Общение на грани: как утечки данных становятся реальностью

b491f880dd2b9d12aace91a7dedb1873.png

Можно ли представить работу в IT без Telegram или другого массового мессенджера? Вряд ли. Это давно не просто чатик, а полноценный рабочий инструмент. Но чем удобнее средство, тем выше риски: массовые мессенджеры всё чаще становятся причиной утечек данных. Их уязвимости — подарок для скамеров, которые через социальную инженерию легко проникают в корпоративные сети. А там — коммерческая тайна, клиентские данные, финансы.

Лично я не раз сталкивался с такими кейсами, поэтому в этом посте разберу, как скамеры используют уязвимости, чем корпоративные решения помогают их закрыть и почему без стратегии безопасности и обучения сотрудников даже самые защищённые инструменты не спасут. Пусть этот пост станет еще одной каплей, которая точит камень непонимания людей, что использование личных средств для рабочего общения — может плохо закончиться.

Дисклеймер

В посте я буду говорить в основном про Telegram, так как в российском IT он стал основным инструментом для рабочих переписок. Хотя встречаются и необычные варианты — я видел компании, которые до сих пор используют Skype. Примером альтернативы станет используемый в нашей компании корп мессенджер.

Дисклеймер для конспирологов

Статья написана по указке французских спецслужб, недовольных тем, что Павел Дуров не закрывает русский канал с мемами про Макрона в телеге.

Введение или как происходят утечки

Каждая утечка данных — это цепочка событий, где мелкие ошибки и уязвимости складываются в серьезную проблему. Массовые мессенджеры часто становятся её началом. Давайте пройдемся по конкретным сценариям, которые превращают обычную переписку в точку входа для скамеров.

Подделка аккаунтов или «FakeBoss»

Один из запросов скамеров. Ага, бегу уже делиться доступом (НЕТ)

Один из запросов скамеров. Ага, бегу уже делиться доступом (НЕТ)

FakeBoss — схема, когда скамеры создают фейковый аккаунт руководителя, копируя имя, аватарку и данные из соцсетей или утёкших баз. Их цель — обмануть сотрудников, чаще всего из бухгалтерии, и заставить выполнить запрос. Сообщения выглядят так:

«Коллеги, нужно срочно перевести деньги контрагенту, завтра обсудим детали.» Или: «Скиньте доступы к отчетам, чтобы я мог подготовиться к встрече.»

Если сотрудник не замечает подвоха, деньги уходят на «безопасные счета» мошенников или данные передаются в чужие руки.

Сейчас схема усложнилась. Скамеры могут использовать аудиодипфейки, генерируя голос шефа с помощью нейросетей. Такой звонок звучит правдоподобно, и распознать фейк сложно — голос похож, хотя иногда выдаётся роботизированной интонацией.

Эта схема работает, потому что массовые мессенджеры не предлагают инструментов для проверки подлинности аккаунтов. В спешке сотрудники редко обращают внимание на мелочи вроде незначительных отличий в аватарке или стиле общения. И такие атаки становятся всё более мудрёными и массовыми.

Подарки

Перейдя по такой ссылке — можно лишиться аккаунта

Перейдя по такой ссылке — можно лишиться аккаунта

С появлением в Telegram «подарков» скамеры придумали ещё одну схему для обмана. Вам приходит сообщение: «Поздравляем, вы выиграли премиум-версию приложения бесплатно!» — и, конечно, к нему прикреплена ссылка. Перейдя по ней, вы оказываетесь на вредоносном сайте, после чего ваш аккаунт или даже устройство может быть взломано.

Хитрость схемы в том, что такие сообщения могут приходить не только от незнакомцев, но и от взломанных аккаунтов ваших друзей и коллег. Это снижает уровень подозрений и повышает шансы, что кто-то кликнет по ссылке.

Так что если внезапно прилетает «подарок», который вы даже не ждали, лучше задумайтесь: за такие «премиумы» можно заплатить слишком дорого.

Утечка через бывших сотрудников

Один из самых частых сценариев утечек данных — когда уволенные сотрудники продолжают оставаться в рабочих чатах. Они всё ещё видят переписку, получают доступ к загружаемым файлам и ссылкам. Если увольнение прошло мирно, человек может просто забыть про эти чаты или хранить их в архиве. Но если с сотрудником расстались на негативной ноте, риски возрастают: обиженный «бывший» может использовать данные в личных целях или даже поделиться ими с конкурентами.

Добавьте к этому стандартную рабочую практику — делиться ссылками на файлы в облаке, не проверяя их настройки. Если ссылка открыта «для всех», любой участник чата может без препятствий посмотреть, что внутри, и сохранить файл у себя. Всё это делает такие утечки почти неизбежными, если доступы сотрудников не отслеживаются и не закрываются своевременно.

Ошибочная отправка сообщений

Человеческий фактор — штука непростая, и массовые мессенджеры никак его не страхуют. Бывает, что сотрудник в спешке отправляет сообщение не в тот чат. Например, вместо коллеги данные случайно улетают подрядчику или, что ещё хуже, клиенту.

Конфиденциальная информация — договоры, расчёты или даже внутренние обсуждения — моментально оказываются в чужих руках. Если сообщение заметили вовремя, его ещё можно удалить у обоих собеседников, но такие механизмы работают только в первые минуты. А вот контроль за пересылкой и полное управление доступом в массовых мессенджерах отсутствуют. Если файл уже попал в чужой чат, вернуть его или заблокировать дальнейшее распространение никак нельзя.

Такие сценарии возможны из-за ограниченных возможностей массовых мессенджеров в плане защиты корпоративных данных. У них нет инструментов, которые могли бы обеспечить строгий контроль: ни полноценного разграничения прав доступа, ни интеграции с системами мониторинга вроде DLP, ни управления передачей файлов.

Корпоративные мессенджеры, такие как Compass, Mattemost, Rocket.Chat и другие, частично решают эти проблемы благодаря встроенной защите. Например, они позволяют настроить доступ пользователей к отдельным чатам, ограничить видимость и скачивание файлов на личные устройства, а также подключить мессенджер к DLP для более глубокого анализа активности. Такие меры помогают снизить риски случайных и намеренных утечек, хотя полностью устранить угрозы, конечно, не могут. 

Дальше разберём, почему Telegram и другие массовые мессенджеры не подходят для корпоративных задач и какие преимущества дают специализированные решения.

Уязвимости массовых мессенджеров для нужд компании

Telegram, WhatsApp, Signal — стандартные инструменты для личного общения, которые завоевали популярность благодаря удобству и базовой защите данных. Но вот беда: их возможности явно не рассчитаны на требования бизнеса. Когда дело касается корпоративной информации, эти платформы демонстрируют серьёзные пробелы в безопасности. Вот лишь некоторые из них.

Отсутствие инструментов для администрирования юзеров

В массовых мессенджерах любой участник группы сохраняет доступ к сообщениям, файлам и ссылкам, пока его явно не удалят. Уволенный сотрудник? Новый подрядчик? Если в управлении доступом произошла ошибка, эти люди продолжают видеть всю переписку и загружаемые файлы.

При этом удалять участников из чатов приходится вручную. Если чатов много, легко упустить кого-то из виду — особенно в условиях постоянной текучки или добавления новых людей. Такая невнимательность может стать точкой для утечек данных.

Уязвимость к социальной инженерии

Telegram и другие мессенджеры не предусматривают многофакторную аутентификацию по умолчанию и строгую верификацию пользователей. Это даёт скамерам возможность подделывать аккаунты или перехватывать доступ через слабые механизмы, такие как одноразовые коды SMS.

Кроме того, Telegram — это не изолированное корпоративное пространство, где каждая учётка проверена, а огромный океан, где любой может найти любого, если знает номер телефона или никнейм (если поиск по номеру заблокирован в настройках). Это упрощает задачу скамерам: им достаточно минимальных данных, чтобы войти в контакт с целью и начать манипуляции.

Отсутствие интеграции с системами безопасности

Те же Telegram и WhatsApp никак не дружат с корпоративными инструментами вроде DLP или SIEM. А значит, никакой централизованной защиты или анализа на уровне компании. Всё остаётся на совести юзеров, и это крайне слабая точка.

Слабая защита файлов от загрузки и пересылок

Файлы и ссылки, отправленные через массовые мессенджеры, могут быть свободно пересланы за пределы компании. Нет функций вроде запрета скачивания или контроля доступа, что делает утечку данных вопросом времени.

Как это можно решить?

Во-первых, нужно принять стратегическое решение на уровне топ-менеджмента: «Мы не обсуждаем рабочие вопросы в приватных мессенджерах вроде Telegram или WhatsApp». Это принципиальный шаг, который закладывает основу для безопасности. Если топы не готовы двигаться в этом направлении, есть смысл зайти через техдира — именно к нему прилетят вопросы в случае утечки данных, так что он, скорее всего, поддержит идею (если сам её не выдвинул ранее).

Допустим, стратегическое решение согласовано. Теперь нужно выбрать инструмент, который будет соответствовать требованиям компании. На рынке хватает корпоративных решений, и сравнения их возможностей легко найти в сети. Мы в своей компании выбрали мессенджер Compass. Дальше препарируем его по полной.

Ловите чек-лист того, на что стоит обращать внимание в первую очередь при выборе решения.

1. Защита конфиденциальных данных

Хорошее корпоративное решение должно позволять администратору гибко управлять настройками конфиденциальности. Например, можно включить запрет на пересылку файлов из одного чата в другой или разрешить просмотр документов только внутри приложения, без возможности их скачивания на устройство.

Такие настройки помогают сохранить контроль над корпоративной информацией. Сотрудники, независимо от их роли — будь то новички, менеджеры или технические специалисты, — видят только те данные, которые им действительно нужны для работы. Это значительно снижает риск утечек и обеспечивает безопасность данных внутри компании.

2. Отдельный контур для внешних пользователей

Удобно, если мессенджер поддерживает гостевые аккаунты для подрядчиков или партнёров. Такие пользователи ограничены в правах: они не могут видеть список участников рабочего пространства, совершать исходящие звонки или создавать личные и групповые чаты. Гостям доступна только работа в тех чатах, куда их добавили, и выполнение задач в рамках предоставленных прав.

Гостевой аккаунт ограничен в видимости и доступе к информации: у него достаточно возможностей для работы, но недостаточно для утечки данных. Это создаёт баланс между функциональностью и безопасностью, обеспечивая изолированный контур для взаимодействия с внешними пользователями.

3. Интеграция с системами безопасности

Интеграция с системами DLP (Data Loss Prevention) и SIEM (Security Information and Event Management) позволяет централизованно контролировать утечки данных, выявлять аномалии в действиях пользователей и оперативно реагировать на возможные инциденты.

Протоколы шифрования, такие как TLS 1.3, DTLS и SRTP, к этим системам напрямую не относятся, но обеспечивают защиту передаваемой информации. Стандартом для корпоративных решений является поддержка TLS, однако выбор протокола зависит от ваших требований к шифрованию и безопасности каналов связи.

4. Защита корп сети от доступа с взломанных устройств

Иногда случаются редкие, но опасные сценарии: смартфон сотрудника могут украсть, а затем взломать. Чтобы минимизировать риски, мессенджер должен автоматически проверять подключённые устройства и блокировать доступ с небезопасных, например, тех, где есть root-доступ или jailbreak.

Такая функция помогает защитить данные, даже если скамер получает физический доступ к устройству. Это дополнительный уровень безопасности, который важно учитывать при выборе корпоративного мессенджера. 

5. Пуш-уведомления без передачи контента

Для дополнительной защиты информации мессенджер может отправлять пустые пуш-уведомления вместо текста сообщений. Это важно в ситуациях, когда экран смартфона может случайно увидеть посторонний человек.

e7726a0f0b492eb3df509ca5f2279b9f.png

С таким подходом текст сообщений остаётся доступным только внутри приложения. Это защищает от ситуаций, когда скамер или даже коллега, которому эта информация не предназначалась (например, если обсуждают его увольнение), подсмотрел или сфотографировал конфиденциальную информацию из уведомлений. Такая функция — небольшая, но важная деталь, которая помогает сохранить переписку действительно приватной.

Боремся с человеческим фактором

Не зря в фантастике вроде Терминатора или Матрицы машины пытаются либо выпилить человечество, либо хотя бы взять его под полный контроль. Ведь именно человеческий фактор — самое слабое звено в любой системе. И никакие технологии не могут это полностью компенсировать.

Даже самый защищённый мессенджер не спасёт, если сотрудники продолжают совершать ошибки. Неосознанные действия, невнимательность или недостаток знаний — всё это открывает двери для угроз. Поэтому важно работать над самой уязвимой частью системы — людьми. Некоторые пункты наверняка уже у вас внедрены безопасниками.

  • Обучение сотрудников
    Регулярные тренинги учат распознавать фишинговые письма, избегать ошибок, таких как случайная отправка данных, и понимать риски использования личных устройств. Реальные примеры атак и чёткие инструкции помогут сотрудникам уверенно действовать в сложных ситуациях.

  • Внутренние политики
    Пропишите, кто и как может передавать данные через мессенджер, проверять личность собеседника и какие устройства допустимы для работы. Политики должны регулярно обновляться и доводиться до всех сотрудников.

  • Проверки на фишинг
    Проводите тесты: отправляйте поддельные письма или имитируйте атаки через мессенджеры. После проверок важно разбирать ошибки и давать рекомендации, чтобы сотрудники учились на практике.

  • Культура безопасности
    Сотрудники должны сообщать о подозрительных инцидентах без страха, а политики восприниматься как часть повседневной работы. Руководство должно показывать пример, демонстрируя ответственность за защиту данных.

Итог

Массовые мессенджеры давно стали частью нашей рабочей рутины, но для бизнеса это не всегда безопасно. У них слишком мало инструментов для контроля и защиты, а человеческий фактор только добавляет рисков. Итог — данные могут утечь к скамерам или просто попасть не туда.

Чтобы этого избежать, важно не только выбрать подходящий корпоративный мессенджер, но и выстроить грамотный подход к безопасности. Политики, обучение сотрудников, тесты на устойчивость к атакам — всё это помогает создать надёжную систему. И главное — сделать так, чтобы безопасность стала естественной частью работы, а не чем-то навязанным.

А как у вас в компании решают вопрос защиты данных? Делитесь своим опытом, выбранными решениями и мыслями в комментах — будет интересно обсудить!

© Habrahabr.ru