У администраторов доменов всего 9% крупнейших компаний России действует двухфакторная аутентификация, и 68% из них в качестве второго фактора используют самый простой — SMS, свидетельствуют данные регистратора Ru-Center. По словам экспертов, это тревожная статистика: в условиях растущих киберугроз такая беспечность чревата не только взломом или "угоном" домена, но и захватом злоумышленниками ключевой ИT-инфраструктуры, что повлечет за собой немалые расходы для устранения последствий
Беспечные админы
"Взлом или "угон" домена — реальная угроза большого масштаба, при этом часто упускаемая из виду. Далеко не в каждой корпоративной модели угроз мы найдем этот риск. Ежедневно мы фиксируем множество попыток автоподбора паролей и регулярно имеем дело с попытками проведения критических операций с доменами по подложным документам", — рассказала в ходе своего выступления 27 мая на Российском интернет-форуме Марина Брик, директор по продукту доменного бизнеса Ru-Center (вместе с хостинг-провайдерами "Рег.ру" и SpaceWeb входит в группу компаний "Рунити").
По ее словам, такая ситуация послужила причиной взглянуть на то, насколько пользователи доменных и хостинговых услуг обращают внимание на безопасность своих активов. "Первым делом мы рассматривали крупный бизнес, так как, казалось бы, чем крупнее компания, тем больше угроз, квалифицированнее команда кибербеза и выше цена ошибки, — рассуждает она. — Мы взяли топ-5000 по выручке крупнейших компаний из сервиса "РБК Компании", из них 2202 компании базируются в Ru-Center. Это 44%. Если бы мы вычли из топа офлайн-компании, то было бы вообще большинство. Такая доля вполне может дать репрезентативную картину для всей совокупности".
В итоге, проанализировав методы защиты доменов, специалисты выяснили, что всего 9% компаний подключили двухфакторную аутентификацию, из них 68% используют в качестве второго фактора самый простой — SMS. 32% используют токен. 5% подключили запрет на восстановление пароля онлайн и всего 3% запретили операции с других IP, кроме внутренних. "Статистика очень тревожная, особенно с учетом того, что мы говорим о бесплатном для клиента шаге. Все, что нужно сделать тут со стороны пользователя, — нажать несколько кнопок", — говорит Брик.
"Это открывает злоумышленникам двери к корпоративным секретам"
"Угон" домена — сложная операция: чтобы его передать другому лицу, необходимо подтверждение этого действия как минимум через почту. В таких ситуациях может помочь и поддержка регистратора: он имеет право аннулировать передачу прав, если исходный владелец подтвердит, что операцию совершил не он, — не склонен драматизировать генеральный директор хостинг-провайдера RUVDS Никита Цаплин. — В случае "угона" основной риск в том, что злоумышленник сможет навредить настройкам DNS или хостингу сайта, если компания это использует. Также взломщик сможет узнать, кому принадлежит домен, если изначально эти данные были скрыты". По его мнению, восстановление в правах потребует времени, но если у компании есть бэкап, то особых проблем не возникнет — "все обойдется простоем и репутационными издержками".
Однако, возражает директор Координационного центра доменов .RU/.РФ Андрей Воробьев, дело не в том, что взлом панели управления доменом позволит "увести" имя, которое нередко является одним из самых ценных активов компании: "Возможность редактирования записи домена позволяет "легким движением руки" захватить ключевую IT-инфраструктуру". Например, продолжает Воробьев, поменяв адрес почтового сервера, злоумышленники смогут перехватывать входящую и исходящую почту, а также отправлять собственные письма с любого адреса в этом домене. "Кроме того, замена адреса сайта дает возможность перенаправить его пользователей на фишинговую копию сайта и собрать их данные и деньги. Наконец, манипулируя именами в домене, можно создать поддельные точки доступа в корпоративную сеть и собирать уже данные самих сотрудников, чтобы впоследствии с ними войти внутрь", — перечисляет он. Очевидно, что аккаунт у регистратора является важной "точкой входа" в инфраструктуру компании и она требует максимальной защиты, резюмирует Воробьев.
Низкий процент подключенных компаний говорит о том, что значительная доля предприятий уязвима к атакам на учетные данные сотрудников, говорит технический директор МТС RED Денис Макрушин. "Слабые пароли, утекшие данные учетных записей, неправильная парольная политика и управление правами доступа к ценным данным — все это открывает злоумышленникам двери к корпоративным секретам", — продолжает он. При этом доставка второго фактора по SMS имеет свои риски, добавляет Макрушин: помимо небезопасного протокола SS7, есть риск, что, скомпрометировав мобильное устройство жертвы, злоумышленник может получить доступ ко всем входящим SMS-сообщениям. "По этой причине двухфакторная аутентификация, в ходе которой код генерируется на устройстве пользователя, является наиболее надежным методом. Хотя наличие любой мультифакторной аутентификации уже значительным образом снижает риски компрометации учетной записи", — говорит он.
Руководитель направления security EdgeЦентр Максим Большаков согласен с коллегами: риски весьма серьезны и могут иметь "катастрофические последствия" для компании. "Утечка данных может привести к потере репутации, штрафам за несоблюдение нормативных требований и судебным искам. Фишинговые атаки и взлом учетных записей — дать злоумышленникам доступ к конфиденциальной информации, финансовым ресурсам и операционным системам компании. Устаревшие системы безопасности и отсутствие контроля доступа — сделать компании более уязвимыми для этих атак", — говорит Большаков.
Кража домена чревата для компании репутационными рисками, а также финансовыми потерями, так как, пока домен не будет возвращен, связанные с ним ресурсы (например, сайт компании или корпоративная почта) будут недоступны, размышляет руководитель отдела анализа защищенности Solar JSOC ГК "Солар" Александр Колесов. Кроме того, злоумышленники могут выбрать путь шантажа и потребовать выкуп за украденный домен, говорит он. "При этом не стоит забывать, что есть похожий вид атак, связанный с истекающим сроком действия доменного имени, — обращает внимание Колесов. — Если компания забыла вовремя оплатить доменное имя и оно ушло на рынок, то злоумышленник может воспользоваться моментом и выкупить его на себя, а дальше использовать примерно в похожих атаках. Такой вариант — далеко не редкость даже для крупных компаний".
Киберугрозы — примета эпохи
Количество кибератак на российские организации заметно растет, констатируют специалисты по информбезопасности. Так, в 2023 году центр мониторинга и реагирования на кибератаки МТС RED SOC выявил более 50 000 инцидентов — на 43% больше, чем за 2022-й. Во второй половине прошлого года хакеры атаковали российские компании на 58% чаще, чем в первой. Хотя этот тренд сохраняется на протяжении нескольких лет, в прошлом году прирост атак замедлился по сравнению с 2022 годом, когда во втором полугодии фиксировалось почти двукратное увеличение числа инцидентов.
По данным разработчика технологий для борьбы с киберпреступлениями F.A.С.С.T., основными киберугрозами для российского бизнеса в 2023 году стали программы-вымогатели, утечки данных и фишинг. Количество атак с целью получения выкупа выросло на 160%, средний размер требуемой суммы достиг 53 млн рублей.
Количество политически мотивированных атак с целью шпионажа или кибердиверсий выросло за год на 116%. Чаще всего хакеры атаковали госучреждения и компании, связанные с критически важной инфраструктурой или военно-промышленным комплексом. Для получения доступа в корпоративные сети использовалась чаще всего компрометация служб удаленного доступа, в основном RDP и VPN, а также фишинговые рассылки.
Актуальными киберугрозами для России остаются утечки — в этом году на андеграундных форумах и в тематических Telegram-каналах было опубликовано 246 баз данных российских компаний (311 — в 2022 году), сообщали в F.A.С.С.T. ранее. Большинство похищенных баз данных преступники выкладывали в публичный доступ бесплатно для нанесения наибольшего ущерба компаниям и их клиентам.
Кроме того, в 2023 году аналитики F.A.C.C.T. обнаружили 29 221 фишинговый домен (в 2022-м — около 20 000). При этом наблюдался их массовый "исход" с российских хостинг-провайдеров на серверы в Нидерландах и США: доля мошеннических ресурсов, которые размещались у хостеров в России, сократилась с 73% до 41%. 17 315 фишинговых сайтов было связано с оплатой фейковой доставки несуществующих товаров. Также вредоносные письма рассылались под видом зашифрованного архива с итогами фейкового тендера, поддельных повесток, писем от следователей.