10 миллионов в трубу через дырявый почтовый сервер

2026-03-21 11:04

Disclaimer: название компании и детали изменены, но ситуация реальная. Пишу не хайпа, ради, а потому что таких историй сейчас становится слишком много.

Я работал руководителем ИТ в региональной сети стоматологических клиник: больше двадцати точек, около 250 сотрудников, CRM, 1С, почта, серверы, персональные данные пациентов, регулярные закупки оборудования и расходников. ИТ-отдел — два с половиной человека. Отдельного ИБ-специалиста не было, всё, что связано с безопасностью, автоматически ложилось на меня.

Почта — Exchange 2019, торчащий наружу. VPN для руководства «неудобно», двухфакторки нет, IMAP/SMTP включены, из защиты спаморез и антивирус. Классическая история.

Пробовал разворачивать бесплатный postfix+dovecot+roundcube — после Exchange руководству не зашло.

Когда в октябре 2025 Exchange 2019 перестал поддерживаться, я пошел к генеральному. Обозначил, что обновления больше не выходят. И что старый Exchange будет безопасным строго до появления новых уязвимостей, закрыть которые мы уже не можем. Понятно, что Exchange SE покупать никто даже не собирался, потому что дорого, сложно купить в РФ, да и платить надо постоянно. Смотрели Яндекс и Mail корпоративные решения — по функциональности ок, но начальство сразу сказало: никаких облаков, всё должно лежать у нас. Общий аргумент был простой: «Мы не Сбер. Кому мы нужны? Работает — не трогай. Денег нет».

Я пытался объяснять, что вопрос не в том, «ломятся к нам или нет», а в том, что при следующей серьёзной уязвимости мы просто останемся без патча. Напоминал историю с ProxyLogon, когда Exchange массово ломали. Без толку.

В конце января случилась история, после которой разговоры закончились.

Поставщик написал, что не получил деньги. При этом платёж на почти 10 млн рублей у нас прошёл, банк его исполнил. Бухгалтерия подняла переписку: там было письмо о смене реквизитов, согласование, финдир дал подтверждение. Всё выглядело абсолютно нормально — письмо в том же треде, тот же стиль, никаких подозрительных доменов.

Когда начали разбираться глубже, выяснилось, что скомпрометированы несколько почтовых ящиков — финдир, бухгалтер и ещё несколько сотрудников. Один точно попался на фишинг: письмо пришло от реального партнёра, у которого до этого угнали почту. Антиспам ничего не заметил.

По остальным логика такая: входы снаружи, один IP, пароли подобрали или утекли где?то раньше. Двухфакторки не было, поэтому зайти в ящик — вопрос техники.

Дальше всё по классике, но очень аккуратно. Люди сидели внутри переписки, ждали нужный момент, подменили письмо с реквизитами, удаляли ответы в ящике финдира, чтобы не палиться. Это не была примитивная схема с «срочно оплатите по новому счёту». Это была нормальная рабочая переписка, просто внутри неё уже находился посторонний. Деньги ушли на счёт однодневки.

После инцидента мы ещё раз проговорили всё то, о чём я говорил до этого: отсутствие 2FA, устаревшая версия почты, доступ снаружи, отсутствие нормального контроля входов, отсутствие процедуры подтверждения смены реквизитов по альтернативным каналам. Антивирус в таких сценариях не спасает — если злоумышленник уже внутри почты, он работает от имени сотрудников.

Через несколько дней мне предложили написать по собственному. Формально — ответственность за инфраструктуру. По факту — руководству нужен был стрелочник. Компания потеряла больше 10 млн рублей. Экономия на почтовом решении, из?за которой отказались от миграции, составляла около 700 тысяч в год.

Я не пишу это, чтобы обвинить конкретных людей или сказать, что «все ничего не понимают». Это типичная история. В малом и среднем бизнесе решения по ИТ до сих пор принимаются по принципу «работает — не трогаем», а безопасность воспринимается как лишняя статья расходов.

Проблема в том, что атаки давно перестали быть «про крупные банки». Сейчас автоматом сканируют всех: у кого торчит наружу почта, где нет двухфакторки, где слабые пароли. И как только находится компания, у которой есть деньги и нет процессов — туда заходят и спокойно работают.

Если у вас почта без 2FA, старый Exchange без поддержки и согласование платежей идёт только по email, вы не защищены. Вам просто пока везёт.

Источник: habr.com



		10 миллионов в трубу через дырявый почтовый сервер
МЕНЮ Главная страница Поиск Регистрация на сайте Помощь проекту Архив новостей ТЕМЫ Новости ИИ Голосовой помощник Городские сумасшедшие ИИ в медицине ИИ проекты Искусственные нейросети Искусственный интеллект Слежка за людьми Угроза ИИ Разработка ИИ Атаки на ИИ ИИ теория Компьютерные науки Машинное обуч. (Ошибки) Машинное обучение Машинный перевод Нейронные сети начинающим Психология ИИ Реализация ИИ Реализация нейросетей Создание беспилотных авто Трезво про ИИ Философия ИИ Внедрение ИИ Big data Генетические алгоритмы Капсульные нейросети Основы нейронных сетей Промпты. Генеративные запросы Распознавание лиц Распознавание образов Распознавание речи Творчество ИИ Техническое зрение Чат-боты Работа разума и сознание Изучение сна Изучение сознания Нейроинтерфейс Психология Работа мозга Работа памяти Работа разума Модель мозга Модель мозга Робототехника, БПЛА Беспилотные автомобили БПЛА Робототехника Трансгуманизм Трансгуманизм Обработка текста Анализ социальных сетей Компьютерная лингвистика Лингвистика Поисковые алгоритмы Теория эволюции Головной мозг Нейронные сети Поведение животных Теория эволюции Дополненная реальность Виртулаьная реальность Дополненная реальность Железо Интернет вещей Квантовый компьютер Нейронные процессоры облачные вычисления Суперкомпьютеры Киберугрозы Кибербезопасность Научный мир Методы исследования Наука и образование Семинары ИТ индустрия ИТ-гиганты Новости ит Разработка ПО Разработка ПО Теория алгоритмов Теория информации Кластеризация Математика Актуальная математика Статистика Теория вероятности Теория информации Теория хаоса Цифровая экономика Технология блокчейн Цифровая экономика Авторизация RSS RSS новости		2026-03-21 11:04 кибер безопасность Disclaimer: название компании и детали изменены, но ситуация реальная. Пишу не хайпа, ради, а потому что таких историй сейчас становится слишком много. Я работал руководителем ИТ в региональной сети стоматологических клиник: больше двадцати точек, около 250 сотрудников, CRM, 1С, почта, серверы, персональные данные пациентов, регулярные закупки оборудования и расходников. ИТ-отдел — два с половиной человека. Отдельного ИБ-специалиста не было, всё, что связано с безопасностью, автоматически ложилось на меня. Почта — Exchange 2019, торчащий наружу. VPN для руководства «неудобно», двухфакторки нет, IMAP/SMTP включены, из защиты спаморез и антивирус. Классическая история. Пробовал разворачивать бесплатный postfix+dovecot+roundcube — после Exchange руководству не зашло. Когда в октябре 2025 Exchange 2019 перестал поддерживаться, я пошел к генеральному. Обозначил, что обновления больше не выходят. И что старый Exchange будет безопасным строго до появления новых уязвимостей, закрыть которые мы уже не можем. Понятно, что Exchange SE покупать никто даже не собирался, потому что дорого, сложно купить в РФ, да и платить надо постоянно. Смотрели Яндекс и Mail корпоративные решения — по функциональности ок, но начальство сразу сказало: никаких облаков, всё должно лежать у нас. Общий аргумент был простой: «Мы не Сбер. Кому мы нужны? Работает — не трогай. Денег нет». Я пытался объяснять, что вопрос не в том, «ломятся к нам или нет», а в том, что при следующей серьёзной уязвимости мы просто останемся без патча. Напоминал историю с ProxyLogon, когда Exchange массово ломали. Без толку. В конце января случилась история, после которой разговоры закончились. Поставщик написал, что не получил деньги. При этом платёж на почти 10 млн рублей у нас прошёл, банк его исполнил. Бухгалтерия подняла переписку: там было письмо о смене реквизитов, согласование, финдир дал подтверждение. Всё выглядело абсолютно нормально — письмо в том же треде, тот же стиль, никаких подозрительных доменов. Когда начали разбираться глубже, выяснилось, что скомпрометированы несколько почтовых ящиков — финдир, бухгалтер и ещё несколько сотрудников. Один точно попался на фишинг: письмо пришло от реального партнёра, у которого до этого угнали почту. Антиспам ничего не заметил. По остальным логика такая: входы снаружи, один IP, пароли подобрали или утекли где?то раньше. Двухфакторки не было, поэтому зайти в ящик — вопрос техники. Дальше всё по классике, но очень аккуратно. Люди сидели внутри переписки, ждали нужный момент, подменили письмо с реквизитами, удаляли ответы в ящике финдира, чтобы не палиться. Это не была примитивная схема с «срочно оплатите по новому счёту». Это была нормальная рабочая переписка, просто внутри неё уже находился посторонний. Деньги ушли на счёт однодневки. После инцидента мы ещё раз проговорили всё то, о чём я говорил до этого: отсутствие 2FA, устаревшая версия почты, доступ снаружи, отсутствие нормального контроля входов, отсутствие процедуры подтверждения смены реквизитов по альтернативным каналам. Антивирус в таких сценариях не спасает — если злоумышленник уже внутри почты, он работает от имени сотрудников. Через несколько дней мне предложили написать по собственному. Формально — ответственность за инфраструктуру. По факту — руководству нужен был стрелочник. Компания потеряла больше 10 млн рублей. Экономия на почтовом решении, из?за которой отказались от миграции, составляла около 700 тысяч в год. Я не пишу это, чтобы обвинить конкретных людей или сказать, что «все ничего не понимают». Это типичная история. В малом и среднем бизнесе решения по ИТ до сих пор принимаются по принципу «работает — не трогаем», а безопасность воспринимается как лишняя статья расходов. Проблема в том, что атаки давно перестали быть «про крупные банки». Сейчас автоматом сканируют всех: у кого торчит наружу почта, где нет двухфакторки, где слабые пароли. И как только находится компания, у которой есть деньги и нет процессов — туда заходят и спокойно работают. Если у вас почта без 2FA, старый Exchange без поддержки и согласование платежей идёт только по email, вы не защищены. Вам просто пока везёт. Источник: habr.com Комментарии:

10 миллионов в трубу через дырявый почтовый сервер

Комментарии: