Чем опасно для корпоративных ИБ участие сотрудников в онлайн-играх

Чем опасно для корпоративных ИБ участие сотрудников в онлайн-играх

Недавняя история об отмывании денег через одну достаточно известную онлайн-игру дает повод лишний раз проанализировать риски, которые несет этот вид развлечений в целом с точки зрения корпоративной
кибербезопасности. Помимо того, что офисные геймеры невольно становятся участниками сомнительных схем легализации денег с украденных банковских карт, они подвергают риску своего работодателя. Хайп
вокруг многопользовательских игр приводит к тому, что дыры в периметре корпоративной информационной безопасности открывают даже те люди, которых не назовешь хардкорными геймерами или почитателями
какой-либо конкретной RPG.

Последние события вокруг некоторых онлайн-игр наградили их сомнительной репутацией канала отмывания денег. Благодаря масс-медиа обыватели узнали не
только о том, насколько гигантский оборот у этой индустрии, но и об отсутствии в этой отрасли какого бы то ни было контроля. Действительно, разные страны пока только пытаются наладить контроль за
куплей-продажей виртуальных ценностей и ресурсов. А пока они раздумывают, владельцам и пользователям игровых сервисов абсолютно все равно, какое происхождение у реальных денег, на которые
покупаются ресурсы игрового мира.

По данным аналитического агентства NewZoo, мировой рынок игровой индустрии заработает в 2018 году $137,9 млрд., что на 13,3% больше, чем в предыдущем. Это большой бизнес, поэтому владельцам игровых
сервисов часто невыгодно афишировать случаи об отмывании денег и бороться с ними. Такие эпизоды становятся известны скорее по стечению обстоятельств, чем в рамках планомерной борьбы с отмыванием
денег.

В лицензионном соглашении многих игровых онлайн-сервисов зафиксирован запрет на продажу аккаунтов, золота, внутриигровых предметов, но игрок имеет право купить за реальные деньги внутриигровые
ресурсы и/или валюту. Игроки обходят правила: договариваются об условиях продажи-покупки и проводят транзакции за пределами игрового сервиса в виртуальном пространстве. Если сервис запрещает обмен
предметов на реальные деньги, то пользователю могут всего лишь заблокировать учетную запись, и события не идут дальше обсуждения эпизода на форумах.

Механизм отмывания денег довольно простой. Мошенник регистрируется в игре и прикрепляет к своей учетной записи скомпрометированную кредитную карту. Затем он «прокачивает» своего персонажа, закупая
игровые предметы или ресурсы на деньги с краденных банковских карт. Персонажа прокачивают как по конкретному заказу, так для свободной продажи. Покупатель переводит реальные деньги на счет
мошенника и получает персонажа с желаемыми параметрами сильно быстрее и дешевле, чем если бы он бы прокачивал его самостоятельно. Дисконт при этом составляет до 50-70% от реальной цены персонажа,
зато в результате мошенник получает на свой счет полностью «отмытые» деньги. С формальной точки зрения он нарушил лишь лицензионное соглашение конкретной игры.

Отследить подозрительные транзакции можно, интегрировав в механизм покупки внутриигровых ресурсов антифрод-систему. Например, команда «Инфосекьюрити» провела успешный эксперимент по кастомизации
под игровую механику своей разработки — решения FDS (Fraud Detection System). Она выявляет аномалии на основе поведенческого анализа и хорошо видит нетипичное поведение конкретного пользователя,
сравнивая его с тем, как ведут себя «нормальные» юзеры. Скажем, такими аномалиями с точки зрения FDS в онлайн-играх могут стать множественные транзакции в короткий срок (сотни и даже тысячи
переводов мелкими суммами). Аномалия – это отклонение от типичного поведения. Например, внезапно ожившая неактивная учетная запись, через которую провели сотни или тысячи транзакций в короткий
срок.

Однако мошенничество с игровыми валютами само по себе несет не так много рисков, как его последствия. Они могут быть губительными в том числе для работодателя, поскольку определенный процент
сотрудников проводит за онлайн-играми часть рабочего времени. Хуже, что пользователи могут быть не слишком осведомлены в вопросах и информационной безопасности и элементарной «цифровой гигиены».
Скажем, они могут применять единый пароль и для входа в игровой аккаунт, и для доступа к корпоративным ресурсам и приложениям (почта, облачные сервисы, CRM-системы и т.п.). Злоумышленники этим
нередко пользуются. Объектами их интереса помимо паролей к рабочим аккаунтом жертв в 90% случаев являются персональные данные и платежные инструменты.

Мы регулярно встречаемся с суждениями о том, что 152ФЗ – это избыточный регуляторный фактор в российских условиях. Киберпреступники могут с этим поспорить: им отлично известно, насколько важной
может быть такая информация. В нашей практике были примеры, когда хакеры обогащали сведения о логинах и паролях персональными данными, под видом реальных сотрудников вводили в заблуждение даже
персонал IT-поддержки компании-жертвы и получали высокие привилегии в IT-инфраструктуре компании, что приводило к прямым финансовым потерям и репутационным проблемам, связанным с утечками
конфиденциальной информации.

Еще более удручающими следует признать результаты экспериментов по проникновению в IT-периметр компаний методами социальной инженерии, в рамках социотехнического пентеста. Результаты проверок
такого типа получили высокую оценку у наших некоторых заказчиков из различных отраслей. Эта услуга предоставляется им регулярно, в рамках аудита кибербезопасности.

Так вот, несколько USB-накопителей с символикой одной популярной многопользовательской игры были «случайно» забыты в местах общего пользования в здании, где заказчик арендует офисные помещения.
Результат – зафиксировано четыре случая подключения съемных носителей к корпоративным рабочим станциям, в двух случаях запускался объект, стилизованный под исполняемый файл с изображением логотипа
игры. Это очень высокий уровень риска. Факт запуска файла означает получение доступа к удаленному ПК, возможность компрометации данных и развитие дальнейшей атаки на целевую систему.

Когда мы опросили сотрудников, под учетными записями которых было открыто приложение, оказалось, что только один из них увлекается компьютерными играми и более-менее понимает ценность информации на
USB-накопителе – он решил проверить, есть ли на флешке сохраненная игра или «прокачанный» персонаж, на профиль которого было любопытно взглянуть. Мотив остальных – «было интересно, решил
ознакомиться с содержимым найденного накопителя».

Результаты социотехнического пентеста показали, что отраслевая принадлежность компании никак не соотносится с сознательностью сотрудников – сомнительные флешки без умысла подключают к USB-портам и
в сырьевых компаниях, и в организациях финансовой сферы, и в больших государственных ведомствах. Как ни странно, сознательность растет с уменьшением масштабов компании. На предприятиях до 100
сотрудников число подобных эпизодов обычно меньше даже с поправкой на численность работников. Вероятно, это можно связать с тем, что в относительно компактных коллективах информация об ИБ-рисках
циркулирует более свободно и существенно эффективнее доносится до сотрудников. Например, сотрудница небольшой компании не стала проверять содержимое USB-накопителя, а попросила офис-менеджера
сделать рассылку на всю компанию: «В холле у лифта найдена флешка. Потерявшего прошу позвонить по такому-то телефону».

Как раз осведомленность о правилах цифровой гигиены видится единственным и наиболее правильным решением поставить заслон попыткам киберзлоумышленников похитить деньги, персональные данные и
коммерчески значимую информацию. Во всяком случае, об этом говорят результаты социотехнических пентестов – в том числе в отношении самых главных руководителей. В идеальной картине мира
кибербезопасность следует стандартизировать на международном уровне – например, доверить разработку структуре ISO. Уверен, отрасль рано или поздно к этому придет.

Сергей Шутов,

руководитель департамента ИБ и аналитического

сопровождения ГК «Инфосекьюрити»

Источник: http://www.it-world.ru/it-news/security/141081.html