А доберутся ли? Сейчас расскажем про один из типичных сценариев того, как злоумышленники могут получить доступ к вашим данным, а затем использовать их для атаки на государственные структуры, используя при этом информацию только из открытых источников.
Давайте с самого начала. Госзаказчики заранее составляют планы закупок для собственных нужд и публикуют извещение или техническое задание о предстоящих торгах на сайте ЕИС. Это извещение содержит всю информацию о товаре, работе или услуге, которая будет закупаться.
Начинается конкурсная процедура, в которой принимают участие потенциальные поставщики и подрядчики. В 2023 году заявки на участие в торах подаются на электронной торговой площадке, которая указана в извещении. По итогам торгов выявляют победителя, который предложил самые выгодные условия. После заключения контракта победитель торгов становится поставщиком для той или иной госструктуры.
За всем этим наблюдает злоумышленник – информация-то открыта. Он видит какой продукт, кем и кому был продан. Дальше ему остается только подготовить план по тому, как «поломать» конкретно эту версию продукта и узнать больше о компании-поставщике, о его сотрудниках или генеральном директоре.
Сделать это совсем несложно – почти любую информацию о человеке можно «прогуглить» или сделать ресерч социальных сетей, где пользователи часто сами размещают всю информацию о себе.
Минутка забавных фактов: в конце 1950-х годов в ЦРУ узнали о схеме электрификации Урала и предприятий ядерной промышленности региона благодаря фотографии в журнале «Огонек». Это называется методикой OSINT — Open Source INTelligence. На инструментах OSINT базируется 90% современных журналистских расследований. Кстати, у девушек часто есть предрасположенность к подобному. Узнать группу крови и всю родословную парня, зная только его имя - неприлично легкая задача. Минутка закончилась.
Итак, злоумышленнику, располагая всей необходимой информацией, остается только разыграть небольшую сценку:
· Сотруднику компании, часто инженеру, приходит сообщение, например, в Telegram от лица генерального директора.
· Из сообщения он узнает о внеплановой проверке\ утечке данных \ поломке в системе \ другом ИБ инциденте, связанным с государственной тайной, госизменой или работой «зарубежный спецслужб». Все, разумеется, подкрепляется соответствующими «документами» и пометкой «не для распространения».
· Сотруднику предоставляют контакты лица из «спецслужб» или связывают с ним напрямую. И дальше, в зависимости от сценария обмана, запрашивают доступ к данным и конфиденциальной информации компании, включая информацию о заказчиках и особенностях работы с ними, их инфраструктуре, политике безопасности и, даже целых схемах сети.
Готово – сотрудник передал данные, и теперь компания-жертва становится своеобразным «трамплином» для развития атаки уже на государственные структуры.