Введение
- Неинформированность сотрудников - частая причина успешной реализации фишинговых атак.
- В статье вы найдете полезные рекомендации по противодействию фишингу.
Что такое фишинг?
С начала второго квартала 2020 года наблюдается стремительный рост кибератак. По данным Positive Technologies, в первом квартале 2020 года злоумышленники реализовали на 23% больше кибератак по сравнению с четвертым кварталом прошлого года. Данная тенденция связана, прежде всего, с коронавирусной ситуацией во всем мире и как следствие повсеместным переходом компаний на удаленный формат работы.
Все еще одним из самых распространённых типов угроз являются атаки, использующие методы социальной инженерии. Это целевые атаки, которые рассчитаны на человеческий фактор. Одним из популярных источников угроз социальных мошенников являются фишинговые письма. Согласно данным исследования компании Barracuda Networks, только за период февраль-март 2020 года количество фишинговых писем увеличилось более чем на 600%.
Существуют различные решения и технологии для борьбы с фишингом и его последствиями: контентная фильтрация, антиспам, анализ трафика, реагирование на инциденты и т.д. Одним из эффективных способов повышения защищенности от фишинга является информирование сотрудников о самой возможности такой атаки на них с последующей фишинговой рассылкой. Фишинговые рассылки можно проводить через неделю или две после инструктажа об опасности таких атак.
Как показывает последняя проведенная нами обучающая фишинговая рассылка в рамках предприятия коммерческого блока с численностью сотрудников более 600 человек, более 9% сотрудников стали жертвой фишинговой рассылки: открыли письмо, нажали «скачать изображения», перешли по ссылке и передали свои доменные учетные данные потенциальному злоумышленнику (таблица 1).
| Отправлено писем | Открыли, прочитали и нажали «скачать изображения» | Перешли по ссылке | Ввели свои учетные данные на фишинговом ресурсе |
|---|---|---|---|
| 671 | 211 | 98 | 62* - 9.2% |
Как организовать обучающую рассылку?
При реализации подобной стратегии повышения осведомленности сотрудников необходимо учесть ряд организационных моментов и обязательно получить письменное согласие на проведение подобных работ.
Как решить задачу подбора почтовых адресов для проведения учебных фишинговых рассылок.
Первый подход: взять всех сотрудников из AD и отправить им письма с «поддельного» адреса. Полное покрытие базы сотрудников.
Казалось бы, можно на этом закончить, но можно поступить и так, как чаще всего поступают злоумышленники.
Второй подход (как делают злоумышленники):
Использовать агрегаторы: взять адреса там, где они уже есть (например, hunter.io или intel.io).
Использовать поиск при помощи утилит theharvester и FOCA: поиск по Google доркам и извлечение почтовых адресов из опубликованных документов.
В социальных сетях найти ФИО сотрудников, которые связаны с организацией (указали место работы или вступили в группу). Зная алгоритм формирования почтовых адресов, сгенерировать на основании этих данных список для рассылки. Сократить список исключениями недействительных почтовых адресов.
Для реализации последнего пункта можно использовать утилиту iSMTP. Утилита iSMTP использует методы RCPT TO and VRFY: возьмет из текстового файла список адресов и попробует установить валидность почтового адреса.
Действуя подобным образом, формируется список пользователей, кто будет первым в списках на фишинг, а значит можно не только выслать обезличенную памятку по фишингу всем сотрудникам, но и отметить определенных как зону риска. И пообещать проверку осведомленности именно их. Обычно, это мотивирует пользователей все же прочитать рекомендации по противодействию фишингу.
Как показывает наша практика, лучшие результаты достигаются там, где оба подхода чередуются и подобные учения проходят на регулярной основе.
Что делать с сотрудниками, которые попались на фишинговую рассылку?
В данном случае на первый план выходит психологический фактор, при котором сотрудники, которые попались на фишинговую рассылку, несмотря на все направленные ранее памятки и рекомендации, могут стать вашими помощниками в повышении ИБ-грамотности персонала. После подробных объяснений основных ошибок и их последствий для компании, эти сотрудники будут максимально внимательно проверять каждое подозрительное письмо и звонки. Некоторые компании просят поделиться опытом жертву фишинга с коллегами. Личный опыт из уст коллег заставляет серьезнее воспринимать такие события и это нужно использовать.
Большинство пользователей не понимают, что владеют информацией, которая является ценным активом компании, которым потенциально хотят завладеть злоумышленники. Также многие не знают и о самой социальной инженерии, которую могут против них использовать.
Что делать сотрудникам, которые получили подозрительное письмо?
1. Если вы замечаете подозрительное поведение компьютера или подозрительное письмо в почте, незамедлительно сообщите об этом в службу информационной безопасности своей организации. Чем вы быстрее сообщите об этом, тем быстрее они смогут отреагировать.
2. Если вам приходит письмо с вложенным документом или ссылкой, которые вы совершенно не ожидаете от отправителя, прежде чем открывать вложения или переходить по ссылке:
- Позвоните отправителю. Уточните, действительно ли он отправил это письмо?
- Задайте себе вопрос, а я могу доверять отправителю?
- Соблюдайте цифровую гигиену:
✔ Не сохраняйте в браузере пароль от web-формы входа в почту
4. Никогда не вводите свой корпоративный пароль на сторонних ресурсах, а если вас просят это сделать – уточните этот момент у службы информационной безопасности своей организации. Поверьте, они будут рады тому, что вы спросили это у них сейчас, а не пришли к ним, когда вас «взломали».
5. Никогда не сообщайте пароли по телефону, даже если звонящий представляется сотрудником вашей IT-службы или службы безопасности. Свяжитесь сами со службой безопасности и спросите, почему по телефону спрашивают ваш личный пароль?
