Кейс в ритейле: как мы нашли внутреннего злоумышленника по одному скриншоту

в 6:00, , рубрики: drp, антифрод, информационная безопасность, мошенничество, фрод

Можно ли распутать инцидент c мошенничеством, имея всего одну обнаруженную в Telegram публикацию? Наш опыт показывает, что очень даже! Сегодня мы расскажем о том, как обеспечить экономическую и репутационную безопасность компании и найти внутреннего злоумышленника.

Кейс в ритейле: как мы нашли внутреннего злоумышленника по одному скриншоту - 1

Для того, чтобы распутать инцидент, его сперва нужно выявить, ведь если компания располагает разветвленной сетью офисов с тысячами сотрудников, отследить все возможные векторы компрометации её информации может быть непросто, а значит, инциденты в любом случае периодически будут случаться. И тут нам на помощь приходит система мониторинга внешних источников информации. В России такие решения попадают в категорию Digital Risk Protection (DRP). DRP‑системе по большому поводу не интересно, что происходит внутри инфраструктуры компании, она представляет собой глаза и уши, которые находятся за периметром и фиксируют все подозрительные события там.

Дело было вечером…

Мы подключили к сервису мониторинга внешних цифровых рисков Solar AURA одного из крупных ритейлеров. И вот однажды наша DRP обнаруживает в одном из Telegram‑чатов фотографию экрана компьютера с информацией о бонусной программе, планируемой в этой торговой сети.

Увы, качество выложенного фото оставляет желать лучшего, но другого нет

Увы, качество выложенного фото оставляет желать лучшего, но другого нет

Казалось бы, ну чего такого страшного — это же всего лишь новая программа лояльности. Но нет, подобное происшествие является серьезным инцидентом, и дело даже не в том, что кто‑то публикует на стороннем ресурсе данные из рабочей CRM (что уже является нарушением), а в том, что утекшая раньше времени публикация о готовящейся акции может породить самые разнообразные спекуляции. Новость о бонусной программе должна стать достоянием общественности только тогда, когда эта программа будет готова к запуску, иначе кампания может не достичь своей цели или быть перехваченной конкурентами.

Тот случай, когда бонусная кампания должна брать пример с Гэндальфа

Тот случай, когда бонусная кампания должна брать пример с Гэндальфа

Итак, инцидент обнаружен, компания оповещена, можно ли на этом закончить работу? Можно, но тогда мы не узнаем виновных, а подобные ситуации будут происходить вновь и вновь. Так что проанализируем публикацию.

И тут начинается самое интересное

Для начала изучим фотографию.

Выделенный пункт: «До 50% стоимости можно оплачивать бонусными рублями»
Выделенный пункт: «До 50% стоимости можно оплачивать бонусными рублями»

В тот момент, когда был сделан снимок, в CRM‑системе ритейлера был авторизован пользователь «Андрей К.», управляющий филиалом № 6 в Нижнем Новгороде.

Все, выдыхаем, дело раскрыто! Андрей приговаривается к...

Кейс в ритейле: как мы нашли внутреннего злоумышленника по одному скриншоту - 5

Но нет, постойте, нельзя же отправить человека на гильотину просто из‑за того, что на фото в системе засветились его данные! Может быть, его подставили или кто‑то просто сел за его компьютер. Придется разобраться.

Разбираемся дальше

Для начала попробуем узнать, кто разместил фото экрана в Telegram‑чате. Этим человеком является пользователь «Арт.» с идентификатором @v***59.

Кейс в ритейле: как мы нашли внутреннего злоумышленника по одному скриншоту - 6

@v***59 оказался активным участником различных групп, посвященных покупке и продаже промокодов. Махинации с промокодами и бонусными баллами — это целый сегмент «серого» бизнеса, который наносит немалый ущерб торговым сетям. Классический пример такой схемы — покупка мобильного телефона с максимально возможной скидкой и его последующая перепродажа ниже рыночной цены, но выше, чем цена со скидкой. Эта разница в цене и обеспечивает прибыль злоумышленника.

Знакомимся ближе

Изучив контент подобных групп и поняв основные схемы работы, мы решили выйти на контакт с нашим фигурантом, тем более и случай удачный подвернулся — в одном из чатов обнаружилось его объявление о покупке бонусных баллов интересующей нас торговой сети.

Кейс в ритейле: как мы нашли внутреннего злоумышленника по одному скриншоту - 7

Мы списались с @v***59 и предложили ему сделку — покупку телефона за якобы имеющиеся у нас бонусные баллы. Такая сделка подразумевает приобретение товара на имя покупателя (нашего контрагента) с доставкой в ближайший к нему магазин. @v***59 согласился на сделку и прислал данные для оформления заказа.

Кейс в ритейле: как мы нашли внутреннего злоумышленника по одному скриншоту - 8

Таким образом мы получили фамилию, имя, телефон и адрес нашего фигуранта, а заодно и подтвердили привязку указанного им номера к его учетной записи в Telegram.

Кейс в ритейле: как мы нашли внутреннего злоумышленника по одному скриншоту - 9

Ну а раз есть имя, город и телефон, найти учетную запись в социальной сети — дело техники. И вот перед нами страница в VK, принадлежащая нижегородцу Артему М. 1987 года рождения.

Впрочем, никаких свидетельств того, что Артем М. имеет прямое отношение к интересующей нас торговой сети, мы не обнаруживаем. Скорее всего, он не является её сотрудником.

Кейс в ритейле: как мы нашли внутреннего злоумышленника по одному скриншоту - 10

Фото Артема: так как мы не суд и не можем никого ни в чем обвинять, будем соблюдать его приватность

Зато находим массу косвенных. Например, поиск по номеру телефона на Авито выдает массу интересных результатов.

Таких...

Купон ****** Новогородний на 1 тыс руб. действует при покупке от 2 тыс руб. Можно погасить до 50% стоимости товара.

И вот таких...

 Продам промокоды на скидку в ******. Вопросы писать в сообщения сюда или смс. 500 на сумму от 1000р - 50руб. 2000 на сумму от 6667р - 150р 3000 на сумму от 10000р - 250р 4000 на сумму от 13334р - 350р Или могу бесплатно оформить со своего аккаунта. Вам нужно будет только в магазине оплатить и забрать товар со скидкой.

И даже таких!..

Продам или оформлю промокоды ******. Скидка 500руб. на сумму покупки от 1000р продам за 100руб. Скидку 500руб. на сумму покупки от 2000р оформлю бесплатно Вопросы писать в сообщения сюда, вайбер или смс. Могу сам все оформить через сайт ******. Вам придет смс о готовности заказа и нужно будет прийти в магазин и забрать товар.

И много‑много других! Выясняется, что Артём уже много лет продает на Авито промокоды интересующей нас торговой сети. Но это еще не все. Помимо промокодов, он неоднократно продавал и новые мобильные телефоны, вероятно купленные с использованием бонусных баллов, как в схеме, которую мы ему предложили.

Кейс в ритейле: как мы нашли внутреннего злоумышленника по одному скриншоту - 11

Как видите, налицо факт уже непосредственного экономического ущерба компании, ведь промо‑акции создаются не для того, чтобы один человек скупал по дешевке десятки телефонов, а потом перепродавал их на торговой площадке.

Широкий размах деятельности Артёма позволяет предположить, что у него есть «свой» человек в сети ритейлера, тем более, что в беседах в Telegram он это и не особо скрывает, а указанная в объявлениях геометка находится подозрительно недалеко от офиса, в котором был сфотографирован экран компьютера.

Ищем «вторую половинку»

Мы просмотрели разные чаты, в которых состоял Артем, и нашли, например, вот такие его сообщения:

Кейс в ритейле: как мы нашли внутреннего злоумышленника по одному скриншоту - 12

Так может быть «свой» человек Артёма — это уже изобличенный нами «Андрей К»? Такой вариант видится самым очевидным, только вот никаких доказательств связи Артёма и Андрея у нас не имеется. Так что вернемся к социальным сетям. В друзьях у Артёма нет сотрудников интересующей нас торговой сети, поэтому расширим круг поиска, возможно контакт является не прямым, а опосредованным. Проанализируем второй круг — друзей Друзя Артёма.

И этот прием приносит свои результаты. В друзьях у Артема находится Галина С., являющаяся сестрой Юрия Т., который... внезапно оказывается менеджером того самого филиала торговой сети, в котором и произошла утечка данных.

Кейс в ритейле: как мы нашли внутреннего злоумышленника по одному скриншоту - 13

В соцсетях обнаруживается корпоративный пост с поздравлением Юрию Т. в связи с его назначением на соответствующую должность, а также указывается его трудовой путь.

Кейс в ритейле: как мы нашли внутреннего злоумышленника по одному скриншоту - 14

Этот трудовой путь удивительным образом совпадает с географией покупок Артёма в магазинах данной торговой сети.

Кейс в ритейле: как мы нашли внутреннего злоумышленника по одному скриншоту - 15

Так что можно логично предположить, что Артём и Юрий знакомы не первый год.

Game over

Тут и сказке конец, а служба безопасности компании, обработавшая эти сведения и использовавшая их в процессе проведения внутренней проверки, — однозначно молодец.

Таким образом, имея всего лишь сведения о публикации фото в Telegram, можно найти и изобличить внутреннего злоумышленника. Естественно, предоставленные нами сведения являются лишь основанием для проведения внутренней проверки, но, поверьте, с таким заделом она пройдет намного эффективнее.

Автор:
Solar_AURA

Источник

* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js