Злам – це стресова ситуація. Може здаватися, що все дуже особисто, терміново і заплутано водночас. Ви можете отримати дивне повідомлення про вхід, знайти відправлені повідомлення, яких ви не надсилали, втратити доступ до облікового запису, помітити зникнення грошей або отримати скарги від друзів, що від вас надійшли підозрілі посилання.
Найважливіше – не приймати панічних рішень. Атакувальники розраховують на вашу швидкість, розгубленість і тиск. Ваша ж мета – сповільнити ситуацію, стримати шкоду, відновити контроль і потім усунути слабкі місця, які дозволили компрометацію.
Цей гайд допоможе покроково пройти дії, які потрібно виконати, якщо зламали особистий обліковий запис, бізнес-акаунт, пристрій чи онлайн-сервіс.
Якщо є хоча б найменший шанс, що ваш роботодавець, замовник чи інша організація можуть постраждати, негайно повідомте відповідну ІТ- або безпекову команду. Не чекайте остаточного підтвердження. Це стосується випадків, коли скомпрометований пристрій використовувався для роботи, зареєстрований як BYOD, використовувався для доступу до корпоративної пошти, для єдиного входу (SSO), чи для входу до корпоративних менеджерів паролів, VPN, адмінпанелей, репозиторіїв, хмарних консолей чи файлообмінників.
Це потрібно зробити, перш ніж ви самостійно спробуєте все дослідити. Організація може відкликати активні сесії, змінити паролі, перевірити логи, ізолювати системи, або тимчасово відключити доступ.
Зволікання з повідомленням може призвести до більших збитків і навіть до дисциплінарної чи матеріальної відповідальності, якщо збитків можна було б уникнути завдяки своєчасному повідомленню. Якщо жодні бізнес-сервіси, пристрої, акаунти чи дані не могли постраждати, переходьте до особистих кроків відновлення.
Якщо ви підозрюєте, що ваш комп’ютер або телефон заражений, НЕ використовуйте цей пристрій для скидання паролів чи входу до важливих акаунтів. Шкідливе ПЗ може записати нові паролі, викрасти сесійні cookie, робити скріншоти, перехоплювати коди відновлення.
Використайте пристрій, якому ви довіряєте, наприклад:
Якщо немає доступу до чистого пристрою, від’єднайте підозрілий пристрій від інтернету і зверніться по допомогу перш ніж вводити нові облікові дані.
Ваша поштова скринька – ключ до всіх інших сервісів. Якщо нападник контролює вашу пошту, він може скинути паролі до банку, онлайн-магазинів, хмар, соціальних мереж, розробницьких платформ та робочих інструментів.
Почніть із головного e-mail-акаунta і перевірте таке:
Особливо уважно перевірте правила скриньки – іноді нападники створюють фільтри, які приховують сповіщення про безпеку, пересилають рахунки чи непомітно копіюють повідомлення для скидання паролів на іншу адресу.
Після захисту пошти переходьте до акаунтів, які можуть завдати найбільше шкоди. Не витрачайте критичні перші хвилини на маловажливі сервіси, якщо нападник ще має доступ до банку, хмари чи адмінпанелей.
Пріоритет змін такий:
Кожен новий пароль має бути унікальним! Якщо ви повторно використовуєте той самий новий пароль у кількох облікових записах, достатньо одного вразливого місця для повторного злому.
Зміна пароля важлива, але вона не завжди призводить до відключення зловмисника, якщо він вже увійшов у систему. Багато сервісів утримують активні сесії навіть після зміни пароля, якщо ви явно їх не відкличете.
Шукайте такі налаштування як:
Видаляйте все, що не впізнаєте! Для бізнесу чи розробницьких акаунтів обов’язково змініть API-токени, деплоймент-ключі, SSH-ключі, webhooks і облікові дані сервіс-акаунтів, які могли бути під загрозою.
Багатофакторна автентифікація (MFA, 2FA) блокує більшість атак, навіть якщо пароль викрадуть. Якщо MFA ще не була увімкнена, увімкніть її зараз для критично важливих акаунтів.
Віддайте перевагу сильнішим методам там, де це можливо:
SMS-коди краще, ніж відсутність другої перевірки, але вони слабші за додатки чи апаратні ключі. Номер телефону можуть викрасти через SIM-swap, перехопити або зламати через слабке відновлення акаунту.
Після включення MFA НЕ забудьте згенерувати та зберегти резервні коди в надійному місці, інакше втрата телефону чи ключа може перетворити відновлення доступу на окрему надзвичайну ситуацію.
Якщо зламаний акаунт пов’язаний із грошима, документами, рахунками, клієнтськими чи податковими даними – вважайте, що зловмисник міг скопіювати корисну інформацію навіть якщо ви швидко повернули контроль.
Перевірте:
Негайно звертайтесь до банку чи платіжного сервісу, якщо бачите підозрілі операції! Чим швидше звіт, тим вища імовірність повернути кошти або обмежити відповідальність.
Цілком природно хотіти все швидко прибрати, але передчасне видалення листів, журналів чи файлів ускладнює розслідування. Перш ніж видаляти підозрілі елементи, збережіть базові докази. Зробіть це ДО перезапису чи переустановки пристрою, особливо якщо у справі гроші, дані компанії, клієнтів, зловмисне ПЗ чи юридичні зобов’язання.
Корисні докази:
Ця інформація допоможе службам підтримки, банкам, поліції, страховим компаніям, ІТ-відділу чи реагувальникам зрозуміти, що сталося.
Якщо можливо, краще вийняти оригінальний диск із ноутбука чи комп’ютера і поставити новий для "чистої" переустановки – ви отримаєте чисту систему й збережете диск на випадок розслідування. Для бізнес-інцидентів радьтеся з ІТ або реагувальниками, перш ніж щось міняти чи знову вмикати пристрій.
Якщо злом почався зі шкідливого ПЗ, вкладення, фейкового розширення, піратського софту чи невідомих засобів віддаленого доступу – одного відновлення акаунтів НЕ достатньо. Пристрій вже може бути небезпечним – нападник міг залишити бекдори, змінити налаштування системи, записати сесійні cookie, або чекати на введення нових паролів.
У такій ситуації краще не "чистити" пристрій вручну. Безпечний варіант – спершу зберегти потрібні докази, скопіювати лише потрібні дані, стерти пристрій і встановити операційну систему з нуля.
Важливі поради:
Для високоризикових інцидентів (наприклад, рансомвар, бізнес-компрометація електронної пошти, злом адмінських акаунтів, або викрадення даних) радьтеся з професіоналами до форматування систем. Для бізнесу доказова база може знадобитися для розслідування, страховки, дотримання закону чи інформування клієнтів.
Якщо з вашого акаунту розсилали повідомлення, рахунки, посилання чи файли, попередьте людей, які це отримали. Напишіть стисло і чітко.
Наприклад:
Мій обліковий запис було зламано. Будь ласка, НЕ відкривайте посилання, вкладення, платіжні запити чи файли, отримані від мене між [час] і [час]. Я відновив(ла) контроль та розслідує інцидент.
Для бізнесу такі попередження можуть бути юридичною або контрактною вимогою. Якщо зловмисники могли отримати доступ до даних клієнтів, співробітників, платіжної, медичної або конфіденційної інформації – залучайте фахівців із правових, комплаєнс- і безпекових відділів одразу.
Не кожен зламаний акаунт у соцмережі потребує заяви в поліцію, але деякі інциденти точно слід повідомити: фінансове шахрайство, викрадення документів особистості, рансомвар, компрометація бізнес-пошти, викрадення клієнтських даних чи погрози особистій безпеці.
Корисні канали повідомлення:
Повідомлення створює офіційний запис — це може знадобитись, якщо потім шахрайство триватиме чи щоб підтвердити, що ви діяли негайно.
Для компаній зламаний акаунт — рідко ізольована проблема, а часто лише "верхівка айсберга". Компрометована скринька розкриває клієнтські перемовини; украдений пароль адміністратора може призвести до витоку даних; злитий деплоймент-ключ — до атаки на продакшен.
Бізнес-відповідь має містити:
Якщо йдеться про регульовані дані, дані клієнтів, рансомвар, продакшен-інфраструктуру чи доступ з привілеями – залучайте професіоналів якомога раніше! Зволікання ускладнює стримування і збір доказів.
Деякі, здавалося б, логічні дії тільки шкодять або створюють нові проблеми:
Уникайте помилок:
Після того, як ситуація під контролем, витратьте час на підсилення захисту. Більшість компрометацій НЕ зумовлені "продвинутим хакінгом". Причини — повторення паролів, фішинг, слабке відновлення, шкідливе ПЗ, відкриті пристрої, "забутий" доступ.
Практичний чекліст:
Безпека не повинна бути ідеальною, щоб бути у рази кращою. Достатньо кількох постійних звичок, які значно знизять ризики і дозволять легше відновитися у разі нової атаки.
Злам — не завжди ознака вашої недбалості. Зловмисники постійно атакують людей і компанії. Навіть уважний користувач може потрапити на фальшиву фішингову сторінку, використати старий пароль зі зламу чи мати непомітно заражений пристрій.
Вирішальне — це реакція: насамперед захистіть пошту, змінюйте паролі з безпечного пристрою, відкликайте сесії, вмикайте сильний MFA, перевіряйте фінансовий ризик, зберігайте докази, сповіщайте всіх, хто міг постраждати. Після цього зміцніть системи й звички, щоб наступній атаці було набагато важче досягти мети.