Хакеры активно ищут инсайдеров в российских компаниях

Олеся Афанасьева 08 Августа 2022 - 11:53

Домашние пользователи

Малый и средний бизнес

Утечки информации

Умышленные утечки информации

Инсайдеры

Кража данных

...

Хакеры активно ищут инсайдеров в российских компаниях

Количество предложений сливать данные российских компаний изнутри выросло в четыре раза. “Офферы” размещают в даркнете и Telegram. Вознаграждение инсайдера равно четырем окладам, а возможный штраф не превышает 20 тысяч рублей.

О росте спроса на услуги инсайдеров пишет “Ъ”. Злоумышленники предлагают сотрудникам российских компаний открыть доступ к внутренним данным или запустить в систему вредоносный код.

Если раньше подобные предложения размещались только в даркнете, то с весны этого года они стали появляться в профильных Telegram-каналах, рассказывают эксперты по кибербезопасности компании Phishman.

“Стоимость поиска паспортных данных человека по номеру телефона в базе может варьироваться от 2 тыс. до 7 тыс. руб., а отслеживание мобильного — от 80 тыс. руб.”,— говорит гендиректор Phishman Алексей Горелкин.

Рост спроса на инсайдеров в российских организациях подтверждает директор центра противодействия мошенничеству Павел Коваленко из компании “Информзащита”:

“Всплеск инсайдерских предложений пришелся на весну этого года как в даркнете, так и в публичном поле. При этом цель хакерской атаки уже не так важна, на первый план выходит массовость. Кроме того, не так важны стали квалификация или подкованность инсайдеров в IT”.

Эксперты не знают точное число откликов на подобные офферы — координация действий проходит уже на закрытых ресурсах. Но всплеск предложений примерно равен росту весенних утечек и атак.

В этом году, действительно, уменьшалась цена “совести сотрудника”, все громкие утечки года так или иначе связаны с человеческим фактором, подтверждает создатель бота “Глаз Бога” Евгений Антипов.

“Стандартная ситуация для компаний — отдать доступ к панели управления заказов, получить через одного человека утечку 100% данных пользователей, а после в службе безопасности сообщить, что виной утечки был фишинг. И никто не понесет ответственности”, — говорит эксперт. По словам Антипова, оплата подобной “работы” достигает четырех окладов сотрудника.

Закон все еще остается достаточно мягким в отношении лиц, совершающих противоправные действия с базами данных, несмотря на то что за последние годы ущерб от таких действий растет в геометрической прогрессии, соглашается партнер фирмы “Рустам Курмаев и партнеры” Дмитрий Горбунов.

Сотрудника, отработавшего персональные данные “с ошибкой”, штрафуют максимум на 20 тыс. рублей.

Эксперты предупреждают: летнее относительное затишье заканчивается, осенью может начаться новый “сезон”, количество утечек вырастет.

Следующая главная новость »

Чем заменить Microsoft 365 и Google Workspace в 2026?
Регистрируйтесь на эфир!

Екатерина Быстрова 24 Апреля 2026 - 13:32

Малый и средний бизнес Корпорации Системы аутентификации Парольная защита (пароли)Средства генерации одноразовых паролей (OTP)

Компании привыкли доверять сбросу пароля. Злоумышленники этим пользуются

По данным специалистов Forrester, каждый сброс пароля обходится компании примерно в $70 (5 284 руб.), а для атакующих это ещё и удобная точка входа: если убедить сотрудника службы поддержки сбросить пароль, можно обойти MFA и получить доступ к аккаунту без эксплуатации уязвимостей.

На эту проблему обратили внимание специалисты Specops, разобрав риски, связанные с процедурами сброса пароля.

Даже при наличии инструментов вроде SSPR команды техподдержки всё равно часто участвуют в сбросе паролей: помогают с регистрацией, разбирают нестандартные случаи или вручную обрабатывают обращения пользователей.

Хороший пример того, как всё может пойти не так, — атака на британского ретейлера Marks & Spencer в апреле 2025 года. Она привела к масштабным сбоям и пятидневной остановке онлайн-продаж. Потери оценивались примерно в £3,8 млн (387 млн руб.), в день.

По имеющимся данным, злоумышленники, которых связывают с группировкой Scattered Spider, получили первоначальный доступ, выдав себя за сотрудника M&S и обратившись в стороннюю службу поддержки. После сброса пароля они получили легитимные учётные данные без необходимости искать баги или эксплуатировать уязвимости.

Дальше атака развивалась уже внутри инфраструктуры. Киберпреступники использовали Active Directory, извлекли файл NTDS.dit с хешами паролей доменных пользователей, взломали часть из них офлайн и получили дополнительные учётные данные. Затем они постепенно расширяли доступ, перемещаясь по сети с помощью обычных инструментов и легитимных входов.

Когда прав оказалось достаточно, злоумышленники развернули шифровальщик. Под удар попали системы, связанные с платежами, электронной коммерцией и логистикой. M&S пришлось отключать сервисы, что нарушило работу магазинов и онлайн-каналов.

Главная сложность таких атак в том, что для техподдержки они выглядят вполне обычно. Сотрудник видит не подозрительную активность, а очередного пользователя, который просит сбросить пароль. Поэтому стандартных вопросов вроде «назовите дату рождения» или «уточните отдел» уже недостаточно: такую информацию можно найти, купить или выведать заранее.

Specops предлагает закрывать этот риск через более строгую проверку личности перед сбросом пароля. Например, агент службы поддержки может отправить одноразовый код на доверенное устройство пользователя или задействовать уже существующие провайдеры идентификации, такие как Duo или Okta.

Эксперты также напоминают о базовых практиках. Временные пароли должны быть одноразовыми, короткоживущими и передаваться только через защищённые каналы. Отправка временного пароля по обычной почте или диктовка по телефону создаёт лишние риски.

Чем заменить Microsoft 365 и Google Workspace в 2026?
Регистрируйтесь на эфир!