Які микроатаки постійно йдуть на офіс: дитячий социнжиниринг і фішинг



Привіт!

У нас стирчать назовні різні контакти, включаючи пряму пошту засновника та всіх голів відділів. Ну і, зрозуміло, офісний телефон, контакти колл-центру і все таке інше. На чеках друкуються телефони регіональних керуючих.

Відповідно, на відсотків 80% цієї інфраструктури постійно ідуть дрібні, скажімо так, побутові социнжиниринговые атаки. Від невинних і навіть місцями наївних до біса винахідливих. Винахідливих в соціальному плані.

Звичайні атаки на загальні контакти
Як правило, в компанії назовні «дивляться» пошта типу info@ і телефон офісу або інтернет-магазину. Кожним рекламним агентствам, друкарень, службам прибирання і сеошників дуже хочеться продати що-то більш-менш великому бізнесу. Тому вони беруть телефон або адресу і тупо скидають свою пропозицію, розраховуючи, що воно потрапить куди треба. Природно, воно потрапляє рівно куди треба – в кошик. До великого щастя, всі пропозиції подібного плану оформляються однаково і не сильно відрізняються від звичайного спаму.


Як стати аптечною мережею за 5 хвилин

Другий рівень полягає в тому, що всі ці милі люди, які хочуть щось продати, наймають зовнішній колл-центр робити холодні дзвінки. Це справжня індустрія спаму. Єдина мета такого колл-центру на аутосорсе – отримати ПІБ людини, що приймає рішення, і його контакти. І тут починаються спроби атакувати социнжинрингом секретаря або оператора колл-центру.

Нешкідливий варіант:
— Здрастуйте, а це відділ закупівель? Ой, а з'єднайте з закупівлями, будь ласка.

Трохи складніше, дитячий, але все ще працює прийом «тикающего таймера»:
— Добрий день. Видання «Ділова Москва». Хочемо сьогодні отримати коментар генерального або комерційного директора вашої компанії про ефективність продажів в нашому регіоні. Будь ласка, з'єднайте з ним або дайте прямий контакт.
—…
— Як з ним можна зв'язатися? Нам потрібно зробити це до обіду.
—…
— Спасибі, як його ім'я та по батькові?

Природно, правильна реакція – отримати контакт «журналіста» і переслати його всередині, не пускаючи людини далі. Або дати публічний редирект на пошту того, кого вони запитували.

Третя стадія, тут не обійшлося без LinkedIn або вивчення сайту. Дзвінок здійснюється в 9:55, в обід або 18:05:
— Здрастуйте! А Данило зараз на місці? Ні? Термінове питання від ТОВ «Лабеан» з приводу замовлення 2512, дайте його телефон, будь ласка.

І самий достающий варіант:
— Це Роскомнадзор, є пара питань, терміново керівника! У вас 10 секунд, щоб переключити.
Після перемикання буде таке:
— Доброго дня, Ірина, ТОВ «Лабеан». Скажіть, якою системою бухобліку ви користуєтеся?

Правильна відповідь була такою: «Тоді у вас 5 секунд, щоб представитися і пред'явити службове посвідчення у розгорнутому вигляді».

Наступна стадія
Перший «холодний зовнішній» колл-центр може просто працювати як API з отримання контактів компаній. Ці контакти можуть йти безпосередньо замовнику, або ж, особливо в разі рекламних і продюссерских компаній, у другій «холодний» КЦ. Там оператори всіма силами намагаються звести контакт до зустрічі. Але при цьому не вміють відповідати на питання взагалі.

Зазначу, що, в цілому, вразливостей в другому випадку як таких немає – социнжиниринг поки не виходить за рамки соціально прийнятного. Головна проблема в тому, що одного разу потрапивши в таку базу даних хоча б одного рекламного агентства, ваші контакти розлетяться по світу.

Я давав різним людям різні свої пошти і різні телефони, а потім протягом кількох років спостерігав за динамікою. Найприємнішим сюрпризом виявилося те, що служба розміщення реклами в метро (щити над ескалаторами) роздавала базу своїх клієнтів кому тільки не лінь. Я щасливий, що їх випиляли з ринку.

До речі, в побутовому плані ще таке розтікання контактів нагадує роботу операторів Акадо – ці чорти дзвонили мені ще 8 разів протягом двох років після відключення і заяви про припинення обробки ПД. Перші два рази я просто пояснював їм, що буде, якщо дзвонити, а потім почав умовляти виїхати на монтаж два рази на стару адресу, два рази на адресу знайомого ЧОПа. Чогось більше не дзвонять. Напевно, змонтували.

Наступний метод: «Ви такі круті, що я аж окосел»
При наявності пошти потрібну людину туди пишеться щось схоже на початок дружби з журналістом. З журналістом дружать як: його хвалять за два останніх матеріалу і пропонують тему для наступного. Звідси приказка в професійному середовищі: «Ти мене любиш, чи це піар?».

Так от, на пошту починають падати шаблонні листи в дусі «я у вас купувала, в захваті, все круто, тільки помітив, що ви не використовуєте Директ на повну котушку, давайте зустрінемося». Іноді це правда. Відрізнити просто: якщо в листі є хоча б мінімальна конкретика – це реальна людина. Якщо можна замінити назву вашої компанії на ТОВ «Швелер, балка» і суть не зміниться — це спам.

Буває, іноді відразу пропонують щось безкоштовне, наприклад, аудит. Результат такого аудиту – більше контактів і комерційну пропозицію. В цілому – той самий найпростіший спосіб продажу; поки без хитрощів.

Один раз у нас аніматор (який про заходи, а не про мультфільми) заміняв дівчину на телефоні пару годин. Я був свідком надзвичайно цікава діалогу:
— Мосігра, здрастуйте!
—…
— Так. Так. З важливого питання? Ні, він не може зараз. Надішліть на пошту.
—…
— Диктую. «Пі», ну як «ре» російська, потім «о», потім «ес» як долар, «ейч» яка «х» англійська", «е», «л», «ен», «ей» як «а», знову «ейч» як «х», «ігрек», «і» з крапкою. Собака мосігра точка ру. Читайте, все правильно?
— ...!
— Саме так. Вооот, ви самі сказали. До побачення.

Більше до телефону ми його не пускали.

Я обожнюю мислення наших аніматорів. З них іноді виходять відмінні социнженеры. Робота така.

чи Є у вас пару хвилин поговорити про бога?
Є і більш хитра стратегія впарювання. Наприклад, дзвонить людина і каже, що він журналіст такого видання (або сайту, або ще чого), і дуже хоче отримати коментар буквально на пару хвилин. Оскільки журналістів треба берегти і їм всіляко допомагати, поділитися відкритими даними – не западло.

Проблема тільки в тому, що це не завжди інтерв'ю. З деякою ймовірністю це може бути збір інформації про інфраструктуру – наприклад, який ERP-софт використовується і т. п. Відповідно, потім ви потрапляєте в ту чи іншу базу для подальшого використання тими, хто по цій темі спеціалізується.

Другий розлучення – просять взяти участь у галузевому опитуванні за результати (опитування зараз, потім результати). Після опитування через пару днів приходить результат і «подарунок» від якої-небудь компанії на зразок знижки або безкоштовного аудиту.

Третя тема – іноді у вас таки да, беруть інтерв'ю, потім публікують його десь на новинному сайті із серії «100 переглядів за місяць», а потім починають діставати своїм продуктом. Так відзначилася одна прекрасна дама, що продає колл-центровские рішення. Я не розумію одного: якщо у тебе хороший продукт, то навіщо такі хитрощі? Якщо поганий – реально є люди, які купують «по знайомству» після таких фінтів вухами?

Ефект всіх копії
Це не социнжиниринг, але достающая штука.

Деякі контрагенти почали ставити всі знайдені на сайті пошти копію. Мабуть, з тієї ж причини, по якій ставлять кілька знаків оклику в кінці речення. Так в 99% випадків роблять спамери, тому листи відразу сприймаються як не дуже гідні довіри. Плюс на ці листи найчастіше ніхто не відповідає, тому що думає, що відповість інший відділ у копії.

Більш правильно ставити одну людину в «кому», решта – копію і відразу писати, кому адресовано лист. Це як в критичних ситуаціях – не треба кричати «Хто-небудь, принесіть автомобільну аптечку», а треба виділяти одного і говорити: «Чоловік у червоній кепці. Так, ви. Принесіть терміново автомобільну аптечку геть з тієї перевернутої машини».

Найнеприємніше в такому розкладі – коли скидають по одному листу на кожну спарсенную пошту, і потім ще дні три від різних людей на голову відповідного підрозділу йдуть форварди.

Спеціальні посадочні сторінки
На особисті пошти час від часу падає «заточений» під людину социнжиниринг. Як правило, це фішинг з перекиданням кудись, де треба ввести пароль. Стандартна захист відсікає майже всю цю погань (головне, навчити користувача не відключати антивірус на особистих ноутбуках або просто не давати йому таких можливостей на робочих).

Останній яскравий випадок був у минулому році – прислали вкладення з вірусом «судове постанову по ТОВ N» («N» – наш контрагент), дівчина «не змогла» відкрити його (точніше, відкрила doc без видимого для себе ефекту) і переслала колезі спробувати на сусідньому ноутбуці. Обидві зробили це на особистих машинах. І запам'ятали цей випадок на все життя.

Ще дуже часто приходять листи, де з тексту зрозуміло, що не особисто тобі, але ти «випадково» потрапив в чужу важливу листування між своїми двома контрагентами або постачальниками. А ось і важлива посилання (договір, наприклад), тільки натисни.


Не клікайте по вкладенню. І тим більше, не несіть його в RDP-термінал, щоб відкрити через браузер там.

Приклад:
Шановні колеги!
Привіт!

Повідомляємо Вас про те, що в нашій компанії зараз проводиться перевірка документів,
так як у нас відсутній додаток №8 до нашого з Вами договором,
прошу терміново його підписати і доставити до нас кур'єром,
додаток договору додаю у вкладенні, а так само акт звірки на поточну дату
який так само необхідно підписати:

Спасибі!

З Повагою, Бухгалтер ТОВ Німбус, Нікіфорова Світлана

Додатки(2)

1) Приложение.гаг (посилання)
2) Акт сверки.гаг (посилання)


Премія як спосіб взяти контакти
Один раз з нас дуже цікаво витягали контакти, запрошуючи на нагородження. Був навіть сайт премії, там була перерахована купа людей, які прийдуть. Проблема була в тому, що ми на цю премію не подавали (і взагалі ні на яку не подавали), але передбачалося, мабуть, що це дуже крутий спосіб пройти секретаря і отримати на радощах усі потрібні контакти відразу.

Підозрілість
Природно, основні пошти лежать за межами того, що «стирчить» назовні, тобто триває «кому» видає зовнішній людина або вже в діалозі з нами. При цьому все одно зростає градус параної.

Один раз мені дзвонила організатор рітейл-конференції сказати, що я не відповідаю на запрошення брати участь як спікер вже два тижні. Я чесно зізнався, що скинув її листи в спам, тому що воно було велике, незрозуміле, і дуже підозріле з-за того, що в темі було «Запрошуємо Вас взяти участь у важливій конференції». Його-то я запам'ятав, думаючи, що це новий вид фішингу.

Ще раз нова співробітниця довго ображалася, що я не відповідаю. Розслідування показало, що вона для вірності відправила листа з наступною темою: «Не видаляйте, будь ласка, це не спам!!!». І виставила йому високу терміновість. Через рік цей же фокус повторила ще одна мила дівчина із іншого підрозділу з тим же ефектом.

Ітеративний обхід
Одного разу мені зателефонував чоловік, який представився директором компанії RSS (сервіс офісної техніки). І почав розповідати про те, які ми розумні люди разом з ним, і як наші компанії повинні співпрацювати. До суті він перейшов через пару хвилин: сказав, що потрібно терміново видалити негативний відгук, який залишив наш співробітник підтримки. Суть відкликання — не виконали роботу в обіцяний термін, а коли ми зателефонували, здивувалися і призначили ще місяць. Перевіряю факти прямо в розмові, ще до спілкування з техпідтримкою (тут і далі — діалоги по пам'яті):
— Стривайте, ви ж SLA 4 дні обіцяли, так?
— Так.
— Ми подзвонили на 5-й, вірно?
— Так.
— До цього ви нічого не говорили, так? І ви тільки тоді сказали, що буде потрібно ще мінімум місяць? Я все вірно розумію?
— Так.
— Так у чому справа?
— Так, наш косяк. Але, розумієте, ваш адмін не мав права залишати такий відгук… Ми ж серйозні люди!

Ок, думаю, може, десь не розібралися. Беру таймаут, зв'язуюся з ІТ-службою, з'ясовую. Так, все так і було. Є ще й другий відгук — вони у нас хотіли взяти сервер на ремонт, і захотіли заміну материнської плати (здається). Так ремонт був би дорожче, ніж покупка нового сервера. Ми замовили в іншої компанії через кілька днів і отримали в розумні строки і за земними цінами. Про що сисадмін і написав.

Другий дзвінок. Кажу: перевірив факти, підстав не довіряти сисадміну не бачу, ви самі все підтвердили ж. В чому справа? Діалог вийшов приблизно такий:
— Ну це ж ВАШ співробітник.
— Так, і що?
— Нехай прибере відгук!
— Чому?
— Він не мав права писати від імені компанії.
— Він від себе написав. Не бачу там офіційного бланка або ще чого.
— Забороніть йому таке робити!
— Чому?
— А я от у вас гру куплю, напишу поганий відгук, що ви робити будете?
— Уявляєте, порадіємо і десь сервіс виправимо.
— Що, ви навіть його прибрати не попросите?
— Ні.

Схоже, це поставило його в глухий кут, і більше «директор» не дзвонив. Ми «пробили» цього товариша додатково і дізналися, що він просто менеджер.

Взагалі, на щастя, у мене є пошта noreply@mosigra.ru і тому я прошу таких людей, обходять всіх підряд в компанії, відправити туди письмовий запит. Поки що діє. Чомусь не пишуть.

Noreply
Нещодавно на noreply написав людина просто зі словом «Привіт». Я відповів щось на кшталт «Привіт», а потім довго думав, що за фішинг такий. Може, підпис моя потрібна, де телефон? Так він і так на сайті вказано… Виявилося, хабраюзер тестував, правда у нас така пошта працює.

Дістають дзвінки
Довбали платіжні системи як-то причепилися як банний лист і не відпускали навіть після прямого відмови. Улюблена фраза – «Останній раз ми спілкувалися кілька місяців тому, тоді історія нічим не скінчилася. Щось змінилось?». Типу, я не відмовив, а відклав.

Часто на запит конкретних речей на кшталт «порахуйте ось те-то під нас» кажуть:
— Добре. Я вам відправлю презентацію.
— Не треба.
— Чому?
— Ви під нас порахуйте і просто числа надішліть, які я запросив.
— Ну давайте ви подивіться…
І все одно відправляють.

Часто намагаються нав'язати зустріч з першого листа. Типу, давайте обговоримо ось це важливе питання, коли під'їхати до вас в офіс? Ніколи. Але так відповідати грубо, тому я питаю порядок зустрічі (основні тези), як це робиться всередині компанії. І з'ясовується, що говорити нема про що.

Ще круто, коли рекламщики в кінці діалогу запитують, коли мені передзвонити. Спочатку я називав реальні дані, наприклад, в червні – «Ну, я буду знову обирати контрагента за цим напрямом 20 січня після 14:00». Потім виявилося, що вони передзвонюють. Реально. Після 14. Причому вважаючи, що я не запам'ятовую, що кажу, починають — «Ви просили зателефонувати і нагадати про...». Я не просив. «Ми домовилися здзвонитися» — ми не домовлялися. Хтось дав їм підручник з НЛП, звідки вони вивчили тільки базові пресуппозиции і почали лізти людям в дупу без мила. На щастя, саме за цим конструкціям, викривальним початківців пікаперів і рекламників, вони палятся в діалозі майже відразу.

Тепер, коли в кінці діалогу мене питають, коли передзвонити, я питаю, навіщо. І людина губиться.

Ще дірки
Дані можуть витікати з найвеселіших місць. Наприклад, фріланс-біржі, здається, вже кілька разів ламали з витоком ПД. Десь на сайтах модератори дивляться листування між користувачами. Плюс ще купа подібних приколів у випадкових несподіваних місцях. За це я люблю радянську мовну схему Вконтакте:



Не дає розслабитися.

Зворотна сторона медалі
Іноді треба заглядати в спам-збірник. Фейсбук, наприклад, копітко відфільтрував аж з березня всі звернення журналістів і різних людей, які пишуть мені в лічку з посиланнями, і вирішив їх не показувати. Я побачив тільки тиждень тому і був в легкому шоці від того, скільки всього пролетів мимо.

Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.