По статистике примерно половина сайтов среднего и малого бизнеса содержат ошибки, позволяющие мошенникам украсть данные о клиентах или как-то навредить бизнесу. В этой статье мы рассмотрим самые распространённые ошибки и уязвимости, при помощи которых мошенники могут получить доступ к сайту компании и как проверить интернет ресурсы компании на безопасность.
По данным исследований, больше всего угрозам подвержен бизнес в сфере розничной торговли, консалтинга и IT. У бизнеса в этих сферах чаще других электронные сервисы интегрированы с сайтом компании: базы данных, почта, 1С, CRM-системы. Чем больше компания использует электронных сервисов, тем выше шанс, что злоумышленники захотят их взломать. Каждая ошибка на сайте - это лазейка для мошенников и риск кибератаки. Кажется, что если у фирмы всего один небольшой информационный сайт, то киберпреступникам врятли будет до него дело. Но это заблуждение. Взламывать могут не только интернет магазины и сайты крупных компаний, но и обычные рекламные лендинги. Например, могут украсть домен, чтобы потом попросить его выкупить обратно.
Допустим, у компании есть сайт, адрес которого указан в рекламе, на визитках, в рассылках. Домен необходимо продлевать каждый год. В этом году сотрудник, ответственный за продление забыл это сделать и домен освободился. Киберсквоттер заметил это и купил домен себе. Теперь он владелец сайта и может размещать на нём всё, что угодно, в том числе и порочащую компанию информацию. От этого пострадает репутация фирмы, а мошенник будет вымогать деньги, чтобы компания смогла вернуть себе домен.
На сайтах интернет-магазинов хранится информация о клиентах и продажах, поэтому их взламывают чаще. Злоумышленники могут украсть эту информацию по заказу конкурентов. Бывает, из-за ошибки сайт сохраняет данные кредитных и дебетовых карт покупателей. Эту информацию мошенники могут использовать в финансовых махинациях. Иногда компании интегрируют внутреннюю корпоративную систему с сайтом. В таком случае, из-за критической ошибки злоумышленники могут получить доступ к информации о клиентах, сотрудниках, оборотах, сделках - обо всём, что есть в CRM-системе.
Для того чтобы украсть конфиденциальную информацию и другие корпоративные данные или остановить работу сайта фирмы, злоумышленники используют разные виды кибератак, самые распространённые из которых: DDoS-атаки, вредоносное ПО и фишинг. Фишинг позволяет получить доступ к конфиденциальным данным: номерам банковских счетов, паролям, логинам. Мошенники рассылают пользователям письма якобы от сотрудников компании и просят пройти по ссылке и обновить личные данные на сайте, объясняя это возникшим сбоем в системе - которого на самом деле небыло. Если человек перейдёт из письма по вредоносной ссылке и введёт свои данные, то злоумышленники смогут поменять пароль в личном кабинете или украсть деньги с банковского счёта.
Иногда мошенники имитируют интернет-магазины или сайты организаций. Не заметив подмены и сделав покупку на таком фишинговом сайте покупатель потеряет деньги. Такой способ обмана называется социальной инженерией и по статистике явяляется одним из самых популярных видов кибератаки. Против организаций социальная инженерия используется в каждой второй атаке, а против частных лиц в 9 из 10 атак.
К вредоносному ПО относятся трояны, вирусы и сетевые черви. В систему такие программы могут попасть разными способами, например, маскируясь под проверенные файлы и лицензионное программное обеспечение, а вирусы могут попасть в телефон или компьютер через сообщение с вредоносным вложением. Устройство заражается когда сотрудник открывает письмо и запускает прикреплённый файл. Дальше всё происходит по стандартной схеме: кибермошенники получают доступ в корпоративную сеть, запускают кибератаку и крадут конфиденциальную информацию.
При DDoS-атаке злоумышленники искусственно создают большое количество запросов на ресурс, стараясь заблокировать его работу. Из-за большого потока запросов приложение или сайт фирмы перестаёт работать, в результате чего посетители не могут оплатить услугу или оформить заказ. Это наносит репутационный ущерб и приводит к потере прибыли.
Есть три вида распространённых ошибок:
- Кража адреса сайта (домена);
- Кража данных о продажах и клиентах;
- Блокировка доступа и шифрование данных компании.
Когда мошенник получает доступ к данным компании, то он может зашифровывает их и сотрудники не могут получить доступ. Например, у крупного поставщика пиломатериалов есть сайт, который интегрирован с почтой и CRM-системой, хранящей данные о клиентах и компании. Кибермошенник заметил на сайте уязвимость, открывающую доступ ко всем данным. Через неё он запустил вирус, блокирующий сайт, почту и саму корпоративную систему. После этого ни один сотрудник не может воспользоваться этими сервисами. Как правило, после этого злоумышленник требует у владельца деньги за возврат данных. Часто шифрование и блокировка доступа сопровождается утечкой внутренней информации (например, о партнёрах и сделках), которую преступники могут выложить в открытый доступ.
Распространённая ошибка, позволяющая злоумышленникам получить доступ к данным - открытый служебный порт. Согласно исследованиям, каждый десятый сайт содержит такую уязвимость, а почти у четверти среднего и малого бизнеса не защищены базы данных, благодаря чему мошенники могут скачать такую информацию как имена, адреса и телефоны клиентов и сотрудников, а так же данные по сделкам. Киберпреступнику достаточно заметить ошибки, указывающие на открытость базы данных и просто подобрать к ней логин с паролем.
Ещё одна распространённая киберугроза, которая встречается у каждой третьей фирмы - отсутствие верификации адреса сайта (домена). По статистике треть предпринимателей при покупке домена не подтверждают права на него. Если у сайта нет верификации, то мошенник может обратиться к регистратору домена и заявить, что именно он является его владельцем. Чтобы защитить себя от кражи домена, необходимо написать письмо регистрирующей организации. В этом письме нужно сообщить, что права на сайт принадлежат вам.
Для бизнеса шифрование или утечка данных страшны в первую очередь потерей прибыли и репутации. К примеру, интернет магазин, подвергшийся кибератаке грозит отменой заказов и потерей денег за каждый день, что сайт не работает. Партнёры могут отказаться от сотрудничества или привлечь компанию к ответственности, если утечка данных затронет их бизнес. Согласно законодательству, бизнес должен защищать персональные данные от третьих лиц. Если злоумышленники украдут данные о клиентах и выложат их в открытый доступ, то предпринимателю или компании грозит штраф: для руководителя ООО - от 8000 до 20 000 руб.; для организации - от 50 до 100 тысяч руб.; для ИП - от 20 до 40 тысяч рублей. Однако, всё зависит от того, какие персональные данные были слиты в сеть. Например имена и телефоны людей давно уже есть на форумах и в соцсетях, поэтому невозможно понять откуда они утекли. А если в списке имён и телефонов будет упоминание конкретного ООО, то компания может получить штраф, так как в данном случае нетрудно понять кто допустил утечку.
Заранее определить, что преступник получил доступ к базе данных фирмы, практически невозможно. Сотрудники, работая с данными клиентов могут и не знать, что злоумышленники параллельно воруют их информацию. Обычно предприниматель или компания узнают о кибератаке по факту - уже после того как киберпреступники сообщили об этом. В большинстве случаев кибератаку можно предотвратить: проверить сервисы компании и сайт на ошибки. Распространённые ошибки устранить нетрудно. Проводить диагностику инфраструктуры сайта, следить за ошибками и не допускать их - это обязанности системного администратора.
Защититься на 100% от компьютерных атак невозможно, но можно снизить риск стать жертвой злоумышленников. Самый простой и быстрый способ защиты данных, это регулярное обновление антивирусов и программного обеспечения. Разработчики ПО постоянно исправляют уязвимости в безопасности и регулярно выкладывают обновления. Чтобы не забыть про обновление, у антивирусов, например, есть функция автообновления. Ещё можно использовать "песочницы", которые позволяют запускать потенциально заражённые файлы и получать вердикт об их безопасности. Двухфакторная авторизация защищает гораздо надёжнее. При такой аутентификации сотрудник сначала вводит логин и пароль, а затем специальный код, который получает по электронной почте или в СМС. То есть пользователю нужно дважды подтвердить свою личность. Резервное копирование позволяет восстановить необходимые данные в случае кибератаки или выходе из строя сервера. Копии данных, как правило, хранятся в облаке, на отдельном сервере или съёмном жёстком диске.
Зачастую причиной утечек или взломов становится человеческий фактор, поэтому необходимо обучать сотрудников правилам безопасности. Объясняйте сотрудникам, что не нужно переходить по подозрительным ссылкам в письмах и мессенджерах. Иногда сотрудники на рабочем компьютере делятся конфиденциальной информацией с другими людьми. Расскажите, как правильно использовать VPN, защищённые сети и другие корпоративные устройства. VPN - это зашишённый канал связи, позволяющий сотрудникам из других городов и стран подключаться к корпоративным сервисам и безопасно передавать важную информацию и документы компании. Важно, чтобы VPN был создан системным администратором внутри компании, иначе велика вероятность что его смогут "прослушивать".