Иногда сотрудник выглядит активным: курсор двигается, окна переключаются, система мониторинга фиксирует работу. Но если ИБ-специалист просмотрит логи системы — увидит, что реальной работы нет. Причина может быть в кликере — устройстве или программе, которая имитирует действия человека. Для бизнеса это не просто курьез, а реальная угроза: компания теряет деньги, аналитика искажается, а вместе с кликером в инфраструктуру может попасть что-то опасное. В статье разбираем, какие бывают кликеры, как их обнаружить и как минимизировать риски, которые влечет за собой их использование.
Что представляют из себя кликеры
Кликеры в контексте информационной безопасности — это инструменты, которые сотрудники используют, чтобы обмануть работодателя и имитировать активность на рабочем месте. Они могут быть как программными, так и аппаратными или комбинированными. Суть всегда одна: система мониторинга «видит», что человек работает, но на деле никаких задач он не выполняет.
Пример использования такого кликера: сотрудник подключает устройство, которое генерирует клики мышкой, или запускает скрипт, имитирующий набор текста. В результате система считает, что работа идет, хотя на самом деле сотрудник бездействует, а «данные», вводимые кликером, — на самом деле бессмыслица, не имеющая отношения к рабочим задачам.
Расследуйте инциденты со Staffcop
Выявляйте и расследуйте утечки, мошенничество и другие инциденты, происходящие по вине сотрудников.
Какие бывают кликеры
Программные кликеры — это скрипты и приложения, которые можно запустить на рабочей станции. Они двигают курсор, имитируют нажатия клавиш или ввод данных. К таким методам могут прибегать сотрудники на удаленке. Например, у подрядчика, подключающегося через протокол RDP, скрипт на личном компьютере может автоматически вводить текст, чтобы система считала, что сотрудник работает.
Аппаратные кликеры — устройства, внешне похожие на флешку. Их подключают через разъёмы (USB, Type C и т. д.), и они начинают генерировать клики или движения курсора. Более дорогие модели могут даже имитировать сложные действия: выбирать окна, вводить данные.
Программно-аппаратные решения совмещают два подхода. Они могут выглядеть как обычное устройство, но внутри работать вместе с программным кодом, чтобы обходить более сложные системы мониторинга.
Механические кликеры — буквально «переделанные» компьютерные мыши или другие устройства, которые физически нажимают кнопки. С подобными устройствами связан миф том, что мышку кладут на часы, чтобы курсор двигался и имитировал активность, однако на практике такой способ работать не будет. А вот перепаять мышь так, чтобы она действительно совершала клики без участия человека, вполне реально.
Отдельно стоит упомянуть еще один момент: иногда кликеры используют не для обмана работодателя, а для автоматизации. Например, в играх или при выполнении рутинных операций. На первый взгляд это безобидно, но если такой инструмент попадает в корпоративную среду, он тоже становится потенциально вредоносным.
Как кликеры попадают на рабочие компьютеры
Простейший путь — сотрудник приносит устройство в офис и подключает его к компьютеру. Другой вариант — загрузка программного кликера. Здесь есть несколько каналов:
- скачивание с веб-ресурсов;
- передача через флешки;
- отправка себе же по почте или в мессенджере.
Скачивания редко отслеживаются системами ИБ, так как в основном службы безопасности ориентированы на передачу данных, а не на загрузку. Исключение — если в кликер встроен вредоносный компонент, на него отреагирует антивирус.
В этом и заключается главная опасность кликеров: вместе с ними сотрудник может занести на рабочую станцию вредоносное ПО. Если с «безобидным» скриптом-кликером на компьютер попадает, например, программа-шифровальщик, то попытка обмануть систему может обернуться полноценной атакой на корпоративную инфраструктуру. И ответственным за эту атаку становится сотрудник, решивший использовать кликер.
Риски для бизнеса
Кликеры создают проблемы на нескольких уровнях:
Финансовые потери. Сотрудник получает зарплату, но не выполняет задачи — если таких людей много, убытки могут стать чувствительными для компании. Если работа не сделана, компания может потерять контракт или, например, получить требование о выплате штрафа за услуги, которые не были предоставлены.
Репутационные риски. Когда сотрудники обманывают работодателя, это сигнал, что с бизнес-процессами что-то не так. «Зачем работать с компанией, где это возможно?» — справедливый вопрос с точки зрения партнеров и клиентов.
Угрозы безопасности. Вместе с кликерами в систему попадают сторонние программы. Такая программа запросто может оказаться опасным вредоносным компонентом, который может парализовать работу организации.
Практические рекомендации
Что может сделать компания:
- Использовать антивирусы и межсетевые экраны. Они не защитят от обмана напрямую, но помогут отсеять угрозы, которые могут прийти вместе с кликером.
- Проводить аудит приложений, портов и процессов. Это позволит заметить подозрительные программы или несанкционированные подключения устройств.
- Регулярно анализировать аномалии. Например, если у всех сотрудников в отделе средняя активность 6–7 часов, а у одного — ровно 8, это повод присмотреться.
- Обучать сотрудников. Важно объяснять, что их действия влияют не только на них, но и на всю компанию. Один неосторожный шаг может привести к сбоям, потерям данных и даже сокращениям.
- Развивать корпоративную культуру. Если компания ценит результат, а не количество часов у компьютера, у сотрудников нет смысла искать обходные пути. Инструменты безопасности без корпоративной культуры могут быть малоэффективны, как и наоборот.
Информационная безопасность бизнеса
Контур.Эгида — сервисы информационной безопасности: уменьшение рисков внутренних угроз и утечек конфиденциальных данных, предотвращение атак злоумышленников.