Направить в ссылку: компании по кибербезопасности назвали топ уязвимостей логистов

Число хакерских атак на отрасль увеличилось на треть, признают специалисты по доставке
Валерия Мишина , Яна Штурма
Фото: ИЗВЕСТИЯ/Сергей Лантюхов

Программное обеспечение стало главной уязвимостью российских логистических компаний при атаках преступников в 2024 году, сообщили «Известиям» в компаниях по кибербезопасности. Одной из самых распространенных слабых мест стала небезопасная прямая ссылка на объект. Кроме того, хакеры активно использовали алгоритмы использования СМС при регистрации, авторизации или восстановлении пароля, рассылая тысячи таких запросов. В итоге логисты теряли существенные средства на оплату связи. О том, как мошенники совершают налеты на компании и оставляют тысячи россиян без посылок, — в материале «Известий».

Какие атаки совершают на логистов

Самое проблемное место в информационной безопасности логистических компаний — специализированное программное обеспечение, сообщили «Известиям» эксперты компании «Нейроинформ» (специализируются на анализе и оценке киберрисков).

— Эти причины составляют 38% от общего числа уязвимостей в этой сфере в третьем квартале 2024 года, — рассказали аналитики. — Обычно компании пишут такое ПО самостоятельно, и в нем довольно часто присутствуют критические уязвимости.

Так, за первые три квартала этого года одним из самых распространенных слабых мест стала небезопасная прямая ссылка на объект (IDOR, Insecure Direct Object Reference). Это ссылка, которая содержит, например, конкретный номер товара или личного кабинета пользователя. Меняя ее элементы, можно войти на иные, казалось бы, закрытые для «входа с улицы» страницы и получить скрытую информацию.

— С помощью такой ссылки можно просматривать чужие заказы с персональными данными клиентов (ФИО, номер телефона, адрес доставки). В данном случае злоумышленники подбирают идентификатор заказа и видят всю информацию по нему без авторизации, — пояснили специалисты.

Еще около трети (26%) уязвимостей логистов — это недостатки алгоритмов защиты в использовании СМС при регистрации, авторизации или восстановлении пароля. Киберпреступники с помощью скрипта вводят чужие номера телефонов, система рассылает тысячи СМС — и тратит деньги компании.

Свою роль в этом году играют и слабые требования к сложности паролей в программном обеспечении, которое используется для работы с партнерами или подрядчиками. Эта проблема составляет 14% от общего числа взломов. В 75% случаев в этих сервисах не было установлено защиты от перебора паролей, и можно получить доступ ко всем заказам компаний, выгрузить список курьеров с номерами телефонов, марками и номерами машин, а также адресами доставок и списками товаров.

— К сожалению, хакеры довольно успешно используют различные уязвимости. Чтобы снизить уровень угрозы, необходимо внедрять проверку кода на постоянной основе и проводить обучение программистов основам информационной безопасности, — отметил генеральный директор компании «Нейроинформ» Александр Дмитриев. — И конечно, проверять свою инфраструктуру на уязвимости минимум раз в год.

На сайтах большинства логистических компаний предусмотрен вход в личный кабинет по логину и паролю, и потому для этого сегмента характерны ботовые атаки по типу сredential stuffing, то есть когда хакеры применяют реальные учетные данные, похищенные на другом ресурсе.

— И в этом случае киберпреступники пытаются получить доступ к аккаунтам клиентов конкретной компании путем автоматического перебора и подстановки данных, необходимых для входа в систему, — рассказал «Известиям» директор по продуктам Servicepipe Михаил Хлебунов. — Делается это с помощью ботов. Поскольку очень многие люди вводят одинаковые логины и пароли, при отсутствии двухфакторной аутентификации атаки могут быть результативными.

Он подтвердил, что если на сайте логистической компании используется двухфакторная аутентификация, то подобная ботовая активность кратно увеличивает количество направляемых СМС и, соответственно, расходы на связь.

Крупные сбои

Сбой у одного из крупнейших российских логистических операторов СДЭК произошел 27 мая: стало известно, что компания по техническим причинам не может отправлять и принимать отправления. В пресс-службе компании сообщили, что сайт и приложение перестали функционировать.

1 июня в СДЭК заявили о восстановлении движения посылок. Возобновили работу сайт, личные кабинеты физических и юридических лиц, мобильное приложение. Спустя еще несколько дней работоспособность большей части клиентских сервисов восстановили.

Ответственность за кибератаку на СДЭК взяла на себя хакерская группировка Head Mare. Это объединение злоумышленников ранее не принимало участия в незаконной деятельности против отечественных торговых сетей. По словам участников рынка, хакеры стремились нанести максимальный вред российской службе доставки. В аккаунте X они выложили скриншоты с подтверждением взлома.

При кибератаках основным пострадавшим обычно оказывается компания, так как ей приходится принимать меры для противодействия угрозам или для устранения их последствий, рассказал «Известиям» IT-директор СДЭК Артем Новиков.

— Чаще всего такие атаки нацелены исключительно на нанесение ущерба, и злоумышленники не преследуют материальной выгоды, — отметил он.

Директор департамента безопасности ПЭК Алексей Персиянов сообщил, что за январь–октябрь 2024 года количество кибератак на IT-инфраструктуру транспортно-логистических компаний увеличилось на 30% по сравнению с 2023 годом. По его словам, злоумышленники активизируются, разрабатывая и запуская новые мошеннические схемы.

При наличии уязвимостей, таких как IDOR, злоумышленники могут получить доступ к информации о грузах, что может привести к манипуляциям с ними. Об этом рассказал гендиректор федеральной транспортной компании «Скиф-Карго» Сергей Чернов.

— Это может вызвать задержки в доставке, особенно, если необходимо провести дополнительные проверки или расследования, — подчеркнул эксперт. — Ошибки в алгоритмах использования СМС, как второго фактора аутентификации могут позволить злоумышленникам получить доступ к аккаунтам сотрудников, что также может привести к сбоям в процессе обработки заказов и, как следствие, задержкам.

Кроме того, слабые требования к сложности паролей могут привести к тому, что злоумышленники смогут легко получить доступ к системам. Это может вызвать временные остановки работы и необходимость восстановления данных.

Такие атаки могут иметь далеко идущие последствия, выходящие за рамки отдельных организаций, подчеркнул Сергей Чернов. Нарушения в работе одной компании могут вызвать эффект домино, затрагивая поставщиков, производителей и розничных продавцов по всей цепочке поставок. Это может привести к дефициту товаров на полках магазинов, задержкам в производственных процессах и общему снижению эффективности экономики.

— Количество пострадавших может исчисляться тысячами, учитывая масштабы операций крупных логистических компаний, — отметил эксперт. — Задержки в доставке товаров могут привести к финансовым потерям для бизнеса, срыву контрактов и негативному влиянию на репутацию компаний. Кроме того, утечка конфиденциальной информации может вызвать юридические последствия и подорвать доверие клиентов.

Популярные схемы взлома

Одна из самых популярных схем в сегменте логистики — кража денежных средств с помощью фишинговых сайтов, имитирующих оплату, рассказал Артем Новиков. Для этого злоумышленники создают объявления о продаже товара, устанавливают низкую цену, чтобы привлечь внимание. Заинтересованным — направляется ссылка на фишинговый сайт для оплаты.

В итоге, отметил специалист, и товар не доставлен, и продавец пропадает. Во второй схеме покупатель оплачивает товар через сайт объявлений, его отправку — через площадку службы доставки, но внутри обещанной посылки оказывается ветошь или мусор.

— В третьей — злоумышленники с помощью хакерских атак пытаются проникнуть в критическую IT-инфраструктуру компании, чтобы нарушить ее работу, — добавил он.

Как указал Сергей Чернов, в последнее время участились случаи манипуляции сотрудниками через подставные аккаунты руководителей организаций в социальных сетях с целью мошенничества и получения несанкционированного доступа к конфиденциальной информации.

— Злоумышленники создают фейковые профили топ-менеджеров и вступают в контакт с сотрудниками компании, выдавая себя за руководителей, — поделился он. — Под предлогом срочных задач или корпоративных инициатив они просят предоставить доступ к внутренним системам, отправить конфиденциальные документы или совершить финансовые переводы на указанные счета.

Также логистические компании фиксируют увеличение попыток получения несанкционированного доступа к своим системам техническими средствами. Злоумышленники, по его словам, чаще всего пытаются получить доступ к конфиденциальной информации (данные о грузах, клиентах и иные финансовые сведения), чтобы собрать персональные данные для дальнейшего вымогательства с использованием социальной инженерии.

— А также нарушить работу систем: через DDoS-атаки или вмешательство в программное обеспечение, — сказал эксперт. — Эти действия могут не только привести к задержкам в работе, но и создать дополнительные риски для безопасности данных и финансовой стабильности компаний.

Комплексный подход к безопасности, включающий технические средства защиты и повышение осведомленности персонала — ключевые факторы в противодействии таким угрозам. Сергей Чернов подчеркнул, что логистическим компаниям необходимо постоянно совершенствовать свои стратегии безопасности, чтобы защитить себя, своих клиентов и партнеров от возможных кибератак.

Самим клиентам в компании ПЭК порекомендовали при интернет-оплате проверять подлинность сайтов, в том числе их названия и домены. Если есть сомнения, оплату лучше отложить, самостоятельно зайти на нужный сайт, проверить наличие товара, услуги или связаться с компанией. Кроме того, необходимо проверять содержимое груза при получении, что поможет службе доставки автоматически зафиксировать факт подмены.

А в СДЭКе для предотвращения киберрисков советуют своим клиентам использовать сложные пароли, в которых содержатся цифры, символы и буквы разного регистра. Вводить свои персональные данные при регистрации в личном кабинете стоит только в проверенных сервисах, а лучше в их мобильных приложениях, пользоваться двухфакторной аутентификацией и никогда не сообщать код из СМС посторонним людям.

Опрошенные эксперты предполагают, что до конца года возможны усиленные атаки на транспортно-логистические компании, которые особенно активно работают в период доставки товаров перед новым годом: объем перевозок растет из-за обилия распродаж, а также стремления компаний исполнить все обязательства года по контрактам.