Заказать обратный звонок

Введите ваш номер телефона

Подписаться на рассылку
Спасибо, Ваш запрос принят!

Наш сотрудник свяжется с Вами в ближайшее время

8 (861) 203-01-57 Заказать звонок
г.Краснодар

Еще один интересный способ, как могут украсть деньги у компании. Рекомендую прочитать до конца – возможно полученная информация сохранит не только Ваши деньги, но и нервы.

Случай произошел с достаточно крупной производственной компании с представительствами в разных городах РФ. Почти сотня офисных сотрудников с корпоративной почтой… заведенной на mail.ru! причем даже без собственного доменного имени.

Все ящики вида:
Этот адрес электронной почты защищён от спам-ботов. У вас должен быть включен JavaScript для просмотра.
Этот адрес электронной почты защищён от спам-ботов. У вас должен быть включен JavaScript для просмотра.
Этот адрес электронной почты защищён от спам-ботов. У вас должен быть включен JavaScript для просмотра. и т.д. – названия, конечно же, изменены.

письмо от клиентаДалее рассказ со слов офис-менеджера.
Около 6 утра проверила почту и увидела письмо от нашего партнера из другого часового пояса (где-то за далеко Уралом). В мой ящик письмо упало около 3 часов ночи по московскому времени, когда у партнера был уже, в общем-то, рабочий день...

Вполне себе обычное письмо с отправителем вида:

Компания надежный партнер <manager @superpartner.ru>; (название тоже, естественно, изменено).

Во вложении ожидаемый счет на оплату.

Когда в 8 утра приехала на работу и еще раз открыла почту, обратила внимание, что время получения письма изменилось – теперь оно считается доставленным не в 3 часа ночи, а в полседьмого утра.
Присмотревшись поближе выяснилось, что хоть название отправителя то же, что и было, но e-mail немного другой:

Компания надежный партнер <superpartner @inbox.ru>;

Во вложении ожидаемый счет на оплату, правда с другими реквизитами получателя и печатью явно правленной в графическом редакторе :)

письмо подменаА что же произошло на самом деле?

  • кто-то получил доступ к ящику офис-менеджера
  • регулярно проверял почту
  • увидев счет сделал следующее:
    - «вырезал» из него печать с подписью - удалил оригинальное письмо со счетом (в т.ч. и из Корзины)
    - зарегистрировал почту с закосом под настоящего партнера
    - не смущаясь изготовил счет на ту же сумму с той же печатью, но другими реквизитами
    - отправил с поддельного e-mail офис-менеджеру

Очевидно расчет был на то, что офис-менеджер вдумчиво читать письмо не будет и просто отдаст бухгалтеру на оплату, а невнимательный бухгалтер просто возьмет и переведет деньги по указанным реквизитам ни о чем не думая.

Как только все это выяснили – позвонили мне с вопросом: «Что делать?!». Ответа на этот вопрос два: что делать в частности прямо сейчас и что делать вообще в принципе. Отвечаю на оба, сначала в частности, что делать сейчас.

  • Сменить пароль на почте
  • Если в настройках безопасности mail.ru еще не включен показ информации о последнем входе в систему – обязательно включить!
  • Если параллельные сессии до сих пор разрешены – отключить
  • Включить отображение списка действий в ящике (хотя бы этот пункт был включен в нашем случае)
  • Опционально включить сессию только с одного IP-адреса, но в таком случае в почту можно будет заходить ТОЛЬКО из одного места: из дома, или с работы. Из других мест не получится. Другими словами, если уехали в командировку – о почте забудьте!

screenshot_1

Так, если включено отображение информации о последнем входе, то при каждом входе в систему mail.ru покажет – в какое время и с какого адреса входили в ящик. Эту информацию можно будет сопоставить со своими действиями, т.е. офис-менеджер могла бы в первый же факт чужого входа в ящик отследить его. Но функция была отключена…

Что еще стоит сделать: посмотреть журнал входов в ящик

screenshot_2

Его видно на той же странице чуть ниже https://e.mail.ru/settings/security

Город может не совпадать с Вашим – это в принципе нормально, так бывает довольно часто. Но если будет несколько разных городов, то это уже повод бить тревогу – похоже кто-то входит кроме Вас.
Так у нашего офис-менеджера были обнаружены входы в т.ч. из Сан-Франциско в те часы, когда офис-менеджер точно был не за компом.
Какую информацию успели получить злоумышленники ранее, и какой ущерб нанесли, сейчас уже трудно сказать. Но если бы сам факт их присутствия был выявлен (а лучше пресечен) ранее, возможно ничего бы они и не получили в принципе.
Наверно остается только радоваться наблюдательности офис-менеджера и глупости злоумышленника.

Если проделаете все вышеуказанные манипуляции, то шансов у злодеев будет гораздо меньше. Но чем латать дыры – лучше все таки выстроить свою систему безопасности. Т.е. что делать в принципе, чтобы исключить подобные ситуации.

Сейчас мы договорились с руководством компании о внедрении собственного почтового сервера и уходе с mail.ru. Своим почтовым сервером планируем решить следующие задачи:

  • Внедрим общие правила смены паролей, чтобы почтовый сервер требовал их смену регулярно. Т.е. если вдруг чей-то пароль окажется скомпрометирован – в скорости он все равно будет заменен.
  • Настроим правила сложности, чтобы сотрудники не устанавливали пароли на уровне «123456», которые очень легко можно подобрать.
  • Внедрим мониторинг почты «подозрительных» сотрудников: руководство компании подозревает некоторых сотрудниках в «нечистых делах» и хочет выборочно просматривать их почту. Настроим автопересылку всей корреспонденции сотрудников «на карандаше» на специальный ящик службы безопасности.
  • Снизим риски потери данных: раньше сотрудники регистрировали ящики себе сами с привязкой с собственным телефонам. В результате при увольнении вся переписка оставалась у них. Так уволившийся сотрудник мог запросто писать клиентам и партнерам от имени компании, в которой он уже не работал. В то время как новый сотрудник, пришедший на место старого, понятия не имел, с кем и по каким вопросам коммуницировал его предшественник. Теперь почтовый ящик ушедшего будет автоматически блокироваться, а вся входящая корреспонденция пересылаться на ящик нового сотрудника. Так мы «отсечем» бывших сотрудников от системы и обеспечим «бесшовный» перехват дел новым сотрудником.
  • Сделаем общую корпоративную адресную книгу для упрощения поиска коллег. А то до этого многие сотрудники банально не знали адресов коллег (особенно из других регионов) и чтобы написать кому-то письмо – надо было пройти отдельный квест по поиску его адреса, что отнимало время.
  • Для определенных категорий сотрудников настроим доступ к почте только из офиса, чтобы из других мест нельзя было войти в принципе.
  • Решим проблему с размером ящиков: некоторым сотрудникам не хватало 10Гб, предоставляемых каждому пользователю. Проанализируем – кто хранит мусор, а кому действительно надо. Тем, кому и правда нужен ящик большего объема – расширим квоту и дадим столько, сколько нужно. Остальным наоборот урежем максимальный объем ящика, чтобы не переплачивать за хранение хлама.
  • Решим, наконец, имиджевый вопрос: на сегодняшний день у многих потенциальных клиентов и партнеров вызывает удивление тот факт, что у крупной компании нет 500 рублей в год на собственное доменное имя? Как-то несерьезно, удивительно и подозрительно…

Друзья, если Вам понравилась идея собственного почтового сервера – напишите нам об этом! Мы всегда готовы и рады помочь!

 

Понравилась статья? - поделитесь в соц.сетях:

-->
Будь в курсе!

Подпишитесь на рассылку новостей

Подписаться!
Ваше собщение отправлено!
Сбой при отправке сообщения. Попробуйте еще раз.