10 миллионов в трубу через дырявый почтовый сервер

[yurkoko]

Так всегда и бывает. Я тоже не могу продать руководству некоторые идеи, которые могли быть полезны, но им и так удобно

[woodiron]

Думаю, что Вы негласно назначены крайним для коллектива и партнёров - айтишник виноват и его уволили. Кроме того зачем руководству постоянно видеть человека, точно знающего об их ошибке - отказе от обновления системы безопасности. В общем шансов остаться там не было.

Ну а так то надо было бухгалтерии созвонится с контрагентом по поводу смены счетов, сумму не маленькую отправляли. Но в целом схема была хорошо проработана со стороны мошенников.

[pnetmon]

Как-то все странно.

Когда начали разбираться глубже, выяснилось, что скомпрометированы несколько почтовых ящиков — финдир, бухгалтер и ещё несколько сотрудников. Один точно попался на фишинг: письмо пришло от реального партнёра, у которого до этого угнали почту. Антиспам ничего не заметил.

По остальным логика такая: входы снаружи, один IP, пароли подобрали или утекли где‑то раньше. Двухфакторки не было, поэтому зайти в ящик — вопрос техники.

Дальше всё по классике, но очень аккуратно. Люди сидели внутри переписки, ждали нужный момент, подменили письмо с реквизитами, удаляли ответы в ящике финдира, чтобы не палиться. Это не была примитивная схема с «срочно оплатите по новому счёту». Это была нормальная рабочая переписка, просто внутри неё уже находился посторонний. Деньги ушли на счёт однодневки.

После инцидента мы ещё раз проговорили всё то, о чём я говорил до этого: отсутствие 2FA, устаревшая версия почты, доступ снаружи, отсутствие нормального контроля входов, отсутствие процедуры подтверждения смены реквизитов по альтернативным каналам

Угнали пароли от почты нескольких аккаунтов, включая финдира? А не сложновато ли для подбора паролей? Или логи, их анализ, блокировки не делались?

Отсутствие 2FA - ну как бы ЛПР сами виноваты, что не обеспечили защиту своих аккаунтов.

Смена паролей по времени, сложность паролей, отсутствие однотипных - все обычно настраивается политикой сервера (кроме однотипности с паролями в других местах их применения пользователями), конечно с приказом, и принятием этой необходимости ЛПР и прочими.

Хотя без 2FA, а только с паролями угнать пароли когда пользователи используют один на весь интернет очень легко.

А по жизни такое отношение руководства везде.

[Yuriy_krd]

Смена паролей по времени, сложность паролей, отсутствие однотипных - все обычно настраивается политикой сервера, конечно с приказом, и принятием этой необходимости ЛПР и прочими.

Как правило, руководству это все "мешает работать". Во многих организациях для руководства и политики слабее, и много послаблений в плане ИБ-безопасности. К сожалению, наблюдаю такое постоянно.

[Tavrid]

Странно, что бухгалтерия проводит оплаты на "другие" реквизиты, включая ИНН, ведь однодневку можно создать с таким же названием, и счет в том же банке открыть, но ИНН подменить сложно! Тут вопросы к операционному бухгалтеру обслуживающему банковские операции. Или компания у вас такая, что регулярно работает с однодневками и частая смена реквизитов включая ИНН - это нормальная практика.

[PoganiniHot]

Торчащий наружу Exchange. После этой фразы буквально заставил себя читать дальше. Ну, сочувствую вам, но явно ваш косяк. Понимаете, руководство не обязано разбираться в инфобезе и прочем, оно наняло вас, чтобы вы закрыли вопрос с техникой. А вам показалось, что они за вас должны были решить, торчать чанге наружу или нет. То, что они не осознали риски - это нормально. Они не техники, не айтишники. Либо вы недостаточно их испугали, либо сами ушли от ответственности, включившись в игру "субординации".
Да, бывает руководство "всезнайки" в духе "будет так, как я хочу, потому что я тут главный". Не редко. Но практически всегда я видел, что айтишники не додавливают, не доказывают, не продвигают эффективно свое мнение. А потом оп! все вокруг виноваты. Развернули быстро openvpn свой, простейший MTA, установили любителям почты на мобилках и дома клиенты и прописали ключи. С дипломатичным подходом, мягкой но твердой уверенностью, это прошло бы гладко, я практически уверен в этом.
В крайнем случае, если "руководство" совсем жестит - просто увольняться. Ибо будущее в таких конторах предрешено. Ну, допускаю, что тут не хватило опыта.

[volt_amper]

В компании в которой не так давно работал инфобез закончилась на приколоченых гвоздями паролями из 6 цифр, с доступом на терминале и по rdp, ни впн, ни 2fa.

Меня настоятельно попросили молчать в тряпочку о проблемах в инфобезе.

Угадайте что в итоге?

Полное уничтожение всех данных, почта, файлсервер, все бд 1с, сайт.

А самое что удивительное ит директора не уволили, а компания понесла миллиардные убытки и сейчас толком не оправилась.

Оборот компании 100+ млрд в год.

[abramoff59]

Сочувствую. Были в похожей ситуации. Атакующий создал на gmail адрес внешне похожий на адрес контрагента. Затем с этого ящика вступил в переписку с сотрудником и убедил использовать другие реквизиты для платежа. Стиль общения, знания деталей процесса, подписи в письмах были настолько точными, что сотрудник не обратил внимания на отличающийся адрес отправителя. В результате 2 млн. ушли телезрителям. Каких-то следов проникновения не обнаружил.

[nerudo]

Можно предположить, что автора не просто назначили стрелочником, а заподозрили, что с его помощью все и провернули.