Приветствую читателей блога «СБ Про Бизнес»! С вами CyberScout. В этой статье я хотел бы поговорить об информации, которую необходимо защищать от злоумышленников, планирующих навредить вашему бизнесу. Пожалуйста, примите во внимание, что речь пойдет не о технической части работы компаний, а о социальной инженерии, направленной на уязвимости ваших сотрудников.
Электронная почта
Чаще всего, электронная почта является главной точкой входа в секреты вашей компании и её личного состава. На каждом официальном сайте компании содержатся контактные данные, которые включают адрес электронной почты с доменом компании. Например, info@nameoforganization.com или hr@nameoforganization.com.
Это соответствует деловой этике, но в нынешнем интернете есть огромное количество инструментов (например, Google Dorks, phonebook.cz, hunter.io etc), которые, используя домен, собирают и другие адреса, которые организация, возможно, и не хотела публиковать для широких масс. Тут может обнаружиться что-то вроде ciso@nameoforganization.com, andreypetrov@nameoforganization.com, SolyuVseSekretyKontory@nameoforganization.com.
Само наличие рабочей электронной почты не только даёт возможность установить прямой контакт с сотрудником в обход отдела общественных связей, но и позволяет коллегам применить её не по назначению, а именно регистрировать аккаунты в социальных сетях, заказывать доставки и прочее, прочее, прочее. Всё это впоследствии попадает в утёчки. С помощью таких адресов электронной почты мы можем найти множество интересной личной информации, которая полезна для хакеров и кибершантажистов.
Фотографии сотрудников на сайте компании
Да, фотографии на сайте компании могут помочь найти соцсети ваших сотрудников. В большинстве случаев, эта информация не имеет коммерческой ценности, но представляет собой прекрасную возможность для сбора информации о частной жизни работника, результатом чего может стать настолько хорошо выстроенный заход по социальной инженерии, что атакуемый и не заметит подвоха.
Кстати, инструментов для поиска аккаунтов в социальных сетях по лицу довольно много. Например, FindClone, SearchForFace и даже простые Яндекс.картинки.
Публичная активность
На самом деле, фотографии и публичная активность — это не такие критичные уязвимости, как персональные данные, которые можно получить по адресам электронной почты. Исключить публичную активность компании — обрубить 80% маркетинга. Что-то стоит афишировать, а что-то нет.
Пример атаки с помощью социальной инженерии может послужить, примерно, такой текст: "Добрый день, с вами виделись на конференции «Легенды SOC - 2023". Ваше выступление очень понравилось. Хотели бы предложить сотрудничество. Условия и подробный оффер - во вложении». Согласитесь, заманчиво! Особенно, если ваша компания слегка не доплачивает сисадмину, а он находится в поисках более выгодного предложения. Высока вероятность того, что даже опытный IT-специалист сначала откроет вложение, и только потом подумает.
Файлы на сайте компании
Возможно, вы думаете, что все лишние файлы вы скрыли, однако поисковые роботы Google всё внимательно проиндексировали. Проверить это очень просто. К примеру, ваш сайт: rogaikopyta.site. Вбиваем в поисковой строке гугла: filetype:(здесь без пробела формат файла -— pdf, doc, docx, xls, txt) site:rogaikopyta.site. Далее проверяем, чтобы ничего лишнего вдруг не оказалось в открытом доступе.
Есть ряд документов, которые юридическое лицо не может не публиковать, однако то, что не входит в этот список, лучше почистить, потому что лишняя информация о ваших сотрудниках, контрагентах, финансовых активах — всё это отличная пища для потенциальной атаки.
Вывод
Безопасность — это не только СКУДы, защищенные сервера и надежные пароли, а также контроль информации, взаимодействие с PR-отделом, анализ данных, которые компания выставляет на всеобщее обозрение, и, что самое важное, регулярное обучение сотрудников элементарным основам цифровой гигиены: любое письмо на почту с ссылками и вложениями должно быть тщательно проверено!
Друзья, Всем безопасности!🤗
Благодарю за полезный материал
АВТОР - член команды "СБ Про Бизнес" проект "CyberScoute"
Руководитель направления расследований.
Специалист по этичному хакингу.
Федор Ряузов https://t.me/CyberScoutLS
CyberScout специально для «СБ Про Бизнес»
#пентест #безопасностьбизнеса #корпоративнаябезопасность #аудитбезопасности #социальнаяинженерия #хакинг