Какие микроатаки постоянно идут на офис: детский социнжиниринг и фишинг

в 13:52, , рубрики: аниматор на телефоне, Блог компании Мосигра, детский социнжиниринг, иммунитет офиса, информационная безопасность, спамеры, метки:

Какие микроатаки постоянно идут на офис: детский социнжиниринг и фишинг - 1

Привет!

У нас торчат наружу самые разные контакты, включая прямую почту учредителя и всех глав отделов. Ну и, разумеется, офисный телефон, контакты колл-центра и всё такое прочее. На чеках печатаются телефоны региональных управляющих.

Соответственно, на процентов 80% этой инфраструктуры постоянно идут мелкие, скажем так, бытовые социнжиниринговые атаки. От невинных и даже местами наивных до чертовски изобретательных. Изобретательных в социальном плане.

Обычные атаки на общие контакты

Как правило, в компании наружу «смотрит» почта типа info@ и телефон офиса или интернет-магазина. Всяким рекламным агентствам, типографиям, службам уборки и сеошникам очень хочется продать что-то более-менее крупному бизнесу. Поэтому они берут телефон или адрес и тупо скидывают своё предложение, рассчитывая, что оно попадёт куда надо. Естественно, оно попадает ровно куда надо – в корзину. К большому счастью, все предложения подобного плана оформляются одинаково и не сильно отличаются от обычного спама.

Какие микроатаки постоянно идут на офис: детский социнжиниринг и фишинг - 2
Как стать аптечной сетью за 5 минут

Второй уровень состоит в том, что все эти милые люди, которые хотят вам что-то продать, нанимают внешний колл-центр делать «холодные» звонки. Это настоящая индустрия спама. Единственная цель такого колл-центра на аутосорсе – получить ФИО человека, принимающего решения, и его контакты. И тут начинаются попытки атаковать социнжинрингом секретаря или оператора колл-центра.

Безобидный вариант:
— Здравствуйте, а это отдел закупок? Ой, а соедините с закупками, пожалуйста.

Чуть посложнее, детский, но всё ещё работающий приём «тикающего таймера»:
— Добрый день. Издание «Деловая Москва». Хотим сегодня получить комментарий генерального или коммерческого директора вашей компании об эффективности продаж в нашем регионе. Пожалуйста, соедините с ним или дайте прямой контакт.
—…
— Как с ним можно связаться? Нам нужно сделать это сегодня до обеда.
—…
— Спасибо, как его имя и отчество?

Естественно, правильная реакция – получить контакт «журналиста» и переслать его внутри, не пуская человека дальше. Либо дать публичный редирект на почту того, кого они спрашивали.

Третья стадия, тут не обошлось без LinkedIn или изучения сайта. Звонок совершается в 9:55, в обед или 18:05:
— Здравствуйте! А Даниил сейчас на месте? Нет? Срочный вопрос от ООО «Лабеан» по поводу заказа 2512, дайте его телефон, пожалуйста.

И самый достающий вариант:
— Это Роскомнадзор, есть пара вопросов, срочно руководителя! У вас 10 секунд, чтобы переключить.
После переключения будет такое:
— Здравствуйте, Ирина, ООО «Лабеан». Скажите, какой системой бухучёта вы пользуетесь?

Правильный ответ был бы такой: «Тогда у вас 5 секунд чтобы представиться и предъявить служебное удостоверение в развёрнутом виде».

Следующая стадия

Первый «холодный внешний» колл-центр может просто работать как API по получению контактов компаний. Эти контакты могут идти напрямую заказчику, или же, особенно в случае рекламных и продюссерских компаний, во второй «холодный» КЦ. Там операторы всеми силами пытаются свести контакт ко встрече. Но при этом не умеют отвечать на вопросы вообще.

Отмечу, что, в целом, уязвимостей во втором случае как таковых нет – социнжиниринг пока не выходит за рамки социально приемлемого. Главная проблема в том, что однажды попав в такую базу данных хотя бы одного рекламного агентства, ваши контакты разлетятся по свету.

Я давал разным людям разные свои почты и разные телефоны, а потом в течение пары лет наблюдал за динамикой. Самым приятным сюрпризом оказалось то, что служба размещения рекламы в метро (щиты над эскалаторами) раздавала базу своих клиентов кому только не лень. Я счастлив, что их выпилили с рынка.

Кстати, в бытовом плане ещё такое растекание контактов напоминает работу операторов Акадо – эти черти звонили мне ещё 8 раз в течение двух лет после отключения и заявления о прекращении обработки ПД. Первые два раза я просто объяснял им, что будет, если звонить, а потом начал уговаривать выехать на монтаж два раза на старый адрес, два раза на адрес знакомого ЧОПа. Чего-то больше не звонят. Наверное, смонтировали.

Следующий метод: «Вы такие крутые, что я аж окосел»

При наличии почты нужного человека туда пишется что-то похожее на начало дружбы с журналистом. С журналистом дружат как: его хвалят за два последних материала и предлагают тему для следующего. Отсюда поговорка в профессиональной среде: «Ты меня любишь, или это пиар?».

Так вот, на почту начинают падать шаблонные письма в духе «я у вас покупал, в восторге, всё круто, только заметил, что вы не используете Директ на полную катушку, давайте встретимся». Иногда это правда. Отличить просто: если в письме есть хотя бы минимальная конкретика – это реальный человек. Если можно заменить название вашей компании на ООО «Швеллер, балка» и суть не поменяется — это спам.

Бывает, иногда сразу предлагают что-то бесплатное, например, аудит. Результат такого аудита – больше контактов и коммерческое предложение. В целом – тот же простейший способ продаж; пока без ухищрений.

Один раз у нас аниматор (который про мероприятия, а не про мультфильмы) заменял девушку-на-телефоне пару часов. Я был свидетелем преинтереснейшего диалога:
— Мосигра, здравствуйте!
—…
— Да. Да. По важному вопросу? Нет, он не может сейчас. Отправьте на почту.
—…
— Диктую. «Пи», ну как «рэ» русская, потом «о», потом «эс» как доллар, «эйч» которая «х» английская, «е», «л», «эн», «эй» как «а», опять «эйч» как «х», «игрек», «и» с точкой. Собака мосигра точка ру. Читайте, всё правильно?
— ...!
— Именно. Вооот, вы сами сказали. До свидания.

Больше к телефону мы его не пускали.

Я обожаю мышление наших аниматоров. Из них иногда получаются отличные социнженеры. Работа такая.

Есть ли у вас пара минут поговорить о боге?

Есть и более хитрая стратегия впаривания. Например, звонит человек и говорит, что он журналист такого-то изданий (или сайта или ещё чего), и очень хочет получить комментарий буквально на пару минут. Поскольку журналистов надо беречь и им всячески помогать, поделиться открытыми данными – не западло.

Проблема только в том, что это не всегда интервью. С некоторой вероятностью, это может быть сбор информации об инфраструктуре – например, какой ERP-софт используется и т.п. Соответственно, потом вы попадаете в ту или иную базу для дальнейшего использования теми, кто по этой теме специализируется.

Второй развод – просят принять участие в отраслевом опросе за результаты (опрос сейчас, результаты потом). После опроса через пару дней приходит результат и «подарок» от какой-нибудь компании вроде скидки или бесплатного аудита.

Третья тема – иногда у вас таки да, берут интервью, потом публикуют его где-то на новостном сайте из серии «100 просмотров за месяц», а потом начинают доставать своим продуктом. Так отметилась одна прекрасная дама, продающая колл-центровские решения. Я не понимаю одного: если у тебя продукт хороший, то зачем такие ухищрения? Если плохой – реально есть люди, которые покупают «по знакомству» после таких финтов ушами?

Эффект всех в копии

Это не социнжиниринг, но достающая штука.

Некоторые контрагенты начали ставить все найденные на сайте почты в копию. Видимо, по той же причине, по которой ставят несколько восклицательных знаков в конце предложения. Так в 99% случаев делают спамеры, поэтому письма сразу воспринимаются как не очень достойные доверия. Плюс на эти письма чаще всего никто не отвечает, потому что думает, что ответит другой отдел в копии.

Более правильно ставить одного человека в «кому», остальные – в копию и сразу писать, к кому обращено письмо. Это как в критических ситуациях – не надо кричать «Кто-нибудь, принесите автомобильную аптечку», а надо выделять одного и говорить: «Мужчина в красной кепке. Да, вы. Принесите срочно автомобильную аптечку вон из той перевёрнутой машины».

Самое неприятное в таком раскладе – когда скидывают по одному письму на каждую спарсенную почту, и потом ещё дня три от разных людей на главу соответствующего подразделения идут форварды.

Специальные посадочные страницы

На личные почты время от времени падает «заточенный» под человека социнжиниринг. Как правило, это фишинг с переброской куда-то, где надо ввести пароль. Стандартная защита отсекает почти всю эту дрянь (главное, научить пользователя не отключать антивирус на личных ноутбках – или же просто не давать ему таких возможностей на рабочих).

Последний яркий случай был в прошлом году – прислали вложение с вирусом «судебное постановление по ООО N» («N» – наш контрагент), девушка «не смогла» открыть его (точнее, открыла doc без видимого для себя эффекта) и переслала коллеге попробовать на соседнем ноутбуке. Обе сделали это на личных машинах. И запомнили этот случай на всю жизнь.

Ещё очень часто приходят письма, где по тексту понятно, что не лично тебе, но ты «случайно» попал в чужую важную переписку между своими двумя контрагентами или поставщиками. А вот и важная ссылка (договор, например), только кликни.

Какие микроатаки постоянно идут на офис: детский социнжиниринг и фишинг - 3
Не кликайте по вложению. И тем более, не несите его в RDP-терминал, чтобы открыть через браузер там.

Пример:

Уважаемые коллеги!
Здравствуйте!

Уведомляем Вас о том, что в нашей компании в настоящий момент проводится проверка документов,
так как у нас отсутствует приложение №8 к нашему с Вами договору,
прошу срочно его подписать и доставить к нам курьером,
приложение договора прилагаю во вложении, а так же акт сверки на текущую дату
который так же необходимо подписать:

Спасибо!

С Уважением, Бухгалтер ООО Нимбус, Никифорова Светлана

Приложения(2)

1) Приложение.rar (ссылка)
2) Акт сверки.rar (ссылка)

Премия как способ взять контакты

Один раз из нас очень интересно вытаскивали контакты, приглашая на награждение. Был даже сайт премии, там была перечислена куча людей, которые придут. Проблема была в том, что мы на эту премию не подавали (и вообще ни на какую не подавали), но предполагалось, видимо, что это очень крутой способ пройти секретаря и получить на радостях все нужные контакты сразу.

Подозрительность

Естественно, основные почты лежат за пределами того, что «торчит» наружу, то есть алиас в «кому» выдаёт, внешний человек или уже в диалоге с нами. При этом всё равно растёт градус паранойи.

Один раз мне звонила организатор ритейл-конференции сказать, что я не отвечаю на приглашение участвовать как спикер уже две недели. Я честно признался, что скинул её письмо в спам, потому что оно было большое, непонятное, и очень уж подозрительное из-за того, что в теме было «Приглашаем Вас принять участие в важной конференции». Его-то я запомнил, думая, что это новый вид фишинга.

Ещё раз новая сотрудница долго обижалась, что я не отвечаю. Расследование показало, что она для верности отправила письмо со следующей темой: «Не удаляйте, пожалуйста, это не спам!!!». И выставила ему высокую срочность. Через год этот же фокус повторила ещё одна милая девушка из другого подразделения с тем же эффектом.

Итеративный обход

Однажды мне позвонил человек, представившийся директором компании RSS (сервис офисной техники). И начал рассказывать о том, какие мы разумные люди вместе с ним, и как наши компании должны сотрудничать. К сути он перешёл через пару минут: сказал, что нужно срочно удалить негативный отзыв, который оставил наш сотрудник поддержки. Суть отзыва — не выполнили работу в обещанный срок, а когда мы позвонили, удивились и назначили ещё месяц. Проверяю факты прямо в разговоре, ещё до общения с техподдержкой (здесь и далее — диалоги по памяти):
— Погодите, вы же SLA 4 дня обещали, так?
— Да.
— Мы позвонили на 5-й, верно?
— Да.
— До этого вы ничего не говорили, так? И вы только тогда сказали, что потребуется ещё минимум месяц? Я всё верно понимаю?
— Да.
— Так в чём дело-то?
— Да, наш косяк. Но, понимаете, ваш админ не имел права оставлять такой отзыв… Мы же серьёзные люди!

Ок, думаю, может, где-то не разобрались. Беру таймаут, связываюсь с ИТ-службой, выясняю. Да, всё так и было. Есть ещё и второй отзыв — они у нас хотели взять сервер на ремонт, и захотели замену материнской платы (кажется). Так ремонт был бы дороже, чем покупка нового сервера. Мы заказали у другой компании через несколько дней и получили в разумные сроки и по земным ценам. О чём сисадмин и написал.

Второй звонок. Говорю: факты проверил, оснований не доверять сисадмину не вижу, вы сами всё подтвердили же. В чём дело? Диалог получился примерно такой:
— Ну это же ВАШ сотрудник.
— Так, и что?
— Пусть уберёт отзыв!
— Почему?
— Он не имел права писать от лица компании.
— Он от себя написал. Не вижу там официального бланка или ещё чего.
— Запретите ему такое делать!
— Почему?
— А я вот у вас игру куплю, напишу плохой отзыв, что вы делать будете?
— Представляете, порадуемся и где-то сервис поправим.
— Что, вы даже его убрать не попросите?
— Нет.

Похоже, это поставило его в тупик, и больше «директор» не звонил. Мы потом «пробили» этого товарища дополнительно и узнали, что он просто менеджер.

Вообще, к счастью, у меня есть почта noreply@mosigra.ru, и поэтому я прошу таких людей, обходящих всех подряд в компании, отправить туда письменный запрос. Пока действует. Почему-то не пишут.

Noreply

Недавно на noreply написал человек просто со словом «Привет». Я ответил что-то вроде «Привет», а потом долго думал, что за фишинг такой. Может, подпись моя нужна, где телефон? Так он и так на сайте указан… Оказалось, читатель тестировал, правда ли у нас такая почта работает.

Достающие звонки

Долбанные платёжные системы как-то прицепились как банный лист и не отпускали даже после прямого отказа. Любимая фраза – «Последний раз мы общались пару месяцев назад, тогда история ничем не кончилась. Что-то поменялось?». Типа, я не отказал, а отложил.

Часто на запрос конкретных вещей вроде «посчитайте вот то-то под нас» говорят:
— Хорошо. Я вам отправлю презентацию.
— Не надо.
— Почему?
— Вы под нас посчитайте и просто числа отправьте, которые я запросил.
— Ну давайте вы посмотрите…
И всё равно отправляют.

Часто пытаются навязать встречу с первого письма. Типа, давайте обсудим вот этот важный вопрос, когда подъехать к вам в офис? Никогда. Но так отвечать грубо, поэтому я спрашиваю повестку встречи (основные тезисы), как это делается внутри компании. И выясняется что говорить-то не о чем.

Ещё круто, когда рекламщики в конце диалога спрашивают, когда мне перезвонить. Сначала я называл реальные данные, например, в июне – «Ну, я буду снова выбирать контрагента по этому направлению 20 января после 14:00». Потом оказалось, что они перезванивают. Реально. После 14. Причём полагая, что я не запоминаю, что говорю, начинают — «Вы просили позвонить и напомнить про...». Я не просил. «Мы договаривались созвонится» — мы не договаривались. Кто-то дал им учебник по НЛП, откуда они выучили только базовые пресуппозиции и начали лезть людям в задницу без мыла. К счастью, именно по этим конструкциям, обличающим начинающих пикаперов и рекламщиков, они палятся в диалоге почти сразу.

Теперь когда в конце диалога меня спрашивают, когда перезвонить, я спрашиваю, зачем. И человек теряется.

Ещё дыры

Данные могут утекать из самых весёлых мест. Например, фриланс-биржи, кажется, уже пару раз ломали с утечкой ПД. Где-то на сайтах модераторы смотрят переписку между пользователями. Плюс ещё куча подобных приколов в случайных неожиданных местах. За это я люблю советскую языковую схему Вконтакте:

Какие микроатаки постоянно идут на офис: детский социнжиниринг и фишинг - 4

Не даёт расслабиться.

Обратная сторона медали

Иногда надо заглядывать в спам-сборник. Фейсбук, например, кропотливо отфильтровал аж с марта все обращения журналистов и разных людей, пишущих мне в личку со ссылками, и решил их не показывать. Я увидел только неделю назад и был в лёгком шоке от того, сколько всего пролетело мимо.

Автор: Мосигра

Источник

Поделиться новостью

* - обязательные к заполнению поля