Дизлайк сотрудникам: как нарушается информационная безопасность в социальных сетях и что с этим делать

Анонимайзеры, VPN, сайты-зеркала, TOR – что только не используют сотрудники, чтобы войти в запрещенные соцсети на работе. Благодаря им киберпреступники проникают в корпоративную сеть, шантажируют топ-менеджеров и доводят компании до банкротства.

Насколько легко собрать информацию об организации и ее сотрудниках в социальных сетях? Какие данные могут получить злоумышленники таким образом? И как обезопасить компанию от утечки информации в соцсетях? Подробности – в этой статье.

Ошибаются все

Игнорировать социальные платформы сегодня глупо. Компании стремятся присутствовать там, где «обитает» их целевая аудитория, а хэдхантеры охотятся за хорошими SMM-маркетологами. Соцсети приносят миллионные продажи, но вместе с тем они часто вредят компании и не только ей.

Печальных примеров много. Один из самых громких – взлом Twitter-аккаунта в медиахолдинге Associated Press. В 2013 году хакеры получили доступ к странице компании и опубликовали сообщение о том, в Белом доме произошел теракт. В результате пострадала репутация медиахолдинга. Но это далеко не самое ужасное из всех последствий.

Александр Герасимов

CISO Awillix

Ситуация с Associated Press вызвала краткосрочный крах на фондовом рынке. Взломщики использовали метод фишинга, отправив поддельное письмо о восстановлении пароля, которое выглядело как официальное сообщение от Twitter.

По словам эксперта, социальные платформы иногда опасны даже для поставщиков ПО и услуг в сфере кибербеза. В числе пострадавших – разработчик систем RSA. Атака на компанию прошла в 2011 году и началась с фишингового письма, отправленного на личную почту сотрудников. Их адреса злоумышленники нашли в социальных сетях. Письмо содержало ссылки на вредоносное приложение. Оно привело к компрометации систем компании.

Александр Герасимов

CISO Awillix

В 2015 году группа APT29 использовала информацию из LinkedIn для выполнения целевой атаки. Они создали поддельные аккаунты, которые выглядели как реальные профили рекрутеров. Затем они связывались с целевыми сотрудниками и отправляли вредоносные документы, маскируя их под предложения о работе.

Более свежий пример – в 2020 году американская медицинская компания Elara Caring потеряла информацию о 100 тыс. пациентов. Схема похожа на историю RSA. Преступники точно так же заранее собрали данные о сотрудниках компании в соцсетях, а затем использовали их при подготовке фишингового письма. В итоге в сеть утекли имена и даты рождения пациентов, банковские реквизиты и другая важная информация.

Также недавно киберпреступники выдавали себя за исследователей Кембриджского университета в одной из международных соцсетей. Они писали экспертам нефтегазовой отрасли и в качестве одного из материалов исследования отправляли Excel-файл. В нем, конечно же, было зашито вредоносное ПО, которое воровало учетные данные пользователей.

Фишинг, шпионаж и не только

Из примеров выше можно сделать общий вывод: неважно, какие социальные сети есть у сотрудника, главное – как он их использует.

Собрать данные о компании и ее работниках в соцсетях легко. Достаточно просмотреть публичный профиль, отследить все сообщения человека и посты в группах. Злоумышленнику может быть интересно все: от контактов топ-менеджеров до увлечений потенциальной жертвы. Ей, кстати, может стать любой сотрудник. Он всегда потенциально интересен приверженцам социальной инженерии, на которой основываются APT-атаки, фишинг и корпоративный шпионаж.

Самый простой пример ошибки сотрудника – когда он делает сэлфи на рабочем месте и размещает фото в соцсети. Друзья видят улыбающегося мужчину за столом, а злоумышленник – конфиденциальный документ на столе с номером и другими реквизитами, надпись на табличке двери за компьютером и т.д.

Еще более популярная история – от лица взломанного друга в соцсети сотрудник получает ссылку. Переход по ней заканчивается установкой вредоносного ПО на его компьютер и заражением всей корпоративной сети. И это далеко не все сценарии, когда любая компания может пострадать только из-за одного любителя посидеть в соцсетях.

Александр Герасимов

CISO Awillix

Сотрудники должны понимать риски и быть осведомлены о принципах безопасного поведения в интернете. Это включает в себя осознанное отношение к информации, которой они делятся в социальных сетях, умение распознавать фишинговые атаки и знание основных правил работы с конфиденциальной информацией.

Важно отразить это в политике информационной безопасности. Это могут быть внутренние документы, описывающие правила использования социальных сетей и обработки информации. Например, можно ограничить обсуждение внутренних вопросов компании в публичных социальных сетях, оговорить вопросы использования корпоративной почты и мессенджеров.

В целом, по его словам, информационная безопасность в социальных сетях – это комплексная задача. Решать ее нужно системно и непрерывно.

Как еще защитить компанию

Можно постоянно напоминать сотрудникам о правилах безопасности в соцсетях и включить их в политику ИБ. Но лучше пойти дальше и перестраховаться на других рубежах.

В частности, стоит проверить, насколько хорошо соблюдаются парольные правила в компании. Это обязательно нужно сделать, если сотрудники могут использовать неуникальные пароли, в том числе для доступа к разным сервисам. Также эксперты рекомендуют настроить регулярное обновление и безопасное хранение паролей, включить двухфакторную аутентификацию для корпоративных аккаунтов и разграничение прав доступа к ним.

Также важно регулярно вести мониторинг соцсетей. Нужно просматривать упоминания компании и проверять подлинность страниц и пользователей, которые действуют в соцсети от лица компании.

Что в итоге?

Человек остается самым слабым звеном в системе ИБ компании, даже если он заходит в VK или Одноклассники только дома. Злоумышленник может собрать информацию о пользователе и там. Именно поэтому обезопасить компанию от угроз из соцсети на 100% нельзя.

Тем не менее, риски можно снизить. Как показывает практика, обычно сотрудник совершает опасные действия неумышленно. Он либо не знает правил безопасности в соцсетях, либо у него нет мотивации им следовать. Исправить второе, конечно, сложнее.