Как защитить организацию от фишинга

В современном мире, где каждые 39 секунд совершается хакерская атака, знания о том, как защитить конфиденциальную информацию, должны стать приоритетом в любой организации.

Если вы руководитель, дайте сотрудникам отдела ИТ или информационной безопасности изучить эту статью. В ней специалисты проекта по повышению киберграмотности StopPhish и Центра цифровой экспертизы Роскачества делятся, как с помощью учебного фишинга проверить уровень защищенности организации от взлома. Будут разобраны четыре типа распространенных фишинговых атак и эксперты поделятся проверенными советами по защите почтового ящика вашей компании от фишинга.

Что такое фишинг

Фишинг (англ. phishing от fishing – рыбная ловля, выуживание) – процесс выманивания конфиденциальной информации.

Киберпреступники, выдавая себя за сотрудников реальных компаний и учреждений, рассылают фишинговые имейлы в другие организации с целью получения конфиденциальной информации. Злоумышленников интересует любая ценная информация – о банковских операциях, кредитных картах, паролях и т. п. Полученные данные используются для совершения краж и корпоративного шпионажа.

Фишинг как явление существует с 1987 года. Киберпреступники быстро приспосабливают его под меняющиеся реалии. В настоящее время мошеннические схемы реализуются по электронной почте и в сообщениях мессенджеров. До электронной почты тактика фишинга применялась в телефонных звонках и письмах.

Массовая миграция процессов в интернет в период пандемии COVID-19 предоставила хакерам больше возможностей для фишинга. Так, с начала 2020 года количество фишинговых писем возросло на 350%. В тот период ссылки из писем вели на большое количество поддельных веб-сайтов с информацией о тестах и лекарствах.

Сегодня на фоне событий, меняющих мир, мошенники зарабатывают на бизнесах порядочных людей. Помимо краж денег и блокировок компьютеров, злоумышленники грозят жертвам опубликовать конфиденциальную информацию, если им не заплатят приличный выкуп.

В 90% известных случаев для взлома организаций злоумышленники эксплуатировали человеческий фактор. Обманывая сотрудников, они проникали во внутреннюю сеть организации.

Главная защита от фишинга – осведомленность пользователей. Тот случай, когда владеющий информацией владеет и ситуацией. Сотрудники фирм обязаны знать правила информационной безопасности. Еще важнее – уметь эти знания применять. Ведьчерез месяц обученные сотрудники попадаются на уловки злоумышленников точно так же, как и необученные. Именно поэтому необходимо регулярно проводить проверку их знаний и навыков.Главная защита от фишинга – осведомленность пользователей. Тот случай, когда владеющий информацией владеет и ситуацией. Сотрудники фирм обязаны знать правила информационной безопасности. Еще важнее – уметь эти знания применять. Ведьчерез месяц обученные сотрудники попадаются на уловки злоумышленников точно так же, как и необученные. Именно поэтому необходимо регулярно проводить проверку их знаний и навыков.

Еще важнее – уметь эти знания применять. Ведьчерез месяц обученные сотрудники попадаются на уловки злоумышленников точно так же, как и необученные. Именно поэтому необходимо регулярно проводить проверку их знаний и навыков.

Как организовать проверку сотрудников

Проверка поможет отделу информационной безопасности узнать уровень защищенности организации от фишинга и взлома через e-mail.

Устройте для сотрудников учебную атаку по e-mail, чтобы определить, как они отреагируют на письмо злоумышленника. Для чистоты эксперимента заранее сотрудников предупреждать не нужно.

Чтобы имитировать атаку через e-mail, вам понадобятся:

  • ПО для отправки писем;
  • список e-mail проверяемых сотрудников;

  • сценарии атак для рассылки.

Для рассылки писем можно воспользоваться, например, сервисами от Gophish или StopPhish ((включен в реестр отечественного ПО).

Готовим список для рассылки

При работе в программе для имитации массового фишинга достаточно составить и загрузить список адресов сотрудников.

Далее вы пишете текст для каждого из сотрудников. Для этих целей создается «Таблица персонализации». Она отразит, от кого и кому в организации могут приходить письма.

К примеру, бухгалтеру могут писать руководитель и госорганы, в то время как топ-менеджеру могут написать СМИ или клиенты.

Выбор темы

Продумайте, по каким поводам могут обращаться отправители из левой колонки к вашим сотрудникам. От этого отталкивайтесь, придумывая текст для писем и опасный элемент, который будет в него добавлен (прикрепленный файл или фишинговая ссылка).

Пример кражи персональных данных с фишинговой ссылкой
Пример фишинга со скачиванием файла

Составив письма и отправив их через одно из вышеприведенных ПО, вы сможете проанализировать процент «попавшихся» сотрудников и сценарий, который больше всего вызвал доверия у коллег, заставив их предоставить конфиденциальные данные.

Оптимальные данные вы получите, проведя минимум три учебные атаки. Вы увидите процент сотрудников из общего числа, который потенциально может привести к взлому ИТ-инфраструктуры.

Таким образом, вы определите «целевую аудиторию» среди работников, кого точно нужно обучить распознавать фишинговые письма.

Учебные атаки

Как минимум полезно проводить по две учебные атаки в месяц. Уже через полгода ваши сотрудники будут попадаться в 20–30 раз меньше. В среднем из 100 сотрудников до обучения «ведутся» на фишинг 60. Через полгода учебных проверок число уменьшается до 2–3 человек.

Действуйте на упреждение и учитывайте человеческий фактор в информационной безопасности. Таким образом вы сможете значительно снизить риски взлома вашей организации.

Организуйте обучающие курсы для персонала. Чтобы определить для компании целесообразность такого обучения, попробуйте для начала базовые, ознакомительные версии по темам: как распознать вредоносное вложение и/или ссылку в письме.

Карина Другач

Специалист отдела исследований StopPhish

Решение проблемы фишинга требует системного подхода – технической оснащенности, отлаженных процессов и работы с людьми. Например, если вы хотите, чтобы сотрудники сообщали о подозрительных электронных письмах, предоставьте им технические возможности для этого, а также пропишите четкие алгоритмы действий, которые обеспечат своевременную реакцию.

Лучшая защита – это нападение. Обучайте сотрудников методам распознавания подозрительных сообщений. Проинструктируйте, как действовать при столкновении с фишингом. Важно, чтобы люди понимали, что если они не уверены в содержании электронного письма, то нужно связаться с ИТ-отделом или службой безопасности компании, прежде чем отвечать.

Сергей Кузьменко

Руководитель направления информационной безопасности Центра цифровой экспертизы Роскачества

0
2 комментария
Алеоп

Норм материал. А что делать с теми, кто не хочет учиться?

Ответить
Развернуть ветку
Роскачество
Автор

Тогда их научит сама жизнь).

Ответить
Развернуть ветку
-1 комментариев
Раскрывать всегда