Ты сам отдашь деньги мошеннику!
Еще один интересный способ, как могут украсть деньги у компании. Рекомендую прочитать до конца – возможно полученная информация сохранит не только Ваши деньги, но и нервы.
Случай произошел с достаточно крупной производственной компании с представительствами в разных городах РФ. Почти сотня офисных сотрудников с корпоративной почтой… заведенной на mail.ru! причем даже без собственного доменного имени.
Все ящики вида:
company_ivanov@mail.ru
company_petrov@mail.ru
company_sidorov@mail.ru и т.д. – названия, конечно же, изменены.
Далее рассказ со слов офис-менеджера.
Около 6 утра проверила почту и увидела письмо от нашего партнера из другого часового пояса (где-то за далеко Уралом). В мой ящик письмо упало около 3 часов ночи по московскому времени, когда у партнера был уже, в общем-то, рабочий день...
Вполне себе обычное письмо с отправителем вида:
Компания надежный партнер <manager @superpartner.ru>; (название тоже, естественно, изменено).
Во вложении ожидаемый счет на оплату.
Когда в 8 утра приехала на работу и еще раз открыла почту, обратила внимание, что время получения письма изменилось – теперь оно считается доставленным не в 3 часа ночи, а в полседьмого утра.
Присмотревшись поближе выяснилось, что хоть название отправителя то же, что и было, но e-mail немного другой:
Компания надежный партнер <superpartner @inbox.ru>;
Во вложении ожидаемый счет на оплату, правда с другими реквизитами получателя и печатью явно правленной в графическом редакторе :)
А что же произошло на самом деле?
- кто-то получил доступ к ящику офис-менеджера
- регулярно проверял почту
- увидев счет сделал следующее:
- - «вырезал» из него печать с подписью - удалил оригинальное письмо со счетом (в т.ч. и из Корзины)
- - зарегистрировал почту с закосом под настоящего партнера
- - не смущаясь изготовил счет на ту же сумму с той же печатью, но другими реквизитами
- - отправил с поддельного e-mail офис-менеджеру
Очевидно расчет был на то, что офис-менеджер вдумчиво читать письмо не будет и просто отдаст бухгалтеру на оплату, а невнимательный бухгалтер просто возьмет и переведет деньги по указанным реквизитам ни о чем не думая.
Как только все это выяснили – позвонили мне с вопросом: «Что делать?!». Ответа на этот вопрос два: что делать в частности прямо сейчас и что делать вообще в принципе. Отвечаю на оба, сначала в частности, что делать сейчас.
- Сменить пароль на почте
- Если в настройках безопасности mail.ru еще не включен показ информации о последнем входе в систему – обязательно включить!
- Если параллельные сессии до сих пор разрешены – отключить
- Включить отображение списка действий в ящике (хотя бы этот пункт был включен в нашем случае)
- Опционально включить сессию только с одного IP-адреса, но в таком случае в почту можно будет заходить ТОЛЬКО из одного места: из дома, или с работы. Из других мест не получится. Другими словами, если уехали в командировку – о почте забудьте!
Так, если включено отображение информации о последнем входе, то при каждом входе в систему mail.ru покажет – в какое время и с какого адреса входили в ящик. Эту информацию можно будет сопоставить со своими действиями, т.е. офис-менеджер могла бы в первый же факт чужого входа в ящик отследить его. Но функция была отключена…
Что еще стоит сделать: посмотреть журнал входов в ящик
Его видно на той же странице чуть ниже https://e.mail.ru/settings/security
Город может не совпадать с Вашим – это в принципе нормально, так бывает довольно часто. Но если будет несколько разных городов, то это уже повод бить тревогу – похоже кто-то входит кроме Вас.
Так у нашего офис-менеджера были обнаружены входы в т.ч. из Сан-Франциско в те часы, когда офис-менеджер точно был не за компом.
Какую информацию успели получить злоумышленники ранее, и какой ущерб нанесли, сейчас уже трудно сказать. Но если бы сам факт их присутствия был выявлен (а лучше пресечен) ранее, возможно ничего бы они и не получили в принципе. Наверно остается только радоваться наблюдательности офис-менеджера и глупости злоумышленника.
Если проделаете все вышеуказанные манипуляции, то шансов у злодеев будет гораздо меньше. Но чем латать дыры – лучше все таки выстроить свою систему безопасности. Т.е. что делать в принципе, чтобы исключить подобные ситуации.
Сейчас мы договорились с руководством компании о внедрении собственного почтового сервера и уходе с mail.ru. Своим почтовым сервером планируем решить следующие задачи:
- Внедрим общие правила смены паролей, чтобы почтовый сервер требовал их смену регулярно. Т.е. если вдруг чей-то пароль окажется скомпрометирован – в скорости он все равно будет заменен.
- Настроим правила сложности, чтобы сотрудники не устанавливали пароли на уровне «123456», которые очень легко можно подобрать.
- Внедрим мониторинг почты «подозрительных» сотрудников: руководство компании подозревает некоторых сотрудниках в «нечистых делах» и хочет выборочно просматривать их почту. Настроим автопересылку всей корреспонденции сотрудников «на карандаше» на специальный ящик службы безопасности.
- Снизим риски потери данных: раньше сотрудники регистрировали ящики себе сами с привязкой с собственным телефонам. В результате при увольнении вся переписка оставалась у них. Так уволившийся сотрудник мог запросто писать клиентам и партнерам от имени компании, в которой он уже не работал. В то время как новый сотрудник, пришедший на место старого, понятия не имел, с кем и по каким вопросам коммуницировал его предшественник. Теперь почтовый ящик ушедшего будет автоматически блокироваться, а вся входящая корреспонденция пересылаться на ящик нового сотрудника. Так мы «отсечем» бывших сотрудников от системы и обеспечим «бесшовный» перехват дел новым сотрудником.
- Сделаем общую корпоративную адресную книгу для упрощения поиска коллег. А то до этого многие сотрудники банально не знали адресов коллег (особенно из других регионов) и чтобы написать кому-то письмо – надо было пройти отдельный квест по поиску его адреса, что отнимало время.
- Для определенных категорий сотрудников настроим доступ к почте только из офиса, чтобы из других мест нельзя было войти в принципе.
- Решим проблему с размером ящиков: некоторым сотрудникам не хватало 10Гб, предоставляемых каждому пользователю. Проанализируем – кто хранит мусор, а кому действительно надо. Тем, кому и правда нужен ящик большего объема – расширим квоту и дадим столько, сколько нужно. Остальным наоборот урежем максимальный объем ящика, чтобы не переплачивать за хранение хлама.
- Решим, наконец, имиджевый вопрос: на сегодняшний день у многих потенциальных клиентов и партнеров вызывает удивление тот факт, что у крупной компании нет 1500 рублей в год на собственное доменное имя? Как-то несерьезно, удивительно и подозрительно…
Внедрение корпоративной почты
Повышение безопасности и снижение рисков