Колонки

Деловое письмо или кибератака? Как научить сотрудников распознавать приемы социальной инженерии

Колонки
Сергей Волдохин
Сергей Волдохин

Директор компании «Антифишинг»

Дарья Мызникова

Фишинговые атаки с использованием социальной инженерии — самый популярный метод взлома в корпоративной среде. Манипуляциям поддаются все — даже сотрудники ведущих IT-компаний и сами IT-специалисты. Директор компании «Антифишинг» Сергей Волдохин рассказывает, как развить навыки кибербезопасности у сотрудников и научить их распознавать даже самые изощренные приемы мошенников.

Деловое письмо или кибератака? Как научить сотрудников распознавать приемы социальной инженерии

Взлом Twitter как образцовый кейс

В середине июля в Twitter Илона Маска появился пост: «Испытываю прилив благодарности и хочу двукратно возместить деньги всем, кто пришлет биткоины на мой кошелек. Пришлете $1 тысячу — возмещу вам $2 тысячи». Аналогичные посты появились на страницах Билла Гейтса, Барака Обамы, компании Apple и многих других. Всего взлому подверглись 130 аккаунтов в Twitter, а мошенникам удалось получить $121 тысячу.

Атака началась с нескольких звонков рядовым сотрудникам компании, которые организовала группа подростков. Это классический пример атаки с использованием методов социальной инженерии. Как подросткам удалось провести работников крупнейшей IT-компании, используя настолько распространенные приемы?

Обычно мошенники используют для манипуляций жадность, любопытство или торопят с принятием решений.

Взломщики Twitter задействовали фальшивый авторитет: позвонили сотрудникам, представились коллегами из отдела техподдержки и попросили прислать данные для входа в административный интерфейс.

Через несколько часов в аккаунтах политиков и бизнесменов появились посты о биткоинах. Как позднее отмечала пресс-служба в соцсети: «Мошенники получили доступ к нашим внутренним системам за счет эксплуатации человеческих уязвимостей. Это громкий инцидент напомнил нам, какую роль играет каждый сотрудник в безопасности нашего сервиса».

Ежегодно миллионы компаний подвергаются аналогичным атакам. Причем в России методы социальной инженерии распространены шире, чем в других странах — возможно, из-за низкой киберграмотности. С этой проблемой сталкиваются все — от рядовых граждан до сотрудников крупных банков и топливно-энергетических компаний

В большинстве случаев атаки начинаются с письма, звонка или сообщения в мессенджере сотруднику — благодаря психологическим манипуляциям человек не успевает подумать логически и совершает целевое действие (это называется аффективной реакцией). Результатом одного такого действия может стать доступ мошенников к рабочей станции и далее — ко всей инфраструктуре и данным компании.  

Как избежать похожих инцидентов в вашей организации — особенно сейчас, когда многие работают удаленно? 

photoShutterstock/Aleksandr Merg

5 шагов к кибербезопасности

Мы не будем разбирать базовые технические правила организации безопасной дистанционной работы — обычно ИТ- и ИБ-специалисты справляются с этим, а вопросы решаются, когда компания только переходит на удаленку. Базовый инструктаж в большинстве случаев тоже проводят: сотрудники знают, что пароли должны быть надежными, сообщать их никому нельзя, а делить рабочие устройства с членами семьи не следует. 

Все это знали и в Twitter, а также в тысячах других компаний, которые подвергаются атакам. Однако знаний зачастую недостаточно. Разберем несколько менее очевидных шагов, которые подготовят сотрудников к возможным атакам и обеспечат их полезными навыками антифишинга.

Составьте алгоритм безопасной работы

Сотрудник должен знать, как вести себя в любой подозрительной ситуации. Если ему звонят «представители компании» или приходит письмо от коллеги с просьбой открыть доступ к базе данных или перевести деньги, он должен понимать, к кому нужно обратиться.

Например, если вам звонят «коллеги» с просьбой предоставить данные о зарплате, вы кладете трубку и связываетесь с руководителем. Если вам приходит подозрительное письмо, вы пересылаете его в отдел безопасности. Если вы находите незнакомую флешку на рабочем столе, то передаете ее специалистам. У сотрудников должны быть четкие и понятные правила безопасной работы, составленные по принципу «если...то».

Тренируйте навыки через имитированные атаки

Фишинговым атакам подвергаются даже сами специалисты по информационной безопасности (ИБ) — для этого мошеннику достаточно выбрать нужный психологический или технологический вектор. Например, специалисту по ИБ злоумышленники прислали письмо от имени журналиста с просьбой об интервью — и она перешла по ссылке. Мошенники сыграли на любопытстве — и добились своего. 

Эксперименты показывают, что высокий уровень знаний и осведомленности об атаках не защищает человека на практике. Даже если сотрудники изучили пособия по безопасности, прошли тренинги и получили сертификат, они все равно могут «кликнуть» по вредоносному вложению. 

Опыт столкновения с фишинговыми атаками на практике формирует навык и заставляет подозрительнее относиться к любым сообщениям и просьбам. 

Пока это самый эффективный способ борьбы с фишингом — и не только. Имитированные атаки проводят даже на саммитах G7 — для этого воссоздают киберугрозу международного масштаба. 

На рынке уже есть готовые решения, которые помогают не только инициировать атаки, но и отслеживать результаты. Имитированные атаки нужно проводить регулярно и без предупреждения — об инициативе должен знать только топ-менеджмент. 

Создавайте реалистичную среду

Обучающие программы для персонала часто не работают, потому что имеют мало связи с реальностью. Методички с модным дизайном и геймифицированные тренинги выглядят привлекательно, но зачастую не содержат ни одного реального примера цифровой атаки. Игры и тесты можно проводить только для обучения и передачи знаний, как дополнение, но не замену имитированным атакам. 

Подход к имитациям тоже может быть неправильным. Иногда компании самостоятельно придумывают фальшивые фишинговые письма — намеренно пишут текст с ошибками и используют другие маркеры, по которым легко распознать фальшивку. Настоящий мошенник так делать не будет — в рамках целевой атаки письмо будет составлено максимально грамотно и реалистично. 

Например, сотрудникам может прийти ссылка для регистрации на ежегодную аттестацию с просьбой ввести данные электронной почты — это сценарий атаки.

Такие приемы работают — как показывают опросы, больше четверти сотрудников не могут распознать фишинговое письмо. В России этот показатель доходит до 57%.

Чтобы добиться реализма в имитациях, нужно разбирать примеры реальных атак, постоянно изучать новые приемы мошенников и следить за трендами — атаки становятся все более аккуратными и изощренными, а распознать их все сложнее. Подпишитесь на блоги специалистов по информационной безопасности, регулярные дайджесты с подборкой самых актуальных приемов мошенников.

Обязательно проводите оценку навыков

Разовые и случайные имитированные атаки не будут иметь смысла. Обязательно оценивайте, кто и какие небезопасные действия совершал, как изменилось поведение после очередных тренингов и симуляций.

Обязательно используйте разные психологические и технологические векторы атак. Например, ваши люди уже научились распознавать стимулы, которые взывают к страху, жадности и любопытству. Но если мошенник прикинется коллегой и обратится за помощью — это будет другой вектор (желание помочь), сотрудник может выполнить целевое действие. 

Исследования показывают, что число атак, нацеленных на запугивание и жадность, сокращается, а случаи обращения к любопытству и желанию помочь, наоборот, растут. Процесс должен быть регулярным и непрерывным — только тогда вы сможете отследить прогресс и повлиять на навыки сотрудников. 

Подключайте к процессу всю команду без исключения 

Большинство атак происходят не по вине топ-менеджмента или старших сотрудников ошибки совершает рядовой персонал, который часто обладает ограниченным доступом к корпоративным данным. Но даже его прав злоумышленнику достаточно, чтобы получить доступ ко внутренней инфраструктуре. Навыки антифишинга должны быть у каждого, кто пользуется компьютером для работы. 

photoShutterstock/Aleksandr Merg

Как надежно защитить компанию от фишинговых угроз:

  1. Убедитесь, что базовые технические меры безопасности приняты, а сотрудники знают, как выбирать и хранить пароли, как передавать конфиденциальные данные и правильно пользоваться системами. Это азы кибербезопасности, которыми нельзя пренебрегать даже небольшим компаниям и стартапам.
  2. Разработайте алгоритмы действий для сотрудников. Важно, чтобы они знали, к кому можно обратиться в любой непонятной ситуации. Поощряйте проактивность и налаживайте коммуникации между отделами – особенно на удаленке.
  3. Делайте ставку на практику – сотрудник научится распознавать атаки, только когда сам с ним столкнется. Хорошо, если это произойдет в безопасной среде, которую вы создали заранее. 
  4. Обучайте и тренируйте всех сотрудников, у которых есть доступ к системам, и делайте это регулярно. 
  5. Анализируйте результаты и проводите оценку навыков в разных разрезах. Практика от случая к случаю не имеет смысла.


Фото на обложке: Shutterstock/Number 86

Нашли опечатку? Выделите текст и нажмите Ctrl + Enter

Материалы по теме

  1. 1 Эксперты назвали самые популярные схемы мошенничества во время пандемии
  2. 2 Социальная инженерия: как не попасться на удочку мошенников?
  3. 3 «Помайните, пожалуйста, две минуты. Это поможет нам и дальше выкладывать для вас пиратские фильмы»

Актуальные материалы —
в Telegram-канале @Rusbase