Как защитить сотрудников и бизнес после новогодних праздников: советы экспертов по кибербезопасности
После новогодних праздников сотрудники возвращаются к работе в расслабленном состоянии, постепенно адаптируясь к рабочему ритму. Это время становится золотым часом для киберпреступников, которые активно используют техники социальной инженерии, чтобы извлечь выгоду из снижения бдительности персонала. Фишинговые письма, звонки от «партнёров» или «службы безопасности» компании, запросы на доступ к конфиденциальным данным – всё это лишь часть арсенала мошенников, нацеленных на уязвимые моменты бизнеса.
В чем суть подобных методов.
Социальная инженерия — это набор психологических манипуляций, преимущественно игра на чувстве страха, любопытстве, доверии и, конечно, желании легкого заработка. Главная цель — заставить пользователя раскрыть конфиденциальную информацию или перевести деньги.
Один из самых популярных видов социальной инженерии — фишинговые атаки. Злоумышленники создают сайты, отправляют электронные письма, маскируясь под коммерческие и государственные организации, чтобы узнать пароли пользователей, коды подтверждения, данные банковских карт и т. д. Полученные данные позволяют преступникам красть деньги со счетов жертвы, использовать взломанные аккаунты для дальнейших атак и т. д.
Не менее распространен вишинг — мошенничество с использованием голосовой связи. Злоумышленнику так еще проще войти в доверие к жертве: в живом разговоре человек с большей вероятностью поддастся на уловки и в итоге передаст свои конфиденциальные данные.
Что такое fake boss?
Одна из самых распространенных фишинговых схем для атаки на компании и их сотрудников — fake boss. Чаще всего пользователи сталкиваются с ней в Telegram. Мессенджер популярен у злоумышленников благодаря широкой аудитории и высокому уровню анонимности.
Классическая схема fake boss проходит по следующему сценарию. Сотрудник получает сообщение якобы от своего руководителя. Тот предупреждает о том, что скоро позвонит представитель правоохранительных органов или государственного регулятора, с которым обязательно нужно сотрудничать. Сообщение от фейкового начальника призвано повысить доверие пользователя к звонящему. Во время самого звонка работника под любыми предлогами, в том числе пугая проходящими проверками, расследованиями и т. д., уговаривают перевести деньги на «безопасный счет», который на самом деле принадлежит мошенникам. Под воздействием страха люди могут не задумываясь выполнить требуемые действия и в итоге лишаются огромных сумм.
Если же цель злоумышленников — атака на саму компанию, то она в результате может столкнуться как с материальным ущербом, так и репутационным, например из-за утечки конфиденциальной информации. Эта схема в 2023–2024 годах коснулась организаций практически всех отраслей и размеров — от региональных учебных заведений до крупнейших корпораций.
Как действовать сотрудникам?
Чтобы сотрудники не стали жертвой мошенников, которые применяют методы социальной инженерии, важно следовать ряду рекомендаций:
- Не реагировать на сообщения и звонки от незнакомых аккаунтов. Если звонок или сообщение поступило якобы от руководителя или другого коллеги, которого нет в списке контактов, нужно связаться с ним по другому каналу связи и убедиться, что общение велось именно с ним.
- Не переходить по подозрительным ссылкам и вложениям. Мошенники используют фишинговые ссылки для кражи конфиденциальной информации и установки вредоносного ПО на устройство. Поэтому важно внимательно проверять адрес сайта, на который предлагается перейти. В случае малейших сомнений надо обратиться в службу безопасности компании и описать ситуацию.
- Информировать коллег о подобных инцидентах. Если сотрудник уже столкнулся с мошеннической схемой, он должен сообщить о случившемся коллегам из отдела безопасности. Это поможет повысить осведомленность в коллективе и снизит риск утечки данных компании.
- Использовать многофакторную аутентификацию (multi-factor authentication, MFA). Злоумышленнику будет гораздо сложнее получить доступ к конфиденциальным данным благодаря MFA, которая подразумевает не только ввод пароля, но и подтверждение входа с помощью одноразового кода или приложения-аутентификатора.
- Не использовать один и тот же пароль на разных ресурсах. Если сотрудник устанавливает один пароль для разных аккаунтов, компрометация одного из них приведет ко взлому всех остальных. Самый простой способ создавать сложные и уникальные комбинации — использовать генератор паролей. Обычно он встроен в менеджер паролей — программу, которая обеспечит надежное хранение учетных данных.
Как обезопасить компанию
Сами организации также должны применять различные инструменты, которые помогут защититься от атак с использованием социальной инженерии. Помимо внедрения средств защиты информации, нужно обучать сотрудников основам кибербезопасности. Особое внимание при этом стоит уделить работе с конфиденциальными данными. Осведомленность об актуальных мошеннических схемах поможет создать безопасную культуру внутри компании. Кроме того, повысить уровень защищенности позволит внедрение многофакторной аутентификации для доступа к корпоративным системам.
Вывод
Эффективная защита от атак с использованием методов социальной инженерии возможна только при комплексном подходе. Пользователи должны соблюдать правила кибергигиены как в частной жизни, так и на работе. Задача же компаний — внедрять решения для противодействия мошенникам и обучать навыкам кибербезопасности сотрудников. Современные инструменты защиты и высокий уровень осведомленности об актуальных угрозах помогут противостоять злоумышленникам, которые постоянно совершенствуют свои методы.
Для более глубокого погружения в вопросы кибербезопасности рекомендуем подписаться на наш ТГ-канал "Прометей - ИБграмотность". Здесь мы регулярно публикуем полезные советы, новейшие методы защиты и примеры реальных инцидентов, с которыми могут столкнуться сотрудники в повседневной работе. Присоединяйтесь к проекту "Прометей", чтобы обучить своих сотрудников основам информационной безопасности, и защитите свой бизнес от угроз.
с fake boss тоже встречались на своей работе, опасная вещь, особенно в рабочей горячке можно не разобраться от кого пишут.
на это и расчет, нужно проработать в компании подтверждения коммуникации по другому каналу. Например, "шеф" написал в ТГ, что нужно срочно оплатить счет, нужно взять и позвонить ему, для подтверждения или написать смс.
Просто еще удивительно как аккаунт копируют в точности, и фото, и био.
С фейк боссом сталкиваемся регулярно. Пишут моим сотрудникам якобы от моего имени. Да что там, даже мне пишут от моего же имени)
огонь :) чтобы сотрудникам от имени руководителя писали, это видел. Но что бы от имени руководителя самому руководителю писали, вот это мастерство!
Как по Вашему мнению, можно повысить уровень осведомленности сотрудников о киберугрозах без значительных затрат?
Юрий, хороший и актуальный вопрос.
Первый вариант - обратиться к интернету или к ИИ, получить информацию и обучить своих сотрудников. Но для этого нужно время и компетенции в этом вопросе.
Второй вариант - можно обратиться к нам, мы проведем обучение сотрудников бесплатно.