bga68comp: (Default)
bga68comp ([personal profile] bga68comp) wrote2025-04-11 08:38 pm
  • Add Memory
  • Share This Entry
Entry tags:

Сценарії викрадення інформації або НСД


60 сценаріїв викрадення інформації або несанкціонованого доступу (НСД) під час використання:

  • особистих пристроїв (ноутбук, телефон),
  • корпоративного VPN,
  • доступу через RDP over SSL/TLS,
  • корпоративного ноутбука за периметром мережі,
  • використання хмарних сервісів (OneDrive, SharePoint, Teams, Dropbox тощо).

🔒 1. Через особисті пристрої (BYOD)

1.1. Встановлений шкідливий додаток на телефоні отримує доступ до робочих файлів.
1.2. Ненадійне підключення Wi-Fi перехоплює трафік до корпоративних сервісів.
1.3. Витік VPN-трафіку через DNS-leak або WebRTC-leak.
1.4. Залишений без нагляду телефон з активним VPN.
1.5. Root/jailbreak дозволяє шкідливому ПЗ доступ до системних API.
1.6. Перехоплення clipboard на пристрої (копіювання пароля/токена).
1.7. Зламаний браузер на телефоні краде cookie до корпоративного порталу.
1.8. Витік з месенджера з доступом до корпоративних чатів.
1.9. Несанкціоноване створення резервних копій у сторонні хмари (Google Drive, iCloud).
1.10. Автоматична синхронізація робочих документів на особистий обліковий запис MS Office.

🖥 2. Через RDP over SSL/TLS (дистанційний робочий стіл)

2.1. Витік облікових даних через фішинговий RDP-клієнт.
2.2. Недостатній контроль сесії — сеанс не завершується автоматично.
2.3. Перехоплення трафіку через MITM на зараженому Wi-Fi.
2.4. Сесія записується зловмисником на зараженому хості.
2.5. Вбудовані в буфер обміну дані (clipboard injection).
2.6. Завантаження шкідливих файлів через відкритий mapped диск.
2.7. Доступ до внутрішньої мережі компанії без MFA.
2.8. Вразливість у протоколі RDP або TLS-налаштуваннях.
2.9. Крадіжка знімків екрану через шпигунське ПЗ.
2.10. Несанкціоноване збереження файлів із корпоративного середовища на локальний диск.

🧳 3. З корпоративного ноутбука за периметром мережі компанії

3.1. Підключення до відкритого Wi-Fi без VPN.
3.2. Автоматичне підключення до підробленої мережі (Evil Twin).
3.3. Підключення до зараженого USB (маус, флешка, зарядка).
3.4. Несанкціоноване встановлення стороннього ПЗ.
3.5. Встановлення браузерного розширення-шпигуна.
3.6. Недостатній захист BitLocker або FileVault (відсутність PIN).
3.7. Неоновлена ОС дозволяє експлуатацію CVE-уразливостей.
3.8. Вивантаження робочих документів на особистий Gmail/Dropbox.
3.9. Крадіжка ноутбука в транспорті — диск не зашифрований.
3.10. Використання одного пароля до корпоративного і особистого облікового запису.

☁ 4. Через хмарні сервіси (OneDrive, SharePoint, Teams, Dropbox тощо)

4.1. Ненавмисне надання загального доступу до файлу (public link).
4.2. Запрошення сторонніх користувачів у Teams-канал.
4.3. Використання особистого Dropbox замість корпоративного.
4.4. Неконтрольоване завантаження файлів у OneDrive.
4.5. Шкідливе вкладення в чаті Teams, що запускає скрипт.
4.6. Витік токенів OAuth у логах браузера.
4.7. Використання ботів або розширень до Teams із доступом до даних.
4.8. Неавторизований співробітник має доступ до конфіденційних папок SharePoint.
4.9. Зміна налаштувань спільного доступу без затвердження адміністратором.
4.10. Фішинг через підроблений інтерфейс входу Microsoft 365.

🔓 5. Помилки користувача та фішинг

5.1. Натискання на фішингове посилання у робочій пошті.
5.2. Відправка конфіденційного документа через Telegram замість Outlook.
5.3. Поширення скріншоту робочого екрана з відкритими даними.
5.4. Копіювання пароля у відкритий блокнот.
5.5. Використання публічних комп’ютерів для доступу до OneDrive.
5.6. Автозаповнення браузера вставляє корпоративний пароль у фішингову форму.
5.7. Зберігання токенів VPN/Teams у текстовому файлі.
5.8. Перенесення файлу з корпоративного облікового запису в особистий Google Docs.
5.9. Використання загального сімейного пристрою для входу у корпоративний обліковий запис.
5.10. Примусове оновлення пароля за фішинговим листом від "адміністратора".

💼 6. Інсайдерські загрози і людський фактор

6.1. Звільнений співробітник не позбавлений доступу до Teams.
6.2. Співробітник навмисно завантажує дані в особисту хмару.
6.3. Обхід політик DLP через зашифровані ZIP-архіви.
6.4. Встановлення TeamViewer або AnyDesk без дозволу.
6.5. Використання Telegram Bot API для автоматичного витоку.
6.6. Зйомка робочого екрану на телефон і пересилка у месенджері.
6.7. Вивантаження бази даних через SQL-запит у Excel і збереження в OneDrive.
6.8. Завантаження PowerShell-скриптів на корпоративний хост із зовнішнього ресурсу.
6.9. Співробітник використовує чат GPT або подібне ПЗ для обробки службової інформації.
6.10. Співробітник відкриває файли з вірусами "щоб подивитись що буде".