По данным Тинькофф Бизнеса, 46% компаний малого и среднего бизнеса рискуют стать жертвой кибермошенников. Рассказываем, какие ошибки на сайтах и в базе данных приводят к атакам и как бизнес может их избежать
Антон Крюков, Александр Шилов
Эксперты информационной безопасности Тинькофф
Екатерина Семыкина
Аналитик исследовательской группы Positive Technologies
По данным Тинькофф Бизнеса, 46% компаний малого и среднего бизнеса рискуют стать жертвой кибермошенников. Рассказываем, какие ошибки на сайтах и в базе данных приводят к атакам и как бизнес может их избежать
Антон Крюков, Александр Шилов
Эксперты информационной безопасности Тинькофф
Екатерина Семыкина
Аналитик исследовательской группы Positive Technologies
Тинькофф Бизнес собрал информацию о сайтах более 40 тысяч компаний малого и среднего бизнеса. Около половины из них оказались под угрозой. У компаний нашли ошибки, которые мошенники чаще всего используют, чтобы украсть данные о клиентах или как-то еще навредить бизнесу.
Собрали самые частые ошибки в одну статью: разобрались, как мошенники могут навредить бизнесу через сайт и как проверить ресурсы компании на кибербезопасность.
Какие сайты подвержены угрозам
По данным исследования, больше всего киберугроз у бизнеса в сфере консалтинга, розничной торговли и ИТ. По мнению экспертов Тинькофф, компании из этих сфер чаще других используют электронные сервисы, интегрированные с сайтом: CRM-системы, почты, базы данных, 1С.
Чем больше электронных сервисов использует компания, тем выше риск, что мошенники захотят его взломать. Каждая ошибка — это лазейка для киберпреступников к ее данным. Поэтому важно вовремя находить и исправлять ошибки, это значительно сокращает риск кибератаки.
Стать жертвой мошенников может любая компания. Кажется, что если у бизнеса всего один лендинг или небольшой информационный сайт, то вряд ли мошенникам будет до него дело. Но это не так. Взломать могут не только сайты крупных брендов или интернет-магазины. Кибератаки грозят и небольшим компаниям с обычными рекламными лендингами. Например, мошенник может украсть домен, то есть адрес сайта, чтобы потом попросить владельца его выкупить.
У пекарни есть сайт — primer-pekarnya.com. Адрес сайта указан на визитках, в рекламе, в рассылках для клиентов. Чтобы адрес сайта оставался у компании, его нужно продлевать раз в год. В этом году ответственный сотрудник компании забыл продлить домен. Мошенник это заметил и выкупил домен себе. Теперь он владелец сайта и может разместить на нем все что угодно. Например, какие-то выдуманные факты о компании или нецензурные фотографии, видео. От этого страдает репутация бизнеса. Чтобы пекарня могла вернуть адрес сайта себе, мошенник может вымогать деньги.
Сайты интернет-магазинов взламывают чаще. Здесь может храниться информация о продажах и клиентах: номера телефонов, имена, адреса. Мошенники могут украсть ее по заказу конкурентов.
Бывает, что у компании есть ошибка, из-за которой сайт сохраняет данные дебетовых и кредитных карт покупателей. В этом случае мошенники могут украсть и их, чтобы затем использовать в финансовых махинациях.
Иногда компании интегрируют внутреннюю CRM-систему с сайтом. В этом случае, если есть критическая ошибка, мошенник может получить данные о клиентах, сделках, оборотах, сотрудниках — обо всем, что хранится в CRM-системе компании.
Виды кибератак
Злоумышленники используют разные способы кибератак, чтобы остановить работу сайта компании, украсть корпоративные данные и другую конфиденциальную информацию. Ниже рассказываем о наиболее распространенных угрозах:
- фишинг;
- вредоносное программное обеспечение;
- DDoS-атаки.
Фишинг. Цель фишинга — получить доступ к конфиденциальным данным пользователей: логинам, паролям, банковским счетам. Мошенники выдают себя за сотрудников компаний и рассылают пользователям письма с просьбой обновить личные данные на сайте. Причиной обновления обычно называют сбой в системе — которого на самом деле нет. Если человек перейдет по вредоносной ссылке из письма и введет свои данные, мошенники завладеют ими и смогут украсть деньги со счета или поменять пароль от личного кабинета.
Бывают случаи, когда злоумышленники имитируют сайты организаций, например интернет-магазинов. Покупатели могут не заметить подмены, сделать покупку на фишинговом сайте и потерять деньги. Такой способ обманом заставить человека раскрыть информацию и дать доступ к данным называют социальной инженерией.
«По данным Positive Technologies, социальная инженерия — один из популярных методов кибератаки.
В первом квартале 2023 года мы наблюдали те же тенденции. Злоумышленники использовали социальную инженерию в каждой второй атаке против организаций и в 9 из 10 атак против частных лиц».
Екатерина Семыкина
Аналитик исследовательской группы Positive Technologies
Вредоносное ПО. К нему относятся вирусы, трояны, сетевые черви. Вредоносное ПО может попасть в систему разными способами. Например, трояны маскируются под лицензионные программы и проверенные файлы, а вирусы могут попасть на компьютер или телефон через сообщения с вредоносными вложениями.
Если сотрудник откроет письмо и запустит файл, это приведет к заражению устройства. Дальше стандартная схема: злоумышленники получают доступ к корпоративной сети, запускают кибератаку и получают доступ к конфиденциальной информации.
DDoS-атаки. Во время DDoS-атаки злоумышленники стараются заблокировать работу ресурса и перегружают сервер организации искусственным потоком запросов. Из-за большого количества запросов сайт или приложение компании перестает работать. В результате покупатели не могут оформить заказ или оплатить услугу. Это приводит к потере прибыли и репутационному ущербу.
Какие ошибки встречаются чаще всего
Есть три наиболее распространенные категории ошибок и рисков:
- Шифрование и блокировка доступов к данным компании.
- Кража данных о клиентах и продажах.
- Кража домена — адреса сайта.
Шифрование и блокировка доступа к данным. Шифрование данных означает, что мошенник получил к ним доступ и заблокировал их для компании или предпринимателя. Сотрудники не могут ими воспользоваться.
У крупного поставщика стройматериалов есть сайт. На сайте интегрирована электронная почта и CRM-система с данными о компании и клиентах. Мошенники заметили на сайте ошибку, которая открывает им доступ ко всем данным. Через нее они запустили вирус. Вирус заблокировал CRM-систему, почту и сам сайт. Теперь ни один сотрудник, у которого был доступ в эти сервисы, не может ими воспользоваться.
Часто цель такого шифрования — вымогание денег. Злоумышленник блокирует ресурсы компании и требует у владельца деньги, чтобы вернуть ему данные. Часто это сопровождается утечкой данных: преступники получают внутреннюю информацию о компании и могут выложить ее в открытый доступ. Например, информацию о сделках и партнерах.
Самая частая ошибка, которая помогает мошенникам получить доступ к данным и их зашифровать, — открытый служебный порт. По данным исследования, такая ошибка встречается на каждом десятом сайте.
Кража данных о клиентах и продажах. Почти у четверти компаний малого и среднего бизнеса база данных не защищена. Мошенник может беспрепятственно скачать данные о клиентах, сотрудниках, компании. Например, имена, адреса, номера телефонов, сумму сделки.
Киберпреступник может получить все данные, которые вводит клиент на разных этапах работы с сайтом компании: заполнение формы заявки на лендинге, регистрация на сайте, оформление доставки.
Чтобы украсть данные, злоумышленнику достаточно обнаружить ошибки, сообщающие, что база данных открыта, и просто подобрать к ней пароль и логин. По сути, мошенник находит открытое окно и может украсть контакты клиентов за считаные минуты. Чтобы этого избежать, нужно узнать, какая именно ошибка открывает доступ к данным.
Кража домена — адреса сайта. Другая распространенная киберугроза — отсутствие верификации домена, то есть адреса сайта. Она встречается у каждой третьей компании. Эта угроза означает, что при покупке адреса компания или предприниматель не подтвердили, что сайт будет принадлежать именно им.
Если у сайта нет верификации, злоумышленник может заявить, что именно он является его владельцем, и получить на него права. А компания или предприниматель больше не смогут использовать этот адрес.
У ИП есть сайт с образовательными курсами. Предприниматель купил для сайта адрес primer-s-kursami.ru, но забыл подтвердить, что именно он владелец сайта с этим адресом. Мошенники заметили это и решили присвоить адрес себе. Для этого они взломали электронную почту владельца сайта и от его имени написали письмо в сервис, где ИП купил адрес. Такой сервис называется регистратором. Регистратор увидел, что владельца у этого сайта действительно нет, и отдал права мошенникам. ИП больше не сможет использовать
primer-s-kursami.ru и будет вынужден купить новый адрес.
Чтобы избежать кражи домена, нужно написать письмо регистратору, где вы купили адрес сайта. В письме сообщите, что права на адрес сайта принадлежат вам.
Чем грозит бизнесу утечка данных клиентов
Утечка или шифрование данных страшны для бизнеса потерей репутации и прибыли. К примеру, для интернет-магазина кибератака грозит сбоем в поставках и отменой заказов. Клиенты не могут покупать товары, поэтому каждый день, что сайт не работает, бизнес теряет деньги.
Партнеры компании или предприниматели, чьи электронные ресурсы атаковали мошенники, могут отказаться от сотрудничества или привлечь компанию к ответственности, если данные будут затрагивать их бизнес.
По закону бизнес должен защищать персональные данные клиентов от третьих лиц. Например, мошенники украли данные о клиентах и выложили их в открытый доступ. В этом случае компании или предпринимателю грозит штраф:
- для ИП — от 20 000 до 40 000 ₽;
- для руководителя ООО — от 8000 до 20 000 ₽;
- для организации — от 50 000 до 100 000 ₽.
На практике все зависит от того, какие клиентские данные утекли в сеть. Согласно закону о персональных данных, имя и телефон — это персональные данные, которые компаниям запрещено отдавать третьим лицам. Но благодаря соцсетям и форумам личные номера телефонов и имена людей уже давно есть в общем доступе. Так что найти источник, откуда они утекли, невозможно.
Однако бывает, что в открытый доступ попадают данные клиентов, в которых есть упоминание компании. Например, таблица с телефонами и именами клиентов конкретного ООО. В этом случае компания может получить штраф, потому что понять, кто допустил утечку данных, просто.
Как понять, есть ли на сайте ошибки
Заметить заранее, что злоумышленник проник к данным компании, практически невозможно. Сотрудники могут работать с базой клиентов и не знать, что параллельно преступники воруют их информацию. Чаще всего компания или предприниматель узнают о кибератаке уже по факту — после публикации об утечке данных в СМИ или если преступник сам об этом сообщит.
Кибератака дорого обходится бизнесу, хотя в большинстве случаев ее можно было предотвратить: проверить сайт и сервисы компании на ошибки.
Как правило, следить за ошибками и не допускать их — это задача системного администратора компании. Самые распространенные ошибки, которые приводят к рискам, устранить нетрудно. Главное — понять, с чем именно они связаны. Сделать это можно при диагностике инфраструктуры сайта.
Как защитить свой бизнес от кибератак
Защититься от компьютерный атак на 100% нельзя. Но можно снизить шансы стать жертвой киберпреступников. Рассказываем про основные из них.
Регулярно обновлять программное обеспечение и антивирусы. Это самый быстрый и простой способ защиты данных. Разработчики постоянно устраняют уязвимости в системе безопасности, чтобы защитить клиентов от киберугроз — поэтому обновление ПО должно быть регулярным.
По этой же причине нужно регулярно обновлять антивирус. Чтобы не забыть про это, подключите автообновление антивируса.
Еще можно использовать продвинутые решения — песочницы. Песочница запускает потенциально зараженный файл, анализирует его действия и выдает вердикт о том, безопасен этот файл или нет.
Использовать сложные пароли и двухфакторную аутентификацию. Двухфакторная аутентификация защищает гораздо лучше. При авторизации, например, в корпоративной почте сначала пользователь вводит логин и пароль, а потом специальный код, который приходит по СМС, электронной почте или в приложении. Таким образом, пользователю дважды нужно подтвердить свою личность.
Делать регулярное резервное копирование данных. Как правило, копии хранятся на отдельном сервере, облаке или жестком диске. Резервное копирование позволяет восстановить все необходимые данные, если основной сервер выходит из строя из-за кибератаки.
Обучать сотрудников правилам безопасности. Часто причиной взломов или утечек данных становится человеческий фактор. Объясните сотрудникам, что не нужно переходить по ссылкам или посещать подозрительные сайты. Расскажите, как правильно пользоваться корпоративными устройствами — часто сотрудники используют рабочие компьютеры для личных целей и могут по ошибке поделиться конфиденциальной информацией с другими людьми.
Использовать защищенные сети и VPN. Часто сотрудники работают из разных городов страны и мира. Сеть, через которую они выходят в интернет и подключаются к корпоративным сервисам, может быть небезопасной. Чтобы злоумышленники не могли перехватить важные документы компании или информацию, нужно использовать защищенный канал связи — VPN. Он защищает от кражи данных в процессе их передачи в сети.
Проверьте защиту вашего сайта от киберпреступников
Вы можете бесплатно проверить ваш сайт на ошибки. Для этого свяжитесь со специалистами Тинькофф Бизнеса по почте sme_infosite_feedback@tinkoff.ru. В течение двух недель вы получите список с наиболее критичными ошибками, описанными в статье, и рекомендациями по их исправлению. Чтобы устранить ошибки, покажите этот список вашему системному администратору или программисту.
