Как стать автором
Обновить
25.11
Start X (EX Антифишинг)
Даем цифровой иммунитет людям и компаниям

Как один опытный разработчик за три дня потерял аккаунт в Телеграме, а второй чуть не перевел «другу» 100 тысяч рублей

Уровень сложностиПростой
Время на прочтение8 мин
Количество просмотров16K

Коллеги из ИБ-отдела финансовой организации рассказали нам, как недавно атаковали их ИТ-специалистов — эту статью мы написали вместе с CISO, который активно участвовал в расследовании. 

Кажется, что ИТ-специалисты должны лучше разбираться в интернет-мошенничестве из-за специфики работы, но навыки разработки или управления сетевыми устройствами не дают человеку иммунитет от кибератак. 

Первый сотрудник попался на обновленную схему с фейковым голосованием и отдал мошенникам аккаунт в Телеграме вместе со всеми переписками. У второго сотрудника пытались выманить 100 тысяч рублей, но он вовремя обратился за помощью к своей команде безопасности и сохранил деньги.

На примерах атак покажем, почему фейковые голосования работают даже на матерых специалистах, как защититься от схемы и научить всех сотрудников отражать атаки. 

Для сохранения анонимности героев мы будем называть их другими именами.

Разработчик Слава голосует за «друга», лишается аккаунта и нервов

Суббота. Утро. Разработчик Слава отдыхает от рабочих будней и листает Телеграм — читает новости, пересылает посты друзьям и ищет, куда можно сегодня сходить. Вдруг Славу добавляют в незнакомый чат, где организатор просит проголосовать за него в профессиональном конкурсе. 

Интуиция говорит Славе, что это развод, но Игоря, владельца чата, он знает лично. Это бывший коллега, с которым они виделись в Иннополисе. Да и нескольких людей из чата он тоже знает по работе. Слава сомневается, но все же переходит по ссылке и голосует за Игоря.

Слава не успел сделать скриншот переписки, поэтому мы постарались восстановить содержимое на основе скриншотов других жертв подобной схемы
Слава не успел сделать скриншот переписки, поэтому мы постарались восстановить содержимое на основе скриншотов других жертв подобной схемы

Голос учтен. Дальше ничего не происходит, и Слава забывает об этом случае. 

Вторник. Полдень. Слава возвращается после обеда за рабочий ноутбук и видит окно авторизации в Телеграме.

Экран авторизации в Телеграме
Экран авторизации в Телеграме

«Странно, я же не выходил из аккаунта» — думает Слава, когда вводит номер телефона в окно. Он ждет код подтверждения, но ничего не приходит. Уже с нарастающей тревогой открывает Телеграм в телефоне и там его встречает тот же экран.

Позже Слава поймет, что в субботу его сессию перехватили мошенники и тихо ждали три дня, чтобы «выкинуть» владельца из всех устройств и завладеть аккаунтом. Но сейчас он просто пытается восстановить доступ.

Наконец-то Славе удается зайти, но почему-то только на 10 секунд, дальше снова сброс. Так повторяется несколько раз, Слава зовет на помощь коллег из команды безопасности своей компании. 

К этому моменту Телеграм начинает действовать против пользователя: сессия мошенников становится доверенной, а сессия, с которой приходят постоянные попытки входа — подозрительной. 

Спустя 18 часов после обнаружения взлома Славе и его коллегам удается зацепиться на целых пять минут — этого хватает, чтобы:

  • удалить почту злоумышленников из настроек аккаунта; 

  • привязать свою резервную почту; 

  • получить код деактивации; 

  • деактивировать аккаунт и разорвать тем самым все сессии. 

Слава потерял сотни тысяч сообщений — личные переписки, фотографии, админские каналы и еще много чего, с чем никто не хотел бы расставаться. Конечно, Слава в итоге зарегистрировался по своему номеру телефона снова, но к этому моменту информация из старых переписок осталась у мошенников навсегда. 

Компания, возможно, раскрыла чувствительную информацию — помимо личных чатов, мошенники узнали данные коллег и руководителей Славы, прошлись по сохраненным и закрепленным сообщениям. Если где-то были данные для входа в систему или данные клиентов, это может обернуться взломом организации.

Давайте теперь посмотрим на атаку еще раз в виде схемы:

Схема угона аккаунтов через голосования за «коллег» в Телеграме
Схема угона аккаунтов через голосования за «коллег» в Телеграме

Скомпрометированные аккаунты мошенники могут использовать по схеме с голосованиями до бесконечности, параллельно рассылая от них голосовые сообщения с просьбой выслать деньги и шантажируя владельцев аккаунта. 

Кажется, эту субботу Слава никогда не забудет
Кажется, эту субботу Слава никогда не забудет

Некоторых пользователей из чата взломали по той же схеме с трехдневным ожиданием.

Как другой сотрудник не поддался уловкам через голосовые сообщения

Тестировщик Паша получает от бывшего коллеги Кости сообщение с просьбой перевести по номеру 100 тысяч рублей. Контакт не новый и переписка с ним уже есть, но ситуация подозрительная. 

Паша советуется с коллегами и просит Костю подтвердить, что это действительно он — в ответ приходит несколько коротких голосовых сообщений. На Пашу это не действует, и он пробует позвонить Косте в Телеграме — тот сбрасывает. 

Костя просит у Паши деньги «на пару часов»
Костя просит у Паши деньги «на пару часов»

Паша все-таки копирует номер телефона из чата, на который Костя просит перевести ему деньги и вводит этот номер в мобильном банке — выходит незнакомое имя. Паша решает связаться с Костей в другом мессенджере и узнает, что его взломали. 

Другие жертвы в сумме перевели 300 тысяч рублей, но не по указанному номеру в чате, а на известный им номер Кости. Деньги Костя вернул.

Как Телеграм мог бы защитить своих пользователей от таких атак 

На кейсе Славы и многих других жертв угона аккаунтов заметно, что иногда настройки безопасности в мессенджерах могут только облегчить работу мошенникам. 

Вот минимальный набор того, что разработчики Телеграма могли бы улучшить в настройках безопасности мессенджера:

  • Настроить Access и Refresh-токены так, чтобы сессия злоумышленника не считалась доверенной. В Случае Славы мошенники тихо ждали с субботы до вторника, потому что знали — если они начнут операцию раньше, Слава их распознает и спокойно закроет доступ. Многие кейсы угонов аккаунтов ссылаются на эту уязвимость — если ее устранить, аккаунты жертв можно сохранить.

  • Уведомлять пользователей о новой сессии не внутри Телеграма, а по СМС или электронной почте. Если бы Слава узнал о входе раньше, то успел бы сохранить аккаунт.

  • Уведомлять пользователей о важности двухфакторной аутентификации (2ФА). Телеграмом пользуются почти миллиард человек — учитывая, как часто в Телеграме происходят угоны аккаунтов, есть смысл лучше доносить до пользователей важность этой настройки.

  • Делать рассылки о последних схемах мошенничества. Короткий дайджест с парой советов может привлечь внимание пользователей и убедить их зайти в настройки и защитить свой аккаунт.

Ждать этих обновлений можно долго, поэтому давайте посмотрим, что каждый может сделать с безопасностью своего аккаунта прямо сейчас.

Как мне самому не попасться на уловки мошенников в Телеграме

У Кости из второго кейса не был настроен облачный пароль, про 2ФА он не знал в принципе. Слава знал о правилах безопасности, но решил сделать доброе дело для старого знакомого. 

Какие выводы можно сделать из их историй:

  • Не вводить личные данные в формы. В истории с голосованием Слава ввел в форму номер телефона и код верификации → мошенники скопировали его Access-токен → вставили в код на своем устройстве → получили доступ к аккаунту. Поэтому лучше отказаться от «доброго дела», которое требует от вас коды и личные данные.

  • Настроить двухфакторную аутентификацию. Когда пользователь авторизуется с нового устройства, Телеграм попросит ввести облачный пароль — если мошенник его не знает, а сам пароль достаточно надежный, то в ваш аккаунт никто не попадет.

  • Придумать подсказку для облачного пароля — учтите, что мошенники ее тоже увидят, поэтому сделайте ее понятной только для вас. 

Чек-лист развода с фейковым профессиональным голосованием

Если раньше было популярно голосовать в детских конкурсах, то теперь мошенники просят коллег жертвы проголосовать уже за взрослых коллег. Конечно, в таких мероприятиях номинантов оценивает жюри, а механизма со сбором голосов в них практически нет, но давайте посмотрим на конкретные признаки этой схемы в Телеграме.

Красные флажки профессионального конкурса в Телеграме
Красные флажки профессионального конкурса в Телеграме
  1. Неподходящее название группы. Чтобы каналы было сложно обнаружить по ключевым словам «голосование» и «конкурс», мошенники называют группы нейтрально — «Добрый вечер», «Добрый день» и «Доброе утро».

  2. Абстрактный конкурс. Обычно такие конкурсы проводят крупные компании или профессиональные организации, и их названия включены в название конкурса. Мошенники же выбирают простые названия, причем на английском: «Digital Woman», «Marketing and PR Specialist» «The Best Project Manager».

  3. Участники голосуют моментально. Возможно, мошенники сначала взламывают несколько аккаунтов и только после этого создают группы. Так они могут отписываться о голосовании и о том, как это было легко, чтобы подтолкнуть других участников.

Неполный список мошеннических сайтов с фейковым профессиональным голосованием, на апрель 2024 года их более 400 (Источник: Центр кибербезопасности F.A.C.C.T.)

alliance-capital24[.]ru

alliance-happy[.]ru

alliance-happy24[.]ru

alliance-headway[.]ru

alliance-headway24[.]ru

alliance-luck[.]ru

alliance-luck24[.]ru

alliance-moscow24[.]ru

alliance-online24[.]ru

alliance-people[.]ru

alliance-people24[.]ru

alliance-russia24[.]ru

alliance-success[.]ru

alliance-success24[.]ru

bizxp[.]ru *до апреля 2018 году существовала связь с capital-alliance.ru

capital-alliance[.]ru

capital-alliance24[.]ru

capital-happy[.]ru

capital-happy24[.]ru

happy-alliance[.]ru

happy-alliance24[.]ru

happy-capital[.]ru

happy-capital24[.]ru

happy-moscow24[.]ru

happy-online24[.]ru

happy-people24[.]ru

happy-russia24[.]ru

happy-world24[.]ru

headway-alliance[.]ru

headway-alliance24[.]ru

luck-alliance[.]ru

luck-alliance24[.]ru

moscow-alliance24[.]ru

moscow-happy[.]ru

moscow-happy24[.]ru

online-alliance[.]ru

online-alliance24[.]ru

online-happy[.]ru

online-happy24[.]ru

people-alliance[.]ru

people-happy24[.]ru

russia-alliance[.]ru

russia-alliance24[.]ru

russia-happy[.]ru

russia-happy24[.]ru

success-alliance[.]ru

success-alliance24[.]ru

world-happy24[.]ru

Почему на месте жертвы может оказаться и бухгалтер, и продвинутый разработчик

Кажется, что если человек привык работать с кодом, знает устройство инфраструктур и в целом постоянно варится в ИТ-тематике, то он лучше справится с атакой, чем обычный сотрудник. На самом деле довериться мошеннику может любой человек, независимо от должности, если он не проходит регулярные тренировки навыков безопасной работы.

Эмоции заставляют людей любой профессии и с опытом в ИТ и ИБ реагировать на фишинг
Эмоции заставляют людей любой профессии и с опытом в ИТ и ИБ реагировать на фишинг

Фишинг завязан на эмоциях — психологических триггерах, которые отключают у человека критическое мышление. В случае с голосованием на жертву давит желание помочь, а сообщения от других участников работают как социальное доказательство. Если бы условный бухгалтер Нина Ивановна знала об этой схеме и прошла имитированную атаку, то с реальной атакой она бы справилась лучше прожженного в ИТ Славы. С каждой новой схемой атаки становится сложнее составить портрет типичной жертвы хакера. 

Что обо всем этом думает CISO финансовой организации 

Кажется, что безопасность современных финансовых организаций сводится к DevSecOps и безопасному хранению клиентских данных. Компании с большими командами разработки и приоритетом на микросервисную архитектуру действительно сильно концентрируются на безопасной разработке. Сейчас DevSecOps — это такой же тренд, каким Security Awareness был десять лет назад. 

При этом личные навыки безопасной работы не теряют актуальность — они по-прежнему остаются большой частью «пакета безопасности» компании. 

У нас был случай, когда злоумышленники отправили майнер на виртуальную машину, взломав пароль в системе — администратор искренне верил, что для сложного пароля достаточно девяти символов. 

Были и сотрудники, которые переходили по всем ссылкам и нажимали на любые кнопки, надеясь на антивирус. 

К счастью, в нашем кейсе у мошенников не получилось взломать компанию через аккаунт ИТ-специалиста в мессенджере. Кажется, что атаки с угоном аккаунта — боль обычных пользователей, но на их месте может оказаться любой. Даже подкованный в ИТ человек не справился с простой атакой в Телеграме. 

Защищать рабочие переписки можно и нужно с помощью внедрения корпоративных мессенджеров, но не рассчитывайте, что все сотрудники в один момент перестанут общаться в любимой Телеге. 

Тренируйте сотрудников действовать безопасно там, где есть мошенники прямо сейчас. Большинство тренировок на рынке Security Awareness заточено на имитированные атаки по электронной почте, но специалистам в ИБ очевидно, что арсенал векторов нужно расширять. Ищите такие решения, которые учат сотрудников отражать атаки и безопасно общаться и в Телеграме, и Вотсапе.

Вывод

Главным вектором атак все еще остаются люди. Взлом одного сотрудника в Телеграме не кажется проблемой — но только до тех пор, пока это не топ-менеджер или ИТ-специалист с административными доступами во все системы. 

Если у человека нет специальных навыков и насмотренности, которая выключает эмоции и включает подозрение, он может довериться мошеннику. 

Работать с человеческим фактором проактивно и тренировать сотрудников по всем актуальным векторам атак поможет платформа Start AWR. 

К примеру, в курсе по безопасной работе с мессенджерами мы учим сотрудников распознавать фишинговые сообщения, устанавливать облачные пароли, прерывать сессии и делать то, о чем говорили в этой статье. Вы можете назначить этот курс всем сотрудникам на бесплатном пилоте.

Защитить своих сотрудников с помощью Start AWR

Теги:
Хабы:
Всего голосов 12: ↑9 и ↓3+9
Комментарии31

Публикации

Информация

Сайт
startx.team
Дата регистрации
Дата основания
Численность
51–100 человек
Местоположение
Россия

Истории