По данным проекта StopPhish, корпоративные адреса электронной почты фигурируют в утечках данных 94 из 100 крупнейших компаний России по чистой прибыли рейтинга Forbes. Это может привести к взлому внутренних IT-систем бизнеса, предостерегают эксперты. Сотрудники часто используют такие адреса для регистрации на личных и сторонних сервисах, причем применяя одни и те же пароли. Когда такие сервисы становятся объектом атаки хакеров, корпоративные данные попадают в руки злоумышленников, констатируют ИБ-специалисты
Доступная почта
Команда StopPhish провела анализ 100 крупнейших компаний России по чистой прибыли из Forbes, чтобы выяснить, насколько часто их сотрудники используют корпоративные e-mail для регистрации на сторонних сервисах. Согласно результатам исследования, с которым ознакомился Forbes, у 94 компаний корпоративные адреса «засветились» в известных утечках.Исследование проводилось с использованием базы HaveIBeenPwned (сервис, который проверяет электронную почту на предмет известных утечек данных, не сохраняя и не используя информацию пользователей). Только шесть компаний не попали в базы известных утечек, а у одного участника рейтинга выявлено до 17 утечек на разных платформах.
Нередко сотрудники используют корпоративные адреса для регистрации на личных и сторонних сервисах. Когда такие сервисы взламывают, утечка раскрывает связку почты и пароля к ней, корпоративные данные в руки злоумышленников, а ИБ-отдел компании об этом не знает, рассуждают в StopPhish. Злоумышленники могут использовать эти пароли для входа в корпоративные системы, при этом сама компания может и не подозревать, что ее учетные данные циркулируют в криминальных базах, поясняют в StopPhish: «Бизнес не может контролировать утечки сторонних сервисов. Использование корпоративной почты для личных нужд выходит за пределы их IT-контроля, причем с момента утечки до ее обнаружения могут пройти годы».
Одинаковые пароли
«Мы наблюдаем схожую картину», — подтверждает директор по развитию центра мониторинга внешних цифровых угроз Solar Aura Александр Вураско. Корпоративные адреса практически каждой компании, которая приходит на «пилот» сервиса Aura, находятся в тех или иных утечках, добавляет он. По словам эксперта, проблема стоит остро уже много лет: «Несмотря на все меры безопасности, некоторые сотрудники продолжают игнорировать даже базовые правила цифровой гигиены».Существует целый ряд угроз, продолжает Вураско: иногда сотрудники используют одинаковые пароли для доступа к сторонним и корпоративным сервисам, иногда злоумышленники получают доступ к внешним ресурсам, используемым компанией, например, странице в социальной сети. «Сценариев довольно много. Самой опасной является ситуация, когда корпоративная почта и пароль обнаруживаются в логах стилеров (вредоносный софт для кражи информации, в том числе логинов и паролей). Мало того, что такие данные с большой вероятностью будут актуальны, это еще означает, что на компьютере или смартфоне сотрудника установлено вредоносное программное обеспечение», — рассказывает Вураско.
С коллегой согласен заместитель генерального директора по инновационной деятельности «СерчИнформ» Алексей Парфентьев: количество утечек адресов электронной почты действительно велико. При этом он не склонен драматизировать ситуацию: вряд ли все 94% компаний находятся под угрозой. «Базы собраны из массы утечек, далеко не все из которых содержат полные учетные данные — такие, как e-mail и пароль или логин и пароль, часто информация уже устарела. Более того, зачастую база утечек может пополняться и относительно безобидными идентификаторами — например, теми, что содержат почту, но не персональные данные и пароли», — рассуждает он. Кроме того, у крупной компании огромное количество корпоративных почтовых ящиков, они могут исчисляться сотнями тысяч, продолжает Парфентьев: «Достаточно всего одной учетной записи сотрудника, раскрытой, например, при фишинговой атаке, чтобы корпоративный почтовый домен уже засветился на подобных сайтах-агрегаторах».
Однако проблема, однозначно, есть, указывает Алексей Парфтеньев: «Мы видели истории заказчиков, в том числе из госсектора, когда сотрудник регистрировал аккаунт на стороннем сервисе, используя корпоративную почту и пароль. Причина банальная: новый пароль необходимой сервису длины было лень выдумывать, а корпоративный заведомо подходит под требования сложности. Далее учетные записи этого сервиса утекали целиком, и мы наблюдали спам-рассылки с этого пользователя и атаки под его учетной записью внутрь инфраструктуры», — рассказал он.
«Угроза существует»
Привязка рабочей почты к важным личным аккаунтам чревата их потерей в случае увольнения, поэтому люди вряд ли станут активно этим пользоваться, считает руководитель аналитического центра компании Zecurion Владимир Ульянов. «Скорее [это делается] для второстепенных сервисов, которые могут быть нужны в моменте, но ненадолго, или от которых не хочется получать много спама в личные ящики. Как следствие, можно предположить, что и пароли в этом случае будут устанавливаться простые», — размышляет он.В то же время в крупных организациях обычно устанавливаются требования к сложности паролей, а сами они периодически меняются, добавил эксперт. «Совсем не обязательно, что пароль, с которым человек регистрировался в сервисе, должен совпадать с паролем от корпоративной учетной записи. Доля совпадений будет невысока», — считает он.
При этом угроза существует и вполне реализуема практически, признает Владимир Ульянов. «Более того, угроза актуальна не только в отношении организаций, но и самих пользователей, — предупреждает он. — Поэтому важно доносить необходимость разграничения личной и профессиональной деятельности, а также проводить инструктажи по базовым аспектам информбезопасности, правилам использования электронной почты, требованиям к паролям. Учить сотрудников, повышать их осведомленность в вопросах личной и корпоративной безопасности будет полезно для бизнеса».
В StopPhish рекомендуют компаниям подключить сервисы мониторинга учетных данных, также проводить разъяснения сотрудникам о том, что не нужно использовать один пароль на разных сервисах, регулярно проверять корпоративные адреса через HaveIBeenPwned. Сотрудники могут регистрироваться с корпоративной почтой, но только на предназначенных для работы сервисах, и этот процесс нужно контролировать, отмечают специалисты StopPhish.
