Если бы Гартнер делал магический квадрант антивирусов в России - он мог бы выглядеть так. #проИБ #русскийгартнер

Когда я работал в крупном телеком операторе и у где-то находили косяк в конфигурации, то дальше ожидаемо мы проверяли как это настроено по всей стране. Логичный и понятный шаг - столкнулись с проблемой в одном месте - надо убедиться, что проблемы нет или устранить ее по всей стране. В случае с атаками, работает примерно так же. Что-то происходит и вся отрасль занимается выяснением двух вопросов: А что там было? А у нас такое возможно? И на этом хайпе можно поднять уровень ИБ. Потом уровень хайпа снижается(сейчас кто помнит про СДЭК и как он неделю не работал?), окно возможностей закрывается и дальше никого ИБ не беспокоит до следующего раза. Тут я комментировал про кик- и кар- шеринги - пока вижу последствия атак, как финансовые и репутационные потери для компаний. Но если поразмышлять, то в результате хакерской атаки можно заблокировать двери и окна в +30 и отключить кондей в салоне. Это не КИИ, но потенциальная угроза жизни и здоровью людей присутствует. Или это мои фантазии?

Обычно в поле моего зрения попадают новости про корпорации и крупные атаки на крупных заказчиков. Это моя работа, быть в курсе, желательно понимать, что там произошло. А тут про работу решил с женой поговорить и выяснил, что у блогера Алекандры Митрошиной второй раз угнали аккаунт Instagramm. Как это могло произойти, если после первого взлома, она поменяла все явки-пароли? В ход пошли даже такие теории, что со стороны соц сети были заинтересованные сотрудники. Кстати, тоже себе вариант, но не самый первый в списке. Я деталей не знаю, ситуацию не мониторю, потому что текстом новости только официальные, а смотреть разоблачительные тиктоки аналитиков на летних каникулах не всегда успеваю. Что могло пойти не так во второй раз, когда вроде все пароли-явки поменяли, аккаунты вернули, доступы восстановили и включили двухфакторную аутентификацию? Давайте подумаем. Я сознательно убираю совсем тупые варианты, типа "пароль поменяли с qwerty на qwerty1" и брутфорс закончился на втором шаге. Помогали восстанавливать доступы явно не тупые люди и рекомендации, как защититься скорей всего они тоже дали. Итак :
1. Стилер. В телефоне или на ноуте живет стилер, который перехватывает набранный с клавиатуры текст(как punto от яндекса, например). Либо который ворует сохраненные пароли из chrome. Либо который ищет на ноуте файлик пароли.txt и отправляет его злоумышленнику. Либо анализирует содержимое буфера обмена. Либо перехватывает cookies и открытые сеансы. Либо все вместе взятое. Можно починить все доступы и поменять пароли, но если не вылечить ноутбук, то проблема останется. Проблема сложнее, когда ключевые доступы есть у нескольких человек на разных устройствах - проверять и лечить надо всех.
2. Второй фактор на то же устройство. Второй фактор в виде подтверждающего кода на почту(это кстати единственный вариант у amoCRM).
3. Человеческий фактор. Уверен, что доступы были у нескольких людей. И там, где главный человек выполнил все рекомендации, кто-то мог забить. Мы же люди. Мы делаем простые пароли, чтобы проще запомнить, а если сложные, то записываем в избранное в телеграме. Переходим по ссылкам из телеги, потому что любопытные, ну и надо же проголосовать за Танечку, дочку кого-то из второго подъезда, кого мы не знаем лично, но она очень просила. А еще мы можем думать, что нам мало платят, а тут такое интересное предложение продиктовать код из смс за сумму с шестью нулями.
Самое главное, чудес не бывает - если взломали, значит была возможность. Значит стоимость взлома была интересной и заработать можно было условно в 10 раз больше. А хотите узнать про кибер гигиену для блогера? Как не потерять свой канал на 18 подписчиков и что делать при первых подозрениях. #проИБ