Кибершторм для малого бизнеса: как целевые атаки стали новой реальностью и почему мессенджеры — главная угроза
изображение: freepik
Всего несколько лет назад целевые кибератаки ассоциировались с крупными корпорациями и государственными структурами. Тщательно спланированные операции Advanced Persistent Threat (APT) требовали значительных ресурсов и времени. Сегодня ситуация кардинально изменилась. Опыт и инструменты киберпреступников стали доступнее, а их внимание сместилось на наиболее уязвимый сегмент — малый и средний бизнес (МСБ).
Почему именно МСБ стал главной мишенью, как изменилась тактика злоумышленников и что может противопоставить им компания с ограниченными ресурсами? Роман Стрельников, руководитель направления по информационной безопасности «1С-Битрикс», разбирает ключевые тенденции и методы защиты.
МСБ: беззащитный экономический гигант
Малый и средний бизнес — фундамент экономики любой страны, но в сфере кибербезопасности он часто остается ее уязвимым местом. Обратимся к цифрам:
— 21,7% экономики России — это малый и средний бизнес.
— 2,5 триллиона рублей — среднемесячный объем выручки в этом сегменте.
— 5 триллионов рублей — объем государственной поддержки, который заложен на развитие малого и среднего бизнеса до 2030 года.
Эти внушительные цифры в сегменте МСБ сильно привлекают злоумышленников. Для сравнения: у физлиц в 2024 году утекло «всего» 27 миллиардов рублей. Обороты МСБ на порядки выше, что закономерно смещает фокус киберпреступности именно в эту сторону.
При этом уровень защищенности МСБ не идет ни в какое сравнение с крупным энтерпрайзом. Крупные компании имеют выделенные структуры ИБ, многомиллионные бюджеты на безопасность, строгие регламенты и регулярные аудиты. К сожалению, малый и средний бизнес часто реагирует в моменте, когда ситуация уже произошла. При этом МСБ не имеет возможностей для построения надежной защиты: для этого нужны грамотные специалисты и финансы. Кадровый голод в сфере ИБ лишь усугубляет ситуацию.
Как выглядит идеальный кандидат для мошеннической схемы?
Приведу результаты недавнего опроса, который «1С-Битрикс» провел в сегменте МСБ. Полученные данные показали критические пробелы в безопасности этого сегмента, формируя при этом портрет идеальной жертвы:
— 37% компаний уже сталкивались с хакерскими атаками. Это практически каждая третья компания.
— Только 45% сотрудников таких компаний используют двухфакторную аутентификацию на всех устройствах. Более половины игнорируют этот базовый уровень защиты.
— Лишь 12% компаний заставляют сотрудников менять пароли ежемесячно.
— Целых 50% сотрудников делают это не чаще раза в год.
— Строгий контроль смены паролей ведется лишь в 22% компаний.
— 11% опрошенных игнорируют уведомления о критических обновлениях ПО, сознательно становясь легкой мишенью для эксплойтов, использующих известные уязвимости.
Особо отмечу 43% сотрудников, которые иногда пересылают коммерческую информацию через публичные мессенджеры. Чаще всего они даже не задумываются о том, что это может быть критически важная для бизнеса информация.
Цифры нашего исследования демонстрируют, что МСБ уязвим по разным направлениям, и его безопасность зависит от многих условий.
От массового фишинга к целевым атакам через мессенджеры
Тактика злоумышленников эволюционировала. Если раньше фишинг был массовым, легко узнаваемым по машинному переводу и просьбам прислать деньги за несуществующий приз, то сегодня он стал точечным и изощренным. На смену массовому фишингу пришел целевой фишинг (spear phishing).
Его фундамент — тотальные утечки данных. За прошлый год, по разным данным, утекло 1,5 миллиарда учетных записей россиян. Телефоны, почты, пароли — всё это есть в открытом доступе в даркнете.
Злоумышленники, как правило, действуют по отработанной схеме:
1. Сбор данных. Покупают базу данных компании или собирают информацию из публичных источников (соцсети, сайты компаний).
2. Выбор цели. Определяют «слабое звено» — бухгалтера, финансового директора, руководителя отдела закупок, то есть того, кто так или иначе отвечает за финансы компании.
3. Атака через доверительный канал. Выбирают самый неожиданный и потому эффективный вектор — мессенджер.
В публичном мессенджере сотруднику приходит сообщение якобы от первого лица компании: «Роман, это Алексей Петрович, срочно нужно провести платёж, я на совещании, все реквизиты в файле».
Привычность канала, авторитет начальника и секретность просьбы притупляют критическое мышление сотрудника. Он видит имя знакомого директора, запрос и выполняет указание, не задумываясь о проверке. Результат — мгновенная финансовая потеря.
Атака на цепочку поставок
Популярность набирает и другая, не менее изощренная тактика — атаки на цепочки поставок (Supply Chain Attack). Их суть в том, чтобы нанести удар по крупной и хорошо защищенной корпорации через ее самое слабое звено — малого бизнес-партнера или поставщика программного обеспечения.
Киберпреступники действуют по разным сценариям. Классический — взлом почты или серверов подрядчика из сегмента МСБ. Изучив переписку и стиль общения, злоумышленники имитируют сотрудника и через доверительный канал атакуют крупного заказчика, инициируя фиктивный платеж или получая доступ к внутренним системам.
Но современные атаки стали еще масштабнее. Вместо точечного взлома одного подрядчика преступники все чаще атакуют программное и аппаратное обеспечение, а также сторонние сервисы, на которых построена работа сотен компаний.
Атака через ПО: Злоумышленники компрометируют серверы разработчика легитимного программного обеспечения (например, бухгалтерской системы или служебного мессенджера) и внедряют вредоносный код в его обновления. В результате все компании, использующие это ПО, автоматически становятся жертвами.
Атака через сервисы: Под удар попадают облачные провайдеры, хостинги, сервисы аналитики или библиотеки кода. Взлом одного такого сервиса ставит под угрозу всех его клиентов.
Атака через оборудование: На этапе производства или логистики в устройства может быть внедрено вредоносное аппаратное обеспечение («закладка»), которое активируется уже у конечного потребителя.
Именно за счет своего масштаба и сложности обнаружения такие атаки входят в топ по популярности у киберпреступников. Государство уже обращает внимание на эту проблему, и в будущем стоит ожидать ужесточения регуляторных требований к безопасности не только самих компаний, но и их подрядчиков.
Как ИИ меняет правила игры?
Злоумышленники активно используют искусственный интеллект для масштабирования и автоматизации атак. Если раньше для подготовки качественного фишингового письма требовалось время и знание языка, то теперь ИИ-инструменты:
— Анализируют большие данные из утекших баз и соцсетей для создания правдоподобных легенд.
— Генерируют тексты без грамматических ошибок и с нужной стилистикой.
— Создают дипфейки для голосового фишинга.
— Пишут вредоносный код и эксплойты.
Это демократизирует киберпреступность: теперь для проведения сложной атаки не нужна высокая квалификация, достаточно арендовать готовый ИИ-сервис в даркнете.
Как построить оборону: практические рекомендации для МСБ
Бороться с современными угрозами только установкой антивируса уже недостаточно. Необходим комплексный подход, основанный на трех китах: технологиях, процессах и людях.
Технические меры предосторожности:
— Обязательная двухфакторная аутентификация. Внедрите её на все критически важные сервисы: почту, бухгалтерские программы, CRM.
— Регулярный аудит паролей. Внедрите политику сложных паролей и регулярную (ежеквартальную или даже более частую) их обязательную смену. Используйте сервисы для проверки паролей сотрудников на предмет утечек.
— Своевременное обновление ПО. Автоматизируйте процесс установки обновлений безопасности для операционных систем и всего используемого ПО.
— Защита конечных точек. Установите платные антивирусные решения с функциями EDR (обнаружения и реагирования) на все устройства, включая личные, если они используются для работы.
— Резервное копирование. Внедрите правило 3-2-1: три копии данных, на двух разных носителях, одна копия — вне офиса.
— Сетевая безопасность. Даже если в компании немного рабочих мест, стоит разделить сеть на несколько сегментов.
— VPN для удаленного доступа. Обеспечьте безопасный доступ в корпоративную сеть для удаленных сотрудников через надежный VPN (возможно даже сертифицированные решения), а не прямым открытием портов.
— Межсетевые экраны. Установите и настройте не только на периметре (между интернетом и локальной сетью), но и между сегментами сети. Они помогут блокировать атаки и при проведении поведенческого анализа.
— Принцип наименьших привилегий. Каждый пользователь и система должны иметь доступ только к тем ресурсам, которые необходимы для их работы. Регулярно пересматривайте права доступа.
— Шифрование конфиденциальных данных. Шифруйте чувствительные файлы и базы данных не только при хранении, но и при передаче (с помощью SSL/TLS, VPN).
Внедрите базовые процессы безопасности
— Правило «четырех глаз». Ни один финансовый платеж не должен проводиться на основании одной лишь электронной команды. Обязательно устное или иное подтверждение через другой канал связи (телефонный звонок, корпоративный мессенджер).
— Четкие инструкции при инциденте. Каждый сотрудник должен знать, куда немедленно обратиться при получении подозрительного сообщения.
Работайте с людьми
Развивайте в команде осознанность и понимание людей, умение критически мыслить и не вестись на предложения мошенников:
— Непрерывное обучение. Проводите не разовые инструктажи, а регулярные (раз в квартал) обучения по кибергигиене. Показывайте свежие кейсы и примеры из жизни.
— Учебные фишинг-атаки. Регулярно проводите тестовые фишинг-рассылки и смс. Сотрудников, которые «клюнули», направляйте на дополнительное обучение.
— Создание культуры безопасности. Безопасность — это не только задача ИТ-отдела или отдела ИБ, это ответственность каждого сотрудника. Поощряйте бдительность и сообщения о подозрительной активности.
Киберугрозы для малого и среднего бизнеса — ежедневная и суровая реальность, которая бьет по репутации, финансовому благополучию и самой возможности продолжать работу. Современный фишинг стал точен, безлик и опасен. Выстоять против него можно только продуманной комбинацией технологий, выверенных процессов и постоянной работы над человеческим фактором.
Вложение в кибербезопасность сегодня — это не дополнительная статья расходов, а стратегическая инвестиция в непрерывность бизнеса и его будущее. Начинать нужно не после инцидента, а до него. Повторюсь, но начать надо с базовых мер: включите двухфакторную аутентификация, настройте правило «четырех глаз» и проведите первое обучение для сотрудников. Эти простые шаги уже значительно снизят риски и не потребуют колоссальных бюджетов, но помогут сохранить и то, что зарабатывалось годами.
