Зачем мы отправили фишинг-сообщения сотрудникам? Две истории про «информационные учения» в Selectel
Провели учения в сфере информационной безопасности: придумали два вредных для сохранности данных сценария и отправили фишинг-сообщения коллегам. Что из этого вышло и какие уроки извлекли, рассказываем в тексте. Бонус: полезный чек-лист в финале!
По данным «Ростелеком-Солар», 75% кибератак начинаются с фишинг-сообщений. Их цель — кража персональных данных пользователей. Часто злоумышленники используют такой способ сбора информации для продажи или шантажа.
От фишинга могут пострадать не только отдельно взятые люди, но и компании. Например, в ноябре 2020 года была совершена фишинговая-атака на соучредителя австралийского хедж-фонда Levitas Capital. Мошенники внедрили вредоносное ПО в корпоративную сеть под видом Zoom. Вирус привел к выводу 800 тысяч долларов. Из-за удара по репутации компания закрылась.
Зачем решили запустить фишинг-тест?
Мы в Selectel внимательно относимся к информационной безопасности и системно обучаем сотрудников. Так, например, каждый новичок проходит инструктаж и учебные тесты по работе с ПК, почтой и бумажными документами.
Еще у нас есть «бородатый» обычай. Если человек оставил разблокированный ноутбук в офисе без присмотра, любой сотрудник компании может зайти в рабочий чат и написать что-то в духе: «Я борода!» Иногда этот статус дополняется авторскими комментариями: «Всем пиццы за мой счет!» Как показывает практика, это работает лучше выговоров и замечаний.
Чтобы поддерживать знания и тонус сотрудников на должном уровне, руководитель направления внутренней информационной безопасности Андрей Баранников вместе с командой организовал аналог пожарных учений — фишинговые тесты, которые очень точно имитировали реальные ситуации и практики злоумышленников.
Наши сотрудники понимают, зачем проводятся такие акции, воспринимают это с интересом и энтузиазмом. Тех, кто сообщил об атаке, мы наградили специальными бейджами. Их можно потратить на мерч Selectel.
Всего было проведено несколько фишинговых тестов, среди них две email-инсценировки: LAZZON Premier и «Пенькофф Бизнес». Названия этих предприятий вымышлены, любые совпадения с реальными компаниями случайны.
Слив данных через программу лояльности
В конце прошлого января 400+ сотрудников Selectel получили письмо с приглашением принять участие в программе лояльности от LAZZON.
«Безопасники» постарались написать типичное фишинговое письмо: добавили опечатки в адрес отправителя, насытили текст подозрительными акцентами на уникальность предложения.
Но все равно нашлись сотрудники, которые кликнули по ссылке в письме. Их встретила гугл-форма с фейковой анкетой LAZZON Premier.
Анкета вышла тоже не без тревожных звоночков: например, был вопрос об уровне дохода, отсутствовали ссылки на официальный сайт и согласие на обработку данных.
В тот день бдительность подвела многих. На «крючок» попались и руководители, и те, кто работает в компании больше года. Нашелся даже сотрудник, который отправил 13 анкет на 39 000 рублей. Он задействовал запасные почты и аккаунты близких.
Но не все участники тестирования провалили тест. Были и те, кто предупредил об атаке в корпоративных мессенджерах.
После первой инсценировки отдел информационной безопасности решил узнать, стали ли коллеги бдительней. Для этого придумали второй сценарий фишинг-атаки.
Слив данных через банковскую анкету
В конце октября 2021 года более 600 сотрудников получили письмо с таким текстом:
Уважаемые коллеги!
Спешим вас обрадовать — мы договорись об отличных условиях зарплатного проекта в банке-партнере «Пенькофф».
Мы уверены, что в новых бизнес-условиях каждый сможет найти что-нибудь свое, что ему однозначно понравится. Детальные условия в презентации по ссылке. Доступ к подписке Pro будет предоставляться сотрудникам бесплатно.
Вы сможете перенести ваши действующие кредитные продукты в «Пенькофф» к зарплатному проекту и подключить к услугам до 3-х членов семьи.
Если рассматриваете возможность перехода, необходимо заполнить анкету банка. В следующий вторник (8 ноября) в 13:00 состоится встреча с представителем банка, на которой вы сможете задать все возникающие вопросы.
В письме от «Пенькофф» было много «запинок»:
- Опечатка в адресе: вместо «@selectel.ru» было указано «@selectel.ru.com».
- Ссылка на яндекс-форму. Это нетипично для Selectel — у нас обычно используют Google-формы.
- Ошибка в дате.
- Неактуальная должность «коллеги».
20% участников перешли по ссылке из письма, которая вела на анкету участника зарплатного проекта от «банка». Там пользователю предлагалось оставить паспортные данные, адрес проживания, сведения о семье, уровень дохода, контакты и другую личную информацию.
Саму форму заполнили 17%. Это в три раза меньше, чем в тесте с LAZZON Premier. Но каждый отправитель заполнил сведения о доходе.
Также шесть человек заполнили опциональные поля о родственниках — «слили» персональные данные своих близких.
Интересно, что на этот раз «старички» (более 5 лет работы) не поддались соблазну принять участие в акции. А 99% сотрудников, проваливших первый тест, не дали себя обмануть повторно.
Как не клюнуть на наживку: 3 важных правила
Как показал эксперимент, обмануть можно каждого. Но перестраховаться легко — достаточно держать в голове несколько правил.
Первое: смотрите на данные отправителя
Часто в фишинговых сообщениях можно заметить опечатки в имени, фамилии, номере телефона и, конечно, почтовом адресе.
Второе: проверяйте ссылки и вложения
Иногда для утечки данных достаточно перейти по ссылке в сообщении или скачать вредоносный файл. Смотрите на расширения файлов, корректность ссылок и проверяйте сомнительных в специальных программах. Например, через онлайн-сервис Dr.Web.
Третье: принимайте взвешенные решения
Если возникли подозрения, что вас пытаются обмануть — отложите сообщение и проверьте. Не принимайте поспешных решений.
А еще, чтобы прокачать каждое из качеств, можно попробовать силы в онлайн-тестах по определению фишинговых атак. Вот небольшая подборка: Group IB, Kaspersky, Raiffeisen и Tinkoff.
Подпишитесь на блог Selectel, чтобы не пропустить обзоры, кейсы и полезные гайды из мира IT.
Читайте также:
Если довольно часто проходит такое мероприятие, я бы уже чисто ради интереса посмотрел какой хернёй страдает руководство, также отлично понимаю "старичков" которым такие мероприятия уже надоели.
Да и интересно, насколько напряжно работать сотрудникам, когда руководство любит поизводить сотрудников?
Кроме того, много ли в сети знает как написать на корпоративную почту? Учитывается ли, что просто сотрудник мог в разгар рабочего дня просто так сказать "уработаться" и не обратить внимания? Учитывается ли уровень знания сотрудников о фирме? Ведь вряд ли тот же менеджер по продажам или офис-менеджер в курсе каки ещё купили домены в фирме, насколько грамотен автор письма и другие нюансы.
В фишинге довольно много факторов играет важную роль. А вы сразу считаете людей неграмотными и объявляете их некомпетентными.
Не рассматриваем непрохождение фишинг-теста как провал) Это не ЕГЭ и не тест на знание ПДД. Это механика, которая помогает подсветить возможные опасности и быть в следующий раз внимательнее.
Конечно, если запускать такие акции слишком часто, они не принесут большой пользы. Но это не наш случай) Фишинг-сообщения отправляли в качестве профилактических "учений" и эксперимента.
Комментарий удалён модератором
К сожалению, из-за невнимательности фишинг-сообщения "ловят" на крючок самых разных пользователей. В том числе и не особо доверчивых в обычных обстоятельствах :) Источников атак тоже много: от SMS и социальных сетей до электронной почты и поисковых систем.
Надеемся, что вас подобные уловки не проведут. А если захотите оценить свою бдительность, в конце текста даем пару полезных ссылок на тренажеры.
Всячески одобряю такие тренинги, но к сожалению нет - не сработает.
Слишком замылен глаз у офисных сотрудников, плюс есть обязательный кредит доверия к внутреннему софту - он воспринимается как рабочий инструмент, как что-то надежное.
Вообщем даже бородатые программисты кликают по таким ссылкам легко и просто.
Для рядовых сотрудников вы лишь запустите паранойю и все кончится тем что они вообще лишний раз на письма реагировать не будут.
Тема с опечатками в адресе тоже несколько устарела: ну заставите вы заучить корневой домен компании, а письмо придет через угнанную учетку от smtp шлюза, которая зашита в каждом втором вашем сервисе, отправляющем почту.
Поскольку сейчас в моде 'микросервисы', таких мелких сервисов в компании может быть под сотню другую. Обязательно кто-то что-то забудет и не затрет - вообщем риск утечки рабочей учетки к корпоративному SMTP сейчас максимально высок в любой крупной компании.
По итогу в поле 'From' будет стоять честный noreply@corp.selectel.ru, SPF и whitelists пойдут лесом, ведь отправка была через ваш же шлюз.
Но самое страшное если у вас используется система вроде mailgun для массовых рассылок и кто-то снаружи получит к ней доступ: в таких системах и база адресов и шаблоны сообщений в html с картинками и вся история отправок -все внутри, обычно с полным доступом и максимально понятным интерфейсом.
Вот где раздолье будет для скама и фишинга.
Нашелся даже сотрудник, который отправил 13 анкет на 39 000 рублей. Он задействовал запасные почты и аккаунты близких.🤣🤣🤣🤣🤣🤣🤣
Вы нашли кому нужна прибавка к зарплате. Пусть думает как научить общество и или/компанию распознавать фишинг, а вы приплачивайте за разумные и действенные идеи.
Только клиентам не отправляйте такие эксперименты, пожалуйста, а то у меня ваши облигации и очень не хотелось бы дефолта по ним.
Важно понимать, что есть и другие возможности потерять деньги, если работаешь с селектелом. Они просто в один прекрасный день поднимут цены в 2 раза и привет!
Как они недавно сделали с колокейшен.