Зачем мы отправили фишинг-сообщения сотрудникам? Две истории про «информационные учения»‎ в Selectel

Провели учения в сфере информационной безопасности: придумали два вредных для сохранности данных сценария и отправили фишинг-сообщения коллегам. Что из этого вышло и какие уроки извлекли, рассказываем в тексте. Бонус: полезный чек-лист в финале!

По данным «Ростелеком-Солар», 75% кибератак начинаются с фишинг-сообщений. Их цель — кража персональных данных пользователей. Часто злоумышленники используют такой способ сбора информации для продажи или шантажа.

От фишинга могут пострадать не только отдельно взятые люди, но и компании. Например, в ноябре 2020 года была совершена фишинговая-атака на соучредителя австралийского хедж-фонда Levitas Capital. Мошенники внедрили вредоносное ПО в корпоративную сеть под видом Zoom. Вирус привел к выводу 800 тысяч долларов. Из-за удара по репутации компания закрылась.

Зачем решили запустить фишинг-тест?

Мы в Selectel внимательно относимся к информационной безопасности и системно обучаем сотрудников. Так, например, каждый новичок проходит инструктаж и учебные тесты по работе с ПК, почтой и бумажными документами.

Еще у нас есть «бородатый»‎ обычай. Если человек оставил разблокированный ноутбук в офисе без присмотра, любой сотрудник компании может зайти в рабочий чат и написать что-то в духе: «Я борода!» Иногда этот статус дополняется авторскими комментариями: «Всем пиццы за мой счет!» Как показывает практика, это работает лучше выговоров и замечаний.

Чтобы поддерживать знания и тонус сотрудников на должном уровне, руководитель направления внутренней информационной безопасности Андрей Баранников вместе с командой организовал аналог пожарных учений — фишинговые тесты, которые очень точно имитировали реальные ситуации и практики злоумышленников.

Наши сотрудники понимают, зачем проводятся такие акции, воспринимают это с интересом и энтузиазмом. Тех, кто сообщил об атаке, мы наградили специальными бейджами. Их можно потратить на мерч Selectel.

Андрей Баранников, руководитель направления внутренней информационной безопасности Selectel

Всего было проведено несколько фишинговых тестов, среди них две email-инсценировки: LAZZON Premier и «Пенькофф Бизнес». Названия этих предприятий вымышлены, любые совпадения с реальными компаниями случайны.

Слив данных через программу лояльности

В конце прошлого января 400+ сотрудников Selectel получили письмо с приглашением принять участие в программе лояльности от LAZZON.

Текст фишинг-письма.
Текст фишинг-письма.

«Безопасники» постарались написать типичное фишинговое письмо: добавили опечатки в адрес отправителя, насытили текст подозрительными акцентами на уникальность предложения.

Элементы, которые должны были насторожить сотрудников.
Элементы, которые должны были насторожить сотрудников.

Но все равно нашлись сотрудники, которые кликнули по ссылке в письме. Их встретила гугл-форма с фейковой анкетой LAZZON Premier.

Форма состояла из 12 пунктов. Она собирала информацию как об адресе и должности, так и об уровне дохода.
Форма состояла из 12 пунктов. Она собирала информацию как об адресе и должности, так и об уровне дохода.

Анкета вышла тоже не без тревожных звоночков: например, был вопрос об уровне дохода, отсутствовали ссылки на официальный сайт и согласие на обработку данных.

В тот день бдительность подвела многих. На «крючок»‎ попались и руководители, и те, кто работает в компании больше года. Нашелся даже сотрудник, который отправил 13 анкет на 39 000 рублей. Он задействовал запасные почты и аккаунты близких.

Но не все участники тестирования провалили тест. Были и те, кто предупредил об атаке в корпоративных мессенджерах.

После первой инсценировки отдел информационной безопасности решил узнать, стали ли коллеги бдительней. Для этого придумали второй сценарий фишинг-атаки.

Слив данных через банковскую анкету

В конце октября 2021 года более 600 сотрудников получили письмо с таким текстом:

Уважаемые коллеги!

Спешим вас обрадовать — мы договорись об отличных условиях зарплатного проекта в банке-партнере «Пенькофф»‎.

Мы уверены, что в новых бизнес-условиях каждый сможет найти что-нибудь свое, что ему однозначно понравится. Детальные условия в презентации по ссылке. Доступ к подписке Pro будет предоставляться сотрудникам бесплатно.

Вы сможете перенести ваши действующие кредитные продукты в «Пенькофф»‎ к зарплатному проекту и подключить к услугам до 3-х членов семьи.

Если рассматриваете возможность перехода, необходимо заполнить анкету банка. В следующий вторник (8 ноября) в 13:00 состоится встреча с представителем банка, на которой вы сможете задать все возникающие вопросы.

В письме от «Пенькофф»‎ было много «запинок»:

  • Опечатка в адресе: вместо «@selectel.ru» было указано «@selectel.ru.com».
  • Ссылка на яндекс-форму. Это нетипично для Selectel — у нас обычно используют Google-формы.
  • Ошибка в дате.
  • Неактуальная должность «коллеги»‎.

20% участников перешли по ссылке из письма, которая вела на анкету участника зарплатного проекта от «банка»‎. Там пользователю предлагалось оставить паспортные данные, адрес проживания, сведения о семье, уровень дохода, контакты и другую личную информацию.

Саму форму заполнили 17%. Это в три раза меньше, чем в тесте с LAZZON Premier. Но каждый отправитель заполнил сведения о доходе.

Также шесть человек заполнили опциональные поля о родственниках — «слили» персональные данные своих близких.

Интересно, что на этот раз «старички» (более 5 лет работы) не поддались соблазну принять участие в акции. А 99% сотрудников, проваливших первый тест, не дали себя обмануть повторно.

Как не клюнуть на наживку: 3 важных правила

Как показал эксперимент, обмануть можно каждого. Но перестраховаться легко — достаточно держать в голове несколько правил.

Первое: смотрите на данные отправителя

Часто в фишинговых сообщениях можно заметить опечатки в имени, фамилии, номере телефона и, конечно, почтовом адресе.

Второе: проверяйте ссылки и вложения

Иногда для утечки данных достаточно перейти по ссылке в сообщении или скачать вредоносный файл. Смотрите на расширения файлов, корректность ссылок и проверяйте сомнительных в специальных программах. Например, через онлайн-сервис Dr.Web.

Третье: принимайте взвешенные решения

Если возникли подозрения, что вас пытаются обмануть — отложите сообщение и проверьте. Не принимайте поспешных решений.

А еще, чтобы прокачать каждое из качеств, можно попробовать силы в онлайн-тестах по определению фишинговых атак. Вот небольшая подборка: Group IB, Kaspersky, Raiffeisen и Tinkoff.

Подпишитесь на блог Selectel, чтобы не пропустить обзоры, кейсы и полезные гайды из мира IT.

Читайте также:

3838
9 комментариев

Если довольно часто проходит такое мероприятие, я бы уже чисто ради интереса посмотрел какой хернёй страдает руководство, также отлично понимаю "старичков" которым такие мероприятия уже надоели.
Да и интересно, насколько напряжно работать сотрудникам, когда руководство любит поизводить сотрудников?
Кроме того, много ли в сети знает как написать на корпоративную почту? Учитывается ли, что просто сотрудник мог в разгар рабочего дня просто так сказать "уработаться" и не обратить внимания? Учитывается ли уровень знания сотрудников о фирме? Ведь вряд ли тот же менеджер по продажам или офис-менеджер в курсе каки ещё купили домены в фирме, насколько грамотен автор письма и другие нюансы.

В фишинге довольно много факторов играет важную роль. А вы сразу считаете людей неграмотными и объявляете их некомпетентными.

3

Не рассматриваем непрохождение фишинг-теста как провал) Это не ЕГЭ и не тест на знание ПДД. Это механика, которая помогает подсветить возможные опасности и быть в следующий раз внимательнее.

Конечно, если запускать такие акции слишком часто, они не принесут большой пользы. Но это не наш случай) Фишинг-сообщения отправляли в качестве профилактических "учений" и эксперимента.

7

Молодцы, что честно пишете о проваливших тест, но немного печально.

3

К сожалению, из-за невнимательности фишинг-сообщения "ловят" на крючок самых разных пользователей. В том числе и не особо доверчивых в обычных обстоятельствах :) Источников атак тоже много: от SMS и социальных сетей до электронной почты и поисковых систем.

Надеемся, что вас подобные уловки не проведут. А если захотите оценить свою бдительность, в конце текста даем пару полезных ссылок на тренажеры.

1

Всячески одобряю такие тренинги, но к сожалению нет - не сработает.

Слишком замылен глаз у офисных сотрудников, плюс есть обязательный кредит доверия к внутреннему софту - он воспринимается как рабочий инструмент, как что-то надежное.

Вообщем даже бородатые программисты кликают по таким ссылкам легко и просто.

Для рядовых сотрудников вы лишь запустите паранойю и все кончится тем что они вообще лишний раз на письма реагировать не будут.

Тема с опечатками в адресе тоже несколько устарела: ну заставите вы заучить корневой домен компании, а письмо придет через угнанную учетку от smtp шлюза, которая зашита в каждом втором вашем сервисе, отправляющем почту.
Поскольку сейчас в моде 'микросервисы', таких мелких сервисов в компании может быть под сотню другую. Обязательно кто-то что-то забудет и не затрет - вообщем риск утечки рабочей учетки к корпоративному SMTP сейчас максимально высок в любой крупной компании.

По итогу в поле 'From' будет стоять честный noreply@corp.selectel.ru, SPF и whitelists пойдут лесом, ведь отправка была через ваш же шлюз.

Но самое страшное если у вас используется система вроде mailgun для массовых рассылок и кто-то снаружи получит к ней доступ: в таких системах и база адресов и шаблоны сообщений в html с картинками и вся история отправок -все внутри, обычно с полным доступом и максимально понятным интерфейсом.
Вот где раздолье будет для скама и фишинга.

3

Нашелся даже сотрудник, который отправил 13 анкет на 39 000 рублей. Он задействовал запасные почты и аккаунты близких.🤣🤣🤣🤣🤣🤣🤣

Вы нашли кому нужна прибавка к зарплате. Пусть думает как научить общество и или/компанию распознавать фишинг, а вы приплачивайте за разумные и действенные идеи.

Только клиентам не отправляйте такие эксперименты, пожалуйста, а то у меня ваши облигации и очень не хотелось бы дефолта по ним.

1

Важно понимать, что есть и другие возможности потерять деньги, если работаешь с селектелом. Они просто в один прекрасный день поднимут цены в 2 раза и привет!
Как они недавно сделали с колокейшен.

1