Привет, Хабр! Меня зовут Александр, я лидер команды DevSup (это как DevOps, только с функцией поддержки больших клиентов которым Saas не подходит) в IT-компании ПравоТех. Мы создаем ИТ-решения для автоматизации юридической функции.
Будучи разработчиком таких систем, мы понимаем, что наши клиенты предъявляют высокие требования к информационной безопасности. Это закономерно отражается в договорах — целыми разделами об обработке данных, сроках обновления информации и многом другом.
Работая в такой среде, мы постоянно размышляем о культуре ИБ. Разработчики, тестировщики, DevOps и сисадмины, как правило, хорошо осведомлены об угрозах и осторожны. Но безопасность компании — это общее дело. Злоумышленники часто ищут лазейки там, где их меньше всего ждут, целенаправленно атакуя сотрудников, чья повседневная работа не связана напрямую с техническими деталями. Именно такие коллеги, в силу специфики своих задач и доверия к другим внутри компании, могут невольно стать мишенью для изощрённых атак.
Как эффективно донести до всех сотрудников суть современных киберугроз? Как сформировать не просто список «что нельзя делать», а глубокое понимание тактик злоумышленников, их уловок и масок?
Вместе с нашей командой обучения (Tutors) мы нашли формат — короткие художественные истории. Они показывают, как обычные рабочие (и не только) ситуации могут обернуться серьёзными инцидентами безопасности. Эти истории легли в основу нашего курса по информационной безопасности.
Сегодня публикуем вторую историю из серии — «Уволившийся сотрудник». О буднях техподдержки для крупных клиентов которые ведут себя порой очень противоречиво. Статья с первой историей — тут.
Примечание Право.тех: Цель этих историй — обучение и повышение осведомленности через анализ реальных тактик мошенников. Любые совпадения с реальными людьми или компаниями случайны.
Пролог: Последняя смена
Дата: 12 декабря 2023 г.
Время: 23:48
Место: Офис «СмартСофт», подвал, отдел техподдержки.
Денис Морозов уронил голову на клавиатуру. На экране мигали 17 тикетов с меткой «СРОЧНО». Клиент «ГазНефтьТелеком» писал:
«ВЫ УЖЕ 5 ЧАСОВ НЕ МОЖЕТЕ ПОДКЛЮЧИТЬСЯ К НАШЕЙ СИСТЕМЕ??? МЫ ТЕРЯЕМ МИЛЛИОН В МИНУТУ!!!»
Доступ к «ГазНефтьТелеком» был только у Виталия. А Виталий завтра увольняется.
Денис вздохнул. Завтра начнётся ад.
Глава 1: Просьба
Дата: 13 декабря 2023 г.
Время: 9:30
Виталий Соколов зашёл в офис с пустой коробкой. Он уже сдал бейдж и отключил рабочий телефон.
— Виталик, — Денис перехватил его у кулера, — ты же не оставишь меня с этими психами? Дай доступы. Хотя бы к основным клиентам.
Виталий закатил глаза:
— Мне за это премию не платили. Пусть менеджеры запрашивают через портал.
— Они оформляют доступы месяц! Клиенты разнесут нас в клочья!
— Не моя проблема.
— Тогда... — Денис понизил голос, — Сбрось мне пароли в личку. Хоть что-то.
Виталий колебался. В Slack замигал тикет от «ГазНефтьТелеком»:
«ВЫ НАРУШАЕТЕ SLA, CHORN, СУД, КОМПЕНСАЦИИ!!! »
— Ладно, — Виталий достал телефон и не весело улыбнулся. — Но если спросят — ты меня взломал.
Глава 2: Яд в удобстве
Дата: 14–18 декабря 2023 г.
Логи переписки (Slack):
Виталий: «Логин: V.Sokolov_GazNeft. Пароль: GazProm@2023. Не благодари.»
Денис: «А к “Связи+”?»
Виталий: «TelecomAdmin_15. И отстань.»
Денис начал входить в системы клиентов. Но вскоре появились новые проблемы:
14.12: Пароль к «ГазНефтьТелеком» не подходит. Виталий сменил его перед уходом.
15.12: Клиент «Связь+» требует обновить сертификаты. Инструкции Виталия утеряны.
16.12: Госзаказчик блокирует доступ из-за «подозрительных входов».
Чат с клиентом:
Менеджер «Связь+»: «Почему вы три часа не отвечаете???»
Денис: «Проводим технические работы.»
Ложь горько пахла энергетиком.
Глава 3: Трещина в стекле
Дата: 19 декабря 2023 г.
Время: 3:00 ночи
Письмо от клиента персональному менеджеру:
От: security@svyaz-plus.ru
Тема: НЕСАНКЦИОНИРОВАННЫЙ ДОСТУП
Текст:
«Сегодня в 02:17 с аккаунта Vitaliy.Sokolov скачан файл “clients_database.xlsx”. Объясните или мы подаём в суд.»
«Глюк системы» - отмахнулся от встревоженного менеджера Денис.
Глава 4: Расследование
Дата: 20 декабря 2023 г.
Время: 10:00
Сергей не стал даже здороваться и начал телефонный разговор с вопроса:
— Денис! Почему из аккаунта Виталия вчера заходили в «Связь+»? Он же уволился!
— Это… ошибка авторизации, — Денис потупил взгляд.
— Ошибка? — Сергей ткнула в логи. — IP-адрес из Нигерии. Скачали всю базу клиентов.
— Не моя вина! Я вчера был здесь. И позавчера. И вообще последние пару лет в отпуск не ходил!
— Твоя! — Сергей открыл Slack. — Ты выпрашивал пароли. В открытом чате! Особо одарённые тебе их там же и прислали! Провокатор б..дь!
Отчёт службы безопасности:
Аккаунт Дениса вероятнее всего был взломан. Как именно - выясняем.
Хакеры нашли переписку с Виталием и похитили пароли.
Данные «Связь+» проданы за 50 BTC на теневом форуме.
— Ты не просто нарушил правила, — сказал Сергей. — Ты слил клиентов.
Глава 5: Суд
Дата: 21 декабря 2023 г.
Время: 14:00
Гендиректор «СмартСофт» ударил кулаком по столу:
— Вы оба вредители!
Голос Виталия, уже давно официально уволенного доносился из динамиков в переговорке:
— Я не виноват! Это Денис вынудил меня!
— Вы оба виноваты! — Сергей показал в камеру NDA Виталия.
— Ты подписал соглашение о неразглашении. Теперь полиция ищет тебя.
Денис молчал. В кармане коротко вздрогнул кнопочный телефон. Выйдя из переговорки после тяжелого разговора с генеральным и главой ИБ Денис прочитал сообщение
Неизвестный номер: SMS: «Твои $200k ждут. Исчезай.»
Конкурент «ТехноСофт» выполнил обещание.
Глава 6: Развязка
Дата: 22 декабря 2023 г.
Время: 20:00
Денис сидел в аэропорту. Билет в Бангкок. Ноутбук открыт:
Новостная лента
«ГазНефтьТелеком» Требует компенсацию в $10.000.000 за похищенные данные и ущерб деловой репутации от компании "СмартСофт"
Он захлопнул крышку. Всё кончено.
Отчёт полиции:
Виталий задержан по статье 272 УК РФ.
Денис объявлен в розыск.
«СмартСофт» теряет 40% клиентов формировавших 70% выручки компании.
Эпилог: Новые тени
Дата: 1 января 2024 г.
Сергей разбираясь с содержимым служебного компьютера Дениса нашел в логах криптокошелька странные транзакции. Воспользовавшись открытыми инструментами и немного связями наработанными за много лет в кибербезе удалось выяснить - Криптоплатежи на кошелёк Дениса от «ТехноСофт».
Позже удалось восстановить eml-файлы с перепиской в которой была фраза «Убеди Виталия передать доступы. Деньги — твои.»
Он отправил данные в полицию. Но Денис уже пил коктейль на пляже Пхукета.
Виталия отпустили за недостатком улик. Но его имя теперь — синоним предательства.