Популярное
Свежее
Моя лента
Сообщения
Рейтинг
Курсы
Темы
Маркетинг
Деньги
Сервисы
Личный опыт
Маркетплейсы
Крипто
AI
Образование
Путешествия
Карьера
Показать все
vc.ru
О проекте
Правила
Реклама
Приложения
Digital Security
Сервисы

Посылка от Санты: Фишинг в подарочной упаковке

Посылка от Санты: Фишинг в подарочной упаковке

Предпраздничный ажиотаж — отличное прикрытие для кибермошенников.

Праздник приходит не только к нам с вами, но и к злоумышленникам, и им он сулит большой улов. В преддверии Нового года они с активно рассылают письма с подарочными сертификатами и скидками, звонят от имени банков или госструктур и обещают денежные вознаграждения. Их цель – украсть ваши персональные данные, реквизиты банковской карты или же уговорить вас сделать перевод на их счет.

Все эти сообщения, письма и звонки – методы многогранной социальной инженерии. Как ни печально, на каждого умелого мошенника найдется своя жертва. И вероятность стать ею в период праздников увеличивается в разы.

У нас есть три подробные статьи о социальной инженерии с примерами из практики специалистов по информационной безопасности Digital Security:

1) теория: психология и виды социальной инженерии;

2) фишинговые сценарии и ковидная реальность;

3) физическое проникновение в офис.

Что такое социальная инженерия?

Пожалуй, социальная инженерия – самая живая тема в контексте информационной безопасности. Во-первых, она касается каждого: кто не получал звонков от лжебанка? Во-вторых, любой может понять, в чем дело, и для этого не нужно специальных знаний. И, в-третьих, она всегда актуальна: любые перемены в обществе или мало-мальски значимый инфоповод провоцируют новую волну атак.

Социальная инженерия – это способ получения конфиденциальной информации, основанный на особенностях психологии людей. Зачастую используются email-рассылки с вредоносными вложениями или фишинговыми ссылками на сайт, где пользователя просят ввести конфиденциальных данные.

Жертвами социальных инженеров становятся не только рядовые пользователи, но и сотрудники корпораций, финансовых и государственных организаций. Причем наибольшую угрозу безопасности представляют ошибки сотрудников и простая человеческая невнимательность.

Как социальную инженерию можно использовать во благо?

Для нас в Digital Security социальная инженерия — это еще и работа.

Мы проводим специальные учебные тестирования, чтобы помешать злоумышленникам атаковать компании и повысить осведомленность сотрудников. Благодаря им можно выяснить, насколько сотрудники компании уязвимы к действиям социальных инженеров и как далеко сможет зайти атакующий. Каждое тестирование заканчивается одним и тем же: осознание, раскаяние и работа над ошибками.

В каждом случае разрабатывается свой сценарий атаки. При этом учитывается характер деятельности компании, ее организационная структура, распорядок дня сотрудников и множество других факторов, вплоть до названий ближайших к офису кафе. Атака всегда начинается с предварительного исследования.

За два года таких тестирований наши специалисты собрали большую базу данных. Они проанализировали эти данные и выяснили, какие легенды и сценарии срабатывают лучше всего.

Какие темы срабатывают в фишинге?

Фишинг – одним из самых простых и популярных методов социальной инженерии. Чаще всего в атаках на компании используются email-рассылки с вредоносными вложениями или ссылками.

Чтобы выявить самые эффективные схемы вредоносных рассылок, мы обобщили данные 50 тестирований методами социальной инженерии и представили их в инфографике.

Посылка от Санты: Фишинг в подарочной упаковке

В белом окне указано название сценария. Это вымышленный повод, по которому атакующий обращается к жертве.

Здесь мы показали только самые популярные темы. Желтым цветом отмечен процент тех, кто попался на уловку и перешел на фишинговый ресурс или скачал вредоносное вложение. Красный цвет показывает дошедших до конца – они запустили на рабочем компьютере вредонос либо ввели логин и пароль от корпоративной учетки на фишинговом ресурсе.

Эффективность каждой из схем дана в процентах от общего числа отправленных писем.

1. Вредоносные вложения (на светлом фоне): письмо содержало вложение, которое пользователям нужно было скачать и запустить, чтобы операция считалась успешной. Оранжевым показан процент людей, скачавших вложение, и красным – запустивших вредонос.

2. Фишинговые ссылки (на темном фоне): в письме была описана легенда, содержащая ссылку, перейдя по которой сотрудникам нужно было ввести свои данные. Оранжевым в правой части инфографики показаны люди, которые перешли по ссылке, а красным – те, кто ввел логины и пароли.

В нижней части инфографики приведено сравнение эффективности этих двух схем.

Что в итоге?

Исследование показало, что гораздо эффективнее работают письма с вредоносными вложениями. Больше всего внимание пользователей привлекают темы писем, связанные с финансами или новостями компании. «Тайный Санта» и праздничные рассылки также часто используются злоумышленниками.

Нужно понимать, что и одного удачного письма иногда бывает достаточно, чтобы развить атаку на целую компанию. Но даже такой сезонный повод как «Тайный Санта» оказывается эффективным в 10% случаев!

Как же быть?

  • Сохранять холодный рассудок и проверять отправителя писем. Не открывать ссылки и документы, если письмо кажется подозрительным.
  • Оставаться в контексте. Ежедневно в СМИ появляются сообщения о новых уловках социальных инженеров. Предупрежден – значит, вооружен! Следите за новостями, предупреждайте коллег и родных.
  • Проводить учебные тестирования и проверять, как ведут себя сотрудники компании.

Не дайте корыстному Тайному Санте добраться до ваших банковских счетов. Будьте внимательны и оставайтесь в безопасности не только в праздники, но и каждый день в новом году!

55
Начать дискуссию