Зачем мы отправили фишинг-сообщения сотрудникам? Две истории про «информационные учения» в Selectel
Провели учения в сфере информационной безопасности: придумали два вредных для сохранности данных сценария и отправили фишинг-сообщения коллегам. Что из этого вышло и какие уроки извлекли, рассказываем в тексте. Бонус: полезный чек-лист в финале!
Всячески одобряю такие тренинги, но к сожалению нет - не сработает.
Слишком замылен глаз у офисных сотрудников, плюс есть обязательный кредит доверия к внутреннему софту - он воспринимается как рабочий инструмент, как что-то надежное.
Вообщем даже бородатые программисты кликают по таким ссылкам легко и просто.
Для рядовых сотрудников вы лишь запустите паранойю и все кончится тем что они вообще лишний раз на письма реагировать не будут.
Тема с опечатками в адресе тоже несколько устарела: ну заставите вы заучить корневой домен компании, а письмо придет через угнанную учетку от smtp шлюза, которая зашита в каждом втором вашем сервисе, отправляющем почту.
Поскольку сейчас в моде 'микросервисы', таких мелких сервисов в компании может быть под сотню другую. Обязательно кто-то что-то забудет и не затрет - вообщем риск утечки рабочей учетки к корпоративному SMTP сейчас максимально высок в любой крупной компании.
По итогу в поле 'From' будет стоять честный noreply@corp.selectel.ru, SPF и whitelists пойдут лесом, ведь отправка была через ваш же шлюз.
Но самое страшное если у вас используется система вроде mailgun для массовых рассылок и кто-то снаружи получит к ней доступ: в таких системах и база адресов и шаблоны сообщений в html с картинками и вся история отправок -все внутри, обычно с полным доступом и максимально понятным интерфейсом.
Вот где раздолье будет для скама и фишинга.