Компания «ТехноМаш», ведущий производитель высокотехнологичного оборудования, столкнулась с серьезной угрозой, способной нанести значительный ущерб бизнесу. В процессе тестирования системы безопасности «СёрчИнформ КИБ» специалисты заметили нечто странное: трое сотрудников, работающие в разных отделах – Иван Смирнов из отдела закупок, Сергей Ковалев из отдела продаж и Анна Петрова, занимающаяся логистикой, – не общались между собой на работе, не обедали вместе, и, казалось бы, их деятельность никак не пересекалась.
Однако один нюанс заставил насторожиться: все трое использовали один и тот же электронный почтовый ящик. Это выглядело настолько подозрительно, что специалисты решили провести более детальный анализ. И, как оказалось, не зря – в одном из черновиков письма была обнаружена схема теневой продажи оборудования компании. Сотрудники обсуждали, как они могут наладить «левые» продажи продукции, обходя самого производителя. В результате таких операций «ТехноМаш» ежемесячно теряла около 4 миллионов рублей.
Расследование при помощи DLP-систем показало, что двое из троих – Иван Смирнов и Сергей Ковалев – были глубоко вовлечены в мошенническую схему. Руководство приняло решение немедленно уволить их, а Анна Петрова, хотя и не участвовала напрямую в продажах, сохранила свою должность, но получила серьезное взыскание.
Этот случай наглядно продемонстрировал, насколько важна эффективная система безопасности. Благодаря «СёрчИнформ КИБ», компания «ТехноМаш» не только предотвратила дальнейшие убытки, но и сохранила свою репутацию, выявив мошенников вовремя. Теперь контроль сотрудников в компании – важная часть бизнес-процессов.
Выявить нарушение помогли модули MailController и HTTPController.
Хотите узнать об информационной безопасности больше? Мы подготовили для вас бесплатную запись вебинара на эту тему.
Смотреть видео
Как MailController помог в расследовании
· Перехват почтовой переписки через web-интерфейсы
MailController перехватил переписку сотрудников, отправляемую через web-сервисы. Вся активность была зафиксирована, несмотря на то, что мошенники пользовались популярными сервисами, такими как Gmail и Яндекс.Почта, что значительно осложнило бы обнаружение без специализированных инструментов. Программа позволила идентифицировать все отправленные и полученные письма, включая их содержимое и вложения.
· Полнотекстовый поиск и поиск похожих
Служба безопасности использовала возможности программы для быстрого поиска по перехваченной переписке. Благодаря функционалу полнотекстового поиска и запатентованной технологии «Поиск похожих» специалисты легко обнаружили цепочку сообщений: сотрудники обсуждали теневые схемы продаж. Даже если письма были завуалированы, MailController выявил аналогичные по смыслу сообщения, анализируя текст и вложенные файлы. Это позволило специалистам быстро собрать доказательства о мошеннической деятельности.
· Архивирование почтовой базы и анализ
Все перехваченные письма были проиндексированы и автоматически сохранены в архиве MailController. Это дало возможность службам безопасности проводить более глубокий анализ корреспонденции, даже если оригинальные письма были удалены с почтовых серверов. Архив предоставил доступ ко всей почтовой базе компании, что позволило восстановить ключевую переписку, доказывающую схему обхода производителя.
· Блокировка подозрительных сообщений
Сотрудники ИБ смогли задержать подозрительные сообщения и отправить их на проверку. Это позволило предотвратить дальнейшие утечки данных, заблокировав активные каналы, по которым сотрудники могли передавать конфиденциальную информацию.
Как HTTPController помог раскрыть мошенническую схему
· Перехват активности на форумах и блогах
Благодаря HTTPController служба безопасности смогла отследить активность сотрудников на различных интернет-ресурсах, таких как форумы и блоги. Один из подозреваемых был замечен в обсуждениях на анонимных форумах, где велись переговоры о продаже оборудования компании «ТехноМаш». Программа перехватывала Post/Get запросы, что позволило выявить ключевые моменты этой переписки и подтвердить причастность к незаконным сделкам.
· Контроль переписки в веб-чатах и IM-клиентах
HTTPController отслеживал использование браузерных IM-клиентов (таких как ICQ и MSN), через которые сотрудники вели переговоры с потенциальными покупателями оборудования. Перехват сообщений позволил службе безопасности увидеть подробности сделок, понять схемы «боковых» продаж и вычислить ключевые контакты, с которыми сотрудники сотрудничали в обход компании.
· Мониторинг социальной активности
Благодаря функции мониторинга общения в социальных сетях, таких как Facebook и Одноклассники, специалисты службы безопасности «ТехноМаш» смогли собрать информацию о подозрительных действиях сотрудников. Один из участников схемы использовал личные профили для координации встреч и обмена информацией о сделках. HTTPController выявил пересылку корпоративных данных через социальные сети, что подтвердило факт утечки информации.
· Индексирование и резервное копирование данных
Все перехваченные сообщения, включая переписку на форумах и в соцсетях, были проиндексированы и помещены в архив. Это позволило создать доказательную базу, необходимую для служебного расследования. Программа предоставила возможность детального анализа всех перехваченных данных, что помогло восстановить полную картину происходящего.
А вы уверены в добросовестности ваших сотрудников? Закажите полнофункциональное ПО без ограничений и пользователям и функционалу!
Его можно использовать бесплатно в течение 30 дней.