Зачем киберпреступникам ваши пиарщик и маркетолог, а главное — как защитить компанию от денежного и репутационного ущерба от атак на них.
Когда речь заходит про атаки на бизнес, обычно внимание фокусируется на четырех аспектах: финансах, интеллектуальной собственности, персональных данных и IT-инфраструктуре. Однако не стоит забывать, что целью киберпреступников могут стать и активы компании, которыми управляют пиар и маркетинг: рассылки клиентам, реклама, блоги и промосайты.
На первый взгляд может показаться, что от них сплошные расходы и никаких прямых доходов, но на практике все перечисленное очень даже может послужить киберпреступникам в их собственной «маркетинговой активности».
Обычно таким образом продвигают популярных приложений, фальшивые промоакции известных брендов, в общем, мошеннические схемы, рассчитанные на широкую аудиторию. Иногда преступники самостоятельно создают рекламный кабинет и оплачивают рекламу, но этот способ оставляет слишком явный след (платежные реквизиты и так далее). Поэтому более привлекателен для них другой способ — украсть реквизиты входа в рекламный кабинет у добропорядочной компании и дальше продвигать свои сайты от ее имени.
В результате киберпреступники получают двойную выгоду: тратят чужие деньги, не оставляя лишних следов. Ну а компании-жертве, кроме денежного ущерба от выпотрошенного счета в рекламном кабинете, достаются проблемы и возможная блокировка платформой за распространение вредоносного контента.
Во-первых, доступ в корпоративные учетные записи соцсетей обычно привязан к . Зачастую злоумышленникам достаточно скомпрометировать персональный компьютер рекламщика или украсть его пароль к соцсети, чтобы получить доступ не только к лайкам и фото котиков, но и к возможностям, делегированным компанией. То есть к постингу на корпоративной странице в соцсети, рассылке сообщений клиентам через встроенный механизм коммуникации или размещению платной рекламы.
Во-вторых, большая часть рекламы в соцсетях публикуется в формате «продвигаемых постов», созданных от имени конкретной компании. Если злоумышленник опубликует и начнет продвигать какое-либо мошенническое предложение, то аудитория сразу видит, кто его опубликовал, и может высказать свои претензии прямо под постом. В этом случае компания понесет не только денежный, но и явный репутационный урон.
В-третьих, многие компании хранят в соцсетях так называемые аудиторные сегменты (custom audiences), то есть готовые подборки клиентов, заинтересованных в разных продуктах и услугах или ранее посещавших веб-сайт компании. Выгрузить их из соцсети (то есть украсть) обычно нельзя, а вот сделать по ним адаптированную к конкретной аудитории, а значит, более эффективную вредоносную рекламу, к сожалению, можно.
Эксплуатировать такой доступ можно разными способами — рассылать по имеющейся базе подписчиков вредоносные письма с особо интересным мошенническим предложением; втихую подменять ссылки в уже запланированных рекламных письмах; либо просто скачать себе базу подписчиков, чтобы в дальнейшем присылать им фишинговые письма другими способами.
Ущерб атакованной компании наносится опять же и денежный, и репутационный, и технический. Под техническим мы понимаем блокировку будущих входящих писем некоторыми почтовыми серверами. То есть весьма вероятно, что после вредоносных рассылок урегулировать ситуацию придется путем переговоров не только с платформой рассылки, но и, возможно, с конкретными почтовыми провайдерами, поставившими вас в блоклист как источник мошеннических рассылок.
Дополнительный, но крайне неприятный эффект такой атаки — утечка персональных данных клиентов. Это является самостоятельным инцидентом и может принести не только репутационный ущерб, но и штраф со стороны регуляторов по обработке ПД.
Во-первых, на сайт, через который ведется интернет-торговля, преступники могут установить . Это небольшой и хорошо замаскированный фрагмент Javascript, который встраивается непосредственно в код сайта и ворует данные кредитных карт при оплате клиентами покупки. Клиенту ничего не нужно скачивать и запускать, он просто платит за товары или услуги на сайте, а заодно делится своими деньгами со злоумышленниками.
Во-вторых, злоумышленники могут создать на сайте скрытые подразделы, содержащие мошеннические страницы с любым содержимым. Такие страницы будут использоваться для самой разнообразной вредоносной деятельности — хоть для лотерей, хоть для фальшивых распродаж, хоть для распространения троянизированного ПО. Их очень удобно размещать на легитимном сайте, главное, чтобы владельцы подольше не замечали «гостей». . В которой, кстати, особой популярностью пользуются , например созданные для маркетинговых акций или каких-то разовых мероприятий.
Ущерб компании от взлома сайта тоже может быть разнообразным: повышение расходов на сайт из-за вредоносного трафика, уменьшение числа настоящих посетителей из-за снижения рейтинга сайта и потери позиций в поиске, возможные разборки с клиентами или правоохранительными органами по поводу странных списаний с карт клиентов.
Механика незатейлива: в форму в качестве контактного e-mail вводят адрес цели, а в поле «Имя» или «Предмет обращения» — сам текст мошеннической рассылки, например «Ваш денежный перевод готов к выдаче (ссылка)». Таким образом жертва получает вредоносную рассылку вида «Дорогой… Ваш денежный перевод готов к выдаче (ссылка), спасибо за ваше обращение, мы скоро с вами свяжемся». Понятно, что через какое-то время антиспам-платформы перестают пропускать такие письма, и форма компании-жертвы теряет часть своей функциональности.
Помимо этого, все получатели рассылки видят письмо от компании-жертвы и проникаются к ней недобрыми чувствами, как к спамеру.
Когда речь заходит про атаки на бизнес, обычно внимание фокусируется на четырех аспектах: финансах, интеллектуальной собственности, персональных данных и IT-инфраструктуре. Однако не стоит забывать, что целью киберпреступников могут стать и активы компании, которыми управляют пиар и маркетинг: рассылки клиентам, реклама, блоги и промосайты.
На первый взгляд может показаться, что от них сплошные расходы и никаких прямых доходов, но на практике все перечисленное очень даже может послужить киберпреступникам в их собственной «маркетинговой активности».
Вредоносная реклама
К большому удивлению многих (даже специалистов в ИБ), киберпреступники уже несколько лет . Они так или иначе платят за показ баннеров, платные позиции в поисковой выдаче и вообще активно применяют корпоративные инструменты продвижения. Примеров этого явления, названного malvertising (malicious advertising, вредоносная реклама), существует множество.Обычно таким образом продвигают популярных приложений, фальшивые промоакции известных брендов, в общем, мошеннические схемы, рассчитанные на широкую аудиторию. Иногда преступники самостоятельно создают рекламный кабинет и оплачивают рекламу, но этот способ оставляет слишком явный след (платежные реквизиты и так далее). Поэтому более привлекателен для них другой способ — украсть реквизиты входа в рекламный кабинет у добропорядочной компании и дальше продвигать свои сайты от ее имени.
В результате киберпреступники получают двойную выгоду: тратят чужие деньги, не оставляя лишних следов. Ну а компании-жертве, кроме денежного ущерба от выпотрошенного счета в рекламном кабинете, достаются проблемы и возможная блокировка платформой за распространение вредоносного контента.
Дизлайк, отписка
Разновидностью предыдущей схемы является захват личного кабинета для организации . Платформы соцсетей со своей спецификой создают несколько дополнительных сложностей атакуемой компании.Во-первых, доступ в корпоративные учетные записи соцсетей обычно привязан к . Зачастую злоумышленникам достаточно скомпрометировать персональный компьютер рекламщика или украсть его пароль к соцсети, чтобы получить доступ не только к лайкам и фото котиков, но и к возможностям, делегированным компанией. То есть к постингу на корпоративной странице в соцсети, рассылке сообщений клиентам через встроенный механизм коммуникации или размещению платной рекламы.
Во-вторых, большая часть рекламы в соцсетях публикуется в формате «продвигаемых постов», созданных от имени конкретной компании. Если злоумышленник опубликует и начнет продвигать какое-либо мошенническое предложение, то аудитория сразу видит, кто его опубликовал, и может высказать свои претензии прямо под постом. В этом случае компания понесет не только денежный, но и явный репутационный урон.
В-третьих, многие компании хранят в соцсетях так называемые аудиторные сегменты (custom audiences), то есть готовые подборки клиентов, заинтересованных в разных продуктах и услугах или ранее посещавших веб-сайт компании. Выгрузить их из соцсети (то есть украсть) обычно нельзя, а вот сделать по ним адаптированную к конкретной аудитории, а значит, более эффективную вредоносную рекламу, к сожалению, можно.
Внеплановая рассылка
Другим эффективным для преступников способом бесплатной рекламы является электронной почты. Если атакованная компания достаточно крупная, то у нее могут быть миллионы подписчиков на рассылки.Эксплуатировать такой доступ можно разными способами — рассылать по имеющейся базе подписчиков вредоносные письма с особо интересным мошенническим предложением; втихую подменять ссылки в уже запланированных рекламных письмах; либо просто скачать себе базу подписчиков, чтобы в дальнейшем присылать им фишинговые письма другими способами.
Ущерб атакованной компании наносится опять же и денежный, и репутационный, и технический. Под техническим мы понимаем блокировку будущих входящих писем некоторыми почтовыми серверами. То есть весьма вероятно, что после вредоносных рассылок урегулировать ситуацию придется путем переговоров не только с платформой рассылки, но и, возможно, с конкретными почтовыми провайдерами, поставившими вас в блоклист как источник мошеннических рассылок.
Дополнительный, но крайне неприятный эффект такой атаки — утечка персональных данных клиентов. Это является самостоятельным инцидентом и может принести не только репутационный ущерб, но и штраф со стороны регуляторов по обработке ПД.
Пятьдесят оттенков веб-сайта
Взлом веб-сайта компании может долгое время оставаться вообще незамеченным, особенно для какой-нибудь маленькой фирмы, ведущей бизнес преимущественно через соцсети или офлайн. С точки зрения преступников, цели взлома веб-сайта будут Если не рассматривать достаточно сложные случаи, когда , то, как правило, все сводится к следующим вариантам.Во-первых, на сайт, через который ведется интернет-торговля, преступники могут установить . Это небольшой и хорошо замаскированный фрагмент Javascript, который встраивается непосредственно в код сайта и ворует данные кредитных карт при оплате клиентами покупки. Клиенту ничего не нужно скачивать и запускать, он просто платит за товары или услуги на сайте, а заодно делится своими деньгами со злоумышленниками.
Во-вторых, злоумышленники могут создать на сайте скрытые подразделы, содержащие мошеннические страницы с любым содержимым. Такие страницы будут использоваться для самой разнообразной вредоносной деятельности — хоть для лотерей, хоть для фальшивых распродаж, хоть для распространения троянизированного ПО. Их очень удобно размещать на легитимном сайте, главное, чтобы владельцы подольше не замечали «гостей». . В которой, кстати, особой популярностью пользуются , например созданные для маркетинговых акций или каких-то разовых мероприятий.
Ущерб компании от взлома сайта тоже может быть разнообразным: повышение расходов на сайт из-за вредоносного трафика, уменьшение числа настоящих посетителей из-за снижения рейтинга сайта и потери позиций в поиске, возможные разборки с клиентами или правоохранительными органами по поводу странных списаний с карт клиентов.
Заряженные веб-формы
Даже если сайт компании не взломали, преступники могут использовать его в своих целях. Для этого им пригодится любая функция сайта, создающая подтверждение по e-mail: форма обратной связи, форма записи на встречу и так далее. Преступники с помощью автоматизированных систем эксплуатируют такие формы для рассылки спама или фишинга.Механика незатейлива: в форму в качестве контактного e-mail вводят адрес цели, а в поле «Имя» или «Предмет обращения» — сам текст мошеннической рассылки, например «Ваш денежный перевод готов к выдаче (ссылка)». Таким образом жертва получает вредоносную рассылку вида «Дорогой… Ваш денежный перевод готов к выдаче (ссылка), спасибо за ваше обращение, мы скоро с вами свяжемся». Понятно, что через какое-то время антиспам-платформы перестают пропускать такие письма, и форма компании-жертвы теряет часть своей функциональности.
Помимо этого, все получатели рассылки видят письмо от компании-жертвы и проникаются к ней недобрыми чувствами, как к спамеру.
Как защитить от кибератак отделы пиара и маркетинга
Поскольку описанные атаки довольно многообразны, то и защищаться от них придется эшелонированно. Вот какие меры нужно принять:- проведите для всего отдела маркетинга
. И периодически повторяйте его;
- убедитесь, что все сотрудники соблюдают лучшие практики работы с паролями: используют длинные уникальные пароли для каждой платформы и обязательную двухфакторную аутентификацию — особенно для соцсетей, рассылок и платформ управления рекламой;
- откажитесь от практики использования одного пароля для всех сотрудников, работающих с соцсетью или иным онлайн-инструментом;
- проинструктируйте сотрудников работать с рассылками, рекламой, административной панелью веб-сайта только с рабочих устройств, оснащенных полноценной защитой по стандартам компании (EDR или Internet security, EMM/UEM, VPN);
- настоятельно порекомендуйте сотрудникам комплексную защиту их личных компьютеров и смартфонов;
- введите практику, требующую выходить из рекламных кабинетов, платформ рассылки и других подобных аккаунтов, когда они не нужны;
- не забывайте отозвать доступ к соцсетям, рассылкам, рекламе, админке сайта в день увольнения сотрудника;
- регулярно проверяйте списки состоявшихся рассылок, списки запущенной рекламы, детальную аналитику посещаемости веб-сайта, чтобы вовремя заметить аномалии;
- убедитесь, что ПО ваших веб-сайтов (система управления контентом, ее расширения), а также ПО на рабочих компьютерах (ОС, браузер, офис и тому подобное) регулярно и систематически обновляется до самых свежих версий;
- совместно с подрядчиком по поддержке веб-сайта проверьте, что все формы на сайте проверяют и очищают ввод (form validation and sanitization), в частности запрещают вставлять ссылки в поля, для этого не предназначенные. Также проверьте, что один и тот же человек не может заполнять и отправлять одну и ту же форму сотни раз в день (rate limit), а на сайте предусмотрена защита от ботов (smart captcha).
