vc.ru выяснил, кто из «своих» способен слить данные мошенникам
Результаты эксперимента заставили понервничать.
Материал подготовлен при поддержке «Лаборатории Касперского»
Больше половины сотрудников имеют доступ к корпоративной информации, которая для них не предназначается: финансовым отчётам, базам корпоративных и клиентских данных. А в 86% опрошенных CISCO компаний сотрудники хотя бы раз переходили по фишинговой ссылке.
Обычно в «сливе» и потере данных винят рядовой персонал, но нам в «Комитете» это положение показалось сомнительным. Проверить себя решили экспериментом: предложили сотрудникам разных уровней — редактору на испытательном сроке, опытному бухгалтеру и директору по продукту — решить задачки по кибербезопасности Gamified Assessment Tool.
Что за игра
Игроку предлагают один из трёх сценариев работы — из офиса, дома или аэропорта — и просят принять решение в 12 заданных ситуациях. Его задача — оценить, насколько опасна каждая предложенная ситуация, выставив красные или зелёные фишки.
Время ограничено: по умолчанию — 10 минут, но эйчарщик или руководитель могут менять временные рамки (мы оставили как есть).
Другая интересная фишка — ситуации генерируются программой автоматически, поэтому вопросы у разных сотрудников часто не совпадают (чтобы не списывали). Проходили игру всем креативным отделом — 18 человек. Большинство на удалёнке, поэтому основным сценарием выбрали «Работу из дома». Но бухгалтеры, например, постоянно работают из офиса, поэтому они проходили сценарий «Опенспейс». А тем, кто часто путешествует — как, например, наш директор по продукту Филипп Концаренко, — назначили головоломку «Работа из аэропорта», которая нам казалась одной из самых сложных. Но Филипп нас удивил.
Сценарий: «Работа из аэропорта».
Уверенность: 80,6%.
Большинство вопросов показались мне слишком простыми, но думаю, всё дело в том, что я просто чуть осмотрительнее среднестатистического пользователя — в силу должности. Например, к корпоративным ресурсам я подключаюсь только через VPN — у «Комитета» он свой, и разворачиваем мы его на собственных серверах.
Корпоративные пароли я храню только в проверенных менеджерах вроде 1Password, но даже там устанавливаю двухфакторную аутентификацию и никогда не пользуюсь плагинами для браузеров — всегда захожу в само приложение. А вот за сохранность личных данных я переживаю чуть меньше: храню всё в iCloud и, как мне кажется, до сих пор «плаваю» в теме авторизации через соцсети на посторонних сайтах.
Однажды, когда я был в отпуске, мне на почту пришло письмо от нашего руководителя Влада Цыплухина: «Голосуем за дизайн мебели и идеи для офиса» и ссылка на публикацию в интранете «Комитета». Я подумал, что это странно, но у меня были каникулы, и настроения сильно вникать не было. Перешёл по ссылке, одобрил автоматическую подстановку пароля, получил «ошибку», но ввёл данные снова: голосование за удобные стулья почему-то в тот момент стало делом принципа.
А потом я получил предупреждение о том, что письмо было фишинговым. Оказалось, разработчики проверяли нас в рамках нового спецпроекта. Было немного стыдно, и урок из той ситуации я вынес.
Баллы: 11 из 12.
Одно из заданий Филиппа выглядело так
Окей, Филиппа не проведёшь. Но как насчёт нашего нового сотрудника — редактора Марины, подумали мы. Марина из Питера, и хотя сейчас живёт в Москве, в офис ходит нечасто: в обнимку с кошкой Мотей работать приятнее. В общем, Марина была идеальным кандидатом для испытания «Работа из дома». Тем более что вспомнить, кидал ли кто-нибудь ей файлик с инструкциями по цифровой безопасности, никто из нас так и не смог.
Сценарий: «Работа из дома».
Уверенность: 77,8%.
Скажу честно — я боялась проходить тест. Как журналист, я, например, не привыкла блокировать запросы от незнакомцев: в каждом из них я вижу потенциального спикера, чей опыт будет полезен для какого-нибудь нового текста. Думала, что дам только два правильных ответа, и уже успела представить, как после этого моя репутация с треском разбивается о скалы.
Первая причина моей осторожности — синдром отличницы: всё-таки я сотрудница не только издательского дома, но и ИТ-компании, где неосторожность недопустима. Вторая — давнишний травмирующий опыт использования легендарной платформы для скачивания музыки «Зайцев.нет», где об ограничениях на скачивание и проверку загрузок никто не слышал.
Но 8 баллов из 12 — не такой уж плохой результат. Обиднее всего я прокололась на вопросе, от которого не ждала никакого подвоха: оказалось, что «бухгалтерия» вместе с зарплатной ведомостью может прислать мне вирус.
Баллы: 8 из 12.
Вот одно из заданий Марининого теста
Марина не без ошибок, но справилась с тестом — дала ⅔ правильных ответов. Хоть её работа и не связана с конфиденциальными данными компании, ей стоит быть внимательнее с подозрительными ссылками и сообщениями. А мы проверяем нашу компанию дальше. Наш главный бухгалтер Альмира работает в московском офисе и каждый день имеет дело с конфиденциальными данными, в том числе с теми, от которых зависят наши зарплаты. Не хотелось бы, чтобы с ними что-то случилось!
Сценарий: «Работа в офисе».
Уверенность: 66,7%.
В части сценариев у меня сомнений не было. Я точно знаю, что нужно как можно быстрее устанавливать обновления ОС, браузеров и приложений, в том числе антивирусов. Отложить это на потом можно, если ты не готов в случае необходимости перезагрузить систему — например, во время рабочего звонка.
Я также не открою с рабочего компьютера ссылки от пускай даже условного «Сбера», который предлагает мне автоматически оформить какие-то финансовые выписки. Мне проще самой зайти в приложение и убедиться, что там эта функция есть, или сходить за нужными выписками к коллегам из бухгалтерии. К осторожности обязывает профессия.
Но вот какой парадокс. В жизни я устанавливаю сложные пароли по методичке: цифры, буквы, символы, разный регистр, никаких дат и существующих слов. А в игре я об этом напрочь забыла. На одной из карточек сотрудник вводит пароль, чтобы войти в аккаунт. Я решила, что он молодец, потому что закрыл общий доступ к профилю. Но совсем не заметила, что пароль у него всего из четырёх значков.
Получается, быть осмотрительным в жизни не обязательно значит быть начеку всегда и везде. Да и излишняя осторожность хоть и не вредит, но не то чтобы помогает — из-за этого у меня такой низкий показатель уверенности. Думаю, если бы я прошла игру ещё раз, я бы справилась лучше, но в случае с киберугрозами второго шанса у меня, конечно, не будет.
Баллы: 8 из 12.
Вот одно из заданий для Альмиры
А как в среднем по больнице?
Наконец, когда в игру доиграли все, мы смогли оценить общий уровень компании. Результаты программа выдаёт в процентах: отличным считается показатель в 81–90%. Этого уровня в нашей команде достигли всего трое — уже знакомый вам директор по продукту Филипп, креативный директор Миша и редактор этого текста Никита.
Одиннадцать сотрудников показали средний уровень 61–80%: по мнению разработчиков, риск попасться на уловку мошенников у коллег всё же высок, и следует отправить их на обучение — например, экспресс-курс на платформе Kaspersky Automated Security Awareness.
А вот четыре сотрудника (<60%) оказались для мошенников очень простой мишенью — есть вероятность, что они станут угрозой кибербезопасности компании. Например, они могут открыть ссылку с вирусом, который «выкрадет» доступы к бухгалтерским программам и оставит всех сотрудников без зарплаты.
В таблице с результатами кроме оценок можно увидеть, в какой теме «плавает» каждый сотрудник — например, использует ненадёжные пароли или небрежно относится к безопасности данных в почтовой переписке. Оказалось, что в «Комитете» хуже всего с безопасностью на мобильных устройствах: не все знают, что нужно своевременно устанавливать обновления операционной системы и регулярно делать резервные копии.
Зачем в игре нужны «фишки», мы поняли тоже только после получения результатов. Система помогает выявить «зазнаек» — сотрудников, которые уверены в том, что их невозможно взломать, но напрасно. Как объясняют разработчики Assessment Tool, если сотрудник демонстрирует высокую уверенность (81–100%), но при этом набирает меньше половины правильных ответов — он прямая угроза кибербезопасности компании. И его скорее стоит отправить на обучение.
Программу Gamified Assessment Tool придумала «Лаборатория Касперского». Обычно в неё играют корпоративные клиенты компании, но первые 3 150 наших читателей могут проверить себя бесплатно — прямо сейчас.
По опросу проведённому в интернете у 100% пользователей есть интернет.
Вы попробуйте то же самое провернуть в компании не связанной с интернетом, а занимающейся торговлей. Что-то из B2B.
По моему опыту, там все очень плохо. Люди используют небезопасные пароли, не отличают онлайн сервисы в глобальной сети от локальных. Да больше половины, как они пишут в резюме, "уверенных пользователей ПК", не умеют использовать даже дефолтный комплект из набора офиса, Аутлук, Ворд, Эксель.
Я занимаюсь, в том числе, внедрением CRM. Не знать адреса CRM это норма, открывают один раз вкладку и сидят в ней пока браузер не сглючит. Некоторые даже закладками пользоваться не умеют. Обращение с формулировкой "не работает crm" это может быть что угодно, к примеру браузер не запускается... Паролей и логинов от неё не помнят, в лучшем (а лучшем ли) случае, записывают их на бумажку.
Про флешки из дома в рабочий комп и наоборот, это я уже молчу. Информационной безопасностью никто в серьез не занимается. Люди увольняются и уходят с действующими паролями от VPN и доступами в 1С и так далее и тому подобное. Руководство не придаёт значения очевидно не осознавая проблему и возможные последствия. IT отдел, если он вообще есть, а не одинокий админ, занимается только первичной настройкой рабочих мест и переустановкой систем.
В 90% корп. сетей малого бизнеса, залезть путём фишинга, это вопрос желания атакующего и максимум суток времени. В головах у людей хлебушек. Никто не станет ничего брутфорсить, сканировать порты и так далее, социальная инженерия - путь минимального сопротивления.
Шаг первый выяснить почтовый домен, шаг второй наугад "заспамить" по всем адресам фишинговыми письмами. Шаг третий, ждать результата.
Просто вы никому не нужны.
'В 90% корп. сетей малого бизнеса, залезть путём фишинга, это вопрос желания атакующего'
Дело в том что там ничего особо и нет.
Бизнес им сломать выведя сеть из строя? Не смешите, любой малый бизнес и так живет с наполовину сломанным айти: от падающего интернета до вирусов на рабочих станциях и неактивированных вендов.
Компромат на директора найти? Еще более смешно.
НКО или внутренние разработки? Ну два скрипта докера от сисадмина Васи, не более.
Поэтому кому и зачем нужно лезть в локалку условного ООО 'Вектор-добыча' - без понятия.
Комментарий недоступен
Конечно одно и тоже. Первое относится к служащим, второе к СБ.
Непреднамеренное убийство - всё ещё убийство.
Комментарий недоступен
Я крутой, мне можно.
Комментарий недоступен
Я бы на месте Филиппа немного напрягся, что стал женским полом
А в игре нету вариантов из серии 'Сотрудник решил подзаработать и фотографировал записи из CRM или важные документы на телефон' чтобы потом продать?
Фишинговые письма - это несколько устарело.
если бы устарело то его бы уже не было попросту. а так если всплывают регулярно, значить и "польза" есть от них
Если включить голову и немного подумать, то можно очуметь от того сколько всего придется сделать для успеха такого фишинга:
знать конкретные персоны в компании, знать связи между ними, знать чем компания занимается, когда у них какие события и т д и тп.
Без такой информации сделать письмо, которое бы не выглядело подозрительным но призывало к немедленному действию будет сложно. А собирать эту информацию - ну явно не один месяц работы.
Потом техническая сторона: надо поднять сам лендинг с фейковой страницей авторизации, те еще нужно знать каким софтом в компании пользуются, чтобы корректно подделать.
А что в итоге? Ну получите вы пароль/пароли - а дальше что? Попадете на двухфакторную авторизацию в 99% случаях при попытке входа, затем вас зарежет первый же корпоративный файрвол - как подозрительную активность, потому что не с другой локации, с другой ОС и тд и тп.
Вообщем дурость это все.
А потом, случай не выдуманный, был этим летом у одного из моих клиентов, называть понятно не стану, но компания на рынке известная.
Злоумышленник запускает в локалку вирус шифрователь и через сутки ложится база 1с, все её бэкапы, все сетевые папки со всеми документами и приходит письмо, давайте нам ваши биткоены. Занавес.
Зато теперь админ знает слова типа "воздушный зазор".
Угу, еще можно корпоративного сотрудника напоить, отправить к продажным женщинам, которые его заразят нехорошими болезнями, которые он затем принесет в офис, где перезаражает окружающих.
История кстати тоже ни разу не выдуманная.
Держите еще выдуманную историю.
https://www.securitylab.ru/news/534341.php
Ну красиво да, где-то там далеко, в олшебной западной стране с небоскребами, 'неназванная финансовая организация' , дроны, скан сети - романтика уровня хакер.ру.
Только в реальности все проще: ушлый сотрудник, подкупленный сисадмин, забытые бекапы.
Вы чего сказать-то хотели?
Или при помощи фишинга доставить полезную нагрузку на машину пользователя и вот у вас уже доступ в тч в корп сетку и возможность пользоваться легитимным пользователем для любых целей.
Взлом корп сегмента приносит баснословные деньги и может окупить любые затраты.
Угу, увидите максимум CRM и почту, если это не рабочее место сисадмина или разработчика.
И то у последних доступ будет лишь к тестовым стендам.
Еще как-нибудь попробуйте поработать удаленно через VNC/RDP и посмотрите какой размер потока данных там идет - это будет огромная красная кнопка на любом мониторинге сети, даже самом тупом.
А с учетом того что использовать такой удаленный доступ вы можете только когда сотрудник не на рабочем месте - те скорее всего ночью, то это будет сразу две красных кнопки в мониторинге: доступ в нерабочее время и огромный объем передаваемых данных.
Вообщем хватит смотреть кино про хакеров из 90х, реальность уже сильно другая.
если бы не приносила "пользу" эта дурость мошенникам - не было ее
Ну вы ещё всем расскажите об этом.
Фишинг ужасен, заразен и от него никто не застрахован. Это то, что легко можно впарить кому угодно от спецов внутренней безопасности до следователей и прокуроров. И они поверят и простят.
думаю всё зависит от суммы которую предложат конкуренты
хоба
Комментарий недоступен
В году около 250 рабочих дней. 1234 раза за 2 года откладывать обновление это примерно 2,5 раза в день. Кнопка Закрыть выделена цветом а обновить бледная, обычно наоборот. Явно что-то тут не так, это наверное не антивирус а скрипт пытающийся скачать и внедрить на комп троян. Если нажать кнопку "Закрыть" комп взорвется и все данные похерятся.
Тем более за 2 года столько всего происходит. Там и оплата антивируса уже была наверняка, вряд ли в организации сидят на бесплатном. На картинке явно вирусный антивирус.
Тема сливов информации это важно, но больше специализация служб безопасности. Возможно стоит больше рассказывать о фишинговых атаках, можно ли как то выявить опасные ссылки, отличить их от рекламы
Неверно прочёл задания
Так было бы почти 12/12
Не всегда понятен смысл картинки с первого раза, но тест интересный. В итоге моя безопасность 10/12!
Типичный курс по ИТ безопасности))
Интересный материал, спасибо! Но ссылка в браузере открылась с запросом пароля. Попробовал подобрать, не вышло 😆
В абсолютном большинстве случаев фишинг используется как прикрытие атак в реальности проведённых через подкуп, шантаж и т.п.
То есть подкупается сотрудник компании и сливает все нужные данные. И что бы обезопасить этого сотрудника (и потенциально заказчика) заблаговременно запускается фишинговая компания, якобы "перейдите по ссылке". Кто-то и переходит и что-то даже там вводит. Но в реальности такая инфа идёт в мусор ибо с ней куда-то пройти в современных даже самых слабо защищенных системах шансов ноль.
Если вы руководитель/собственник системы, то вам следует иметь ввиду, что фишинг это сказки и надо не дебильные игры проводить, а обращать внимание на физическую безопасность. Сотрудники не должны физически иметь доступ куда им не нужно. Оборудование должно физически храниться в защищенных помещениях и вся работа организована строго по сети. Уборка, ремонт и прочее таких помещений должны происходить только под присмотром сотрудников безопасности. Люди имеющие критический уровень доступа должны тщательно проверяться в т.ч. путём проверочного подкупа.
Если вы администратор систем безопасности, то вам следует избегать способов организации доступа в "одни руки". Условный пример: сайт, редактор, журналист. Лучше всего не давать возможности публиковать материалы на сайте журналистом без проверки редактором, а редактору БЕЗ ПОДТВЕРЖДЕНИЯ журналиста. То есть после правок редактора материал отправляется обратно журналисту на подтверждение. Этот простой способ автоматически требует подкупа двух лиц вместо одного и увеличивает затраты на атаку в два раза.
Наконец, если вы просто сотрудник и вам предложили купить какие-то доступы, то вам следует знать, что это делается двумя способами: нормальным и "в тёмную". При нормальном способе в доле так же сотрудник безопасности, который подскажет способы отмазать исполнителя и замести все следы. "В тёмную" - без такого прикрытия. И вас точно поймает СБ ибо там нет наивных дураков верящих в фишинг. Поэтому если предложение заманчивое и вы подумываете согласиться - не стесняйтесь задавать вопросы заказчику на тему "а если так, то вот как" с целью получить хотя бы косвенное подтверждение, что вы под прикрытием. И в любом случаи приготовьтесь к тому, что вам лучше поделиться "заработком" на самом низком уровне "допросов" и получить "прикрытие" от сотрудников внутренней безопасности, чем потом вас сделают крайним.
Эх, к сожалению!