Для руководителей телекоммуникационных компаний защита активов от злоумышленников — это битва с высокими ставками за операционную устойчивость и доверие к бренду.
Хотя многомиллионные системы безопасности призваны сдерживать внешних противников, данные за 2025 год показывают, что наиболее эффективным вектором атаки остается человеческий фактор. Компания Flashpoint зафиксировала в прошлом году 91 321 случай вербовки инсайдеров, размещения объявлений и нелегальных обсуждений, что доказывает: преступнику зачастую эффективнее купить доступ, чем разрабатывать сложный технический обходной путь.
В 2025 году телекоммуникационная отрасль оказалась в самом эпицентре этой активности, на ее долю пришлось 42 процента всех зафиксированных сообщений, связанных с инсайдерами. Такая концентрация обусловлена статусом сектора как «привратника» в сфере верификации личности.
Вербуя сотрудников операторов связи, злоумышленники облегчают себе проведение SIM-свопинга (техника, при которой номер телефона жертвы перенаправляется на SIM-карту под контролем атакующего). После установления связи преступник получает доступ к звонкам и сообщениям жертвы, что позволяет ему обойти двухфакторную аутентификацию по SMS и получить доступ к конфиденциальным корпоративным или финансовым счетам.
С точки зрения предложения (то есть сотрудников, активно рекламирующих свои услуги), телекоммуникационный сектор лидирует среди всех отраслей. Однако, когда речь заходит о спросе со стороны злоумышленников, ищущих доступ, лидируют технологический и финансовый секторы. Это говорит о том, что, хотя сотрудники операторов связи являются наиболее частыми «продавцами» на нелегальных форумах, их часто используют как трамплин для проникновения в другие ценные отрасли посредством кражи личных данных.
В течение 2025 года Flashpoint отслеживала 10 475 каналов и 17 612 уникальных авторов, вовлеченных в эти транзакции. Telegram остается основной площадкой для такого сотрудничества, хотя недавние запреты платформы на нелегальные группы могут сместить активность в сторону зашифрованных сервисов, таких как Signal, в 2026 году. Эта эволюция означает, что видимость на этих рынках даркнета теперь является необходимым условием для проактивного управления рисками.
Выявление внутренних угроз, нацеленных на телекоммуникации и не только
Инсайдеры, определяемые как любые лица с авторизованным доступом, обладают уникальной способностью обходить традиционные защитные барьеры. Их мотивы варьируются от финансовой выгоды и идеологических разногласий до простой человеческой ошибки.
В одном злонамеренном случае в 2025 году девять сотрудников получили доступ к личным данным более чем 94 000 человек для совершения незаконных покупок. В другом случае подрядчик сторонней организации, работавший с криптофирмой, скомпрометировал данные 69 000 клиентов, что привело к увольнению 300 сотрудников. Обнаружение этих угроз требует мониторинга как технических, так и поведенческих маркеров.
Нетехнические индикаторы часто включают отклонения от известной нормы, такие как импульсивное поведение, социальная изоляция или нехарактерное несоблюдение корпоративных правил. Финансовые изменения не менее показательны: сотрудник, столкнувшийся с внезапными долгами или демонстрирующий необъяснимое богатство, может создавать дополнительные источники финансирования, продавая свой инсайдерский доступ злоумышленникам через нелегальные форумы.
К другим тревожным признакам относятся:
- Нетипичное рабочее время: Злоумышленники могут использовать работу внеурочно для ведения незаконной деятельности при меньшем контроле.
- Необычные зарубежные поездки: Неучтенные поездки могут указывать на вербовку со стороны иностранных структур, спонсируемых государством.
- Сопротивление доступу: Сотрудник, чрезмерно оберегающий свои привилегии доступа или запрашивающий конфиденциальные данные, не относящиеся к его должностным обязанностям, может иметь злонамеренные намерения.
- Условия увольнения: Сотрудники, увольняющиеся при неблагоприятных обстоятельствах, подвержены повышенному риску мести с использованием оставшегося доступа.
Технические меры защиты и обработка данных
С технической точки зрения, использование несанкционированных устройств остается основной уязвимостью. Эти инструменты находятся вне сферы действия корпоративной операционной безопасности, но часто содержат конфиденциальные данные и настройки.
Аналитики также указывают на нерегулярные паттерны доступа — когда сотрудник изучает пределы своих привилегий в областях информации, не связанных с его должностными обязанностями, — как на признак того, что он оценивает возможности для эксфильтрации данных.
Мониторинг сетевого трафика обеспечивает еще один уровень защиты. Необъяснимый рост трафика или использование нестандартных портов и протоколов может указывать на подготовку данных к выводу. Крупномасштабные загрузки, необычное шифрование или отправка данных в несанкционированные пункты назначения служат высокоприоритетными предупреждениями.
По мере развития технологий искусственного интеллекта (ИИ) инструменты, доступные как защитникам, так и злоумышленникам, будут становиться все более изощренными. В то время как ИИ поможет организациям быстрее выявлять аномалии, злоумышленники также будут использовать эти инструменты для автоматизации поиска уязвимостей и конфиденциальных наборов данных.
Ожидается, что акторы, занимающиеся программами-вымогателями (ransomware), продолжат агрессивно вербовать инсайдеров, особенно в телекоммуникационном секторе, используя человеческие уязвимости посредством социальной инженерии для обхода технических барьеров.
Для обеспечения соответствия нормативным требованиям и защиты коммерческой тайны руководители предприятий должны перейти к модели непрерывной верификации. Понимая объемы вербовочной активности и конкретные тактики, используемые при SIM-свопинге и эксфильтрации данных, операторы связи смогут лучше защитить своих клиентов и собственную прибыль от «угрозы изнутри».
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Ryan Daws
