Бизнес должен знать! На что обратит внимание злоумышленник?

Приветствую читателей блога «СБ Про Бизнес»! С вами CyberScout. В этой статье я хотел бы поговорить об информации, которую необходимо защищать от злоумышленников, планирующих навредить вашему бизнесу. Пожалуйста, примите во внимание, что речь пойдет не о технической части работы компаний, а о социальной инженерии, направленной на уязвимости ваших сотрудников.

Электронная почта

Чаще всего, электронная почта является главной точкой входа в секреты вашей компании и её личного состава. На каждом официальном сайте компании содержатся контактные данные, которые включают адрес электронной почты с доменом компании. Например, info@nameoforganization.com или hr@nameoforganization.com.

Это соответствует деловой этике, но в нынешнем интернете есть огромное количество инструментов (например, Google Dorks, phonebook.cz, hunter.io etc), которые, используя домен, собирают и другие адреса, которые организация, возможно, и не хотела публиковать для широких масс. Тут может обнаружиться что-то вроде ciso@nameoforganization.com, andreypetrov@nameoforganization.com, SolyuVseSekretyKontory@nameoforganization.com.

Само наличие рабочей электронной почты не только даёт возможность установить прямой контакт с сотрудником в обход отдела общественных связей, но и позволяет коллегам применить её не по назначению, а именно регистрировать аккаунты в социальных сетях, заказывать доставки и прочее, прочее, прочее. Всё это впоследствии попадает в утёчки. С помощью таких адресов электронной почты мы можем найти множество интересной личной информации, которая полезна для хакеров и кибершантажистов.

Фотографии сотрудников на сайте компании

Да, фотографии на сайте компании могут помочь найти соцсети ваших сотрудников. В большинстве случаев, эта информация не имеет коммерческой ценности, но представляет собой прекрасную возможность для сбора информации о частной жизни работника, результатом чего может стать настолько хорошо выстроенный заход по социальной инженерии, что атакуемый и не заметит подвоха.

Кстати, инструментов для поиска аккаунтов в социальных сетях по лицу довольно много. Например, FindClone, SearchForFace и даже простые Яндекс.картинки.

Публичная активность

На самом деле, фотографии и публичная активность — это не такие критичные уязвимости, как персональные данные, которые можно получить по адресам электронной почты. Исключить публичную активность компании — обрубить 80% маркетинга. Что-то стоит афишировать, а что-то нет.

Пример атаки с помощью социальной инженерии может послужить, примерно, такой текст: «Добрый день, с вами виделись на конференции «Легенды SOC — 2023». Ваше выступление очень понравилось. Хотели бы предложить сотрудничество. Условия и подробный оффер — во вложении». Согласитесь, заманчиво! Особенно, если ваша компания слегка не доплачивает сисадмину, а он находится в поисках более выгодного предложения. Высока вероятность того, что даже опытный IT-специалист сначала откроет вложение, и только потом подумает.

Файлы на сайте компании

Возможно, вы думаете, что все лишние файлы вы скрыли, однако поисковые роботы Google всё внимательно проиндексировали. Проверить это очень просто. К примеру, ваш сайт: rogaikopyta.site. Вбиваем в поисковой строке гугла: filetype:(здесь без пробела формат файла -— pdf, doc, docx, xls, txt) site:rogaikopyta.site. Далее проверяем, чтобы ничего лишнего вдруг не оказалось в открытом доступе.

Есть ряд документов, которые юридическое лицо не может не публиковать, однако то, что не входит в этот список, лучше почистить, потому что лишняя информация о ваших сотрудниках, контрагентах, финансовых активах — всё это отличная пища для потенциальной атаки.

Вывод

Безопасность — это не только СКУДы, защищенные сервера и надежные пароли, а также контроль информации, взаимодействие с PR-отделом, анализ данных, которые компания выставляет на всеобщее обозрение, и, что самое важное, регулярное обучение сотрудников элементарным основам цифровой гигиены: любое письмо на почту с ссылками и вложениями должно быть тщательно проверено!

Друзья, Всем безопасности!🤗

Благодарю за полезный материал
АВТОР — член команды «СБ Про Бизнес» проект «CyberScoute»
Руководитель направления расследований.
Специалист по этичному хакингу.
Федор Ряузов https://t.me/CyberScoutLS

CyberScout специально для «СБ Про Бизнес»

Получить консультацию

Вы можете связаться с нами любым удобным способом :