Как из-за невнимательности сотрудников компания может потерять до $100 млн — истории от эксперта «Лаборатории Касперского»

Сегодня много говорят об угрозах со стороны ИИ и дипфейков. Так, громким стал инцидент, когда в 2024 году мошенники использовали эту технологию, чтобы обманом вывести $25 млн из британской инженерной компании Arup. Злоумышленники создали фальшивое видео с имитацией голоса и лица финансового директора компании, чтобы убедить сотрудника перевести деньги на счета в Гонконге. После видеоконференции с поддельным директором сотрудник Arup перевел деньги на пять различных банковских счетов. Инцидент был обнаружен, когда сотрудник связался с настоящим руководством компании.

Случаев взлома с использованием ИИ и других современных технологий множество. Ниже — несколько кейсов из моей практики. С точки зрения специалиста по информационной безопасности почти все ситуации могут показаться курьезными, но для неосведомленного человека это может быть полезный опыт.

Истории из России

Приведу несколько примеров безответственного отношения к кибербезопасности со стороны сотрудников российских компаний.

Загадочный файл

В одной компании сотрудник получил по электронной почте загадочный файл, который упорно отказывался открываться. Проще всего было списать это на сбой компьютера, поэтому он решил, что у кого-то из коллег получится лучше справиться с ситуацией.

Он отправил файл всем подряд, в надежде, что кто-то из них сможет его раскрыть. Как оказалось, в файле таилась троянская программа, которая ждала своего часа. В результате все устройства были заражены. Мораль такова: не открывайте подозрительные файлы и не вините во всем «глупую» технику.

Как не стоит отключать антивирус

В одной компании был сотрудник, который решил проверить, как бы жила компания без антивируса. Итак, он отключил его на своей рабочей станции. Казалось бы, что тут такого? Но вот беда — сразу после этого он решил скачать что-то с сомнительного сайта. И вот тут-то началось самое интересное.

Поскольку антивирус был отключен, вредоносное ПО, которое он скачал, не было обнаружено. В результате устройство стало «почетным» членом бот-сети, а внешние адреса компании попали в черные списки у партнеров.

С историями, когда сотрудники отключают антивирусы, а в результате страдает инфраструктура всей компании, мы сталкиваемся регулярно.

Не дать червям ползти по сети

В одной компании произошел инцидент: почтовый сервер заразился сетевым червем. Наши специалисты связались с системным администратором клиента, и тот, удивившись, отправился разбираться. В итоге администраторы успешно ликвидировали угрозу.

Но вот что интересно: один из администраторов признался, что «дрогнула рука при навигации по папке карантина». Да, это звучит странно, поскольку файлы в карантине обычно переименованы и запустить их по клику не получится. Значит, у нашего любознательного админа должна была несколько раз дрогнуть рука, чтобы сначала переименовать файл, а затем кликнуть на него.

Необновленное ПО

В одной компании IT-специалисты долго боролись с настройкой защиты от эксплойтов — хитрых программ, которые используют ошибки в приложениях или операционных системах. В результате корпоративные системы стали жертвами знаменитого шифровальщика WannaCry, чьи действия нарушили деятельность множества компаний по всему миру в мае 2017 года.

Этот зловред распространялся через уязвимости, которые вовремя не были закрыты, хотя исправление от Microsoft уже было доступно. В итоге каждый раз, когда новый компьютер включался в сеть, он оказывался зашифрованным и затем распространял зловред дальше.

Невнимательные айтишники

Еще в одной компании IT-специалисты создавали стандартные рабочие места из образов, в которых содержалась утилита mimikatz. Злоумышленники используют его для кражи учетных данных и повышения привилегий в системе.

Специалисты сделали «золотые образы» (эталоны копии операционной системы или приложения, которые используются для создания или восстановления других копий. — Прим. ред.) в момент тестирования на проникновение, но не проверили их на наличие подобных инструментов.

Истории из-за рубежа

В российском инфополе редко называют точные цифры ущерба, поэтому не всегда есть возможность понять, сколько потеряла компания. Для понимания масштабов бедствия приведем два кейса из зарубежного опыта.

Профессиональное ограбление

Одна из громких историй в мире кибербезопасности связана с вирусом Carbanak. Международная группировка хакеров похитила за два года сотни миллионов долларов со счетов 100 банков мира.

Атакующие применяли методы, которые позволяли им не зависеть от используемого в банке ПО, даже если оно было уникальным. Хакерам даже не пришлось взламывать банковские сервисы. Они просто проникали в корпоративную сеть и учились маскировать мошеннические действия под легитимные.

Письмо от компании

Фишинговая схема, связанная с Google и Facebook* (принадлежит компании Meta, признанной в РФ экстремистской), — одно из самых крупных киберпреступлений в истории.

Злоумышленники рассылали поддельные письма под видом легитимных сообщений от имени тайваньской компании Quanta, известной своим сотрудничеством с крупнейшими мировыми корпорациями. В этих письмах содержались поддельные счета, на которые отправлялись деньги за якобы предоставленные услуги.