Это что ещё за напасть? Новый вирус? Наркотик? Нет. Всего лишь серьёзная угроза для бизнеса. Если вы рядовой сотрудник компании, то, возможно, не пострадаете. Сначала пострадает компания, а потом уже вы.
Доксингом называют сбор конфиденциальной информации о человеке без его согласия с целью причинить ему ущерб или извлечь из ситуации выгоду. Как правило, о нём говорят как об угрозе для конкретных людей, например медийных персон или участников онлайн-дискуссий. Но его жертвой может стать и организация. Корпоративная конфиденциальная информация не менее чувствительна, чем персональные данные отдельного пользователя, а масштабы финансовых и репутационных рисков в случае шантажа или разглашения этой информации могут быть колоссальными.
Данные из личных профилей сотрудников могут использовать для организации так называемых BEC-атак. BEC (Business Email Compromise) — это целевая атака на корпоративный сектор, в рамках которой злоумышленник начинает почтовую переписку с сотрудником организации, представляясь другим сотрудником (в том числе и вышестоящим) или представителем компании-партнёра. Для этого он использует либо украденный доступ к корпоративной учётной записи в электронной почте, либо аккаунт, весьма похожий на реальный. Обычно конечная цель — получить доступ к конфиденциальной информации, такой как клиентские базы, или напрямую к финансам компании. Для этого атакующий пытается завоевать доверие жертвы и заставить её выполнить определённые действия. Например, сообщить ему конфиденциальные данные или перевести деньги на подконтрольный ему счёт. Только за февраль 2021 года «Лаборатория Касперского» зафиксировала 1646 уникальных BEC-атак.
Вот типичный сценарий, как информация из личного профиля сотрудника в соцсетях помогает злоумышленникам достичь цели. Например, менеджер крупной компании выкладывает у себя в фэйсбуке классическую фотку, где видны его голые ноги на лежаке на фоне лазурного моря. И пишет, что впереди ещё 2 недели долгожданного отдыха. А через пару дней на корпоративный мейл бухгалтерии приходит письмо от его имени с просьбой перевести ему зарплату на карту в другой банк.
Автор письма просит решить вопрос побыстрее, но не звонить ему, потому что он приболел и не в состоянии говорить по телефону. Ничего не подозревающий бухгалтер просит выслать ему новые банковские реквизиты. Получив их, он изменяет данные в системе, и через некоторое время аванс отправляется на новый счёт. А ещё пару недель спустя к бухгалтеру приходит ничего не понимающий сотрудник, который вернулся из отпуска без копейки в кармане, но с очень большим желанием выяснить, почему он не получил деньги. И после небольшого разбора выясняется, что письмо отправили злоумышленники, которые из поста в социальной сети узнали, что сотрудник в отпуске и временно не на связи. Они использовали реальные фамилию и имя сотрудника, а сообщение отправили с поддельного домена, очень похожего на домен организации. Понятно, что не в каждой компании такое прокатит, но даже несколько успешных обманов за месяц принесут злодеям отличный улов.
К сожалению, огромное количество BEC-атак становится возможным из-за того, что злоумышленники с лёгкостью находят в открытом доступе имена и позиции сотрудников, их местоположение, даты отпусков и списки контактов. Кроме того, доксеры часто крадут данные, чтобы притвориться определённым сотрудником. Новые технологии, такие как дипфейки, облегчают этот процесс. Например, чтобы создать дипфейк-видео с участием якобы сотрудника организации, доксерам понадобились бы лишь его фотографии и базовые личные данные. Голос тоже может быть украден — в случае, если сотрудник регулярно выступает на радио или в подкастах — а потом использован, в том числе для звонков с требованием совершить срочный банковский перевод или переслать клиентскую базу.
«Доксинг — это серьёзная угроза не только для частных пользователей, о чём свидетельствуют регулярные громкие скандалы, но и для организаций. Он может приводить к финансовым и репутационным потерям. Чем выше степень конфиденциальности украденных данных, тем больше ущерб. К счастью, доксинг можно предотвратить или по крайней мере снизить возможные риски, если установить строгие процедуры кибербезопасности внутри организации», — уверяет Роман Деденок, исследователь «Лаборатории Касперского».
Чтобы предотвратить эту угрозу, «Лаборатория Касперского» рекомендует компаниям:
- установить запрет на обсуждение рабочих вопросов во внешних мессенджерах и строго следить за его соблюдением;
- повышать уровень цифровой грамотности сотрудников, например с помощью платформы Kaspersky Automated Security Awareness Platform. Научить людей распознавать техники социальной инженерии — это единственный способ эффективно им противостоять;
- использовать решения с антиспам- и антифишинговыми технологиями. У «Лаборатории Касперского» они включены в продукты Kaspersky Security for Microsoft Exchange Servers, Kaspersky Security for Linux Mail Server, Kaspersky Secure Mail Gateway и Kaspersky Security for Microsoft Office 365.
Будьте бдительны и следите за тем, что вы выкладываете на всеобщее обозрение. Всё, что вы напишите, скажете и сфотографируете, может быть использовано против вас.