Как реально ломают бизнес через людей
tl;dr
Если коротко:
90% атак начинается с фишинга
взломать человека проще, чем сервер
одна ошибка сотрудника может открыть доступ ко всей инфраструктуре
обучение персонала — самая дешёвая защита
Теперь разберёмся как это работает на практике.
Человеческий фактор — самая большая дыра в безопасности
Когда люди слышат слово кибератака, они представляют примерно следующее:
хакер в тёмной комнате
сложные эксплойты
взлом серверов
атаки на дата-центры
На практике всё намного проще.
В реальности большинство атак выглядит так:
сотруднику приходит письмо
он открывает вложение
запускается вредонос
злоумышленник получает доступ
Всё.
Никакого «взлома инфраструктуры».
Именно поэтому сегодня основной вектор атак — человек.
Немного статистики (и она неприятная)
Разные отчёты дают разные цифры, но порядок примерно одинаковый:
90% атак начинается с фишинга
70% инцидентов связаны с действиями сотрудников
60% утечек происходят случайно
Это означает простую вещь:
если сотрудники не понимают базовые угрозы — никакая инфраструктура не спасёт.
Как выглядит реальная атака
Типовой сценарий выглядит так.
Злоумышленник:
собирает информацию о компании
ищет сотрудников
отправляет письмо
Письмо может выглядеть так:
Тема: Срочно подтвердите парольВ связи с обновлением системы безопасностинеобходимо подтвердить доступ.Перейдите по ссылке:company-security-login.com
Сотрудник:
открывает письмо
переходит по ссылке
вводит пароль
И всё.
Теперь злоумышленник внутри системы.
Как выглядит фишинг
Типичный фишинг. Всё выглядит почти нормально.
Почему люди ведутся на фишинг
Потому что фишинг — это не про технологии.
Это психология.
Злоумышленники используют простые триггеры.
Например:
Срочность
СРОЧНО Аккаунт будет заблокирован Подтвердите доступ
Человек начинает действовать быстро.
Без анализа.
Авторитет
Письмо от директора Письмо от IT Письмо от банка
Люди привыкли выполнять указания.
Любопытство
Классика жанра:
Список зарплат сотрудников
И половина офиса открывает файл.
Что такое информационная культура
Звучит пафосно.
Но на практике это просто набор привычек.
Информационная культура сотрудника — это когда человек:
проверяет ссылки
не открывает подозрительные файлы
не пересылает данные куда попало
сообщает о проблемах
Вот и всё.
Никакой магии.
Самая опасная ошибка
Многие думают так:
безопасность — это задача IT.
Нет.
IT может:
поставить защиту
настроить систему
установить антивирус
Но если сотрудник сам отдаст пароль — защита бесполезна.
Самый дешёвый способ взломать компанию
Представим два сценария.
Вариант 1
Взлом инфраструктуры.
Нужно:
искать уязвимости
писать эксплойты
обходить защиту
Сложно.
Вариант 2
Отправить письмо.
Здравствуйте.Это IT-служба.Назовите пароль для проверки.
И всё.
Поэтому злоумышленники выбирают людей
Люди:
доверчивы
торопятся
устают
отвлекаются
Именно поэтому социальная инженерия работает лучше всего.
Признаки фишингового письма
Вот на что нужно смотреть.
1. Срочность
СРОЧНО СДЕЛАЙТЕ СЕЙЧАС АККАУНТ БУДЕТ ЗАБЛОКИРОВАН
Это почти всегда манипуляция.
2. Адрес отправителя
Очень часто адрес выглядит так:
security@company-support.com
Но настоящий домен:
company.com
Одна лишняя часть — и это уже мошенник.
3. Ссылки
Фишинговая ссылка почти всегда ведёт на:
поддельный сайт
копию настоящего сервиса
Разница может быть всего в одной букве.
4. Вложения
Самый опасный вариант.
Файл может быть:
invoice.pdf.exe
Пользователь думает что это PDF.
Но это программа.
Что делать если письмо подозрительное
Очень простое правило.
Ничего не делать.
Серьёзно.
Алгоритм такой:
не открывать файл
не переходить по ссылке
сообщить IT
Всё.
Пароли — самая старая и самая слабая защита
Если спросить специалистов по безопасности:
какая самая большая проб��ема в корпоративной безопасности?
Ответ почти всегда один:
пароли.
Не потому что технология плохая.
А потому что люди используют её ужасно.
Реальность корпоративных паролей
В любой компании обычно происходит следующее.
Сотрудник:
регистрируется в десятке сервисов
придумывает один пароль
использует его везде
Иногда пароль выглядит примерно так:
123456
Или так:
password
Иногда чуть «сложнее»:
Company2024
Это всё взламывается за секунды.
Почему люди делают так
Потому что человеку нужно помнить десятки паролей.
Вот типичный список:
корпоративная почта
VPN
CRM
HR система
файловое хранилище
внутренние сервисы
Запомнить всё это сложно.
Поэтому люди делают три вещи:
используют один пароль
упрощают пароль
записывают пароль
Классика офисной безопасности
Самая любимая картинка специалистов по безопасности — это монитор и стикер.
На стикере написано:
VPN password: qwerty123
Стикер приклеен к монитору.
Это смешно.
Но это реальная жизнь.
Почему одинаковые пароли — катастрофа
Представим ситуацию.
Сотрудник использует один пароль:
river2023
Он использует его:
в рабочей почте
в облаке
в стороннем сервисе
Злоумышленник взламывает сторонний сервис.
Теперь у него есть:
email сотрудника
пароль
И первое что он делает — проверяет корпоративную почту.
И очень часто — заходит.
Именно так ломают компании
Не через сервер.
Не через инфраструктуру.
Через утечки паролей из сторонних сервисов.
Как должен выглядеть нормальный пароль
Хороший пароль должен быть:
длинным
уникальным
сложным
Лучший вариант — парольная фраза.
Например:
Winter!River!Cloud!2024
Почему это хорошо:
длинно
сложно подобрать
легко запомнить
Но есть проблема
Даже самый хороший пароль можно украсть.
Например через:
фишинг
вредонос
утечку базы данных
Именно поэтому появился следующий уровень защиты.
Многофакторная аутентификация
Идея простая.
Чтобы войти в систему нужно два фактора.
Например:
пароль
код из приложения
Даже если злоумышленник узнает пароль — он не сможет войти.
Факторы бывают разные
Есть три основных типа.
То что вы знаете
Пароль.
То что у вас есть
Телефон.
Аппаратный ключ.
То чем вы являетесь
Биометрия:
отпечаток пальца
лицо
Почему MFA спасает
Представим сценарий.
Сотрудник ввёл пароль на фишинговом сайте.
Злоумышленник получил пароль.
Но дальше система просит код.
Код приходит на телефон сотрудника.
Злоумышленник его не видит.
Атака остановилась.
Теперь поговорим о флешках
Это ещё одна любимая тема специалистов по безопасности.
Потому что флешки — это идеальный способ проникновения.
Флешка может содержать:
вредоносное ПО
скрипты
автозапуск
И как только её подключают — система заражается.
Самая простая атака в мире
Злоумышленник покупает 20 флешек.
Записывает на них вредонос.
И раскладывает возле офиса.
Например:
на парковке
возле входа
в курилке
Что происходит дальше
Кто-то из сотрудников находит флешку.
Думает:
интересно что на ней
И подключает к компьютеру.
А дальше:
запускается вредонос
злоумышленник получает доступ
сеть заражается
Это не теория
Такие атаки проводились десятки раз.
И процент успешности иногда доходил до 50%.
То есть половина сотрудников подключала найденную флешку.
Почему разблокированный компьютер — это почти как оставить ключи от офиса
Когда речь заходит о безопасности, люди обычно думают о хакерах, вирусах и сложных атаках.
Но иногда всё гораздо банальнее.
Самая простая атака в офисе выглядит так:
сотрудник уходит на обед
компьютер остаётся разблокированным
кто-то садится за него
Всё.
Никаких хакеров.
Что можно сделать за 2 минуты за чужим компьютером
Если компьютер разблокирован, можно:
отправить письмо от имени сотрудника
скачать документы
скопировать данные
установить вредонос
получить доступ к системам
И всё это занимает буквально пару минут.
Это не теория
В некоторых компаниях специалисты по безопасности проводят внутренние тесты.
Сценарий простой.
Они ходят по офису и ищут разблокированные компьютеры.
Если находят — отправляют письмо от имени сотрудника примерно такого содержания:
Коллеги, всем привет. Сегодня угощаю отдел пиццей. Заказывайте что хотите.
И после этого половина отдела начинает писать в ответ.
Это не шутка.
Это демонстрация того, насколько легко использовать доступ к чужому компьютеру.
Правило №1 офисной безопасности
Самое простое правило:
встал — заблокируй компьютер.
На Windows это:
Win + L
На Mac:
Control + Command + Q
Это занимает одну секунду.
Документы на столе — тоже проблема
Ещё одна классическая ситуация.
На столе лежат:
распечатанные договоры
финансовые отчёты
списки сотрудников
Иногда там даже можно увидеть:
Логин Пароль VPN
Всё это может попасть в руки:
уборщика
посетителя
сотрудника из другого отдела
Поэтому существует правило clean desk
Суть очень простая.
Когда вы уходите с рабочего места:
на столе не должно оставаться документов
конфиденциальная информация должна быть убрана
всё лишнее должно быть уничтожено
Теперь поговорим о мобильных устройствах
Это огромная проблема.
Сегодня телефон сотрудника — это фактически ключ от компании.
На нём обычно есть:
корпоративная почта
рабочие чаты
документы
доступ к сервисам
И если телефон потеряется — злоумышленник получает доступ ко всему этому.
Самая распространённая ошибка
Телефон без блокировки.
Да, такое до сих пор бывает.
Человек думает:
телефон же со мной
Но телефон можно:
потерять
забыть
украсть
Второй риск — публичный Wi-Fi
Очень многие подключаются к сети примерно такого вида:
Free WiFi
Проблема в том, что эту сеть мог создать кто угодно.
Злоумышленник может:
перехватывать трафик
анализировать данные
перенаправлять пользователя на фишинговые сайты
Третий риск — приложения
Иногда сотрудники устанавливают на телефон всё подряд.
Например:
непонятные VPN
приложения для файлов
неизвестные программы
Некоторые из них могут:
читать данные
получать доступ к файлам
перехватывать сообщения
Теперь поговорим о самой интересной теме
Социальная инженерия.
Это то, на чём держится половина всех атак.
Социальная инженерия — это атака не на систему.
Это атака на человека.
И работает она потому, что люди предсказуемы.
Основные методы
Злоумышленники используют несколько стандартных приёмов.
Срочность
Сообщение выглядит примерно так:
Срочно подтвердите доступ Иначе аккаунт будет заблокирован
Когда человек видит слово срочно, он перестаёт анализировать.
Авторитет
Сообщение якобы от:
директора
IT-службы
службы безопасности
Люди привыкли выполнять указания руководства.
Страх
Пример сообщения:
Обнаружена подозрительная активность. Подтвердите пароль.
Человек боится потерять доступ и делает то, что просят.
Любопытство
Самый старый трюк.
Письмо с темой:
Список премий сотрудников
И половина компании открывает файл.
Классический пример атаки
Злоумышленник звонит сотруднику.
И говорит:
Здравствуйте. Это IT-служба. Мы обнаружили проблемув вашей учётной записи. Назовите пароль для проверки.
Некоторые люди действительно называют.
Почему это работает
Потому что звонок выглядит легитимно.
Человек думает:
наверное правда IT.
Но есть простое правило.
Никто из IT никогда не будет спрашивать пароль.
Если это происходит — это почти всегда атака.
Как сотрудники сами сливают данные (и даже не понимают этого)
Когда говорят об утечках данных, большинство представляет:
взлом сервера
утечку базы
сложную кибератаку
Но на практике всё часто происходит гораздо проще.
Сотрудник сам выносит данные из компании.
Не потому что злой.
А потому что так удобнее работать.
Самый популярный сценарий утечки
Сотруднику нужно поработать дома.
Он делает следующее:
отправляет документы на личную почту
скачивает их на домашний компьютер
продолжает работу
Вроде ничего страшного.
Но проблема в том, что:
домашний компьютер может быть заражён
личная почта не защищена
файлы могут попасть в облако
Почему это опасно
Потому что компания больше не контролирует эти данные.
Файл может оказаться:
на личном ноутбуке
в облачном сервисе
на чужом устройстве
И дальше его можно:
скопировать
переслать
украсть
Вторая классическая ошибка
Использование сторонних сервисов.
Например:
Google Drive
Dropbox
WeTransfer
Telegram
Часто сотрудники отправляют туда рабочие файлы.
Потому что это быстрее.
Но иногда такие сервисы:
не шифруют данные
хранят файлы на сторонних серверах
могут быть взломаны
Как происходят реальные утечки
Пример.
Сотрудник отправляет файл:
client_database.xlsx
На личную почту.
Почта взламывается.
Злоумышленник получает файл.
И база клиентов оказывается в интернете.
Теперь поговорим о соцсетях
Социальные сети — это огромный источник информации для злоумышленников.
Люди часто публикуют там то, что не стоит публиковать.
Например:
фотографии офиса
фотографии рабочих экранов
информацию о проектах
Что можно узнать из одной фотографии
Представим обычную фотографию из офиса.
На ней может быть видно:
название компании
интерфейс системы
внутренние документы
структуру инфраструктуры
Иногда даже можно увидеть:
VPN IP адресназвание сервера
Почему это важно
Злоумышленники часто проводят разведку перед атакой.
Они собирают информацию:
о компании
о сотрудниках
о технологиях
И соцсети дают им огромное количество данных.
Реальный пример
Была история, когда сотрудник выложил фото рабочего места.
На фотографии был виден экран.
На экране — интерфейс CRM системы.
По этому интерфейсу злоумышленники поняли:
какая система используется
какая версия
какие есть уязвимости
И дальше подготовили атаку.
Теперь поговорим о реакции на угрозы
Очень часто сотрудники делают одну ошибку.
Они пытаются решить проблему сами.
Типичный сценарий
Сотрудник получает подозрительное письмо.
И думает:
сейчас я проверю ссылку.
Он открывает её.
И заражает компьютер.
Или другой вариант
Сотрудник замечает странное поведение системы.
Но думает:
наверное это просто глюк.
И ничего не сообщает.
А на самом деле в сети уже работает злоумышленник.
Правильная реакция на инцидент
Алгоритм очень простой.
1. Ничего не делать
Не открывать файлы.
Не переходить по ссылкам.
2. Сообщить специалистам
IT-службе или службе безопасности.
3. Сохранить информацию
Например:
письмо
файл
скриншот
Это поможет специалистам разобраться.
Почему важно реагировать быстро
Потому что время в кибератаках играет огромную роль.
Иногда между проникновением в систему и масштабной атакой проходит:
несколько часов
несколько дней
Если за это время обнаружить проблему — можно остановить атаку.
Одна ошибка сотрудника может стоить миллионы
Это не преувеличение.
Например:
атака на Target началась с подрядчика
взлом Twitter произошёл через сотрудников
Sony взломали через фишинг
Во всех этих случаях точкой входа был человек.
Три правила, которые реально защищают компанию
После всех разговоров о фишинге, паролях, флешках и социальной инженерии возникает логичный вопрос.
Есть ли какие-то простые правила, которые реально работают?
Ответ — да.
На практике всё сводится к трём базовым привычкам сотрудников.
Правило №1
Думать перед действием
Это звучит банально.
Но большинство успешных атак происходит именно потому, что люди действуют слишком быстро.
Типичная ситуация:
приходит письмо
в письме написано «срочно»
сотрудник открывает файл
И всё.
Если сообщение вызывает хотя бы малейшее сомнение — нужно остановиться.
Задать себе несколько вопросов:
кто отправитель?
зачем мне этот файл?
почему это срочно?
Иногда этого достаточно, чтобы заметить атаку.
Правило №2
Проверять подозрительные сообщения
Фишинг редко бывает идеальным.
Чаще всего в письме есть признаки атаки:
странный адрес
ошибки в тексте
подозрительная ссылка
неожиданный файл
Иногда достаточно просто навести курсор на ссылку.
И становится видно настоящий адрес.
Правило №3
Сообщать о подозрительных событиях
Это самое важное правило.
Многие сотрудники боятся сообщать о проблемах.
Они думают:
вдруг это ложная тревога.
Но для специалистов по безопасности лучше десять ложных тревог, чем один пропущенный инцидент.
Почему обучение сотрудников реально работает
Есть простой факт.
Компании могут тратить миллионы на защиту инфраструктуры.
Но если сотрудники не понимают базовых угроз — защита буд��т дырявой.
Поэтому сегодня многие организации делают акцент на:
обучении сотрудников
тренингах
тестах фишинга
И это действительно снижает количество инцидентов.
Реальные кейсы взломов
Чтобы понять масштаб проблемы, посмотрим на несколько известных атак.
Взлом Twitter
В 2020 году злоумышленники взломали внутренние инструменты Twitter.
Как?
Через социальную инженерию сотрудников.
Они позвонили сотрудникам и представились IT-службой.
В итоге получили доступ к административным инструментам.
Взлом Sony Pictures
Атака началась с обычного фишингового письма.
Сотрудник открыл вложение.
Вредонос проник в сеть.
В результате утекли:
внутренние письма
финансовые документы
сценарии фильмов
Общий вывод из этих кейсов
Во всех случаях точкой входа был человек.
Не сервер.
Не инфраструктура.
А сотрудник.
Что реально работает в компаниях
Если посмотреть на практику крупных компаний, можно выделить несколько вещей, которые действительно помогают.
1. Обучение сотрудников
Регулярные тренинги.
Разбор реальных атак.
Объяснение базовых угроз.
2. Тестовые фишинговые рассылки
Иногда компании сами отправляют сотрудникам тестовые фишинговые письма.
Это помогает:
понять уровень подготовки
показать реальные сценарии атак
3. Простые правила
Например:
блокировать компьютер
не подключать неизвестные флешки
не пересылать данные на личную почту
4. Быстрая реакция на инциденты
Чем быстрее обнаружена атака — тем меньше ущерб.
Мини-чеклист для сотрудников
Можно повесить прямо на стену.
Если пришло письмо
не открывать вложение сразу
проверить отправителя
проверить ссылку
Если нашли флешку
не подключать
передать IT
Если уходите с рабочего места
заблокировать компьютер
убрать документы
Если заметили проблему
сразу сообщить специалистам
TL;DR
Если коротко, то вся статья сводится к нескольким вещам.
1. Большинство атак начинается с человека
Фишинг — главный инструмент злоумышленников.
2. Пароли — слабое место
Особенно если они простые или одинаковые.
3. Социальная инженерия работает лучше технологий
Людей легче обмануть, чем взломать систему.
4. Внимательность сотрудников — лучшая защита
Иногда одна проверка ссылки может предотвратить атаку.
Вместо вывода
Кибербезопасность часто воспринимается как сложная техническая тема.
Но на практике многие атаки выглядят очень просто.
Они начинаются с:
письма
звонка
ссылки
флешки
И в этот момент всё зависит от человека.
Поэтому самая важная защита компании — это осознанность сотрудников.
Спасибо за чтение
Если статья была полезна — напишите в комментариях.
Интересно будет узнать:
сталкивались ли вы с фишингом
как у вас обучают сотрудников безопасности
какие атаки встречались на практике
P.S.
Самая частая фраза после инцидента:
«мы думали, что это нас не коснётся».
К сожалению, злоумышленники думают иначе.
Владислав Прокопович
