T1589.003: ІМЕНА СПІВРОБІТНИКІВ
Зловмисники збирають імена та прізвища працівників організації-жертви. Це дозволяє їм не лише вирахувати формат корпоративної пошти, а й підготувати психологічно переконливі фішингові листи (Social Engineering). Знаючи ім'я системного адміністратора або директора, хакер може написати новому співробітнику від їхнього імені, що значно підвищує шанси на успіх атаки.
ТЕХНІЧНИЙ ОПИС
Зловмисники можуть збирати імена співробітників, які можуть бути використані під час вибору цілі. Імена співробітників можуть використовуватися для отримання адрес електронної пошти, а також для спрямування інших зусиль з розвідки та/або створення більш правдоподібних приманок (lures).
Зловмисники можуть легко збирати імена співробітників, оскільки вони можуть бути вільно доступні та представлені в онлайн-ресурсах або інших доступних наборах даних (наприклад, соціальні мережі або пошук на вебсайтах, що належать жертві).
Збір цієї інформації може виявити можливості для інших форм розвідки (наприклад, пошук на відкритих вебсайтах/доменах або фішинг для отримання інформації), створення оперативних ресурсів (компрометація акаунтів) та/або початкового доступу (фішинг або використання дійсних облікових записів).
Навіщо хакеру ваше ім’я?
- Генерація логінів: Якщо хакер знає, що в компанії працює Іван Петренко, він може автоматично перевірити логіни: i.petrenko, ivan.p, petrenko_i тощо. Один із них точно спрацює для входу в VPN.
- Створення ієрархії: Збираючи імена, зловмисник малює структуру компанії. Він розуміє, хто кому підпорядковується, і може надіслати листа від «начальника відділу ІТ» звичайному бухгалтеру.
- Підвищення довіри (Spear Phishing): Лист, що починається з “Шановний Олександре Вікторовичу”, викликає в рази більше довіри, ніж стандартне “Шановний клієнте”.
- Пошук у витоках: Знаючи ПІБ, хакер шукає цю людину в старих базах даних (наприклад, злив бази клієнтів служби доставки), щоб знайти її особистий номер телефону або домашню адресу.
Де зловмисники шукають імена?
- LinkedIn та Facebook: Найбільше джерело даних. Хакери використовують преміум-акаунти або ботів для автоматичного скачування списків усіх, хто вказав вашу компанію як місце роботи.
- Сайт компанії: Розділи “Наша команда”, “Керівництво”, “Контакти прес-служби”.
- Наукові статті та патенти: Якщо ваша компанія займається розробками, імена інженерів часто фігурують у публікаціях.
- Державні реєстри: Дані про засновників та підписантів компаній (наприклад, YouControl або OpenDataBot в Україні).
Як захиститися?
- Навчання персоналу (Security Awareness): Співробітники мають розуміти: якщо їм пише “директор” у месенджері з невідомого номера — це привід для перевірки через офіційні канали зв’язку.
- Обмеження приватності в соцмережах: Рекомендуйте працівникам приховати список колег та детальну інформацію про посаду від сторонніх осіб у LinkedIn.
- Мінімалізм на сайті: Не публікуйте повний список штату з фотографіями та ПІБ. Залиште контакти лише тих осіб, яким це необхідно для роботи з клієнтами.
- Аудит OSINT: Періодично перевіряйте, наскільки легко знайти імена ваших ключових співробітників у відкритому доступі, і які приманки можна створити на основі цієї інформації.