Количество фишинговых атак в мире достигло рекордного количества в этом году – впервые цифра перевалила за миллион.* Эксперты во многом связывают такой рост с низким уровнем цифровой грамотности общества. Отсутствие у людей понимания ценности собственной информации сильно бьет по ним же самим. Но намного сильнее – по компаниям. Совсем избежать инцидентов, основанных на «человеческом факторе», сложно, а вот минимизировать их, насколько это возможно – намного легче. Попробуем разобраться, как подготовить сотрудника к фишинговой атаке, понять, на что стоит обратить внимание, как прикрыть тылы.
О ФИШИНГЕ
Почему используют фишинг?
Потому что это простой и эффективный метод. Если злоумышленник выбрал вашу компанию целью фишинговой атаки, будьте уверены, он уже знает о вас все, что подсказал ему интернет. Он уже нашел:
список почтовых адресов сотрудников для рассылки;
ресурсы, которые можно подменить для кражи учетных данных (почта, CRM, корпоративные порталы, торчащие наружу);
данные о структуре организации и оформлении подписи в письмах для правдоподобной имитации отправителя;
новости о компании и информацию о «наболевшим» для составления легенды.
В зависимости от количества собранных данных, злоумышленник может использовать индивидуальный подход (от которого защититься сложнее всего) или массовую (обезличенную) рассылку. Зависит от того, насколько амбициозные цели он себе ставит. Или насколько он ленив, ведь с массовой рассылкой на 100+ почтовых адресов можно не заморачиваться, кто-то да «клюнет».
Уязвимости типа «перечисления пользователей» значительно облегчат злоумышленнику задачу пополнения списка для рассылки фишингового письма, а XSS-уязвимости на сайте компании подарят ему x2 к правдоподобности легенды.
Можно ли защититься от фишинга полностью?
Нет, и это факт, с которым стоит смириться. «Человеческий фактор» – не просто словосочетание, это основная движущая сила фишинговых атак.
Мы на практике отрабатывали сценарии различной степени правдоподобности и аккуратности. Например, письмо дошло до адресата не в том виде, который предусматривался злоумышленником, но пользователи сами помогли ему: скопировали из письма страшную ссылку с закодированным пейлоадом, вставили ее в адресную строку и ввели свои учетные данные. При этом нередко пользователь игнорирует все предупреждения о внешнем почтовом адресе, подозрительном содержимом или ссылке, а вдобавок еще и пересылает письмо коллегам.
Чаще всего, неудачной становится только та фишинговая атака, в которой письмо вообще не дошло до адресата.
О ЗАЩИТЕ ОТ ФИШИНГА
Что можно сделать, чтобы обезопасить компанию?
Прежде всего, «приберитесь» на внешнем периметре:
спрячьте корпоративные ресурсы, которым необязательно смотреть наружу (внутренние корпоративные порталы, почту и т.п.);
промониторьте устаревшие ресурсы, в том числе, если они разработаныподдерживаются подрядчиком;
проведите анализ уязвимостей.
Подтяните внутреннюю безопасность. На случай, если кто-то получит доступ к почтовым ящикам, позаботьтесь о том, чтобы там не было данных для продвижения по локальной сети (в том числе инструкции по подключению к VPN вместе с учетными данными для доступа) и файлов с паролями для всех и всего. Исключите все возможности пользователя помочь злоумышленнику. Например, права на установку ПО нужны не всем.
Не забывайте о разграничении прав пользователей в организации. Сотрудники с доступом к критичным данным должны быть более подготовленными к противостоянию фишинговым атакам. Получить логин и пароль менеджера не так фатально для безопасности инфраструктуры, как добраться до учетки системного администратора.
Можно заморочиться и оставить небольшой honeypot в виде общедоступного email-адреса, на который никто из участников бизнес-процессов компании не должен писать письма. Если на него все же придет письмо, у вас будет возможность его изучить и забить тревогу при необходимости.
И, конечно, всегда есть вариант по максимуму запретить пользователю гулять по подозрительным ссылкам (или даже по подозрительному интернету). Но имейте в виду, что это тоже не гарантия безопасности. Мы отрабатывали сценарии, когда пользователю надо было перейти по ссылке на личном устройстве (соответственно, через некорпоративный интернет) и передать свои доменные учетные данные.
Дополнительно обратите внимание на то, как ведется внутренняя корпоративная переписка, введите правила и следите за их соблюдением. Сложнее поверить сообщению от коллеги, если в нем нет регламентированной подписи или, например, письмо начинается с «Привет, %username%», а не с «Добрый день».
Еще одна важная деталь – помните про правила переадресации почты и периодически их проверяйте. Вы могли попасться на фишинг и даже не подозревать об этом. Если злоумышленник уже проник в почту, он имел возможность настроить отправку писем, получаемых пользователем, на свой почтовый адрес и неделями ждать того самого письма с критичными данными или самой обычной ссылкой для восстановления пароля к учетной записи. Чем раньше получится это определить, тем меньший ущерб ждет компанию.
На что обратить внимание сотрудников при обучении?
Варианта «не проводить обучение», как вы уже поняли, нет. Чем лучше выстроена в организации система «кнута и пряника» в отношении противодействия фишинговым атакам, тем внимательнее и критичнее сотрудники относятся к электронной почте. В этом случае метод «один раз объяснил и все поняли» – не работает, лучше проводить регулярные учения.
В первую очередь, сориентируйте сотрудников, на какие маркеры важно обращать внимание, чтобы выявить фишинговое письмо:
Смотрите на отправителя. Вам знаком почтовый адрес? А если приглядеться? Помните, что его можно подделать. Например, сделать незаметную для глаза опечатку, вроде @company.ru и @conpany.ru. Некоторые почтовые клиенты предупреждают, если сомневаются в надежности отправителя, надо только научиться обращать на это внимание.
Если у вас есть баннер «внешний адрес электронной почты», объясните сотруднику, что он значит. Если нет, сделайте.
Смотрите на ссылки. Здесь действительно важно научить пользователя делать это правильно, особенно если они скрыты от глаз, простое наведение курсора на ссылку не поможет (html-тег title может ввести в заблуждение). Прежде, чем кликнуть, посмотрите на адрес, на который она ведет, и спросите себя: это доверенный сайт, в ссылке есть подозрительные символы, она не слишком длинная для простой формы авторизации? Лучший вариант – попробовать пройти до предложенного функционала обходным путем: например, если вам прислали ссылку на форму авторизации, попробуйте найти ее сами, не переходя на страницу напрямую по ссылке из письма.
Относитесь осторожно к любому вложению. Не всегда у вредоносного файла будет расширение .exe, даже безобидные офисные документы могут привести к краже ваших данных и нанесению ущерба.
Обращайтесь к здравому смыслу. Пришло вам письмо. Подумайте, оно должно было вам прийти? Это письмо чем-то отличается от других подобных? Верите ли вы отправителю и убедительно ли содержимое письма? В нем что-то срочно просят сделать, и это требует ввода своих учетных данных? Это повод заподозрить неладное.
Хорошо, если при обучении сотруднику будут демонстрироваться «плохие» примеры писем. Отлично, если после обучения результат будет закреплен через тест, в котором сотруднику будут попадаться как «плохие», так и «хорошие письма» для тренировки внимательности и отработки полученных знаний.
Еще один важный пункт
Учите сотрудников репортить о возможном фишинге, сделайте этот процесс простым и удобным. Сложно обнаружить всех сотрудников, которые ввели свои учетные данные на фишинговом сайте (все врут), но, если вы будете знать, что вас атаковали, сможете принять меры: сменить пароли всем причастным и «навострить уши». Попасться на фишинг хуже, чем лишний раз дернуть айтишника посмотреть, «а что это у меня там».
