Концепция «адвокации сотрудников» существует уже более десяти лет. Но то, что начиналось как благонамеренный способ улучшить корпоративный имидж, экспертное мнение и маркетинг, также имеет некоторые непреднамеренные последствия. Когда профессионалы публикуют информацию о своей работе, компании и роли, они надеются охватить единомышленников, а также потенциальных клиентов и партнеров. Но злоумышленники тоже внимательно следят.
Как только эта информация попадает в открытый доступ, она часто используется для создания убедительных фишинговых атак или атак в стиле компрометации деловой электронной почты (BEC). Чем больше информации, тем больше возможностей для вредоносной деятельности, которая может сильно ударить по вашей организации.
Где ваши сотрудники делятся информацией?
Основные платформы для обмена такой информацией — это обычные подозреваемые. LinkedIn, пожалуй, наиболее очевидна. Ее можно считать самой большой открытой базой корпоративной информации в мире: настоящая сокровищница названий должностей, ролей, обязанностей и внутренних отношений. Здесь же рекрутеры публикуют списки вакансий, которые могут раскрывать технические детали, используемые в дальнейшем при фишинговых атаках.
GitHub, возможно, более известен в контексте кибербезопасности как место, где рассеянные разработчики публикуют захардкоженные секреты, интеллектуальную собственность и данные клиентов. Но они также могут делиться более безобидной информацией о названиях проектов, названиях конвейеров CI/CD и информации о том, какие технологические стеки и библиотеки с открытым исходным кодом они используют. Они также могут делиться корпоративными адресами электронной почты в конфигурациях Git commit.
Затем идут классические потребительские социальные платформы, такие как Instagram и X. Здесь сотрудники, скорее всего, будут делиться подробностями своих планов поездок на конференции и другие мероприятия, которые могут быть использованы против них и их организации. Даже информация на веб-сайте вашей компании может быть полезна потенциальному мошеннику или хакеру. Подумайте: информация о технических платформах, поставщиках и партнерах, или крупные корпоративные объявления, такие как M&A. Все это может послужить предлогом для сложных фишинговых атак.
СОПУТСТВУЮЩЕЕ ЧТЕНИЕ: Раскрывает ли ваш профиль в LinkedIn слишком много?
Использование информации в качестве оружия
Первый этап типичной атаки социальной инженерии — это сбор разведданных. Следующий этап — использование этих разведданных в фишинговой атаке, призванной обмануть получателя, чтобы он неосознанно установил вредоносное ПО на свое устройство. Или, возможно, поделился своими корпоративными учетными данными для первоначального доступа. Это может быть достигнуто по электронной почте, SMS или даже телефонному звонку. В качестве альтернативы, они могут использовать информацию для выдачи себя за руководителя высшего звена или поставщика в электронном письме, телефонном звонке или видеозвонке с просьбой о срочном банковском переводе.
Эти усилия обычно требуют сочетания выдачи себя за другое лицо, срочности и релевантности. Вот несколько гипотетических примеров:
- Злоумышленник находит в LinkedIn информацию о новом сотруднике IT-отдела компании A, включая его основные обязанности и задачи. Он выдает себя за ключевого поставщика технологий, утверждая, что требуется срочное обновление безопасности, ссылаясь на имя, контактные данные и должность цели. Ссылка на обновление является вредоносной.
- Злоумышленник находит информацию о двух коллегах в GitHub, включая проект, над которым они работают. Он выдает себя за одного из них в электронном письме с просьбой к другому проверить вложенный документ, который заражен вредоносным ПО.
- Мошенник находит видео руководителя в LinkedIn или на корпоративном веб-сайте. Он видит в ленте Instagram/X, что этот человек собирается выступить на конференции и будет отсутствовать в офисе. Зная, что связаться с руководителем может быть сложно, он запускает BEC-атаку с использованием дипфейков (видео или аудио), чтобы обмануть сотрудника финансового отдела и заставить его срочно перевести средства новому поставщику.
Предостерегающие истории
Вышеизложенное — лишь гипотетические сценарии. Но существует множество реальных примеров, когда злоумышленники использовали методы «разведки из открытых источников» (OSINT) на ранних стадиях атак. К ним относятся:
- Атака BEC, которая обошлась Children’s Healthcare of Atlanta (CHOA) в 3,6 млн долларов: злоумышленники, вероятно, просмотрели пресс-релизы о новом кампусе, чтобы узнать больше деталей, включая строительного партнера больницы. Затем они использовали LinkedIn и/или корпоративный веб-сайт, чтобы выявить ключевых руководителей и членов финансовой команды вовлеченной строительной фирмы (JE Dunn). Наконец, они выдали себя за финансового директора в электронном письме команде финансов CHOA с просьбой обновить их платежные реквизиты для JE Dunn.
- Российские группы SEABORGIUM и связанные с Ираном TA453 используют OSINT для разведки перед фишинговыми атаками на заранее отобранные цели. По данным британского NCSC, они используют социальные сети и профессиональные платформы для «изучения интересов [целей] и выявления их реальных социальных или профессиональных контактов». После установления доверия и взаимопонимания по электронной почте они отправляют ссылку для сбора учетных данных жертв.
Прекратить делиться? Как снизить риск фишинга
Риски чрезмерного распространения информации реальны, но, к счастью, средства борьбы с ними просты. Самое мощное оружие в вашем арсенале — образование. Обновите программы повышения осведомленности о безопасности, чтобы все сотрудники, от руководителей до рядовых работников, понимали важность не распространения лишней информации в социальных сетях. В некоторых случаях это потребует тщательного пересмотра приоритетов, отказа от «адвокации сотрудников любой ценой». Предупредите персонал, чтобы они избегали обмена сообщениями через нежелательные личные сообщения (DM), даже если они узнают пользователя (так как его аккаунт мог быть взломан). И убедитесь, что они могут распознавать попытки фишинга, BEC и дипфейков.
Подкрепите это строгой политикой использования социальных сетей, определяющей красные линии того, что можно и нельзя публиковать, и устанавливающей четкие границы между личными и профессиональными/официальными учетными записями. Также может потребоваться пересмотр и обновление корпоративных веб-сайтов и учетных записей для удаления любой информации, которая может быть использована в качестве оружия.
Многофакторная аутентификация (MFA) и надежные пароли (хранящиеся в менеджере паролей) также должны быть обязательными для всех учетных записей в социальных сетях на случай взлома профессиональных учетных записей для таргетинга коллег.
Наконец, по возможности отслеживайте общедоступные учетные записи на предмет любой информации, которая может быть использована для фишинга и BEC. И проводите учения «красной команды» против сотрудников, чтобы проверить их осведомленность.
К сожалению, ИИ делает для злоумышленников быстрее и проще, чем когда-либо, профилирование целей, сбор OSINT и создание убедительных электронных писем/сообщений на идеальном естественном языке. Дипфейки на базе ИИ еще больше расширяют их возможности. Главный вывод должен быть таким: если что-то находится в открытом доступе, ожидайте, что киберпреступник тоже об этом знает… и скоро постучится в вашу дверь.
