Как защитить организацию от фишинга
В современном мире, где каждые 39 секунд совершается хакерская атака, знания о том, как защитить конфиденциальную информацию, должны стать приоритетом в любой организации.
Если вы руководитель, дайте сотрудникам отдела ИТ или информационной безопасности изучить эту статью. В ней специалисты проекта по повышению киберграмотности StopPhish и Центра цифровой экспертизы Роскачества делятся, как с помощью учебного фишинга проверить уровень защищенности организации от взлома. Будут разобраны четыре типа распространенных фишинговых атак и эксперты поделятся проверенными советами по защите почтового ящика вашей компании от фишинга.
Что такое фишинг
Фишинг (англ. phishing от fishing – рыбная ловля, выуживание) – процесс выманивания конфиденциальной информации.
Киберпреступники, выдавая себя за сотрудников реальных компаний и учреждений, рассылают фишинговые имейлы в другие организации с целью получения конфиденциальной информации. Злоумышленников интересует любая ценная информация – о банковских операциях, кредитных картах, паролях и т. п. Полученные данные используются для совершения краж и корпоративного шпионажа.
Фишинг как явление существует с 1987 года. Киберпреступники быстро приспосабливают его под меняющиеся реалии. В настоящее время мошеннические схемы реализуются по электронной почте и в сообщениях мессенджеров. До электронной почты тактика фишинга применялась в телефонных звонках и письмах.
Массовая миграция процессов в интернет в период пандемии COVID-19 предоставила хакерам больше возможностей для фишинга. Так, с начала 2020 года количество фишинговых писем возросло на 350%. В тот период ссылки из писем вели на большое количество поддельных веб-сайтов с информацией о тестах и лекарствах.
Сегодня на фоне событий, меняющих мир, мошенники зарабатывают на бизнесах порядочных людей. Помимо краж денег и блокировок компьютеров, злоумышленники грозят жертвам опубликовать конфиденциальную информацию, если им не заплатят приличный выкуп.
В 90% известных случаев для взлома организаций злоумышленники эксплуатировали человеческий фактор. Обманывая сотрудников, они проникали во внутреннюю сеть организации.
Главная защита от фишинга – осведомленность пользователей. Тот случай, когда владеющий информацией владеет и ситуацией. Сотрудники фирм обязаны знать правила информационной безопасности. Еще важнее – уметь эти знания применять. Ведьчерез месяц обученные сотрудники попадаются на уловки злоумышленников точно так же, как и необученные. Именно поэтому необходимо регулярно проводить проверку их знаний и навыков.Главная защита от фишинга – осведомленность пользователей. Тот случай, когда владеющий информацией владеет и ситуацией. Сотрудники фирм обязаны знать правила информационной безопасности. Еще важнее – уметь эти знания применять. Ведьчерез месяц обученные сотрудники попадаются на уловки злоумышленников точно так же, как и необученные. Именно поэтому необходимо регулярно проводить проверку их знаний и навыков.
Еще важнее – уметь эти знания применять. Ведьчерез месяц обученные сотрудники попадаются на уловки злоумышленников точно так же, как и необученные. Именно поэтому необходимо регулярно проводить проверку их знаний и навыков.
Как организовать проверку сотрудников
Проверка поможет отделу информационной безопасности узнать уровень защищенности организации от фишинга и взлома через e-mail.
Устройте для сотрудников учебную атаку по e-mail, чтобы определить, как они отреагируют на письмо злоумышленника. Для чистоты эксперимента заранее сотрудников предупреждать не нужно.
Чтобы имитировать атаку через e-mail, вам понадобятся:
- ПО для отправки писем;
список e-mail проверяемых сотрудников;
- сценарии атак для рассылки.
Для рассылки писем можно воспользоваться, например, сервисами от Gophish или StopPhish ((включен в реестр отечественного ПО).
Готовим список для рассылки
При работе в программе для имитации массового фишинга достаточно составить и загрузить список адресов сотрудников.
Далее вы пишете текст для каждого из сотрудников. Для этих целей создается «Таблица персонализации». Она отразит, от кого и кому в организации могут приходить письма.
К примеру, бухгалтеру могут писать руководитель и госорганы, в то время как топ-менеджеру могут написать СМИ или клиенты.
Выбор темы
Продумайте, по каким поводам могут обращаться отправители из левой колонки к вашим сотрудникам. От этого отталкивайтесь, придумывая текст для писем и опасный элемент, который будет в него добавлен (прикрепленный файл или фишинговая ссылка).
Составив письма и отправив их через одно из вышеприведенных ПО, вы сможете проанализировать процент «попавшихся» сотрудников и сценарий, который больше всего вызвал доверия у коллег, заставив их предоставить конфиденциальные данные.
Оптимальные данные вы получите, проведя минимум три учебные атаки. Вы увидите процент сотрудников из общего числа, который потенциально может привести к взлому ИТ-инфраструктуры.
Таким образом, вы определите «целевую аудиторию» среди работников, кого точно нужно обучить распознавать фишинговые письма.
Учебные атаки
Как минимум полезно проводить по две учебные атаки в месяц. Уже через полгода ваши сотрудники будут попадаться в 20–30 раз меньше. В среднем из 100 сотрудников до обучения «ведутся» на фишинг 60. Через полгода учебных проверок число уменьшается до 2–3 человек.
Действуйте на упреждение и учитывайте человеческий фактор в информационной безопасности. Таким образом вы сможете значительно снизить риски взлома вашей организации.
Решение проблемы фишинга требует системного подхода – технической оснащенности, отлаженных процессов и работы с людьми. Например, если вы хотите, чтобы сотрудники сообщали о подозрительных электронных письмах, предоставьте им технические возможности для этого, а также пропишите четкие алгоритмы действий, которые обеспечат своевременную реакцию.
Норм материал. А что делать с теми, кто не хочет учиться?
Тогда их научит сама жизнь).