Поделиться
Обнаружен главный виновник огромных утечек в российских компаниях. Он многолик и чертовски опасен
Сотни тысяч сотрудников российских компаний оказались повинны как минимум в трети кибератак на фирмы, в которых работают. Они крайне халатно относятся к безопасности – используют рабочую почту и простые повторяющиеся пароли для регистрации в сервисах. Хакеры покупают или вовсе бесплатно получают эти данные и затем беспрепятственно проникают в инфраструктуры компаний.
Враг внутри
Значительная доля кибератак на российские компании становится следствием безалаберности сотрудников и их неподкованности в вопросах кибербезопасности. Как сообщили CNews представители отечественной ИБ-компании Bi.Zone, работники регулярно используют рабочую почту для регистрации на различных внешних сайтах и к тому же применяют для каждой из них один и тот же пароль.
По подсчетам экспертов Bi.Zone, корпоративную почту в этих целях задействует почти каждый десятый сотрудник – 9% работников компании. Из них каждый пятый не тратит время на придумывание разных паролей и постоянно пользуется одним и тем же.
Именно такие действия дают старт 33% всех кибератак на российские копании. Треть всех попыток хакеров проникнуть в ИТ-инфраструктуру того или иного предприятия в России, будь то компания на 10 человек или корпорация со штатом в десятки тысяч сотрудников, начинается с многоразового пароля к аккаунтам с паре с корпоративной почтой.
Как все устроено
Статистика Bi.Zone основана на аудите 700 тыс. корпоративных пользовательских профилей в российских компаниях. Хакеры или покупают данные со связками «логин-пароль», или получают их бесплатно.
Как сообщил CNews руководитель Bi.Zone Brand Protection Дмитрий Кирюшкин, на различных сайтах в даркнете на постоянной основе публикуются сообщения о новых утечках, и в некоторых случаях они подкрепляются целыми базами данных. Хакеры, взламывающие инфраструктуру компаний, уже давно приучили себя отслеживать появление таких сообщений – из них или из прикрепленных к ним архивов они выуживают именно корпоративные логины и пароли.
«На первый взгляд, утечка из стороннего сервиса вообще не имеет отношения к компании, ведь взлом произошел не у нее. Однако в утечке могут содержаться адрес рабочей почты сотрудника и пароль, которые совпадают с аутентификационными данными от корпоративных ресурсов. Это особенно опасно, если неуникальный пароль используется в учетных записях с повышенными привилегиями (например, с правами администратора) или у сотрудника есть доступ к чувствительной информации», – сказал CNews Дмитрий Кирюшкин.
Эксперт отметил, что в настоящее время более трети особенно опасных киберинцидентов (35% в общей сложности) связаны именно с небезопасной парольной политикой для администраторов.
Специалисты Bi.Zone сделали акцент на том, что использование украденных доступов является одним из самых частых способов проникновения в ИТ-инфраструктуру российских организаций. Его популярность растет стремительно. Если в 2025 г. с этого начинались 33% атак, то годом ранее этот показатель был на уровне 27%.
Неутешительная статистика
Аналитики Bi.Zone поделились с CNews статистикой, согласно которой в российских компаниях среднего и крупного бизнеса каждый ИТ-специалист располагает как минимум тремя привилегированными учетными записями. В некоторых случаях их число доходит до семи.
Приблизительно 30-40% таких аккаунтов работают в связке с одинаковыми паролями для авторизации в различных системах – в Bi.Zone подчеркивают, что это «повышает риск компрометации при утечке даже одного пароля».
Даже если владелец одного из нескольких профилей с повышенными привилегиями уволится из компании, часто доступ к ним ему не закрывают. Бывший работник располагает привилегированным доступом к ИТ-инфраструктуре месяцами даже годами – в 50% случаев срок действия таких профилей никогда не истекает, а сами они не деактивируются автоматически. Все это делает корпоративные учетные записи особенно уязвимыми, особенно если хакер, купивший или просто скачавший базу данных с паролями, получит доступ именно к таким профилям.
Простор для творчества
Взлом инфраструктуры – не единственный способ применения утекших корпоративных почтовых адресов. Один из вариантов их использования – это рассылка мошеннических писем, то есть фишинг. Они будут приходить от лица организации, которой принадлежит электронный адрес, а это уже серьезные репутационные риски для нее, отмечают в Bi.Zone.
Проконтролировать каждого работника в отдельности, чтобы те не использовали корпоративный адрес для регистрации на внешних ресурсах, компаниям удается не всегда. Одно из решений проблемы – технология централизованного управления привилегированными учетными записями. Также можно настроить автоматический отзыв прав и обязательную смену паролей через установленные системным администратором промежутки времени.
Короткая ссылка
