Юлия Степанова о новых способах поиска уязвимостей компаний

Сайты поиска работы не всегда то, чем кажутся. Для хакеров, например, они стали пространством для сбора информации, которую можно использовать в атаках. В этом убедилась компания—разработчик систем для мониторинга событий информационной безопасности. Ее сотрудник рассказал, что, желая продемонстрировать потенциальному клиенту, как можно взломать его сети, он нашел резюме бывшего IT-директора этой компании на hh.ru и позвонил ему под видом работодателя. Стараясь произвести лучшее впечатление, соискатель охотно делился информацией.

Поскольку прямые вопросы об уязвимостях систем вызвали бы подозрение, эксперт по безопасности зашел с того, с какими технологиями в целом работал соискатель и какие плюсы и минусы он видит в разных системах.

Полученные сведения позволили не только сделать вывод о профессиональной компетентности «кандидата», но и получить информацию об инфраструктуре и уязвимых местах предыдущего места его работы.

Объединив такие данные, например, с информацией, которую можно найти на тендерных площадках, злоумышленники могут составить эффективный план целенаправленной атаки.

Подобная «разведка» позволяет существенно снизить стоимость атаки, ведь, «когда знаешь подробности, проще бить точечно», подтверждает глава отдела информационной безопасности «СерчИнформ» Алексей Дрозд. Если хакеры не обладают сведениями об инфраструктуре компании, им придется покупать уязвимость «нулевого дня», то есть ту, о которой производитель софта еще не знает и не успел выпустить обновление. Стоимость такой уязвимости для IOS, например, составляет до $2,5 млн. Если же хакер провел разведку, выяснил, какие «железо» и софт стоят в компании, он может собрать или написать вредоносное ПО на основе эксплойтов из базы данных общеизвестных уязвимостей, которые стоят дешевле или вовсе распространяются бесплатно, рассказывает эксперт.

Случаи подобных атак, начавшихся с сайтов поиска работы, бывают, но их обычно не афишируют ни хакеры, ни пострадавшие, добавляет эксперт по информационной безопасности Павел Ситников.

По его словам, «самые вкусные» данные злоумышленники собирают на LinkedIn, причем полезнее всего хакерам общаться не с теми, кто ищет работу, а с теми, кто ее только что нашел.

Особенно в отделах техподдержки или бухгалтерии. Новеньким можно написать или позвонить под видом еще незнакомых коллег из других департаментов. Находясь на испытательном сроке, они постараются «выдать все, что знают».

Выходит, что использование методов социальной инженерии вышло далеко за пределы фейковых служб безопасности Сбербанка. И внимательным стоит быть в гораздо более широком круге в том числе служебных разговоров.