Зачем мы отправили фишинг-сообщения сотрудникам? Две истории про «информационные учения» в Selectel
Провели учения в сфере информационной безопасности: придумали два вредных для сохранности данных сценария и отправили фишинг-сообщения коллегам. Что из этого вышло и какие уроки извлекли, рассказываем в тексте. Бонус: полезный чек-лист в финале!
По данным «Ростелеком-Солар», 75% кибератак начинаются с фишинг-сообщений. Их цель — кража персональных данных пользователей. Часто злоумышленники используют такой способ сбора информации для продажи или шантажа.
От фишинга могут пострадать не только отдельно взятые люди, но и компании. Например, в ноябре 2020 года была совершена фишинговая-атака на соучредителя австралийского хедж-фонда Levitas Capital. Мошенники внедрили вредоносное ПО в корпоративную сеть под видом Zoom. Вирус привел к выводу 800 тысяч долларов. Из-за удара по репутации компания закрылась.
Зачем решили запустить фишинг-тест?
Мы в Selectel внимательно относимся к информационной безопасности и системно обучаем сотрудников. Так, например, каждый новичок проходит инструктаж и учебные тесты по работе с ПК, почтой и бумажными документами.
Еще у нас есть «бородатый» обычай. Если человек оставил разблокированный ноутбук в офисе без присмотра, любой сотрудник компании может зайти в рабочий чат и написать что-то в духе: «Я борода!» Иногда этот статус дополняется авторскими комментариями: «Всем пиццы за мой счет!» Как показывает практика, это работает лучше выговоров и замечаний.
Чтобы поддерживать знания и тонус сотрудников на должном уровне, руководитель направления внутренней информационной безопасности Андрей Баранников вместе с командой организовал аналог пожарных учений — фишинговые тесты, которые очень точно имитировали реальные ситуации и практики злоумышленников.
Наши сотрудники понимают, зачем проводятся такие акции, воспринимают это с интересом и энтузиазмом. Тех, кто сообщил об атаке, мы наградили специальными бейджами. Их можно потратить на мерч Selectel.
Всего было проведено несколько фишинговых тестов, среди них две email-инсценировки: LAZZON Premier и «Пенькофф Бизнес». Названия этих предприятий вымышлены, любые совпадения с реальными компаниями случайны.
Слив данных через программу лояльности
В конце прошлого января 400+ сотрудников Selectel получили письмо с приглашением принять участие в программе лояльности от LAZZON.
«Безопасники» постарались написать типичное фишинговое письмо: добавили опечатки в адрес отправителя, насытили текст подозрительными акцентами на уникальность предложения.
Но все равно нашлись сотрудники, которые кликнули по ссылке в письме. Их встретила гугл-форма с фейковой анкетой LAZZON Premier.
Анкета вышла тоже не без тревожных звоночков: например, был вопрос об уровне дохода, отсутствовали ссылки на официальный сайт и согласие на обработку данных.
В тот день бдительность подвела многих. На «крючок» попались и руководители, и те, кто работает в компании больше года. Нашелся даже сотрудник, который отправил 13 анкет на 39 000 рублей. Он задействовал запасные почты и аккаунты близких.
Но не все участники тестирования провалили тест. Были и те, кто предупредил об атаке в корпоративных мессенджерах.
После первой инсценировки отдел информационной безопасности решил узнать, стали ли коллеги бдительней. Для этого придумали второй сценарий фишинг-атаки.
Слив данных через банковскую анкету
В конце октября 2021 года более 600 сотрудников получили письмо с таким текстом:
Уважаемые коллеги!
Спешим вас обрадовать — мы договорись об отличных условиях зарплатного проекта в банке-партнере «Пенькофф».
Мы уверены, что в новых бизнес-условиях каждый сможет найти что-нибудь свое, что ему однозначно понравится. Детальные условия в презентации по ссылке. Доступ к подписке Pro будет предоставляться сотрудникам бесплатно.
Вы сможете перенести ваши действующие кредитные продукты в «Пенькофф» к зарплатному проекту и подключить к услугам до 3-х членов семьи.
Если рассматриваете возможность перехода, необходимо заполнить анкету банка. В следующий вторник (8 ноября) в 13:00 состоится встреча с представителем банка, на которой вы сможете задать все возникающие вопросы.
В письме от «Пенькофф» было много «запинок»:
- Опечатка в адресе: вместо «@selectel.ru» было указано «@selectel.ru.com».
- Ссылка на яндекс-форму. Это нетипично для Selectel — у нас обычно используют Google-формы.
- Ошибка в дате.
- Неактуальная должность «коллеги».
20% участников перешли по ссылке из письма, которая вела на анкету участника зарплатного проекта от «банка». Там пользователю предлагалось оставить паспортные данные, адрес проживания, сведения о семье, уровень дохода, контакты и другую личную информацию.
Саму форму заполнили 17%. Это в три раза меньше, чем в тесте с LAZZON Premier. Но каждый отправитель заполнил сведения о доходе.
Также шесть человек заполнили опциональные поля о родственниках — «слили» персональные данные своих близких.
Интересно, что на этот раз «старички» (более 5 лет работы) не поддались соблазну принять участие в акции. А 99% сотрудников, проваливших первый тест, не дали себя обмануть повторно.
Как не клюнуть на наживку: 3 важных правила
Как показал эксперимент, обмануть можно каждого. Но перестраховаться легко — достаточно держать в голове несколько правил.
Первое: смотрите на данные отправителя
Часто в фишинговых сообщениях можно заметить опечатки в имени, фамилии, номере телефона и, конечно, почтовом адресе.
Второе: проверяйте ссылки и вложения
Иногда для утечки данных достаточно перейти по ссылке в сообщении или скачать вредоносный файл. Смотрите на расширения файлов, корректность ссылок и проверяйте сомнительных в специальных программах. Например, через онлайн-сервис Dr.Web.
Третье: принимайте взвешенные решения
Если возникли подозрения, что вас пытаются обмануть — отложите сообщение и проверьте. Не принимайте поспешных решений.
А еще, чтобы прокачать каждое из качеств, можно попробовать силы в онлайн-тестах по определению фишинговых атак. Вот небольшая подборка: Group IB, Kaspersky, Raiffeisen и Tinkoff.
Подпишитесь на блог Selectel, чтобы не пропустить обзоры, кейсы и полезные гайды из мира IT.
Читайте также: