Количество фишинговых атак в мире достигло рекордного количества в этом году – впервые цифра перевалила за миллион.* Эксперты во многом связывают такой рост с низким уровнем цифровой грамотности общества. Отсутствие у людей понимания ценности собственной информации сильно бьет по ним же самим. Но намного сильнее – по компаниям. Совсем избежать инцидентов, основанных на «человеческом факторе», сложно, а вот минимизировать их, насколько это возможно – намного легче. Попробуем разобраться, как подготовить сотрудника к фишинговой атаке, понять, на что стоит обратить внимание, как прикрыть тылы.
О фишинге
Почему используют фишинг?
Потому что это простой и эффективный метод. Если злоумышленник выбрал вашу компанию целью фишинговой атаки, будьте уверены, он уже знает о вас все, что подсказал ему интернет. Он уже нашел:
список почтовых адресов сотрудников для рассылки;
ресурсы, которые можно подменить для кражи учетных данных (почта, CRM, корпоративные порталы, торчащие наружу);
данные о структуре организации и оформлении подписи в письмах для правдоподобной имитации отправителя;
новости о компании и информацию о «наболевшим» для составления легенды.
В зависимости от количества собранных данных, злоумышленник может использовать индивидуальный подход (от которого защититься сложнее всего) или массовую (обезличенную) рассылку. Зависит от того, насколько амбициозные цели он себе ставит. Или насколько он ленив, ведь с массовой рассылкой на 100+ почтовых адресов можно не заморачиваться, кто-то да «клюнет».
Уязвимости типа «перечисления пользователей» значительно облегчат злоумышленнику задачу пополнения списка для рассылки фишингового письма, а XSS-уязвимости на сайте компании подарят ему x2 к правдоподобности легенды.
Можно ли защититься от фишинга полностью?
Нет, и это факт, с которым стоит смириться. «Человеческий фактор» – не просто словосочетание, это основная движущая сила фишинговых атак.
Мы на практике отрабатывали сценарии различной степени правдоподобности и аккуратности. Например, письмо дошло до адресата не в том виде, который предусматривался злоумышленником, но пользователи сами помогли ему: скопировали из письма страшную ссылку с закодированным пейлоадом, вставили ее в адресную строку и ввели свои учетные данные. При этом нередко пользователь игнорирует все предупреждения о внешнем почтовом адресе, подозрительном содержимом или ссылке, а вдобавок еще и пересылает письмо коллегам.
Чаще всего, неудачной становится только та фишинговая атака, в которой письмо вообще не дошло до адресата.
О защите от фишинга
Что можно сделать, чтобы обезопасить компанию?
Прежде всего, «приберитесь» на внешнем периметре:
спрячьте корпоративные ресурсы, которым необязательно смотреть наружу (внутренние корпоративные порталы, почту и т.п.);
промониторьте устаревшие ресурсы, в том числе, если они разработаны\поддерживаются подрядчиком;
проведите анализ уязвимостей.
Подтяните внутреннюю безопасность. На случай, если кто-то получит доступ к почтовым ящикам, позаботьтесь о том, чтобы там не было данных для продвижения по локальной сети (в том числе инструкции по подключению к VPN вместе с учетными данными для доступа) и файлов с паролями для всех и всего. Исключите все возможности пользователя помочь злоумышленнику. Например, права на установку ПО нужны не всем.
Не забывайте о разграничении прав пользователей в организации. Сотрудники с доступом к критичным данным должны быть более подготовленными к противостоянию фишинговым атакам. Получить логин и пароль менеджера не так фатально для безопасности инфраструктуры, как добраться до учетки системного администратора.
Можно заморочиться и оставить небольшой honeypot в виде общедоступного email-адреса, на который никто из участников бизнес-процессов компании не должен писать письма. Если на него все же придет письмо, у вас будет возможность его изучить и забить тревогу при необходимости.
И, конечно, всегда есть вариант по максимуму запретить пользователю гулять по подозрительным ссылкам (или даже по подозрительному интернету). Но имейте в виду, что это тоже не гарантия безопасности. Мы отрабатывали сценарии, когда пользователю надо было перейти по ссылке на личном устройстве (соответственно, через некорпоративный интернет) и передать свои доменные учетные данные.
Дополнительно обратите внимание на то, как ведется внутренняя корпоративная переписка, введите правила и следите за их соблюдением. Сложнее поверить сообщению от коллеги, если в нем нет регламентированной подписи или, например, письмо начинается с «Привет, %username%», а не с «Добрый день».
Еще одна важная деталь – помните про правила переадресации почты и периодически их проверяйте. Вы могли попасться на фишинг и даже не подозревать об этом. Если злоумышленник уже проник в почту, он имел возможность настроить отправку писем, получаемых пользователем, на свой почтовый адрес и неделями ждать того самого письма с критичными данными или самой обычной ссылкой для восстановления пароля к учетной записи. Чем раньше получится это определить, тем меньший ущерб ждет компанию.
На что обратить внимание сотрудников при обучении?
Варианта «не проводить обучение», как вы уже поняли, нет. Чем лучше выстроена в организации система «кнута и пряника» в отношении противодействия фишинговым атакам, тем внимательнее и критичнее сотрудники относятся к электронной почте. В этом случае метод «один раз объяснил и все поняли» – не работает, лучше проводить регулярные учения.
В первую очередь, сориентируйте сотрудников, на какие маркеры важно обращать внимание, чтобы выявить фишинговое письмо:
Смотрите на отправителя. Вам знаком почтовый адрес? А если приглядеться? Помните, что его можно подделать. Например, сделать незаметную для глаза опечатку, вроде @company.ru и @conpany.ru. Некоторые почтовые клиенты предупреждают, если сомневаются в надежности отправителя, надо только научиться обращать на это внимание.
Если у вас есть баннер «внешний адрес электронной почты», объясните сотруднику, что он значит. Если нет, сделайте.
Смотрите на ссылки. Здесь действительно важно научить пользователя делать это правильно, особенно если они скрыты от глаз, простое наведение курсора на ссылку не поможет (html-тег title может ввести в заблуждение). Прежде, чем кликнуть, посмотрите на адрес, на который она ведет, и спросите себя: это доверенный сайт, в ссылке есть подозрительные символы, она не слишком длинная для простой формы авторизации? Лучший вариант – попробовать пройти до предложенного функционала обходным путем: например, если вам прислали ссылку на форму авторизации, попробуйте найти ее сами, не переходя на страницу напрямую по ссылке из письма.
Относитесь осторожно к любому вложению. Не всегда у вредоносного файла будет расширение .exe, даже безобидные офисные документы могут привести к краже ваших данных и нанесению ущерба.
Обращайтесь к здравому смыслу. Пришло вам письмо. Подумайте, оно должно было вам прийти? Это письмо чем-то отличается от других подобных? Верите ли вы отправителю и убедительно ли содержимое письма? В нем что-то срочно просят сделать, и это требует ввода своих учетных данных? Это повод заподозрить неладное.
Хорошо, если при обучении сотруднику будут демонстрироваться «плохие» примеры писем. Отлично, если после обучения результат будет закреплен через тест, в котором сотруднику будут попадаться как «плохие», так и «хорошие письма» для тренировки внимательности и отработки полученных знаний.
Еще один важный пункт
Учите сотрудников репортить о возможном фишинге, сделайте этот процесс простым и удобным. Сложно обнаружить всех сотрудников, которые ввели свои учетные данные на фишинговом сайте (все врут), но, если вы будете знать, что вас атаковали, сможете принять меры: сменить пароли всем причастным и «навострить уши». Попасться на фишинг хуже, чем лишний раз дернуть айтишника посмотреть, «а что это у меня там».
Комментарии (18)
suslovas
11.07.2022 14:02+10Я когда работал в управлении ИБ часто ругался со своими коллегами, потому что они выступали как раз за регулярные учения и кнут для не прошедших эти учения, а я пытался им доказать, что бесполезно учить бухгалтера определять адресата по заголовку письма. Когда секретарю сыпется сотня писем в час, ей некогда каждое изучать под лупой, сверяя каждую букву в адресе. Надо остальную систему безопасности на предприятии выстраивать так что бы удачный фишинг (А он всегда будет удачным, это даже автор статьи признает) не нанес серьезного урона инфраструктуре и бизнесу. А штрафовать на премию бедного бухгалтера бесполезно, это приведет только к тому, что сотрудники будут старательно замалчивать все потенциальные инциденты.
unlimgroup Автор
11.07.2022 14:07+1Что нужно выстраивать систему безопасности – это 100% верно. Учения в этом случае – это только часть комплексных мер, которые помогают сотрудникам понимать, как фишинг в принципе работает и чего стоит опасаться
suslovas
11.07.2022 14:29Согласен. Просто проблема во многих крупных, особенно окологосовых организациях - это палочная система в отделах СБ, и тогда эти учения становятся карательным инструментом и больше во вред, даже если отдел Иб этого не подразумевал.
IvanSTV
11.07.2022 14:29+1именно, в компании постоянно рассылаются ИБ письма с имитацией фишинга и мониторится кто как реагирует. Последний раз я таки сходил по их гребанной ссылке. неудачно ткнув мышкой по слепоте, великолепно понимая, что письмо фишинговое, открывать его не надо, а надо удалить.:) Просто ткнул не туда. От такой ситуации не застрахован никто, а потому репрессивные меры приведут к тому. что перестанут читать сообщения от корпоративных служб.
Я, например, после первого же имитатора фишинга, маскировавшего под рассылку корпоративного блога, просто отключил эту рассылку, чтобы вообще не лезло ничего от них - вот еще распознавать, то ли коллега делится фотками с корпоративного велопробега, то ли ИБ свой фишинговый тренинг рассылает.
К вопросу, на предыдущем емсте работы у меня не было ни одного фишингового письма. Как-то корпорации удавалось все вычислить и отсечь. Да, мучили раз в три месяца проходить тест по киберсекьюрити, который к нашему отделу относился только в 10% вопросов. Да, один раз зашел с рабочего на личную почту и отправил своему же начальнику резюме (ему надо было в учетку для HR подгрузить, за что меня поимели угрозой снять бонусы, которых я там принципиально не мог получить как аутстафф). Но этих дурацких тренингов, когда в любой момент можешь нарваться на депремирование просто не распознав по особым приметам, что это не корпоративная рассылка, не было.suslovas
11.07.2022 14:33+1Да. на это я тоже указывал. И более того, даже оказался прав, когда необходимо было провести массовую рассылку с какой-то важной ссылкой по которой надо было пройти, и процентов 70% сотрудников в это просто не поверили, потому что лучше не рисковать.
IvanSTV
11.07.2022 14:45причем на удаленке процент не поверивших будет еще больше. Например, в опенспейсе люди сидят, он хоть друг у друга спрашивают, информация о том, фишинг это или нет, доходит еще и через личное общение. А когда сидят дома - то грохнут по дефолту, и проблем нет.
plFlok
11.07.2022 18:31+1Когда секретарю сыпется сотня писем в час
о, это прямо моя ситуация. Много сообщений, большая компания, сотни новых контактов, о которых ты тут же забываешь. И мозг оптимизирует это всё совсем небезопасным путём.
Тоже топлю за безопасность во всём, сам очень соблюдал гигиену. Но мне как-то в соцсети написала девушка: "Привет, я от %имя_юриста%, веду дела нашего питерского филиала. можешь мне на пару вопросов ответить?". И я начал отвечать до тех пор, пока не выяснилось, что у человека нет прав для просмотра ссылок, которые я кидаю. И тут я запаниковал.%имя_юриста% - действительно юрист нашей компании, которого я иногда консультировал по техническим вопросам, а также ставил подписи на некоторых бумагах, где нужно "экспертное заключение". В потоке сообщений я даже не осознал, что фразы "я от знакомого человека" достаточно, чтобы я уже авторизовал человека по полной. Ведь фраза "я от твоего коллеги" звучит в день 100 раз, и мозг даже не видит, что в этот раз что-то идёт по-другому. А то, что юристы сидят в других мессенджерах - ну мало ли у них там своя атмосфера.
В тот раз было всё хорошо, это действительно была помощница нашего юриста. Но я тогда сделал для себя много выводов.
DimVision
11.07.2022 16:27+1По долгу службы в 2014-2016 годах занимался рассылками фейковых фишинговых писем в своей компании. На тот момент это было чем-то новым, и мне скорее было интересно изучить механизм работы программы и немного психологию людей. После теста лично говорил со всеми "нарушителями", обьясняя на пальцах, как и почему они подставили себя/компанию.
При этом всегда выступал против карательных мер - которые ничего полезного (на мой взгляд) компании принести не смогут. В отчетах руководству всегда ограничивался числом нарушений, без имен и лиц.
На текущем месте такого функционала у нас нет, и честно говоря я считаю - что он устарел, т.к. отвлекает внимание от работы и заставляет скорее бояться безопасников, нежели учиться избегать фишинга.
В общем за все хорошее и против карательной безопасности.
Sipaha
12.07.2022 09:33Можно ли защититься от фишинга полностью?
Нет, и это факт, с которым стоит смириться. «Человеческий фактор» – не просто словосочетание, это основная движущая сила фишинговых атак.
Разве использование ключей, которые пользователь физически не может ни в какую фишинговую форму ввести (эцп для почты или доступ в интранет по токену) не спасает от подобных атак в 99.9% случаев?
suslovas
12.07.2022 09:47+1Целью фишинга может быть не только получение пары логина\пароля. Может быть открытие зараженного файла с червем-шифровальщиком или просто бэкдор.
Sipaha
12.07.2022 17:14Мы разве не можем на собственном почтовом сервере сделать фильтр вложений, который разрешает передавать файлы без валидации только от коллег, письма которых подписаны ЭЦП? Для внешних отправителей можно сделать своего рода фильтр, который все вложения загружает на внутренний ресурс и вместо вложения в письме формирует ссылку на этот ресурс. При переходе по ссылке мы попадаем в зону, которая требует апрува от безопасников. Если файл признается безопасным, то мы безпрепятственно его качаем. Пока апрува не получено пользователь будет видеть сообщение "Файл на рассмотрении. Для эскалации звоните туда-то туда-то".
suslovas
13.07.2022 13:32Можем, но это все должен кто-то сделать. А зачем если легче и дешевле провести учение, оштрафовать попавшихся и отчитаться на верх, что проведены работы по предотвращению угроз. Именно про это я и писал в первом комментарии.
valbel
Я думал, что на эти ссылки ведутся только неграмотные люди. Есть у меня коллега, невероятно умный мужик, который работает в интернете уже много-много лет.
Пришло мне в контакте как-то сообщение с его весьма интересными фотками. И он поведал, что его шантажировали. Сначала просили 5 тысяч, потом ещё 20, он заплатил, но у вымогателей аппетиты росли. и они стали просить ещё. В общем, не ходите по ссылкам и не отправляйте жёнам фотки. Иначе их увидят все ваши друзья.
unlimgroup Автор
На самом деле случиться может с каждым, тут всегда важно быть начеку
Kyushu
>на эти ссылки ведутся только неграмотные люди
Самое поразительное, что на социальную инженерию ведутся даже сотрудники банков.
tommyangelo27
Имхо, слитые второй стороной фотки - все же не совсем "информационная безопасность", это скорее вопрос доверия. Вряд ли можно что-то сделать, если ваши данные именно ХОТЯТ слить, злонамеренно. Не только фотки, просто персональные данные.
Другое дело, что вы не можете быть уверены, что вторая сторона предпринимает достаточные меры безопасности. Грубо говоря, если вы доверияте персональную информацию банку - можно предположить, что там есть определённые процедуры. А если передаёте информацию любовнице - может оказаться, что у неё пароль из цифр дня рождения.
Вариант "не отправлять ничего никому и никогда" я не рассматриваю. Мы же хотим получать преимущества от технологий и делиться информацией, а не окукливаться.
BMXer_V
Так и запишем: дикпики слать только в банк!
(шучу, конечно, всё правильно пишете)