Пять кибератак на отдел маркетинга

Когда речь заходит про атаки на бизнес, обычно внимание фокусируется на четырех аспектах: финансах, интеллектуальной собственности, персональных данных и IT-инфраструктуре. Однако не стоит забывать, что целью киберпреступников могут стать и активы компании, которыми управляют пиар и маркетинг: рассылки клиентам, реклама, блоги и промосайты. На первый взгляд может показаться, что от них сплошные расходы и никаких прямых доходов, но на практике все перечисленное очень даже может послужить киберпреступникам в их собственной «маркетинговой активности».

Вредоносная реклама

К большому удивлению многих (даже специалистов в ИБ), киберпреступники уже несколько лет активно используют легитимную платную рекламу. Они так или иначе платят за показ баннеров, платные позиции в поисковой выдаче и вообще активно применяют корпоративные инструменты продвижения. Примеров этого явления, названного malvertising (malicious advertising, вредоносная реклама), существует множество. Обычно таким образом продвигают поддельные сайты популярных приложений, фальшивые промоакции известных брендов, в общем, мошеннические схемы, рассчитанные на широкую аудиторию. Иногда преступники самостоятельно создают рекламный кабинет и оплачивают рекламу, но этот способ оставляет слишком явный след (платежные реквизиты и так далее). Поэтому более привлекателен для них другой способ — украсть реквизиты входа в рекламный кабинет у добропорядочной компании и дальше продвигать свои сайты от ее имени. В результате киберпреступники получают двойную выгоду: тратят чужие деньги, не оставляя лишних следов. Ну а компании-жертве, кроме денежного ущерба от выпотрошенного счета в рекламном кабинете, достаются проблемы и возможная блокировка платформой за распространение вредоносного контента.

Дизлайк, отписка

Разновидностью предыдущей схемы является захват личного кабинета для организации платной рекламы в соцсетях. Платформы соцсетей со своей спецификой создают несколько дополнительных сложностей атакуемой компании.

Во-первых, доступ в корпоративные учетные записи соцсетей обычно привязан к личным аккаунтам сотрудников. Зачастую злоумышленникам достаточно скомпрометировать персональный компьютер рекламщика или украсть его пароль к соцсети, чтобы получить доступ не только к лайкам и фото котиков, но и к возможностям, делегированным компанией. То есть к постингу на корпоративной странице в соцсети, рассылке сообщений клиентам через встроенный механизм коммуникации или размещению платной рекламы. Отозвать у взломанного сотрудника эти функции несложно, но только если он не был главным администратором корпоративной страницы, — в этом случае восстановление доступа будет исключительно трудоемким процессом.

Во-вторых, большая часть рекламы в соцсетях публикуется в формате «продвигаемых постов», созданных от имени конкретной компании. Если злоумышленник опубликует и начнет продвигать какое-либо мошенническое предложение, то аудитория сразу видит, кто его опубликовал, и может высказать свои претензии прямо под постом. В этом случае компания понесет не только денежный, но и явный репутационный урон.

В-третьих, многие компании хранят в соцсетях так называемые аудиторные сегменты (custom audiences), то есть готовые подборки клиентов, заинтересованных в разных продуктах и услугах или ранее посещавших веб-сайт компании. Выгрузить их из соцсети (то есть украсть) обычно нельзя, а вот сделать по ним адаптированную к конкретной аудитории, а значит, более эффективную вредоносную рекламу, к сожалению, можно.

Внеплановая рассылка

Другим эффективным для преступников способом бесплатной рекламы является угон аккаунта на платформе маркетинговых рассылок электронной почты. Если атакованная компания достаточно крупная, то у нее могут быть миллионы подписчиков на рассылки.

Эксплуатировать такой доступ можно разными способами — рассылать по имеющейся базе подписчиков вредоносные письма с особо интересным мошенническим предложением; втихую подменять ссылки в уже запланированных рекламных письмах; либо просто скачать себе базу подписчиков, чтобы в дальнейшем присылать им фишинговые письма другими способами.

Ущерб атакованной компании наносится опять же и денежный, и репутационный, и технический. Под техническим мы понимаем блокировку будущих входящих писем некоторыми почтовыми серверами. То есть весьма вероятно, что после вредоносных рассылок урегулировать ситуацию придется путем переговоров не только с платформой рассылки, но и, возможно, с конкретными почтовыми провайдерами, поставившими вас в блоклист как источник мошеннических рассылок.

Дополнительный, но крайне неприятный эффект такой атаки — утечка персональных данных клиентов. Это является самостоятельным инцидентом и может принести не только репутационный ущерб, но и штраф со стороны регуляторов по обработке ПД.

Пятьдесят оттенков веб-сайта

Взлом веб-сайта компании может долгое время оставаться вообще незамеченным, особенно для какой-нибудь маленькой фирмы, ведущей бизнес преимущественно через соцсети или офлайн. С точки зрения преступников, цели взлома веб-сайта будут отличаться в зависимости от типа сайта и рода деятельности компании. Если не рассматривать достаточно сложные случаи, когда компрометация веб-сайта является частью сложной кибератаки на компанию, то, как правило, все сводится к следующим вариантам.

Во-первых, на сайт, через который ведется интернет-торговля, преступники могут установить веб-скиммер. Это небольшой и хорошо замаскированный фрагмент Javascript, который встраивается непосредственно в код сайта и ворует данные кредитных карт при оплате клиентами покупки. Клиенту ничего не нужно скачивать и запускать, он просто платит за товары или услуги на сайте, а заодно делится своими деньгами со злоумышленниками.

Во-вторых, злоумышленники могут создать на сайте скрытые подразделы, содержащие мошеннические страницы с любым содержимым. Такие страницы будут использоваться для самой разнообразной вредоносной деятельности — хоть для лотерей, хоть для фальшивых распродаж, хоть для распространения троянизированного ПО. Их очень удобно размещать на легитимном сайте, главное, чтобы владельцы подольше не замечали «гостей». Вокруг этого существует целая индустрия. В которой, кстати, особой популярностью пользуются побочные сайты компании, например созданные для маркетинговых акций или каких-то разовых мероприятий.

Ущерб компании от взлома сайта тоже может быть разнообразным: повышение расходов на сайт из-за вредоносного трафика, уменьшение числа настоящих посетителей из-за снижения рейтинга сайта и потери позиций в поиске, возможные разборки с клиентами или правоохранительными органами по поводу странных списаний с карт клиентов.

Заряженные веб-формы

Даже если сайт компании не взломали, преступники могут использовать его в своих целях. Для этого им пригодится любая функция сайта, создающая подтверждение по e-mail: форма обратной связи, форма записи на встречу и так далее. Преступники с помощью автоматизированных систем эксплуатируют такие формы для рассылки спама или фишинга.

Механика незатейлива: в форму в качестве контактного e-mail вводят адрес цели, а в поле «Имя» или «Предмет обращения» — сам текст мошеннической рассылки, например «Ваш денежный перевод готов к выдаче (ссылка)». Таким образом жертва получает вредоносную рассылку вида «Дорогой… Ваш денежный перевод готов к выдаче (ссылка), спасибо за ваше обращение, мы скоро с вами свяжемся». Понятно, что через какое-то время антиспам-платформы перестают пропускать такие письма, и форма компании-жертвы теряет часть своей функциональности. Помимо этого, все получатели рассылки видят письмо от компании-жертвы и проникаются к ней недобрыми чувствами, как к спамеру.

Как защитить от кибератак отделы пиара и маркетинга

Поскольку описанные атаки довольно многообразны, то и защищаться от них придется эшелонированно. Вот какие меры нужно принять:

• проведите для всего отдела маркетинга базовый тренинг по кибербезопасности. И периодически повторяйте его;
• убедитесь, что все сотрудники соблюдают лучшие практики работы с паролями: используют длинные уникальные пароли для каждой платформы и обязательную двухфакторную аутентификацию — особенно для соцсетей, рассылок и платформ управления рекламой;
• откажитесь от практики использования одного пароля для всех сотрудников, работающих с соцсетью или иным онлайн-инструментом;
• проинструктируйте сотрудников работать с рассылками, рекламой, административной панелью веб-сайта только с рабочих устройств, оснащенных полноценной защитой по стандартам компании (EDR или Internet security, EMM/UEM, VPN);
• настоятельно порекомендуйте сотрудникам комплексную защиту их личных компьютеров и смартфонов;
• введите практику, требующую выходить из рекламных кабинетов, платформ рассылки и других подобных аккаунтов, когда они не нужны;
• не забывайте отозвать доступ к соцсетям, рассылкам, рекламе, админке сайта в день увольнения сотрудника;
• регулярно проверяйте списки состоявшихся рассылок, списки запущенной рекламы, детальную аналитику посещаемости веб-сайта, чтобы вовремя заметить аномалии;
• убедитесь, что ПО ваших веб-сайтов (система управления контентом, ее расширения), а также ПО на рабочих компьютерах (ОС, браузер, офис и тому подобное) регулярно и систематически обновляется до самых свежих версий;
• совместно с подрядчиком по поддержке веб-сайта проверьте, что все формы на сайте проверяют и очищают ввод (form validation and sanitization), в частности запрещают вставлять ссылки в поля, для этого не предназначенные. Также проверьте, что один и тот же человек не может заполнять и отправлять одну и ту же форму сотни раз в день (rate limit), а на сайте предусмотрена защита от ботов (smart captcha).