Ловись, админ. Как фишинговая атака против медиакомпании эффективно сработала дважды

Ритейл, банки, промышленные гиганты — вот кто интересует хакеров. Там деньги, данные, активы. А значит, бизнесу в других отраслях можно выдохнуть? Очередной кейс, который мы сегодня изучим вместе с вами, доказывает обратное. Даже «немонетизируемая» платформа с минимальной поверхностью атаки систематически привлекает внимание злоумышленников. Одна известная медиакомпания пережила два инцидента, причем в обоих случаях слабым звеном стал пользователь на стороне владельца платформы.

Итак, есть сайт. Он же — огромная «болталка» для миллионов пользователей, где обсуждают что угодно, от мировых новостей и рецептов смузи до вопросов философии и физических процессов в недрах нейтронных звезд. Казалось бы, что тут взять? Ну, как минимум данные пользователей. Видимо, так и рассудили хакеры, когда предприняли первую крупную атаку на платформу в 2018 году. Тогда киберпреступники получили доступ к резервным копиям базы данных через перехваченный одноразовый код из SMS.

Подмена SIM-карты, уязвимость на стороне оператора, либо компрометация устройства – уже не так важно, что стало причиной утечки пароля из SMS. Важен результат: злоумышленники получили доступ к базе за 2005–2007 годы. В их распоряжении оказались адреса, имена, пароли (пусть и хэшированные), личные сообщения и пользовательские IP.

Компания признала факт утечки, отказалась от SMS как второго фактора аутентификации, перешла на аппаратные ключи (U2F) и приложения-аутентификаторы, внедрила принципы минимально необходимого доступа и разделения прав. Для 2018 года — вполне зрелый набор мер.

Но оказался ли он достаточным? Сюрприз: нет. Что подтвердил ИБ-инцидент ровно через пять лет. Он стал подтверждением того, что даже при наличии современных средств защиты компания всё равно уязвима — если нарушается поведенческий контур. Хакеры действовали крайне изощренно. Они направили сотруднику технического отдела медиакомпании письмо со ссылкой на поддельный интранет. Специалист по какой-то причине потерял бдительность и использовал на фейковой странице свои логин, пароль и 2FA-токен. Их-то и перехватил злоумышленник.

«Двухфакторка» сработала в пользу атакующего по причине человеческого фактора. Сотрудник подтвердил авторизацию через push-уведомления, не вчитываясь в его детали. Инцидент, вероятно, можно было бы предотвратить, если бы специалист обратил внимание на контекст push-уведомления — например, на то, что вход в систему запрашивался с неизвестного IP-адреса или устройства. Но на практике пользователи редко проверяют эти детали. Если пушей в день приходит по несколько десятков, внимание неизбежно рассеивается. Это делает подобные атаки особенно коварными.

После атаки компания вновь открыто рассказала об инциденте, рекомендовала пользователям сменить пароли и в общих чертах рассказала, как будут эволюционировать методы защиты, применяемые платформой.

Главное изменение, как ни удивительно, состояло не в установке суперсовременной и жутко дорогой чудо-системы с космической стоимостью владения. Оно произошло в процессах работы с командой.

Первое — сотрудников начали регулярно обучать методам противодействия социальной инженерии. Причем наученная горьким опытом администрация платформы выбирала для таких учений самые заковыристые задания, не считаясь с затратами на организацию таких симуляций.

Второе — на уровне корпоративной культуры компания реализовала политику, при которой сотрудники могут сообщать о нарушениях, ошибках и подозрениях, даже если сами стали их причиной. И это все — без риска быть уволенным, оштрафованным или высмеянным на весь коллектив. Тем самым фокус сместился на скорость реакции, а не на поиске виновного.

Какими стали для организации уроки двух кризисов?

• Даже хорошо защищённые компании остаются уязвимыми — не из-за технической слабости, а из-за привычек, автоматизма и доверия «по умолчанию».
• Не каждая атака заканчивается утечкой. Но каждая может стать проверкой зрелости команды.
• Ключевой навык — не работать без ошибок, а способность быстро понять, что пошло не так, и не бояться сказать об этом.

Что в итоге? Медиакомпания - не банк, не промышленный гигант, не оборонный подрядчик. Но его атакуют, потому что данные в современном мире обладают такой же ценностью, что и деньги на счетах. Это первое, что имеет смысл принять вообще всем организациям, бизнес которых так или иначе подключен к интернету.

Второе: уязвимости - они вовсе не в инфраструктуре, а в повседневной работе людей. И вопрос сегодня не в том, достаточно ли вы защищены «в моменте». А в том, услышит ли ваша команда тревожный звонок. И успеет ли предпринять верные действия до точки невозврата, когда ситуация выйдет из-под контроля.