На днях у нашего сотрудника возникла подобная ситуация. Но! Ситуация оказалась гораздо хуже, чем описанные. Дело в том, что аккаунт, который появился 3 дня назад в его Firefox принадлежит нашему клиенту. Вот такое дело.
Компьютер (ноутбук), на котором возник этот аккаунт является личным и доступ НИКТО НИКОГДА кроме меня и владельца к нему не имел. Однако, проанализировав ситуацию, мы обнаружили, что на его компьютере дублируется почта (рабочая). Мы разработали несколько версий (были варианты с диверсией, с подставой, чтобы нас потом уличить в воровстве данных, так как аккаунт открыл двери к почте и всему, что делает наш клиент, однако мы воздержались от чтения чужих писем (мы не занимаемся подобными вещами). Но дело не в этом. Сейчас юр. отдел занимается расследованием происшествия. Пока на IT отдел выяснял: как же такое могло случиться?
За несколько часов работы
мы смогли предложить техническую версию происходящего:
Был написан троян на низкоуровневом языке (скажем, C) и отправлен во вложении нашему сотруднику через почту. В момент запуска вируса, он [вирус] создает копирует куки из ОС, которые относятся к аккаунту Google и а) либо отправляет эти данные на удаленный хостинг (возможно, тоже взломанный, т.е., как сейчас очень распространено, когда спамеры и хаккеры ломают сайты и вешают туда рассылочные скрипты, которые от имени тех сайтов рассылают спам). Далее, на хостинге, подобный скрипт создает письмо с содержанием типа: "
Здравствуйте, меня зовут Марина, мне 19 лет..." и т.д. (это пример), но в самом письме (а оно HTML-формата) есть небольшой JS в несколько строк. Его главная задача - это записать куки. При открытии письма JS моментально запускается (никто ничего не видет, в частности крутой Каспер, который не способен воспринимать запись в куки угрозой). Этот скрипт пишет в куки украденные сессии.
Еще один вопрос, над которым мы бились: почему именно к нам пришло письмо? Мы поняли, что первый троян (тот, что на низкоуровневом языке написан) вероятно делает рассылки куков по адресной книги. Кстати. Человек (клиент), чей аккаунт попал к нашему сотруднику, в основном пользуется телефоном для работы с почтой (gmail). Вероятно, на телефоне была загружена вредоносная программа (вроде бесплатной игры, или какой-нибудь ненужной утилиты).
Вывод:
после драки куолками не машут, конечно, но! Мы хотим дать несколько советов, чтобы избежать таких историй в будущем. Ведь, кто знает, может сейчас кто-то сидит в Вашей почте, а Вы даже не подозреваете об этом.
- После окончания работы - разлогинивайтесь. Лучше просто хранить пароли в браузере (с мастер-паролем, исессна, который будет шифровать пароли), чем хранить открытые сессии в куках)
- Пользуйтесь хорошими антивирусами (включая все мобильные устройства). Сейчас Касперский предлагает мультидевайсные решения. Они стоят дешево, но работают отлично
- Не качайте из интернета незнакомые программы/игры. Особенно - бесплатные
- Не пользуйтесь "крякнутым" софтом
- Правильно настройте сетевой экран. Не давайте доступ в сеть всем подряд программам и процессам
- Проверяйте почту БЕЗ открытия писем. Тольк по заголовкам (как, скажем, в gmail, mail.ru и пр.). При открытии писем (при просмотре) могут активироваться вирусы и скрипты. Если Вы работаете через программы типа Outlook, или Mail (Mac Os) нужно настроить программу так, чтобы она не открывала письмо при нажатии на его заголовок. И запретить все JS и прочие скрипты.