По итогам мая в подборке оказалось сразу несколько показательных инцидентов: от продажи коммерческой тайны за путевку до кражи миллионов долларов через подмену писем. Все истории разные, но схема одна — слабое место нашлось не в «сложном хаке», а в людях, процессах и учете доступа.
Что произошло
В одном случае начальник отдела закупок на предприятии по производству удобрений передавал коммерческую тайну знакомому в обмен на туристические путевки. В другом — британская ресурсоснабжающая компания получила штраф после фишинговой атаки, которая почти два года оставалась незамеченной.
Дальше список только расширяется: подростки помогли вывести 2,89 млн долларов через BEC-атаку, у Grafana Labs украли кодовые базы через скомпрометированный токен доступа к GitHub, а житель Нью-Йорка оказался втянут в мошенническую схему под видом романтических отношений.
Как это сработало
Во всех случаях атакующие били по тому, что обычно считают рутиной. Фишинг в истории с водой дал злоумышленникам точку входа в ИТ-системы, после чего они закрепились в сети, подняли привилегии и добрались до управления доменом. Отдельно расследование показало классический набор провалов: устаревшее ПО, слабый контроль привилегий и почти символический мониторинг — он охватывал лишь 5 % инфраструктуры.
История с Grafana Labs показывает другой риск — утечку не через взлом паролей, а через скомпрометированный токен. Такой ключ доступа часто живет дольше, чем должен, и дает слишком много прав. Об этом мы уже писали в разборе почему уязвимости годами живут в инфраструктуре: проблема редко в одной ошибке, чаще — в цепочке мелких упущений.
BEC-атака в американской системе денежных переводов строилась на подмене переписки и доверии к «обычному» письму. Адрес отправителя выглядел почти как настоящий, а бухгалтерия и подрядчик не сверили реквизиты по независимому каналу. В результате деньги ушли на подставной счет.
Романтическая схема с Нью-Йорком тоже держалась на социальной инженерии. Человеку внушили, что он помогает с переводом наследства, а на деле он открыл счета и создал фиктивную компанию для прокачки украденных средств.
Кого затронуло и чем это закончилось
Больше всех пострадала британская South Staffordshire Water Plc: штраф превысил 900 тыс. фунтов, а в открытый доступ ушли имена, адреса, телефоны, даты рождения, учетные данные клиентов, банковские реквизиты и сведения о сотрудниках. Для компании это еще и удар по репутации: она снабжает питьевой водой четверть Великобритании.
В истории с Grafana Labs, по словам компании, данные клиентов и заказчиков не пострадали, но атака все равно была болезненной: злоумышленники получили доступ к кодовым базам и затем попытались шантажировать разработчика. Утечка токена — это не просто «потерянный ключ», а потенциальная дверь в внутреннюю инфраструктуру.
В США сотрудники денежных переводов потеряли 2,89 млн долларов, а в частной истории с Майклом Макферсоном сумма ущерба составила 212 685,75 долларов. В обоих случаях атакующие полагались не на сложный вредонос, а на человеческую невнимательность и доверие к письму или собеседнику.
Что делать читателю сейчас
Если коротко, эта подборка снова напоминает: защита начинается не с громких лозунгов, а с дисциплины. Проверяйте реквизиты не по письму, а по отдельному каналу. Следите за токенами, правами доступа и сроками их жизни. Обновляйте системы без долгих пауз и не оставляйте мониторинг «на потом».
Для личной цифровой гигиены полезно держать в порядке пароли, включить 2FA и не раздавать лишние права приложениям и сервисам. Если вы часто выходите в сеть из отеля, кафе или коворкинга, можно добавить инструмент для шифрования трафика как еще один слой защиты наряду с другими мерами.
Отдельно стоит помнить и про подмену писем. Если адрес выглядит «почти как настоящий», не спешите с переводом и проверьте домен посимвольно. Именно такие детали чаще всего и решают исход атаки.
Практический чек-лист
- Проверьте, нет ли в компании старых учетных записей, токенов и сервисных ключей без срока действия.
- Попросите ИТ-команду сверить, где реально включен мониторинг и что он пропускает.
- Настройте обязательную проверку платежных реквизитов по телефону или через внутренний канал.
- Обновите системы, где еще живут старые версии ПО и неподдерживаемые серверы.
- Включите 2FA для почты, облачных сервисов и админ-доступа.
- Научите сотрудников не доверять письмам с просьбой срочно сменить реквизиты.
- Храните документы и ключи доступа отдельно от рабочих почтовых ящиков.
- Для публичных сетей используйте дополнительные меры защиты трафика и не входите в чувствительные сервисы с чужих устройств.
Комментарии (0)
Будьте уважительны. Спам и ссылки на сторонние сервисы скрываются модерацией.
Пока комментариев нет. Вы можете быть первым.