Часть первая: Антибонус

В ПравоТех мы создаём решения для юристов, HR, управленцев и других специалистов, чья работа связана с конфиденциальными данными. Наши клиенты неизменно предъявляют высокие требования к информационной безопасности, и это закономерно отражается в договорах — целыми разделами об обработке данных, сроках обновления информации и многом другом.

Работая в такой среде, мы постоянно размышляем о культуре ИБ. Разработчики, тестировщики, DevOps и сисадмины, как правило, хорошо осведомлены об угрозах и осторожны. Но безопасность компании — это общее дело. Злоумышленники часто ищут лазейки там, где их меньше всего ждут, целенаправленно атакуя сотрудников, чья повседневная работа не связана напрямую с техническими деталями. Именно такие коллеги, в силу специфики своих задач и доверия к другим внутри компании, могут невольно стать мишенью для изощрённых атак.

Как же эффективно донести до всех сотрудников суть современных киберугроз? Как сформировать не просто список "что нельзя делать", а глубокое понимание тактик злоумышленников, их уловок и масок?

Вместе с нашей командой обучения (Tutors) мы нашли формат — короткие художественные истории. Они показывают, как обычные рабочие (и не только) ситуации могут обернуться серьёзными инцидентами безопасности. Сегодня публикуем первую историю из серии — «Антибонус». Это история о том, как мечта о заслуженной премии обернулась кошмаром из-за пары сообщений и одного неверного решения.

Знакомьтесь с героями:

Менеджер: Макс - типичный сотрудник, занятый своими задачами. Он не параноик, доверяет коллегам и системам, иногда может пойти навстречу или проявить неосторожность в спешке. Его цель — просто хорошо делать свою работу.

QA-инженер: Лена - коллега с техническим бэкграундом. Она знает "кухню" цифровых угроз и пытается предупредить ошибки, но не всегда её вовремя слышат.

Важно: все имена, компании, адреса и конкретные детали в историях — вымышлены на 100%. Реальны только сценарии атак, методы социальной инженерии и их разрушительные последствия. Эти истории — не отчёты, а тренажёр для бдительности, приглашение задуматься: "А как бы я поступил на месте героя?" и "Как защитить себя и компанию?".

Примечание ПравоТех: цель этих историй — обучение и повышение осведомлённости через анализ реальных тактик мошенников. Любые совпадения с реальными людьми или компаниями случайны.

 Глава 1: Утро, которое началось слишком хорошо Дата: 14 октября 2023 г.
 Время: 8:47 утра
 Место: офис компании «СмартСофт», этаж 7, кабинет 712.

Макс Терновский, менеджер по продажам, сидел за столом, потягивая кофе из кружки с надписью «Лучший переговорщик 2022». На экране мерцала таблица с квартальными отчётами. Он только что закрыл сделку с нефтяной компанией, и начальство намекнуло на премию. В голове крутились мысли: «Может, хватит на новый ремонт квартиры? Или купить ту самую гитару?»

Внезапно в Telegram загорелось уведомление:

Неизвестный контакт:
  «Привет, Макс! Это Анна из HR. Готовим выплату премий сотрудникам. Нужен номер твоей карты и CVV, чтобы перевести деньги. Срочно — сегодня последний день.»

Макс нахмурился. Анна? Новая рекрутер? Он открыл корпоративный Slack, нашёл канал HR. Там действительно был аккаунт «Анна Соколова» с аватаркой: девушка в очках, улыбка как у стюардессы. «Значит, легально», — подумал он. Но почему она пишет через Telegram, а не Slack?

Макс (в Slack):
  «Привет, Анна! Вы мне в Telegram писали насчёт премии?»

Ответ пришёл мгновенно:

Анна (в Slack):
  «Да, это я. Прошу прощения за Telegram — у меня Slack последние пару дней глючит и не все сообщения доставляются сразу. Отправь данные туда, чтобы не задерживать выплаты.»

Глава 2: Тень за кулисами Время: 9:30 утра (параллельно действиям Макса)

За тысячи километров от офиса «СмартСофт», в подвале с заклеенными скотчем окнами, мошенник по кличке «Брокер» усмехнулся. Всё сработало.
  Три дня назад он зарегистрировал домен smarts0ft.ru и настроил почтовый сервер для него, получив бесплатно все необходимые подписи и сертификаты, чтобы письма доставлялись адресатам, не попадая в спам.
  Два дня назад он отправил письма сотрудникам отделов маркетинга, HR и бухгалтерии «СмартСофт» примерно такого содержания:

Тема: «СРОЧНО: Ваш аккаунт Slack будет заблокирован!»
 Текст:
  «Уважаемый сотрудник! Из-за подозрительной активности ваш аккаунт будет заблокирован через 24 часа. Для разблокировки перейдите по ссылке и обновите пароль: http://slack-security-update.smarts0ft.ru»

Брокеру повезло: в компании агрессивно набирали персонал, и HR по имени Анна, торопясь на встречу с кандидатом, кликнула на ссылку, ввела логин и пароль. Через минуту «Брокер» уже был в корпоративном Slack. Теперь он мог подтвердить сотрудникам в корпоративном мессенджере всё что угодно!

Глава 3: Кофе и предчувствие Время: 10:15 утра

Лена Миронова, QA-инженер, зашла в кухню, где Макс пытался «случайно» задержаться у кофемашины.
  — Ты сегодня нервничаешь, как кот на лазерную указку. Что случилось? — спросила она, наливая эспрессо.
  — Да премию оформлял… Новая рекрутер через Telegram писала, — буркнул Макс.
  — Через Telegram? — Лена прищурилась. — И ты им CVV отдал?
  — Ну… Она же подтвердила в корпоративном Slack!
  — Slack? — Лена выхватила его телефон. — Макс, HR не занимаются выплатами, а всё необходимое для перевода денег у компании уже есть. Ты же зарплату получаешь без всяких CVV! Это как…

Телефон Макса завибрировал:

СМС от банка:
  «Списание 247 000 ₽. Остаток: 3 452 ₽.»

Офис поплыл перед глазами. Лена уже набирала службу безопасности.

Глава 4: Следы, которые вели в никуда Время: 11:00–15:30

Отчёт ИБ-отдела:

• Аккаунт «Анны Соколовой» в Slack использовали через VPN с логином сотрудника HR, который накануне ввёл данные на фишинговом сайте.

• Номер Telegram зарегистрирован на виртуальный SIP-номер (арендован через сервис TelFake). Аватарку скопировали из Slack, а для большей убедительности добавили в Telegram фотографии Анны из соцсетей.

• Деньги переведены на криптокошелёк и выведены через 14 минут.

Показания Макса:
  — Я думал… Она же ответила в Slack!

Комментарий Лены:
  — Ты думал? А кто-то из HR даже не подумал, когда вводил пароль на фейковом сайте. Мошенники взяли его аккаунт, создали фейковый в "Телеге", а ты, как вишенка на торте, отдал им CVV.

Глава 5: После Дата: 15 октября 2023 г.
 Время: 9:00 вечера

Макс сидел в пустой квартире. Банк вернул только 30% средств. В телефоне горело новое сообщение:

Неизвестный контакт (WhatsApp):
  «Макс, это IT-отдел. Ваш аккаунт взломали. Нужен пароль для восстановления.»

Он засмеялся. Горько, громко, до слёз. Где-то в темноте экрана ухмылялись тысячи таких «Анн».

Эпилог  Из отчёта службы ИБ компании:
  «...преступники получили доступ к корпоративной системе через фишинговую атаку на сотрудников. Используя один полученный аккаунт, они создали поддельный профиль и убедили жертву передать данные карты. Рекомендуем обучение по распознаванию фишинга.»

Лена распечатала этот лист и приколола на доску с пометкой: «Макс, это твоя библия».

Но где-то в Slack уже создавался новый аккаунт. «Добро пожаловать, Иван из IT-поддержки!» Его аватарка была скопирована с фотографии инженера из стартапа в Берлине.

Примечание автора:
  Самые страшные дыры в безопасности — не в коде, а в головах. Одна оплошность. Одно письмо. Один клик. И вот уже твоя жизнь — не очень-то и твоя.

Если понравилось - подписывайтесь, через 2 недели будет следующая история про взаимовыручку, "нож в спину" и про то, куда ведёт дорога вымощенная благими намерениями.