разбираться глубже, выяснилось, что скомпрометированы несколько почтовых ящиков — финдир, бухгалтер и ещё несколько сотрудников. Один точно попался на фишинг: письмо пришло от реального партнёра, у которого до этого угнали почту. Антиспам ничего не заметил.
По остальным логика такая: входы снаружи, один IP, пароли подобрали или утекли где‑то раньше. Двухфакторки не было, поэтому зайти в ящик — вопрос техники.
Дальше всё по классике, но очень аккуратно. Люди сидели внутри переписки, ждали нужный момент, подменили письмо с реквизитами, удаляли ответы в ящике финдира, чтобы не палиться. Это не была примитивная схема с «срочно оплатите по новому счёту». Это была нормальная рабочая переписка, просто внутри неё уже находился посторонний. Деньги ушли на счёт однодневки.
После инцидента мы ещё раз проговорили всё то, о чём я говорил до этого: отсутствие 2FA, устаревшая версия почты, доступ снаружи, отсутствие нормального контроля входов, отсутствие процедуры подтверждения смены реквизитов по альтернативным каналам
Угнали пароли от почты нескольких аккаунтов, включая финдира? А не сложновато ли для подбора паролей? Или логи, их анализ, блокировки не делались?
Отсутствие 2FA - ну как бы ЛПР сами виноваты, что не обеспечили защиту своих аккаунтов.
Смена паролей по времени, сложность паролей, отсутствие однотипных - все обычно настраивается политикой сервера (кроме однотипности с паролями в других местах их применения пользователями), конечно с приказом, и принятием этой необходимости ЛПР и прочими.
Хотя без 2FA, а только с паролями угнать пароли когда пользователи используют один на весь интернет очень легко.
А по жизни такое отношение руководства везде.
Смена паролей по времени, сложность паролей, отсутствие однотипных - все обычно настраивается политикой сервера, конечно с приказом, и принятием этой необходимости ЛПР и прочими.
Как правило, руководству это все "мешает работать". Во многих организациях для руководства и политики слабее, и много послаблений в плане ИБ-безопасности. К сожалению, наблюдаю такое постоянно.
Например, сначала получили доступ к одному из компов домена, потом к контроллеру домена, а потом к нужным учеткам.
Могли даже не брутить. Заслали фишинговую ссылку на поддельную страницу логина Microsoft 365, бухгалтер ввела креды, и сессия улетела атакующим. Без 2FA это билет в один конец
Странно, что бухгалтерия проводит оплаты на "другие" реквизиты, включая ИНН, ведь однодневку можно создать с таким же названием, и счет в том же банке открыть, но ИНН подменить сложно! Тут вопросы к операционному бухгалтеру обслуживающему банковские операции. Или компания у вас такая, что регулярно работает с однодневками и частая смена реквизитов включая ИНН - это нормальная практика.
однодневок, как таковых, давно нет.
когда их обрубили (лет 10 назад, а может и более) была стратегия: создавались ооошки, с сайтами и прочим, типа, по-настоящему все, работали немного, потом в спячку с нулевой отчетностью или около того.
Потом будились под задачу.
Так что если в конторе бух внезапно оказался в роли безопасника, пробил ИНН по базам, то никаких особых признаков криминала он бы там не увидел, никаких судов и т. п., все зелененькое.
Торчащий наружу Exchange. После этой фразы буквально заставил себя читать дальше. Ну, сочувствую вам, но явно ваш косяк. Понимаете, руководство не обязано разбираться в инфобезе и прочем, оно наняло вас, чтобы вы закрыли вопрос с техникой. А вам показалось, что они за вас должны были решить, торчать чанге наружу или нет. То, что они не осознали риски - это нормально. Они не техники, не айтишники. Либо вы недостаточно их испугали, либо сами ушли от ответственности, включившись в игру "субординации".
Да, бывает руководство "всезнайки" в духе "будет так, как я хочу, потому что я тут главный". Не редко. Но практически всегда я видел, что айтишники не додавливают, не доказывают, не продвигают эффективно свое мнение. А потом оп! все вокруг виноваты. Развернули быстро openvpn свой, простейший MTA, установили любителям почты на мобилках и дома клиенты и прописали ключи. С дипломатичным подходом, мягкой но твердой уверенностью, это прошло бы гладко, я практически уверен в этом.
В крайнем случае, если "руководство" совсем жестит - просто увольняться. Ибо будущее в таких конторах предрешено. Ну, допускаю, что тут не хватило опыта.
То, что они не осознали риски - это нормально. Они не техники, не айтишники.
Тут соглашусь
Либо вы недостаточно их испугали, либо сами ушли от ответственности, включившись в игру "субординации".
...айтишники не додавливают, не доказывают, не продвигают эффективно свое мнение.
А тут уже нет. Почему айтишники что-то должны продвигать, и, уж тем более, давить. Причём давить снизу вверх! Это опытным менеджерам не всегда под силу, а вы говорите про айтишников. Которые часто интроверты и не асы коммуникаций.
Айтишник пришёл, рассказал и разложил. Ситуация такая, что не вложив сейчас столько денег мы можем потерять бесконечно много. Сделать нужно так-то, за такие-то деньги.
ЛПР на то и ЛПР, что он должен разобраться (пусть и верхнеуровнево) и принять решение. Заменеджерить вопрос. Если нет доверия этому айтишнику, пригласить другого. Получить второе мнение.
В конце концов. В данной ситуации пострадал ЛПР, а не айтишник. Айтишник новую работу найдёт, благо это не веб-разработчик, а админ. А вот ЛПР 10 млн должен будет заново заработать.
Плохо, когда ты "профи" только в одной сфере, типа IT, а в остальных не развиваешься. Если у тебя по должности идёт взаимодействие с руководителями и т.п., то нужно прокачивать и навыки "бюрократии".
Порядок действий был примитивный:
Доводишь до руководителей информацию.
Блочишь exchange выход во внешний мир, часть процессов встаёт.
Пишешь служебную записку на имя руководителя и отправляешь по официальному каналу, мол: Я такой-то исполняя свои обязанности выявил уязвимость, донёс информацию до руководства, в связи с отсутствием мер по устранению уязвимости закрыл возможность эксплуатации уязвимости в соответствии с должностными инструкциями доступным мне способом. Любые дальнейшие действия с моей стороны по данному инциденту, в текущих условиях, противоречащие политике безопасности и должностными инструкциям, будут осуществляться после письменного распоряжения подписанного сотрудником с необходимым уровнем ответственности.
На все вопросы отвечаешь - у меня должность ответственная, я сидеть в тюрьме не собираюсь.
По моему опыту, после такого либо уволят, либо забегают, если забегают, нужно стоять на своём до конца и даже на время "внедрения нового решения" не включать доступы, пока вышестоящее должностное лицо не подпишет бумагу, что берет на себя всю ответственность на переходный период.
Почти все останавливаются на п.1, что не правильно. Профи должен уметь излагать свою позицию и отстаивать её (в т.ч. использую бюрократические механизмы), иначе какой он профи?
Бояться что уволят - не надо, этот кейс на собесе даст сразу +100500 репутации в глазах некоторых компаний (в отличии от увольнения после инцидента). Анекдот в тему:
Нач.производства вызывает главного инженера:
- Меня не устраивает, как ты работаешь? - нач.производства.
- Не нравится - увольняйся, на улице на твою должность очередь. - гл.инженер.
Если руководство наглухо упертое и запрещает закрывать owa через vpn, ты либо пишешь бумагу о снятии с себя ответственности, либо увольняешься до того как грянет гром
В компании в которой не так давно работал инфобез закончилась на приколоченых гвоздями паролями из 6 цифр, с доступом на терминале и по rdp, ни впн, ни 2fa.
Меня настоятельно попросили молчать в тряпочку о проблемах в инфобезе.
Угадайте что в итоге?
Полное уничтожение всех данных, почта, файлсервер, все бд 1с, сайт.
А самое что удивительное ит директора не уволили, а компания понесла миллиардные убытки и сейчас толком не оправилась.
Оборот компании 100+ млрд в год.
Сочувствую. Были в похожей ситуации. Атакующий создал на gmail адрес внешне похожий на адрес контрагента. Затем с этого ящика вступил в переписку с сотрудником и убедил использовать другие реквизиты для платежа. Стиль общения, знания деталей процесса, подписи в письмах были настолько точными, что сотрудник не обратил внимания на отличающийся адрес отправителя. В результате 2 млн. ушли телезрителям. Каких-то следов проникновения не обнаружил.
При невозможности взломать саму компанию возможен вариант ещё интереснее.
Взламывается почтовый ящик контрагента с получением логина и пароля.
Из папки "Отправленные" берётся письмо с реквизитами платежа, добавляется приписка, что банк указанный в первом счёте внезапно недоступен, просьба заплатить по новым реквизитам, редактируется вложенный файл со счётом, в котором указываются реквизиты нового банка.
Внешне оба письма абсолютно идентичны по внешнему виду, новое письмо содержит все логотипы и форматирование, поле From: содержит тот же самый адрес отправителя.
E-mail прошёл через легальный почтовый сервер контрагента, поэтому фильтры на входе у нас это письмо пропустили.
Разбор SMTP заголовков показал, что первое письмо было отправлено из офиса, а второе из какого-то интернет кафе.
Исполнитель, ответственный за работу с этим контрагентом, отправил этот новый счёт в оплату.
Платёж был остановлен на уровне финансового директора при сравнении реквизитов нового счёта с заключённым договором.
При запросе голосом контрагент ответил, что никаких новых реквизитов он не отправлял.
Классическая схема под названием "взлом через контрагента", достаточно часто срабатывает.
Мои предложения ввести хотя бы минимальную защиту на стороне контрагента (отправлять счета в архиве с паролем), у руководства компании понимания не нашли.
Вот читаешь про почту и думаешь - тут могла быть реклама электронного документооборота между организациями типа контур диадока, хотя не всем просто и дешево выставлять счета.
С другой стороны мало что мешает взломав почту прислать письмо что счет будет от другой организации (раз злоумышленники имеют счета в банках, то и в эдо могут иметь)
Можно предположить, что автора не просто назначили стрелочником, а заподозрили, что с его помощью все и провернули.
Просто видимо до этого не сталкивалось начальство с такой ситуацией, да и согласитесь платить 700к в год и видимого (явного) результата ноль (ведь врядли злоумышлиники будут трубить, мол пытались пытались, нас не пустило), а как что-то случиться так сразу становиться видно, что в системе были дыры.
т.е. аналоговые по своей сути бухи\фины\гены не удосужились аналогово позвонять контрагенту и расставить точки над Ё?
не, не верю(с)
Пробовал разворачивать бесплатный postfix+dovecot+roundcube — после Exchange руководству не зашло.
А ADFS с WAP и публикацией Exchange через него не пробовали? Это всё - штатные возможности, входят в состав WIndows Server, т.е. - без дополнительных денег, к ADFS можно вроде бы, 2FA на халяву прикрутить (на Гитхабе модуль под это дело есть, правда я его не пробовал), Exchange под это дело заточен (если чо, даже в сертификационном экзамене была такая тема) . И работали бы ваши топы снаружи с тем же Exchange - правда со смартфона им бы пришлось при входе одноразовый код читать и вводить, но на это, думаю, в наше время их уломать вполне реально.
А вас бы не уволили. Наверное.
Тут просматривается необходимость на уровне почтового сервера анализировать регулярками само письмо и вложения, и если там есть финансовые данные, выковыривать их и сравнивать с данными контрагентов из 1С. Выгрузить все номера счетов/огрн/... циферками из базы не рокет сайнс... Обнаружился новый неизвестный счет или ОГРН - лепить красную плашку в письмо, что "сотрудник, тут какая-то шняга обнаружена, таких не знаем, тщательно проверь этот счет перед проведением".
Такой код пишется нейросетью и прямыми руками за пару дней, еще пару дней прикручивается к почте.
Выглядит ужасно. Начиная с "анализировать регулярками" и "сравнивать с данными контрагентов" и заканчивая "за пару дней"
В статье же описано, что изменение реквизитов было согласовано в переписке вплоть до фин. дира. Это не просто спуфинг цифр.
Обычно и контрагенты (номера счетов) добавлены в 1С в список контрагентов, и нужно их вручную изменять в этом списке, а не просто скопировать цифры из письма.
дырявый почтовый сервер
конечно странно называть сервер дырявым, когда как минимум один сотрудник попался на фишинг, а остальные пострадали из-за кривой настройки безопасности.
Финдир перевел десятку на непонятную однодневку без единого телефонного звонка контрагенту, а виноват во всем оказался айтишник, потому что сервер не обновил
Счета через ЭДО в идеале должны приходить прямо в 1С вместе с КЭП
Для защиты owa есть решения 2fa
Интересно, сколько герою там платили? Просто тут два сценария:
Платили пол ляма в месяц. Тогда понятно, почему герой не очень доволен, что его оттуда попросили. Впрочем, если бы мне на такой работе платили пол ляма в месяц, я бы не ходил к начальству за обсуждением технических вопросов, а просто бы делал так, как считал нужным, а потом бы ставил их перед фактом: "Теперь работает так-то и так-то".
Платили мало. Тогда не понятно, почему герой переживает из-за увольнения. Оттуда самому надо было уходить при таком отношении к тебе и такой зарплате.
К сожалению, MFA не защищает от взлома, даже если это Microsoft 365. Сейчас очень популярна схема, когда отправляют фишинговое письмо со ссылкой на SharePoint. Жертва вводит логин, пароль и код MFA.
Обычно фишинг приходит от реального контрагента, которого уже взломали, поэтому ссылка не вызывает подозрений. Как в вашем случае — они просто «сидят» внутри, создают правила, удаляют отправленные письма и ждут подходящего момента.
я пошел к генеральному
А надо было служебку на бумажке + копию в емайл писать, в которой расписать риски и рекомендации.
Еще когда первый раз узнал про Nmap еще много лет назад, до этого пользовался xspider. Просканировал первую попавшую маленькую организацию в своем городе. Итого:
Отрытая БД SQL
1C
RDP
и еще много чего
Еще тогда не был знаком с базами данных, но ради интереса попробовал установить клиента и подключиться со стандартными паролями. Посмотрел как выполняются запросы - получилось. Так же удалось подключиться к веб северу, там тоже были стандартные пароли. Задумался, а таких организаций тысячи. Сам слушаю от жены как подобные коллеги не могут победить принтер уже какую неделю). И во всех маленьких организациях, что я видел примерно +/- так же...
10 миллионов в трубу через дырявый почтовый сервер