Каждый третий работник готов открыть письмо от хакера

Российский бизнес обучает своих сотрудников уловкам киберпреступников
В тестах сотрудники массово открывали письма с файлом о премировании/ Евгений Разумный / Ведомости

Один из излюбленных инструментов киберпреступников – так называемая социальная инженерия, помогающая злоумышленникам обманом проникать во внутреннюю сеть компаний. По наблюдениям компании Positive Technologies, тестировавшей защищенность российских предприятий, каждый третий сотрудник готов запустить файл из электронного письма или перейти по предложенной ссылке. В реальных атаках вложенные файлы содержат вредоносный код, а ссылки ведут на фишинговые сайты. А каждый десятый с готовностью вводит данные в поддельную форму аутентификации, пишет в своем отчете Positive Technologies. Также Positive Technologies обнаружила, что каждый седьмой сотрудник вступает с потенциальным злоумышленником в разговор по телефону или в переписку, раскрывая сведения о компании.

Компания анализировала защищенность 33 компаний в сферах промышленности, финансов. По договоренности с руководством она имитировала действия настоящих злоумышленников.

Сценарии социальной инженерии разнятся. Например – отправка зараженного резюме в отдел кадров, которое сотрудники с высокой долей вероятности откроют, указывает антивирусный эксперт «Лаборатории Касперского» Денис Легезо. Само резюме может быть взято из интернета, но вместе с ним будет прикреплен вредоносный код.

Positive Technologies тестировала компании письмами о выборе «Мисс компании». К письму прикладывали фотографию красивой девушки и сотрудники охотно переходили на якобы страницу с голосованием, говорит руководитель отдела аналитики информационной безопасности Positive Technologies Евгений Гнедин. В других тестах сотрудники массово открывали письма с файлом о премировании.

Руководитель направления «Аудит и консалтинг» Group-IB Андрей Брызгин называет самыми эффективными темами таких писем сообщения от регуляторов и госструктур, досудебные претензии, изменение реквизитов контрагентов, копии счетов и платежных поручений. По его словам, до 80% атак с выводом денег и остановкой бизнес-процессов начинается с легкомысленного перехода по ссылке из письма.

«Ростелеком» несколько раз в месяц сталкивается с мошенническими атаками на сотрудников, рассказывает его представитель Андрей Поляков. В Сбербанке фишинг называют одним из самых популярных инструментов социнженерии. За 2018 г. служба безопасности банка зафиксировала более 600 000 электронных писем с фишингом и вредоносными вложениями, сказал представитель банка.

Большинство опрошенных «Ведомостями» компаний говорят, что обучают сотрудников распознавать социальную инженерию. Например, МТС проводит учения, после которых сотрудники аккуратнее относятся даже к внутренним HR-рассылкам, говорит представитель оператора. В Сбербанке в ходе учений не только рассылаются учебные фишинговые письма, но и подбрасываются «зараженные» флешки и совершаются «мошеннические» телефонные звонки, рассказывает представитель банка. В результате менее чем за полгода почти вдвое сократилось число сотрудников, которые не могут распознать голосовое мошенничество, а за 1,5 года почти в 30 раз сократилось число тех, кто переходит по фишинговым ссылкам в почте.

В поиске диалога

В ответном письме сотрудник может пожаловаться злоумышленнику, что ссылка или вложение не открывается. Впоследствии в журналах действий можно обнаружить, как сотрудники многократно переходили по фишинговым ссылкам, вводили разные варианты своего пароля и пароли к другим ресурсам.

Учения проводит и «Ростелеком», «М.видео-Эльдорадо», Metro и «Связной-Евросеть». В «Вымпелкоме» такие тренинги проходят раз в квартал.

Хорошо спланированные атаки начинаются с разведки и инсайдерской информации об организации, рассказывает Гнедин. Так можно разработать вредоносный софт, который будет использовать уязвимости конкретной компании. Кроме того, жертвам сложно заподозрить атаку, поскольку письма отправляются от имени организаций, с которыми компания ежедневно сотрудничает, и даже с компьютеров их работников, которые могли быть взломаны ранее, поясняет Гнедин.

Шансы хорошо подготовленной атаки на успех высоки, соглашается директор по консалтингу ГК InfoWatch Мария Воронова. Несмотря на специальные средства защиты и постоянное обучение сотрудников, тактики обмана пользователей становятся все сложнее, что позволяет обходить защиту.

Специальные тренинги могут снизить вероятность успеха атаки, хотя и не до нуля. Нужно исходить из того, что сотрудники, которым положено открывать файлы во вложениях в электронной почте (как, например, работники отдела кадров открывают файлы с резюме), неминуемо продолжат это делать, разводит руками Легезо из «Лаборатории Касперского». Но комплексная система безопасности, включающая не только защитное ПО, но и тренинги и постоянный внутренний мониторинг, способна снизить риски, считает он.

10 главных кибератак в истории человечества