Не того фишинга, которым называют все вредоносные письма, а согласно определению:
| Фишинг (англ. phishing от fishing «рыбная ловля, выуживание») – процесс выманивания конфиденциальной информации у человека. Чтобы не путаться с определением фишинга и разными его видами, отталкиваемся от изначального его предназначения: ловля, как в рыбалке. Например, выманивание логина, пароля через поддельный сайт социальной сети. |
Что можно сказать об этих трех кейсах и более 100 других проведенных аудитов осведомленности:
- если не проверять знания правил ИБ сотрудников, их проверят злоумышленники;
- если проверять знания и обучать нерегулярно - время на ветер;
- проверять знания сотрудников только своими силами - это как иметь RedTeam и не звать пентестеров - глаз замыливается и эффективность аудитов падает.
НО, если хоть иногда проверять знания сотрудников на практике и иногда обучать - это будет лучше, чем только лишь надеяться на софт/железо/регламенты. Они должны чувствовать вашу любовь, что они вовсе не одиноки работая с этими бездушными информационными системами.
Рассмотрим еще несколько примеров фишинговых писем.
Сценарий №1: Обновление учетных данных (Credential Harvesting)
Атаки на кражу учетных данных через имитацию внутренних ИТ-сервисов — это фундамент корпоративного фишинга. Злоумышленники эксплуатируют рутинность взаимодействия с техподдержкой и страх потери доступа к рабочему пространству.
Тема: Срочно: Истечение срока действия SSO-сессии и пароля для [название компании]
Текст: Уважаемый коллега!
Согласно регламенту безопасности и плановому переходу на обновленные протоколы Azure AD, срок действия вашего корпоративного токена доступа истекает через 24 часа.
Для обеспечения бесперебойной синхронизации с облачными сервисами Microsoft 365 и предотвращения принудительной блокировки учетной записи, вам необходимо пройти процедуру верификации аккаунта и обновления JWT-токена в системе единого входа.
Пожалуйста, выполните вход на корпоративном портале для синхронизации: [URL: Верифицировать учетную запись]
В случае отсутствия подтверждения в указанный срок, доступ к корпоративным ресурсам будет ограничен автоматически до момента личного обращения в Департамент ИТ.
С уважением, Департамент ИТ
--------------------------------------------------------------------------------
Анализ триггера: Используется триггер «Страх потери доступа». Профессиональный ИТ-сленг (Azure AD, JWT-токен) создает иллюзию технической легитимности. «Юридический» тон уведомления о блокировке заставляет сотрудника действовать импульсивно, минуя стадию критической проверки домена.
--------------------------------------------------------------------------------
Сценарий №2: Уведомление от надзорного органа (Трудовая инспекция)
Имитация государственных органов РФ — классика целевого фишинга. В российской деловой культуре триггер «Власть» обладает парализующим эффектом, особенно если он подкреплен конкретными законодательными актами.
Тема: Уведомление о начале внеплановой проверки ГИТ в отношении [название компании]
Текст: Руководству и ответственным лицам юридического департамента!
Настоящим уведомляем, что Государственной инспекцией труда (ГИТ) инициирована внеплановая документарная проверка вашей организации на основании поступившей жалобы о нарушении норм трудового законодательства (ст. 360 ТК РФ).
Вам надлежит в течение 2 рабочих суток ознакомиться с официальным распоряжением №442/ГИТ и перечнем затребованных документов для подготовки мотивированного ответа.
Материалы дела доступны для загрузки в архиве по ссылке: [URL: Ознакомиться_с_жалобой_и_перечнем_ГИТ_360.zip]
Просим подтвердить получение данного уведомления ответным письмом.
С уважением,
Инспектор Государственной инспекции труда
Иванченко А.С.
--------------------------------------------------------------------------------
Анализ триггера: Триггер «Авторитет» усилен «Легальностью». Ссылка на статью 360 ТК РФ и официальный стиль обращения («Настоящим уведомляем», «Вам надлежит») провоцируют резкий рост уровня стресса. Сотрудник воспринимает файл не как потенциальную угрозу, а как критическую задачу, требующую немедленного выполнения во избежание штрафных санкций.
--------------------------------------------------------------------------------
Сценарий №3: Ознакомление с графиком отпусков (HR-отдел)
Эксплуатация личных интересов (отпуск, премии) обеспечивает самый высокий показатель открываемости. Письма от HR воспринимаются как безопасные и имеющие высокую приоритетность для личного комфорта.
Тема: Важно: Изменения в графике отпусков по [название компании]
Текст: Здравствуйте!
Информируем вас о завершении формирования окончательного графика отпусков на год. В связи с изменениями в производственном календаре и внутренней политике компании, ряд ранее согласованных дат был скорректирован.
Вам необходимо ознакомиться с изменениями и подтвердить согласие с новыми датами в «Личном кабинете сотрудника». Если подтверждение не будет получено до конца текущей рабочей недели, даты будут зафиксированы в реестре автоматически без возможности дальнейшего переноса.
Проверить и подтвердить даты: [URL: Личный кабинет / График отпусков]
С уважением,
Отдел кадров (HR)
--------------------------------------------------------------------------------
Анализ триггера: Фактор «Личной значимости» снижает бдительность до минимума. Желание убедиться, что планы на отдых не нарушены, перевешивает осторожность. В данном сценарии сотрудники часто игнорируют Red Flags, так как письмо встроено в привычный и ожидаемый годовой цикл HR-процессов.
--------------------------------------------------------------------------------
Сценарий №4: Изменение реквизитов (BEC-атака через ЭДО)
Сценарий направлен на бухгалтерию и закупки. В РФ этот вектор особенно опасен при имитации работы через системы ЭДО (Диадок, СБИС), которые считаются априори доверенными.
Тема: Срочно: Изменение банковских реквизитов к договору №[номер]
Текст: Добрый день, коллеги!
По текущему договору поставки уведомляем вас о смене обслуживающего банка. В связи с переходом в новый филиал ПАО «Сбербанк», просим осуществлять все платежи, начиная с [Дата], по новым реквизитам.
К письму приложено дополнительное соглашение. Пожалуйста, скачайте его для ознакомления и загрузите скан-копию в вашу систему ЭДО (Диадок/СБИС) для сверки данных.
Ознакомиться с новым доп. соглашением: [URL: Скачать_Доп_Соглашение_реквизиты.html]
Просим подтвердить получение информации, чтобы избежать задержек в отгрузках и финансовых претензий.
С уважением,
Алексей Смирнов Финансовый менеджер
ООО «ТехноСнаб-М»
--------------------------------------------------------------------------------
Анализ триггера: Используется триггер «Рутинность процесса». Письмо мимикрирует под стандартный финансовый документооборот. Использование расширения .html в ссылке (ведущего на фишинговую форму или скрипт) — это опасный индикатор, который сотрудники бухгалтерии часто пропускают из-за механического выполнения операций по сверке.
--------------------------------------------------------------------------------
Сценарий №5: Опрос о премировании
Метод использует имитацию первого лица компании для вовлечения всего персонала через триггер иерархического давления.
Шаблон письма
Тема: Личное обращение Генерального директора: Новая система годового премирования
Текст: Коллеги, добрый день.
Для меня важно, чтобы каждый из вас понимал принципы оценки своего вклада в успех компании. Сейчас мы завершаем разработку новой системы KPI и годового премирования на текущий год.
Я прошу каждого сотрудника пройти короткий анонимный опрос [URL: Портал обратной связи / Система премий]. Ваше мнение станет основой для расчета итоговых коэффициентов выплат в следующем квартале.
Благодарю за вашу вовлеченность и профессионализм.
Генеральный директор,
[Имя Фамилия]
--------------------------------------------------------------------------------
Анализ триггера: Комбинация «Взаимной благодарности» (признание заслуг) и «Любопытства». Авторитет CEO создает социальное давление: отказ от прохождения опроса воспринимается как нелояльность, а тема денег (премий) гарантирует максимальную кликабельность ссылки.
--------------------------------------------------------------------------------
И напоследок, небольшая инфографика по теме примеров фишинговых писем.
