Как защитить организацию от фишинга

В современном мире, где каждые 39 секунд совершается хакерская атака, знания о том, как защитить конфиденциальную информацию, должны стать приоритетом в любой организации.

Если вы руководитель, дайте сотрудникам отдела ИТ или информационной безопасности изучить эту статью. В ней специалисты проекта по повышению киберграмотности StopPhish и Центра цифровой экспертизы Роскачества делятся, как с помощью учебного фишинга проверить уровень защищенности организации от взлома. Будут разобраны четыре типа распространенных фишинговых атак и эксперты поделятся проверенными советами по защите почтового ящика вашей компании от фишинга.

Фишинг (англ. phishing от fishing – рыбная ловля, выуживание) – процесс выманивания конфиденциальной информации.

Киберпреступники, выдавая себя за сотрудников реальных компаний и учреждений, рассылают фишинговые имейлы в другие организации с целью получения конфиденциальной информации. Злоумышленников интересует любая ценная информация – о банковских операциях, кредитных картах, паролях и т. п. Полученные данные используются для совершения краж и корпоративного шпионажа.

Фишинг как явление существует с 1987 года. Киберпреступники быстро приспосабливают его под меняющиеся реалии. В настоящее время мошеннические схемы реализуются по электронной почте и в сообщениях мессенджеров. До электронной почты тактика фишинга применялась в телефонных звонках и письмах.

Массовая миграция процессов в интернет в период пандемии COVID-19 предоставила хакерам больше возможностей для фишинга. Так, с начала 2020 года количество фишинговых писем возросло на 350%. В тот период ссылки из писем вели на большое количество поддельных веб-сайтов с информацией о тестах и лекарствах.

Сегодня на фоне событий, меняющих мир, мошенники зарабатывают на бизнесах порядочных людей. Помимо краж денег и блокировок компьютеров, злоумышленники грозят жертвам опубликовать конфиденциальную информацию, если им не заплатят приличный выкуп.

В 90% известных случаев для взлома организаций злоумышленники эксплуатировали человеческий фактор. Обманывая сотрудников, они проникали во внутреннюю сеть организации.

Главная защита от фишинга – осведомленность пользователей. Тот случай, когда владеющий информацией владеет и ситуацией. Сотрудники фирм обязаны знать правила информационной безопасности. Еще важнее – уметь эти знания применять. Ведьчерез месяц обученные сотрудники попадаются на уловки злоумышленников точно так же, как и необученные. Именно поэтому необходимо регулярно проводить проверку их знаний и навыков.Главная защита от фишинга – осведомленность пользователей. Тот случай, когда владеющий информацией владеет и ситуацией. Сотрудники фирм обязаны знать правила информационной безопасности. Еще важнее – уметь эти знания применять. Ведьчерез месяц обученные сотрудники попадаются на уловки злоумышленников точно так же, как и необученные. Именно поэтому необходимо регулярно проводить проверку их знаний и навыков.

Еще важнее – уметь эти знания применять. Ведьчерез месяц обученные сотрудники попадаются на уловки злоумышленников точно так же, как и необученные. Именно поэтому необходимо регулярно проводить проверку их знаний и навыков.

Проверка поможет отделу информационной безопасности узнать уровень защищенности организации от фишинга и взлома через e-mail.

Устройте для сотрудников учебную атаку по e-mail, чтобы определить, как они отреагируют на письмо злоумышленника. Для чистоты эксперимента заранее сотрудников предупреждать не нужно.

Чтобы имитировать атаку через e-mail, вам понадобятся:

Для рассылки писем можно воспользоваться, например, сервисами от Gophish или StopPhish ((включен в реестр отечественного ПО).

При работе в программе для имитации массового фишинга достаточно составить и загрузить список адресов сотрудников.

Далее вы пишете текст для каждого из сотрудников. Для этих целей создается «Таблица персонализации». Она отразит, от кого и кому в организации могут приходить письма.

К примеру, бухгалтеру могут писать руководитель и госорганы, в то время как топ-менеджеру могут написать СМИ или клиенты.

Продумайте, по каким поводам могут обращаться отправители из левой колонки к вашим сотрудникам. От этого отталкивайтесь, придумывая текст для писем и опасный элемент, который будет в него добавлен (прикрепленный файл или фишинговая ссылка).

Составив письма и отправив их через одно из вышеприведенных ПО, вы сможете проанализировать процент «попавшихся» сотрудников и сценарий, который больше всего вызвал доверия у коллег, заставив их предоставить конфиденциальные данные.

Оптимальные данные вы получите, проведя минимум три учебные атаки. Вы увидите процент сотрудников из общего числа, который потенциально может привести к взлому ИТ-инфраструктуры.

Таким образом, вы определите «целевую аудиторию» среди работников, кого точно нужно обучить распознавать фишинговые письма.

Как минимум полезно проводить по две учебные атаки в месяц. Уже через полгода ваши сотрудники будут попадаться в 20–30 раз меньше. В среднем из 100 сотрудников до обучения «ведутся» на фишинг 60. Через полгода учебных проверок число уменьшается до 2–3 человек.

Действуйте на упреждение и учитывайте человеческий фактор в информационной безопасности. Таким образом вы сможете значительно снизить риски взлома вашей организации.

Решение проблемы фишинга требует системного подхода – технической оснащенности, отлаженных процессов и работы с людьми. Например, если вы хотите, чтобы сотрудники сообщали о подозрительных электронных письмах, предоставьте им технические возможности для этого, а также пропишите четкие алгоритмы действий, которые обеспечат своевременную реакцию.