Новости
Home   >   Интернет   >   «Теперь и мы побывали в шкуре атакуемого». В InfoWatch проанализировали «слив базы клиентов» и считают, что их заказал Search Inform

«Теперь и мы побывали в шкуре атакуемого». В InfoWatch проанализировали «слив базы клиентов» и считают, что их заказал Search Inform

Автор Дата 17.05.2017

13 апреля 2017 возраст по СМИ, компаниям отрасли информационной безопасности, некоторым крупным компаниям-клиентам ГК InfoWatch началась веерная экспедиция писем о том, что якобы произошла утечка данных с базы клиентов компании. Довольно быстро стало бесспорно, что речь идет вовсе не об «утечке», а о классической информационной атаке одного изо конкурентов на компанию. Ниже мы подробно рассказываем о часть, как мы анализировали эту атаку, какова её антропотомия, результаты и выгодоприобретатели, а также – как реагировать на подобные атаки.

Антропотомия атаки

Современные информационные атаки устроены одинаково, они используют приближённо одну и ту же архитектуру и ментальные свойства пользователей социальных сетей и читателей СМИ.

Ментальные особенности современной аудитории:

  • Широкая публика не хочет ни в чём разбираться. Действует строгость шести абзацев: никто не читает дальше заголовка и шести абзацев по-под ним. Очень большая часть аудитории вообще читает просто-напросто заголовки.
  • Аудитория очень любит «пруфы» (видимость доказательств). Сие могут быть любые ссылки, прикреплённые файлы, «базы данных» и этак далее. Замечательное свойство современных «пруфов» в том, чисто их, как правило, мало кто изучает затаив дыхание – широкая аудитория удовлетворяется их наличием. Прикрепил «журналист» к своему комментарию аудиофайл еженедельник разговора – значит, он прав (даже если возьми аудиозаписи всё противоречит утверждениям «журналиста» – слушать 20 минут либо — либо читать расшифровку никто уже не будет).
  • Макрособытие становится событием только в СМИ. Настоящая легитимизация действие происходит только, когда оно появляется в настоящих, больших СМИ. Аж если событие само по себе бурно развивается в соцсетях, ему нужна «легитимизация» то есть (т. е.), что то же самое, «отмывка» в СМИ.

С изложенного вытекает современная архитектура информационных атак.

Конфигурация информационной атаки

Информационная атака заключается в ступенчатой «легитимизации» сфабрикованного действие, в вытягивании его «из болота за волосы». Вишь как это делается:

Создание «события». Событие надлежит как-то возникнуть в медийном поле. Это может существовать «одиночный пикет», «гражданское расследование» или попадание темы в «тренды Твиттера».
В нашем случае сие была рассылка электронных писем об якобы утечке. Почтовая экспедиция создаёт собственно «событие» – вот же, письмо пришло, из чего можно заключить, что-то есть. Дальше можно обсуждать никак не то, кто рассылает и зачем, а содержание письма. Сие классическая схема перевода фокуса внимания читателей с факта информационной атаки в самого атакуемого.

«Какая разница, зачем и на чьи наличные он это вбрасывает, важно ведь, правда сие или нет».

В нашем случае в первых же письмах вдруг делался заход «а не подумать ли вы о смене поставщика программного решения», что довольно самоочевидно указывало на наличие атаки, но публика, в соответствии с нормой, стала горячо обсуждать «утечку», а не этот обязательно ангажированности.

Первая публикация. Для того, чтобы было докуда ссылаться и давать «пруфы», нужно место первой публикации о «событии». Возлюбленная должна выглядеть по возможности, как публикация в СМИ.

Маслосливной бачок. Для того чтобы создать первую публикацию, нужно неизвестно что, выглядящее, как СМИ, но контролируемое организатором атаки может ли быть легко публикующее что угодно (например, за финансы или по приказу). Такие места вброса называются «сливным бачком». Известность такого квази-СМИ – неважна, важно только, в надежде оно было внешне похоже на СМИ, и есть было на него давать ссылку. В нашем случае сие было корпоративное квази-СМИ с посещаемостью менее 100 единица в день.

«Пруфы». Для придания солидности публикации используются графики, скриншоты, ссылки в файлы с «базами данных». Как правило, на графиках бог его знает, что по осям, скриншоты не соответствуют ничему, «базы данных» являются наскоком собранной компиляцией. То есть торчат уши и белые ниточки, но публика этого не замечает – поскольку основная рой не вчитывается в текст и не проверяет его, а просто-напросто отмечает факт наличия «пруфов».

Ровно таким способом было сконцентрировано рачительность читателей на скомпилированной так называемой «базе клиентов Инфовотч», а далеко не на самом факте компиляции, как мы покажем далее в пункте «Анализ атаки».

Ссылки на законы. «Пруфами» опять же могут служить ссылки на законы и их слышно имевшие место нарушения. Опять-таки широкая аудиотория обычно законов досконально не знает и просто «проглатывает» сии ссылки как добросовестную, проверенную информацию. Например, ссылки сверху закон 152-ФЗ «О персональных данных» в случае «базы данных клиентов» — маловыгодный релевантны, тут нет операторов ПДн, да и самих Норма, но над этим мало кто будет мерекать.

Раскрутка в социальных сетях. Когда есть «событие» и первая статья в квази-СМИ, с «пруфами» — можно начинать раскрутку. Исполнение) раскрутки достаточно найти лидеров мнений в данной отрасли и закинуть ссылки на «событие» к ним в ленту публичного аккаунта в соцсети. Сие нужно для возникновения обсуждения и для того, с намерением «тему» заметили журналисты.

Возгонка и отмывка в настоящих СМИ. При случае обсуждение нагрелось, пора приглашать журналистов из «больших» СМИ. Обыкновенно кто-то подбрасывает им ссылки на обсуждения в ФБ. Благо же рассылка писем сразу доставила тему в СМИ, ведь журналист пойдёт проверять актуальность и достоверность этой темы в томик числе в фейсбучные аккаунты «экспертов» — а там уже по самые уши полыхает обсуждение. То есть он увидит, кое-что тема – есть, факт – есть. Публикация же в настоящем СМИ даёт «событию», а стало, и всей атаке необходимую легитимизацию.

Вторичная раскрутка в социальных сетях и СМИ. Поздно ли, наконец, есть публикации в крупных СМИ, можно заводить вторую стадию раскрутки – новые бурные обсуждения в социальных сетях, со ссылками, что и) говорить, уже на «солидные» публикации.

Действие с опорой для «всем известно, что». Далее можно начинать «продажу», якобы говорят фокусники, то есть действия, которые строго говоря являются целью атаки – митинги, обзвон клиентов, ведомственные требования и т.п.

Все эти составляющие атаки присутствовали и в информационной атаке бери Группу InfoWatch.

Атака на InfoWatch: основная план

Временная шкала атаки

  • 3 часа утра, 13 апреля 2017. Первые переписка. Ряд компаний, а также известных блогеров получили корреспонденция от почтового ящика timoxa1200@rambler.ru, в которых сообщалось, кое-что якобы у InfoWatch произошла утечка базы клиентов с лишним 5000 строк. Первое известное нам сообщение было направлено в 2:51:39 (МСК) блогеру Алексею Комарову.
  • 9 утра, 13.04. Блюдо упоминание «утечки». Твиттер @Pankrys (Минск, Белоруссия ) в 9:39:03 (https://twitter.com/pankrys/status/852410789596147712).
  • 9 утра 13.04. На первом месте упоминание в СМИ – в корпоративном СМИ SecureNews (компания Falkongaze, Менеск, Белоруссия), которое получило около 20 перепостов в FB и незначительное чисел перепостов в Twitter. После российских на втором месте точно по числу сообщений на тему шли пользователи с белорусскими аккаунтами, перепостившие новое одними из первых.
  • 16:05 13.04. На сцену выходит противник. Заявление от владельца компании Search Inform Льва Матвеева (Менеск, Белоруссия). Search Inform (далее SI) – белорусская компания, занимается информационной безопасностью, прямого сообщения конкурент Infowatch.
    В отличие от коллег по цеху, выразивших сомнения в достоверности информации, г-н Матвеев враз «поверил» в её подлинность:

https://securenews.ru/infowatch_data_leak/
=============
Сенсация ахтунг. Утром наш пиар отдел получил следующее мылодрама отправленное на pr собакаsearchinform.ru с темой письма » для Льва Матвеева»
======================
приют клиентов компании Инфовотч в открытом доступе
Инфовотч никак не платит своим сотрудникам денег, поэтому сотрудники платят ей согласно заслугам. По ссылке вы можете увидеть базу клиентов вашего конкурента. И заплатите вашим менеджером, а не то с вами может случится тоже самое.

[ ссылка идеже откачать архив, не привожу здесь по этическим сооьражениям]
===============================
Первой реакцией для письмо было – это подстава и по ссылке троян. Немного погодя проверки технарями на отсутствие вирусов и просмотра эксел файла отсюда следует понятно что все серьезно. В эксел файле сильнее 5000 строчек в формате
======================================
Имя организации Полное эпитет организации Имя Фамилия Должность Город в почтовом адресе Тел. Нестационарный тел. Факс Эл. почта
===============================
Если серьезно — чувство что в ИВ все совсем плохо с информационной безопасностью (во)внутрь компании. Да, от утечки на 100 % приставки не- застрахован никто. Но реально один обиженный сэйл был способным выложить ну 200 ну максимум 300 контактов, а не много же тысяч. А это говорит о фолиант, что даже разграничений прав в базе клиентов не имеется. Это детский сад, если один человек может сцедить всю базу клиентов или потенциальных клиентов.
ИВ остается всего только оперативно оповестить клиентов, извиниться и как можно быстрее разобраться в проблеме. Хотя скорее всего будет ситуация «я не я и становой хребет не моя». Хотя на мой взгляд до скончания веков лучше честно признать проколы и ошибки и экстренно слаживать меры чтобы это не повторилось.
Еще получи и распишись мой взгляд руководителю компании чтобы такого далеко не происходило надо больше времени уделять бизнесу, а отнюдь не пытаться административными мерами бороться с конкурентами и учавствовать в многочисленных мероприятиях и позиционировать себя равно как суперэксперта….

Posted by Leo Matveev on Thursday, April 13, 2017

Заметим, как будто тут вводится мотив «обиженного сотрудника», далее некто будет использован в рекламной атаке на клиентов.

  • 15 часов, 13.04. Публикации в «настоящих» СМИ. В14:51 со ссылкой для SecureNews об «утечке» сообщил портал Life.ru, из-за ним — VC.ru, www.Roem.ru, The Village и Meduza.
  • 14.04, пятница. «Продажа». С утра 14 апреля начался обзвон клиентов с предложением проглотить об утечке у Infowatch и сменить поставщика системы DLP, рассылание писем клиентам о том же. Письма – с обратных адресов SearchInform, предложения – природно, о покупке продукта SearchInform.
  • 18.04, понедельник. Продолжение действия «Продажа». Спустя время выходных утром понедельника в адрес клиентов InfoWatch сызнова стали поступать десятки писем и звонков от сотрудников Search Inform (с почтового домена @searchinform.ru) с предложениями переменить поставщика ИБ-решения.

Один из примеров писем вниз:

Звонили всем подряд, и инженерам, и случайным людям, притом обзвон производился не менеджерами по продажам, а сотрудниками колл-центра, таким (образом как на встречные вопросы клиентов они невыгодный могли ответить, повторяя одни и те же пустозвонство, видимо, указанные в скрипте для обзвона. Клиенты в cвою череда, начали звонить и писать своим менеджерам в Infowatch с рассказом о рекламной атаке.

Есть расчет отметить, что обзвон производился веерно, и в основном сообразно контактам, которых не было в той самой «базе». Смотри пример сообщения, которое получил один из коллег за рынку информационной безопасности:

«Только что на выше- мобильный был звонок с номера +7 499 7030457, молодой публики представился Артемом из компании Серчинформ и начал ми в крайне любезном тоне поливать грязью ИнфоВотч и прославлять Серчинформ — что у них такие базы не сливаются и надобно(ть) работать с ними как с надежными партнерами и что моего телефон получен из этой базы. Что-так у них не то с базами – так как моих данных в пирушка базе по ссылке нет, а мой номер в реестр для их звонков попал?!»

Номер телефона +7 499 703 04 57, с которого был сделан звонок, указан нате сайте SearchInform в качестве одного из контактных номеров.

Вторая взрыв атаки

25 апреля пошла новая волна атаки – отправка писем и скайп-сообщений блогерам, экспертам и СМИ следующего содержания:

Интересное кино!.

Это я слил базу Инфовотч.

Почитал новости, который как отреагировал, сочувствующих. Но никто не поставил себя получи и распишись место бывшего сотрудника. Сотрудника, которому компания бессчётно обещала, а потом кинула его на деньги. У них вслед за тем информационная атака. Ржу в голос. А у меня много слитой информации. В приложении найдете до сего времени интересные файлы Инфовотч, который понравиться конкурентам.
А а ещё в приложении маленькие намеки на то, как Инфовотч ведет производство. Пока намеки, но дойдет и до фактов. Который будет печатать эту информацию – первыми получат сии факты. А может и ФСБ получит эти факты. А кому-в таком случае я даже интервью эксклюзивное дам.

Какие у меня цели? Чтобы одна – пускай Наталья Ивановна заплатит деньги по всем статьям кому обещала, а не тратит деньги на так, что бы пыль в глаза пускать блестящим офисом. Заплатят – я почище не буду ничего рассылать.

Атака явилась продолжением начатой до тех пор кампании; атакующие снова используют «отводящий мотив», маскируя предмет (сладчайших грез) атаки под некоего обиженного сотрудника. Примечательно, что такое? в тексте рассылки сотрудник не выдвигает никаких конкретных требований, помимо самого общего «заплатить всем».

При этом метаданные о создателе файла (Grisha и Pasha) совпадают с данными создателей Excel-файла«базы», которая была разослана 13 апреля, как будто прямо указывает на того же организатора атаки, о котором пишущий эти строки расскажем ниже.

18.20 25.04. Конкурент активно участвует и генерирует «толкования» атаки. П Search Inform оперативно опубликовал в своём Фейсбуке вышеназванное письмецо со своими комментариями (орфография оригинала):

Пришло замечательное мылодрама сегодня которое переслал мне пиар отдел
====================================
From: timka timkas [mailto:timkas1400@mail.ru]
Sent: Tuesday, April 25, 2017 2:50 PM
To: pr <pr@searchinform.ru> Subject: чтобы Льва Матвеева
Здравствуйте.
Это я слил базу Инфовотч.
Почитал новости, кто такой как отреагировал, сочувствующих. Но никто не поставил себя получай место бывшего сотрудника. Сотрудника, которому компания (целый) короб обещала, а потом кинула его на деньги. У них через некоторое время информационная атака. Ржу в голос. А у меня много слитой информации. В приложении найдете сызнова интересные файлы Инфовотч, который понравиться конкурентам.
А паки (и паки) в приложении маленькие намеки на то, как Инфовотч ведет операция. Пока намеки, но дойдет и до фактов. Который будет печатать эту информацию – первыми получат сии факты. А может и ФСБ получит эти факты. А кому-ведь я даже интервью эксклюзивное дам.
Какие у меня цели? Целеустановка одна – пускай Наталья Ивановна заплатит деньги во всем кому обещала, а не тратит деньги на так, что бы пыль в глаза пускать
… Ссылки получи откачку файлов не привожу по этическим причинам
=================================
В данное время про файлы:
1. Список сотрудников ИВ частично с сотовыми телефонами инда
2. Внутренний калькулятор расчета стоимости ИВ.
=================================
Чего я маловыгодный понимаю:
— неужели не может хоть раз г-жа Касперская натужить свой административный ресурс не для борьбы с конкурентами, а к того чтобы найти того кто сливает? А так реально такой трэш если будет идти с головы месяц портит репутацию всех вендоров ИБ
— без лишних разговоров то видно что внутренний калькулятор стоимости ИВ сие никак не открытые источники.. Ну наверняка а можно найти кто сливал этот файлик держи флэшку или еще куда и выносил с корпоративных компов ( либо ноутов)
От сливов не застрахован никто — сие правда. Но расследовать-то нужно оперативно такие движимое имущество, время идет, скандал не заканчивается. И именно доя сего и предназначены dlp системы….

Posted by Leo Matveev on Tuesday, April 25, 2017

 

Основным посылом данного сведения являлась мысль, что калькулятор расчета цены нате коммерческий продукт InfoWatch – это якобы секретная сообщение. Запомним этот момент, он важен для расследования.

Таргетирование

В самом начале атаки, в Никта на 13 апреля перед появлением первой «информации об утечке» в SecureNews, недоброжелателями было произведено три разных рассылки писем. Сие были три разных текста, «заточенных» под разных адресатов: СМИ, клиентов InfoWatch и экспертов отрасли.

Авеста для СМИ:

Добрый день. Пишу вам чисто известному блогеру. Вот вам новость для материала — склад клиентов компании Инфовотч в открытом доступе лежит. Дальше больше 5 000 строк и еще кое-какие документы вроде КП.

Текст для сотрудников компаний-клиентов ИВ:

Добряк день, ФИО!
Пишу сообщить, что ваши персональные информация и другая информация находятся в открытом доступе. Компания InfoWatch шипчандлер DLP системы, с которой вы работаете, не смогла выдержать ваши данные. По ссылке вы найдете базу, в которой глотать ваши личные данные – почта, место работы и ясельничий, мобильный телефон.

Помните изречение «Кто владеет информацией – владеет миром» и тщательнее выбирайте контрагентов.

Надпись для конкурентов. Конкуренты ИнфоВотч и различные представители ИБ-отрасли получили разэтакий текст:

Инфовотч не платит своим сотрудникам денег, того сотрудники платят ей по заслугам. По ссылке ваша милость можете увидеть базу клиентов вашего конкурента. И заплатите вашим менеджером, на др с вами может случится тоже самое.

Звонки клиентам. Центр тяжести содержание звонков было следующим:

Здравствуйте, такой-в таком случае такой-то? Ваш телефон обнаружен в базе, утекшей изо компании Инфовотч. Вы доверяете свои данные компании, которая отнюдь не в состоянии сохранить даже ваши контакты. Можете сообщиться на более качественные решения более ответственной компании (SearchInform)

С нами связались в частности 40 получателей таких рассылок и звонков с жалобами о поступлении таких звонков. Только и остается предположить, что всего было несколько сотен адресатов, которым звонили и писали в рамках атаки с предложением перекупить продукт Search Inform. Это была именно массовая единовременная рассылание по множеству адресов.

Это и есть ключевые признаки информационной атаки, отличающие её ото естественного медийного события – подготовка, детальность, планирование, поспешность исполнения. Такая рассылка требует планирования, сбора адресов, скрытия обратных адресов, найма колл-центра (см. вниз).

Перевод фокуса внимания

Для отвлечения внимания с факта и целей атаки организаторы вбросили тему «обиженного сотрудника». Скоро же в первой публикации на SecureNews был напролом указан как источник бывший исполнительный директор InfoWatch Воля Иванов (уволившийся в конце 2015 года).

Мы сей же час связались с ним, он ответил, что никакого связи к атаке не имеет, да и сокрытием следов в «тёмном Интернете» невыгодный владеет. А вот владелец Search Inform связывался с ним, выяснял историю увольнения, пытался принанять и т.п. примерно за три месяца до атаки.

Быть этом Иванов, как менеджер высокого уровня, не видеть как своих ушей не имел доступа к базам клиентов, а также и к воронке продавцов.

Вторая зыбь атаки также эксплуатирует тему обиженного сотрудника, которому прошел слух не заплатили денег. При этом никаких конфликтов с-за выплат уволенным или действующим сотрудникам в ИВ в отлучке.

Что за «пруфы» у атакующих

В качестве доказательства потери. Ant. доход прилагалась ссылка на файл  облачном сервисе dropmefiles.com (по прошествии времени файл был удалён по жалобе пользователей – см. пастель ниже):

По ссылке можно было скачать картотека, содержавший несколько файлов, включая некую «базу данных», которая представляла лицом файл в формате .XLS из 4896 строк с записями, содержащими имена и фамилии, а и частично – названия организаций, должности, адреса электронной почты и телефоны, подробнее об этом вниз, в пункте «Фабрикация утечки».

Место вброса

В качестве сливного бачка было использовано корпоративное СМИ Securenews.ru, которое продублировало клер первоначальной рассылки с комментариями на своем сайте, в FB и Vk.

Орган небольшое, его посещаемость по данным Similarweb составляет не в такой мере 100 человек в день, из них доля прямых заходов невыгодный превышает 20%. Контактов или данных о том, кому принадлежит портал, сверху сайте Securenews.ru нет. По данным Whois владельцем домена является Softver sekiuriti sistems UP, принадлежащее белорусской компании Falcongaze, кое-кто сотрудники которой (в том числе, генеральный директор Алексюха Акимов) являются бывшими сотрудниками белорусской же компании Search Inform.

Производство «утечки»

Мы внимательно изучили «базу данных клиентов», которая будто утекла из InfoWatch (далее ИВ).

Это получай самом деле никакая не «база данных», а обычная заставка Excel с явно «художественным», вымышленным названием «База клиентов Инфовотч».

В файле взять 5000 записей (4896). Собственно, вся клиентская предприятие ИВ, лидера отрасли, составляет чуть больше тысячи организаций. У других конкурентов – дешевле, скорее несколько сотен.

Что же за ежедневник в этом «файле клиентов»:

  • названия организаций, ФИО контактных лиц, (иной с телефонами, часто с адресами электронной почты,
  • ФИО нескольких десятков сотрудников ИВ, нанятых давно 2014 года,
  • несколько коммерческих предложений на бланке ИВ.

Таково называемая «база» датирована 20.08.2016 года. Метаданные файла будто бы о том, что она была создана 10.04.2017 пользователем «Grisha» и отредактирована в оный же день пользователем «Pasha». Метаданные файлов коммерческих предложений были очищены. Самочки КП не представляют ценности, так как в них отсутствует информации о заказчике. Три КП из пяти копируют доброжелатель друга.

Наше заключение таково: скорее всего, сей .XLS-файл — компиляция из нескольких источников, основным изо которых служит так называемая «воронка продаж», представляющая лицом списки потенциальных клиентов. Такая воронка обычно набирается продавцами сверху конференциях (сбор визиток и т.п.), «холодных звонков», контактов объединение знакомству и т.п.

Воронка. Легко понять, что у всех продавцов всех ИБ-компаний для российском рынке «воронка» примерно одинаковая. У организаторов атаки «воронка» не я буду примерно та же самая – все конкуренты звонят и ходят в одни и тетуня же места и к одним и тем же менеджерам потенциальных покупателей.

За некоторым признакам (устаревшие телефоны и должности) большинство контактов позволительно датировать именно 2014 годом (несмотря на вписанную в .xls на правах бы дату от августа 2016). Многие с контактов уже не валидны, то есть содержат неработающие телефоны и адреса, а в свой черед неактуальные посты и должности.

Возможно также, что обрубок этих данных из «воронки» могла быть вынесена и уволенными в 2014 году продавцами InfoWatch. Пьяница обычно индивидуальна, продавец обычно собирает её самоуправно и часто хранит её у себя, считая её своей собственностью. Секретного в воронке так-сяк нет, это публичные данные с визиток или сайтов. 
ФИО сотрудников Инфовотч – публичная справка, которая есть у всех рекрутеров наподобие Headhunter.ru, Superjob.ru и общий где угодно в сети (Linkedin, Фейсбук и т.п.).

Коммерческие предложения в бланке ИВ. Это стандартные КП, открыто рассылаемые десятками в диск), имеются у всех игроков рынка.
Списки посетителей конференций. Существует распространенная опыт, в рамках которой списки посетителей конференций предоставляются в фолиант или ином формате, что является частью спонсорского пакета.

Никаких «персональных данных» в данном файле Excel – недостает, в частности потому, что нельзя относить к ПДн полным голосом доступные и публично распространяемые данные (например, данные с визитных карточек). Сверх того того, если какие-то личные данные контрагента используются в рамках исполнения договора, ведь их хранение также не подпадает под изготовление закона 152.

Собственно, компания InfoWatch по этим причинам и без- является оператором ПДн.

Вывод:

Так называемая «база клиентов» является бери самом деле «воронкой продаж» (взятой, возможно, у собственных продавцов организатора атаки), к которой добавили открытые исходняк по посетителям конференций и другие публично доступные факты.

Организация и источники атаки

Обратные адреса первой рассылки писем с «информацией об утере базы», которая была проведена в нокаут на 13 апреля – уходят в так называемый «темный Интернет» — оттертрал TOR. Все письма были направлены через сеть TOR, выходные узлы 51.254.23.203 и 64.124.32.84.

Целое входы в почтовый ящик timoxa1200@rambler.ru, с которого была произведена рассылание, также осуществлялись через сеть TOR.

В качестве «основной» версии «квази-СМИ» изначально выдвигалась модифицирование мести бывшего «обиженного» сотрудника, которая использовалась исполнение) отвода глаз от настоящих целей атаки, и ее организаторов. Между тем, уже письма рассылки с рассказом об «утечке» и с предложением заступить поставщика были отправлены сотрудниками Search Inform с корпоративных адресов @searchinform.ru.

Звонки с предложением заменить поставщика осуществлялись централизованно из колл-центра, сотрудники которого представлялись сотрудниками Search Inform.

Около снижении интереса к теме, «подсказки» о важности «утекшей информации» шли с фейсбучного аккаунта владельца Search Inform Льва Матвеева, в том числе даже такие странные аргументы, как исключительная потаенность калькулятора по расчету цены. Простому человеку едва ли ли придет в голову, что расчет цены коммерческого продукта, продаваемого бери рынке – это громадный секрет.

Кто стоит ради атакой

Достоверно доказать, кто стоит за атакой, как води невозможно – организаторы, как правило, достаточно квалифицированы, так чтобы прятать обратные адреса рассылки и место вброса.

При всем том если что-то выглядит как кошка, мяукает точь в точь кошка, ходит как кошка, царапается, как пума – здравый смысл говорит нам, что это, поторапливайся всего кошка, а не внезапно прилетевший марсианин, прикинувшийся кошкой.

Комплекс признаков легко позволяет читателю самостоятельно сложить вдвоём и два:

  • местом вброса является малоизвестный белорусский выгода, созданный выходцами из Search Inform,
  • среди первых поддержали атаку пользователи с белорусских аккаунтов, сотрудники и облигационер Search Inform,
  • письма клиентам и обзвон колл-центра предлагают оторвать продукт Search Inform,
  • звонившие представлялись сотрудниками Search Inform,
    и скажем далее.

Конечно, наш конкурент Search Inform был способным, казалось бы, просто воспользоваться «чужой» атакой для того продвижения своего продукта, но этому предположению противоречат простые соображения:

А) Горячее деятельность Search Inform в атаке. Немедленная реакция сотрудников Search Inform в соцсетях, распространение писем и звонки клиентам, «подогревание темы», генерация смыслов атаки по собственному почину владельцем Search Inform.

Б) Тайминг действий Search Inform. Рекрутинг колл-центра, написание для него скриптов до раскрутке атаки и предложению перейти на продукт Search Inform, предприятие массовой рассылки с адресов Search Inform (второй волны) точно по поводу «утечки» – это всё трудно организовать «с нуля» следовать 2 рабочих дня, то есть всё готовилось наперед, до начала атаки.

В) Отсутствие других «бенефициаров» атаки. Даже если Search Inform просто воспользовался чужой атакой, в таком случае где же действия настоящего организатора атаки?

На хрена никто другой не воспользовался ею? Если парторг – другой конкурент, то почему он тоже маловыгодный проводит массированные обзвоны и рассылки с предложением своего продукта? Даже если это действия уволенных сотрудников – то где их спрос? Ничего этого нет. Есть спланированная информационная приступ – и сопутствующая бешеная активность единственного игрока.

Надо заявить, что ещё за месяц-два до атаки сотрудники Search Inform возле встречах с коллегами из InfoWatch на конференциях и выставках малограмотный могли удержаться и делали неопределённые угрозы вида “ждите, проворно получите от нас», «скоро вам прилетит», «мы вы покажем» и т.п.

В общем, наше оценочное суждение таково:

Информационную атаку сверху InfoWatch организовал и продолжает конкурент по рынку информационной безопасности братия Search Inform. Причины такой агрессии, на отечественный взгляд, кроются в потере рынка, массовом переходе значительного числа бывших клиентов этой компании держи продукты InfoWatch и других конкурентов.

Что делать с информационной атакой

Отечественный опыт борьбы с информационными атаками на клиентов – и отныне. Ant. потом на нас — говорит нам, что, нужно:

  • Басить прямо с отраслью и клиентами. Отмалчиваться бессмысленно, нужно доступно обсуждать происходящее, что мы и делаем в данной публикации. Ты да я планируем по итогам атаки и её расследования испустить брошюру с данным «кейсом».
  • Расследовать. Нужно расследовать атаку, шук следы, находить инсайдеров из числа участников атаки, выделять на организаторов и бенефициаров, публиковать результаты анализа, популяризировать методы организации атаки и интересы организаторов атаки. Вчера(шний день) расследование будет продолжено.
  • Готовиться к продолжению атаки. Подобные атаки, что правило, «многосерийные». Если первая атака широкого медийного охвата далеко не получила, то можно ожидать новых серий, да уже под другим «соусом» и с попыткой «сделать шелест погромче».
  • Нужно извлекать уроки. Теперь и нам довелось наведаться в шкуре атакуемого. Возможно, по результатам мы сможем улучшить свои услуги в этой сфере.
  • Обращаться в следственные органы и в мнение. Хотя доказывать наличие атаки и виновность организаторов свет не мил, атака – это противозаконное действие. Расследование данной атаки продолжается. Полагаем, зачем собранные в результате его проведения факты создадут основу ради привлечения причастных к атаке лиц к ответственности за недобросовестную конкуренцию в установленном законом порядке.

Источник: roem.ru