ENG
Около 10% всех входящих электронных писем — фишинговые сообщения от мошенников. С этой проблемой сталкиваются как частные пользователи, так и сотрудники компаний. И тем, и другим зачастую сложно распознать вредоносное письмо и предотвратить атаку. Как научить персонал правильно реагировать на фишинговые письма и защитить предприятие от других киберугроз?
Самое уязвимое звено
Согласно опросам, 43% работников не подозревает, что переход по незнакомой ссылке или скачивание файла из письма может привести к заражению системы вредоносным ПО. При этом три пятых опрошенных не уверены, что смогут распознать фишинговое послание.
Проблема касается не только рядовых сотрудников. Так, опрос PwC показал, что 81% представителей совета директоров российских компаний хранят на своих телефонах эксклюзивную и дорогостоящую информацию. Более того, треть респондентов общается с другими членами совета с помощью личной электронной почты, которая обычно никак не защищена.
В результате число атак на предприятия растет, в 90% случаев они происходят из-за небезопасных действий персонала. В среднем сумма хищения при целевой атаке составляет 90 млн рублей. При этом потери российской экономики от действий кибермошенников оцениваются в 2,5 трлн рублей в год.
В России подавляющее большинство целенаправленных атак на предприятия начинается с фишинга — используя приемы социальной инженерии, мошенники входят в доверие к сотруднику и через него получают доступ к инфраструктуре и конфиденциальным данным. Специалисты по информационной безопасности в таких случаях обычно бессильны — человек сам предоставляет доступ злоумышленнику, совершая небезопасное действие.
Проблему признают и регуляторы — как отмечают в Банке России, эффективные методы борьбы с техническими атаками и вредоносным программным обеспечением уже существуют и применяются. Но самой большой проблемой остается социальная инженерия. Используя психологические и технологические векторы, мошенники стараются подвести человека к целевому действию. Для них главное — вызвать быстрый эмоциональный отклик, аффективную реакцию, то есть вынудить сотрудника действовать на автомате: открыть письмо, перейти по ссылке, ввести свой пароль.
Ошибка восприятия
Злоумышленники все реже полагаются на шаблоны и больше экспериментируют. Часто письма рассылаются от имени руководителя или важного партнера — мошенники заранее узнают ФИО и должность человека, именем которого хотят представиться, или выдают себя за государственное ведомство, банк или крупную корпорацию.
Например, представляются налоговой службой — письма якобы от ФНС регулярно получают многие сотрудники нефтяных и горнодобывающих компаний, аэропортов и других крупных предприятий. В июле 2020-го только за одну неделю было зафиксировано как минимум 1,6 тыс. фальшивых сообщений якобы от nalog.ru, отправленных на корпоративные адреса российских компаний.
Чтобы подтолкнуть человека к целевому действию, злоумышленники используют усилители и манипуляции. Например, торопят человека или воздействуют на эмоции. Также они все чаще применяют персонификацию. Так, фишинговые рассылки, ориентированные на банки, на 60% чаще включают обращение к жертве по имени или упоминание реальных рабочих обязанностей сотрудника.
Главная задача — заставить человека действовать аффективно — реагировать вместо того, чтобы осмыслять. Адресату не дают обработать входящий поток информации: вместо этого его подталкивают к действию. Как показывают исследования, в таких условиях жертва становится более уязвимой перед мошенниками.
Неудивительно, что популярность фишинга растет, а застать пользователя врасплох становится проще. К примеру, только в 2018 году среднемесячный показатель числа фишинговых атак вырос более чем на 350%. Это связано и с растущей доступностью мошеннических инструментов — многие сайты работают по модели Phishing-as-a-Service, предлагая злоумышленникам уже готовые ресурсы для проведения атак.
Большинство приемов эксплуатирует не технологические, а психологические уязвимости. Психологи «Антифишинга» выделяют шесть ключевых эмоций, которые стремятся спровоцировать мошенники. Среди них страх, раздражение, жадность, любопытство и желание помочь, причем последние два типа встречаются чаще других. Эмоциональная реакция обычно сопровождается импульсивными действиями — а это как раз и нужно злоумышленникам.
Именно психологические факторы делают фишинг самым устойчивым мошенническим приемом, с которым так трудно бороться. Может показаться, что проблему решат тренинги, но большинство из них неэффективно. Так, эксперты Proofpoint выяснили, что после прохождения курсов по кибербезопасности сотрудники корректно отвечают на вопросы тестов только в 78% случаев. Более того, показатели редко отражают реальную картину — человек может разбираться в теории, но как только он получит письмо от условной ФНС, он может запаниковать и совершить небезопасное действие.
Многие организации запускают кампании по повышению осведомленности, чтобы рассказать сотрудникам о киберугрозах. Но эффект от подобных инициатив длится недолго. Мошенники постоянно внедряют новые инструменты и технологии. Компании, которые проводят один вебинар раз в год, дают фору злоумышленникам. Повышение теоретической осведомленности и разовые тренинги не принесут результата. Нужна постоянная фоновая практика — эксперты по кибербезопасности IBM называют это развитием «мышечной памяти».
5 тактик, которые научат сотрудников распознавать фишинговые атаки
- Обучайте на реальных примерах. Людям часто кажется, что фишинговые атаки — это откровенные манипуляции, которые мгновенно бросаются в глаза. Но фишинг уже давно эволюционировал: каждые пару недель появляются новые методы, которые помогают злоумышленникам добиться своего. Важно следить за повесткой и знакомить сотрудников со всем многообразием приемов социальной инженерии. Для этого полезно периодически готовить и использовать дайджесты кейсов, подобранных с учетом специфики компании. Старайтесь показать сотрудникам все многообразие мошеннических схем — и лучше всего для этого собирать скриншоты реальных кейсов, а не составлять абстрактные графики и презентации.
- Делайте упор на практику. Распознание реальной атаки невозможно, если сотрудник знает о ней только в теории. Теорию нужно обязательно закреплять непрерывной практикой — имитированными атаками. Крупные компании регулярно проводят «тестовые учения» — рассылают сотрудникам фальшивые фишинговые письма и следят за их последующими действиями. Многие вендоры предлагают готовые учебные системы, которые можно интегрировать в контур организации. Это позволяет не только рассылать тестовые письма, но также собирать статистику, проводить анализ и совершенствовать программу обучения. Важно, что с помощью таких сервисов можно создать сотни сценариев и отработать все психологические и технологические векторы атак.
- Не забывайте о физических векторах атак. Учитывайте, что некоторые виды атак на какое-то время отходят на второй план, а потом вновь становятся популярными — как раз потому что о них уже забыли. Например, флешками сегодня пользуются все реже — в корпоративной среде больше распространены облачные хранилища. Сотрудники уже отвыкли пользоваться внешними накопителями — если им попадется интересная флешка, они из любопытства захотят проверить, что на ней хранится. Важно, чтобы администраторы настроили запрет на подключение любых неизвестных съемных устройств к рабочим компьютерам и проинструктировали персонал. Можно также проводить имитированные атаки, например оставить в офисе флешку без каких-либо маркировок и проверить, что сделают сотрудники.
- Анализируйте результаты. Изучайте статистику проведенных антифишинговых кампаний и постоянно корректируйте стратегию. Определите, перед какими векторами атак наиболее уязвимы сотрудники — и уделяйте этим направлениям больше внимания. Убедитесь, что персонал знает алгоритм действий и понимает, какие шаги предпринять при получении подозрительного сообщения. Первым этапом всегда должен быть поверхностный анализ полученного письма, после этого нужно провести оценку гипотезы и оценку рисков. Все это сотрудник должен проделать, не открывая само письмо. Хорошо, если у человека есть возможность связаться со специалистом по информационной безопасности, который должен всегда быть на связи — тем более сейчас, когда компании работают удаленно.
- Организуйте непрерывный процесс. Обучение и тренировка навыков должны происходит непрерывно и автоматизировано, для всех сотрудников организации, без исключений.
Компании планируют увеличивать бюджеты для борьбы с киберугрозами, инвестировать в новые технологии и расширять команды специалистов. Однако все усилия могут оказаться тщетными, если сотрудники продолжат совершать небезопасные действия. Вовлекать в процесс обучения нужно всех, начиная с топ-менеджеров и заканчивая рядовыми стажерами. Важно именно вовлекать, а не спускать сверху методички «для самостоятельного изучения».
По-настоящему улучшить ситуацию поможет только прямая и открытая коммуникация, укрепление горизонтальных связей и понимание того, что киберугрозы — общая проблема, которую должна решать вся команда совместными усилиями: и специалисты по безопасности, и рядовые сотрудники. Пока это самая эффективная и рабочая стратегия.
