Spam. Dla naszego klienta, małego, ale rozwijającego się sprzedawcy internetowego specjalizującego się w ręcznie robionych dekoracjach domowych i niestandardowych prezentach, to czteroliterowe słowo zagroziło całej ich marce. Firma była dumna ze swojej lojalnej bazy klientów i spersonalizowanego podejścia do każdego klienta.
W pewnym momencie sklep internetowy zaczął otrzymywać skargi klientów dotyczące otrzymywania spamu w wiadomościach e-mail i połączeniach telefonicznych. Spam często odnosił się do ich wcześniejszych zakupów u sprzedawcy. Zrozumiałe jest, że klienci byli źli i zaniepokojeni tym, jak wyciekły ich dane kontaktowe.
The company initially suspected a general data breach or server vulnerability; however, nothing suspicious was found during extended security checks. The CEO's next guess was an insider threat since the data leak seemed targeted and specific to customer information. Someone within a company with access to the customer database could be responsible for the incident.
Rozwiązanie
Facing a potential PR crisis and loss of customer trust, the CEO decided to use employee monitoring software to track employees' work activity. After researching solutions focused on user activity monitoring and data protection, she chose CleverControl for its extensive monitoring capabilities that could help in insider threat detection.
Kluczowe funkcje CleverControl używane przez firmę obejmowały:
- Podgląd na żywo: an opportunity to view employees' screens in real time could help catch the culprit red-handed.
- Nagrania ekranu: these recordings allowed a quick review of each employee's workday, which could reveal suspicious activity.
- Screenshoty: since the software takes screenshots when the user switches windows, visits a website, or copies something to the clipboard, it was highly probable that the moment of data theft would be captured. Besides, screenshots offered a quicker overview of the employee's day than screen recordings.
- Monitorowanie aplikacji i stron internetowych: tracking these could help understand employees' workflow and reveal if someone was using unauthorized file-sharing services or email clients.
- Monitorowanie zewnętrznych urządzeń pamięci masowej: Firma musiała wiedzieć, czy ktoś skopiował bazę danych klientów na dysk USB lub inne zewnętrzne urządzenie pamięci masowej.
- Monitorowanie poczty e-mail: w przypadku wycieku bazy danych przez e-mail, CleverControl zarejestruje wyciek.
- Rozpoznawanie twarzy: Ta funkcja może ujawnić, kto uzyskał dostęp do komputerów biurowych, zwłaszcza tych z dostępem do baz danych klientów.
- Nagrywanie obrazu i dźwięku w określonych obszarach biurowych z odpowiednimi powiadomieniami: Przechwytywanie dźwięku w pobliżu stacji roboczych może potencjalnie ujawnić komunikację werbalną związaną z wyciekami danych lub nieautoryzowanymi dyskusjami.
Dochodzenie
The CEO, working with the IT manager, implemented CleverControl on 17 office computers. They checked the employees' activity daily, looking for a potential data leak.
In a few weeks, they noticed a log of unusual activity on a customer service representative's computer. It was active long past his usual working hours. The CEO and the IT manager focused their investigation on this activity within CleverControl, and here is what they found:
- The external storage tracking log recorded the connection of a USB drive to the representative's workstation.
- Zrzuty ekranu i nagrania ekranu pokazały, że użytkownik wyeksportował duży plik CSV z folderu bazy danych klientów na swój pulpit. Wkrótce potem skopiował plik na dysk USB.
Kiedy następnego dnia dyrektor generalny skonfrontował się z przedstawicielem obsługi klienta w sprawie tej podejrzanej aktywności, ten zaprzeczył wszelkim zarzutom. Pracownik upierał się, że był w barze z kilkoma kolegami w czasie incydentu, a koledzy potwierdzili jego słowa.
Fearing that the problem might be worse than expected, the CEO checked CleverControl's face recognition logs. Luckily, the representative's computer had a webcam, and the feature was enabled on it. CleverControl showed a facial recognition match for a marketing assistant who worked in a different department and had no legitimate reason to use the representative's workstation. The match and the video captured from the webcam confirmed that the assistant was using the computer at the time of the incident. Further investigation of activity from the assistant's computer showed that she had been browsing job posting websites during work hours in the days leading up to the file export. She seemed to look at roles in competing online retail businesses specifically.
Rezolucja
Dane zebrane przez CleverControl wykryły zagrożenie wewnętrzne. Asystent ds. marketingu był odpowiedzialny za kradzież bazy danych klientów. Eksport plików, transfer USB, aktywność po godzinach pracy i poszukiwanie pracy wskazywały na celową próbę kradzieży danych.
Gdy przedstawiono jej szczegółowe dzienniki aktywności plików i zapisy połączeń USB, asystentka ds. marketingu przyznała się do pobierania i kopiowania bazy danych klientów. Wiedziała, że przedstawiciel działu obsługi klienta często zapominał zablokować swój komputer i wykorzystywał okazję do kradzieży poufnych danych. Asystentka zrobiła to kilka miesięcy temu i zamierzała sprzedać zaktualizowaną bazę danych konkurentowi, aby uzupełnić swoje dochody, ponieważ szukała nowej pracy.
The marketing assistant's contract was terminated immediately, and the company started exploring options for legal action against her. The company also notified affected customers about a potential data leak and explained what they had done to secure data and prevent future incidents. They also offered complimentary bonuses for affected customers as a goodwill gesture.
Dyrektor generalny wdrożył również bardziej rygorystyczne kontrole dostępu do bazy danych klientów, uwierzytelnianie wieloskładnikowe oraz ulepszone szkolenia pracowników w zakresie bezpieczeństwa danych i obowiązków etycznych.
Wniosek
CleverControl odegrał w tym przypadku istotną rolę w wykrywaniu zagrożeń wewnętrznych. Dostarczył dowodów potrzebnych do szybkiej identyfikacji złodzieja danych i podjęcia szybkich działań w celu złagodzenia szkód i zapobiegania przyszłym incydentom. Poza tym przypadek ten podkreśla, że poleganie wyłącznie na dziennikach plików lub śledzeniu aktywności może być mylące. Rozpoznawanie twarzy posłużyło jako dodatkowa warstwa rozpoznawania i pomogło zidentyfikować rzeczywistego użytkownika, który dokonał kradzieży. CleverControl okazał się nieoceniony nie tylko do monitorowania bezpieczeństwa, ale także do zapewnienia uczciwości i dokładności w wewnętrznych dochodzeniach.




