Тест на фишинг, или Как не попасть в ловушку хакера. Наш эксперимент

Так что сотрудникам не привыкать. Но на этот раз главред в письме просил «знакомиться с важным документом по ссылке» и строго следовать этим инструкциям.

Так совпало, что в то время главный редактор как раз был в отпуске. Он не отвечал коллегам в общий чат на вопрос, это ли от него письмо и что вообще происходит.

Поэтому коллеги решили не открывать ссылку и спустя некоторое время просто забыли о существовании этого обращения.

После нового года главред не успокоился. Он снова написал письмо журналистам:

Реакция от коллег была мгновенной. Заместитель главного редактора Мария Бровинская запостила скрин с этим письмом в общий чат и написала:

Мария сразу заметила, что это нетипичное письмо главреда. И этого не может быть он. Потому что обычно главред наспех совершает много ошибок в украинском. А здесь прямо всё идеально!

Точно такое же письмо пришло и бухгалтеру редакции. А этот e-mail вообще нигде не светился. И было непонятно, откуда он у злоумышленников.

И в этот раз, и в прошлом случае у коллег уже не было никакого сомнения, что это пишет не Стас Юрасов, а кто-то другой.

На следующий день на планерке Стас рассказал, что это действительно не он. Но ему было хорошо известно о намерениях отправителя.

На самом деле они были совсем не преступны. Это был тест, проверка безопасности, которую провели для редакции специалисты компании GigaCloud.

И редакция его успешно прошла.

А теперь разбор, почему никто не попался и как часто на таком попадаются другие.

Ну и напоследок: полезные рекомендации: что делать, чтобы команда не звала на фишинговые листы, а обходила их десятой дорогой.

Поехали!

Почему редакцию не удалось обмануть

Максим (имя мы скрыли) — руководитель информационной безопасности облачного провайдера GigaCloud. Именно он несколько недель прокачивал почтовый сервер и по несуществующему почтовому адресу [email protected] производил рассылку по редакции. Адреса ему заранее передал Стас.

Максим рассказал, какие были затруднения при выполнении этого эксперимента:

1. У вас очень прекрасный домен (dev.ua). Если взять даже, например, наш домен — gigacenter.ua, то слово center там пишется через два «е». Если второе «е» убрать (выйдет gigacentr.ua), то на первый взгляд и не поймешь, что это ложный, подставной домен. «dev.ua как я не крутил — ничего не уберешь», — подчеркивает Максим.
2. Домены второго уровня в национальных доменах (UA) для злоумышленников, использующих фишинг, — это просто боль и слезы. Такой домен можно зарегистрировать только тогда, когда у тебя есть соответствующая торговая марка в Украине.
3. Следующая проблема для фишинговой атаки — очень короткий e-mail адрес главного редактора — [email protected]. Комбинаций для того, чтобы сделать подобную фейковую — маловато.
4. У вас очень маленький коллектив, все всех знают, общаются между собой. И если даже какие-нибудь подозрительные письма приходят на почту, то есть общий чат, где сразу начинаются обсуждения чего-то подозрительного.

Какова статистика подобного фишингового приема в целом

Как говорит Максим, 70% сотрудников компаний открывают письмо и переходят на подобные ссылки. 50% вводят свои учетные данные.

То есть, КАЖДЫЙ ВТОРОЙ сотрудник попадается.

Кстати, сам факт открытия письма не несет никакого вреда для пользователя, только клик на то, что в него укладывается, может быть опасным.

Какая может быть опасность по ссылке

При переходе по ссылке могут попросить ввести логин и пароль, например, от Google аккаунта. «Жертву опрокидывает на входное окошко клиенту. И он даже не поймет, что передал информацию кому-то не потому», — подчеркивает специалист по кибербезопасности GigaCloud.

И этот логин и пароль, введенный сотрудником компании, хранится в базе данных хакера.

Если не настроена двухфакторная авторизация, теперь злонамеренный может удаленно войти в систему, посмотреть корпоративную и частную переписку, документы, получить удаленное управление системой.

Доступ к аккаунтам также может быть использован так называемыми хакерами-шифровальщиками, которые блокируют доступ к данным жертвы и требуют деньги.

Злоумышленники могут подключить уже зараженный компьютер к участию в DDOS-атаках.

Так что же делать

Нет такой пилюли, которая защитит от всего. Самое действенное — это повышать уровень осведомленности в кибербезопасности среди своих сотрудников.

Поэтому очень важно проводить в коллективе обучение и тренинги по безопасности и разбирать типовые ситуации нападения злоумышленников.

1. Самое простое: «Когда тебе пишут слово „Привет!“ и при этом не обращаются к тебе привычно (Скажем: „Привет, Стас!“), это уже составляет подозрение», — рассказывает Максим.
2. Когда сотрудника побуждают что-то сделать быстро — это также признак того, что это может быть фишинговое письмо.
3. Когда в письме есть какие-либо вложения, а обычно от этого человека никаких вложений в письмах не приходило — тоже подозрительно.

Основное правило: если это массовая рассылка и в письме указано много получателей, то, скорее всего, это не будет фишинговое письмо.

Ибо фишеры, как правило, указывают один адрес жертвы для понимания, с какого же компьютера поступил пользователь. Потому что ссылка в фишинговом письме — для каждого из них будет персональная.

Как изменился вектор атак во время войны

Атаки во время войны были направлены на госсектор, медиа и ритейл и банковский сектор.

Вот для примера два вектора атаки

Первое — незащищенный вход в государственные системы

Украинское законодательство недавно запрещало использовать облачные технологии в госсекторе. Поэтому в известных организациях использовался так называемый on premise exchange server. Как это в общем работает: вы заходите на свой почтовый ящик через веб-приложение в браузере, вводите логин и пароль.

Чтобы это работало не только из офисной сети (а напомним, был карантин и люди работали по домам), этот вход можно было сделать не только внутри ведомства, но и снаружи через внешний IP-адрес.

А поскольку информационная безопасность у нас еще не на очень высоком уровне, наши враги искали данные работников министерств в открытом доступе (например, через электронные декларации). Принимали имя и фамилию (логин) и подбирали пароль. Причем из-за браузерной версии блокировка попыток не происходила после определенного количества неверных попыток. Оно просто было отключено в некоторых случаях.

На современных облачных технологиях защита от таких действий злоумышленников априори установлена. И такие недостатки в настройке систем безопасности просто отсутствуют.

Кроме того, есть готовые решения в облаке с виртуальными рабочими столами.

Второе — халатность админов.

Когда началась война, для админов разных компаний и ведомств сделали возможность отдаленной работы.

Но кто-то из них забыл свой компьютер, кто-то не мог уехать. И админы начали подключаться к ИТ-инфраструктуре с разных устройств, которые были под рукой.

И тут сработали старые закладки (устройства уже могли быть поражены раньше и хранили зловредную программу), которые на них хранились.

Какие можно сделать выводы

1. Фишинговая атака, если она хорошо подготовлена и направлена непосредственно на жертву заказчика, с большой вероятностью пройдет успешно, не надейтесь на антивирусные и антифродовые системы. Ведь в основу такой атаки будет закладываться социальная инженерия: жертва даже не заметит, что ее обманывают. Сама все выдаст.
2. Лучшая профилактика от фишинговых атак — регулярные тренинги с командой. Тем более сейчас, когда сотрудники часто работают в удаленном режиме, используя некорпоративные гаджеты и сети.
3. Если кто-то может профессионально позаботиться о вашей безопасности, то лучше не пренебрегать этим вопросом. Не всегда удастся отследить действия админов или сотрудников на релокейте. Поэтому надежное диверсифицированное (хранится в разных ЦОДах) облако — это минимум, который нужно иметь во время войны.

Читайте главные IT-новости страны в нашем Telegram

По теме

Читайте главные IT-новости страны в нашем Telegram