8 (861) 29-29-529

24/7

Ты сам отдашь деньги мошеннику! 

Еще один интересный способ, как могут украсть деньги у компании. Рекомендую прочитать до конца – возможно полученная информация сохранит не только Ваши деньги, но и нервы.


Случай произошел с достаточно крупной производственной компании с представительствами в разных городах РФ. Почти сотня офисных сотрудников с корпоративной почтой… заведенной на mail.ru! причем даже без собственного доменного имени.

 

Все ящики вида:


company_ivanov@mail.ru
company_petrov@mail.ru
company_sidorov@mail.ru и т.д. – названия, конечно же, изменены.

Далее рассказ со слов офис-менеджера.

Около 6 утра проверила почту и увидела письмо от нашего партнера из другого часового пояса (где-то за далеко Уралом). В мой ящик письмо упало около 3 часов ночи по московскому времени, когда у партнера был уже, в общем-то, рабочий день...

Вполне себе обычное письмо с отправителем вида:


Компания надежный партнер <manager @superpartner.ru>; (название тоже, естественно, изменено).

Во вложении ожидаемый счет на оплату.


Когда в 8 утра приехала на работу и еще раз открыла почту, обратила внимание, что время получения письма изменилось – теперь оно считается доставленным не в 3 часа ночи, а в полседьмого утра.


 Присмотревшись поближе выяснилось, что хоть название отправителя то же, что и было, но e-mail немного другой:


Компания надежный партнер <superpartner @inbox.ru>;


Во вложении ожидаемый счет на оплату, правда с другими реквизитами получателя и печатью явно правленной в графическом редакторе :)

А что же произошло на самом деле?


  • кто-то получил доступ к ящику офис-менеджера
  • регулярно проверял почту
  • увидев счет сделал следующее:
    - «вырезал» из него печать с подписью - удалил оригинальное письмо со счетом (в т.ч. и из Корзины)
    - зарегистрировал почту с закосом под настоящего партнера
    - не смущаясь изготовил счет на ту же сумму с той же печатью, но другими реквизитами
    - отправил с поддельного e-mail офис-менеджеру


Очевидно расчет был на то, что офис-менеджер вдумчиво читать письмо не будет и просто отдаст бухгалтеру на оплату, а невнимательный бухгалтер просто возьмет и переведет деньги по указанным реквизитам ни о чем не думая.

Как только все это выяснили – позвонили мне с вопросом: «Что делать?!». Ответа на этот вопрос два: что делать в частности прямо сейчас и что делать вообще в принципе. Отвечаю на оба, сначала в частности, что делать сейчас.


  • Сменить пароль на почте
  • Если в настройках безопасности mail.ru еще не включен показ информации о последнем входе в систему – обязательно включить!
  • Если параллельные сессии до сих пор разрешены – отключить
  • Включить отображение списка действий в ящике (хотя бы этот пункт был включен в нашем случае)
  • Опционально включить сессию только с одного IP-адреса, но в таком случае в почту можно будет заходить ТОЛЬКО из одного места: из дома, или с работы. Из других мест не получится. Другими словами, если уехали в командировку – о почте забудьте!

Так, если включено отображение информации о последнем входе, то при каждом входе в систему mail.ru покажет – в какое время и с какого адреса входили в ящик. Эту информацию можно будет сопоставить со своими действиями, т.е. офис-менеджер могла бы в первый же факт чужого входа в ящик отследить его. Но функция была отключена…


Что еще стоит сделать: посмотреть журнал входов в ящик

Его видно на той же странице чуть ниже https://e.mail.ru/settings/security


Город может не совпадать с Вашим – это в принципе нормально, так бывает довольно часто. Но если будет несколько разных городов, то это уже повод бить тревогу – похоже кто-то входит кроме Вас.
Так у нашего офис-менеджера были обнаружены входы в т.ч. из Сан-Франциско в те часы, когда офис-менеджер точно был не за компом.
Какую информацию успели получить злоумышленники ранее, и какой ущерб нанесли, сейчас уже трудно сказать. Но если бы сам факт их присутствия был выявлен (а лучше пресечен) ранее, возможно ничего бы они и не получили в принципе. Наверно остается только радоваться наблюдательности офис-менеджера и глупости злоумышленника.


Если проделаете все вышеуказанные манипуляции, то шансов у злодеев будет гораздо меньше. Но чем латать дыры – лучше все таки выстроить свою систему безопасности. Т.е. что делать в принципе, чтобы исключить подобные ситуации.


Сейчас мы договорились с руководством компании о внедрении собственного почтового сервера и уходе с mail.ru. Своим почтовым сервером планируем решить следующие задачи:


  • Внедрим общие правила смены паролей, чтобы почтовый сервер требовал их смену регулярно. Т.е. если вдруг чей-то пароль окажется скомпрометирован – в скорости он все равно будет заменен.
  • Настроим правила сложности, чтобы сотрудники не устанавливали пароли на уровне «123456», которые очень легко можно подобрать.
  • Внедрим мониторинг почты «подозрительных» сотрудников: руководство компании подозревает некоторых сотрудниках в «нечистых делах» и хочет выборочно просматривать их почту. Настроим автопересылку всей корреспонденции сотрудников «на карандаше» на специальный ящик службы безопасности.
  • Снизим риски потери данных: раньше сотрудники регистрировали ящики себе сами с привязкой с собственным телефонам. В результате при увольнении вся переписка оставалась у них. Так уволившийся сотрудник мог запросто писать клиентам и партнерам от имени компании, в которой он уже не работал. В то время как новый сотрудник, пришедший на место старого, понятия не имел, с кем и по каким вопросам коммуницировал его предшественник. Теперь почтовый ящик ушедшего будет автоматически блокироваться, а вся входящая корреспонденция пересылаться на ящик нового сотрудника. Так мы «отсечем» бывших сотрудников от системы и обеспечим «бесшовный» перехват дел новым сотрудником.
  • Сделаем общую корпоративную адресную книгу для упрощения поиска коллег. А то до этого многие сотрудники банально не знали адресов коллег (особенно из других регионов) и чтобы написать кому-то письмо – надо было пройти отдельный квест по поиску его адреса, что отнимало время.
  • Для определенных категорий сотрудников настроим доступ к почте только из офиса, чтобы из других мест нельзя было войти в принципе.
  • Решим проблему с размером ящиков: некоторым сотрудникам не хватало 10Гб, предоставляемых каждому пользователю. Проанализируем – кто хранит мусор, а кому действительно надо. Тем, кому и правда нужен ящик большего объема – расширим квоту и дадим столько, сколько нужно. Остальным наоборот урежем максимальный объем ящика, чтобы не переплачивать за хранение хлама.
  • Решим, наконец, имиджевый вопрос: на сегодняшний день у многих потенциальных клиентов и партнеров вызывает удивление тот факт, что у крупной компании нет 1500 рублей в год на собственное доменное имя? Как-то несерьезно, удивительно и подозрительно…

Внедрение корпоративной почты

Повышение безопасности и снижение рисков

Услуги

Решения

О компании

© 2021 
Компания "ИТ Отдел"
 Все права защищены.

Спасибо!

Ваш запрос принят в обработку. 

Мы свяжемся с вами в ближайшее время

Заказать звонок

Спасибо!

Ваш запрос принят в обработку. 

Мы свяжемся с вами в ближайшее время

Заказать звонок