Журнал "Information Security/ Информационная безопасность" #1, 2021

отсечь утечку персональных данных сотрудников, иначе киберпреступникам будет проще найти к потенциальной жертве подход. Основные этапы стратегии борьбы со спамом Главный момент: корпоратив- ная почта должна использо- ваться лишь для делового общения. Личное общение, какие-либо персональные рас- сылки, не имеющие отношения к компании, допускать нельзя. Это звучит несколько жестко, но иначе просто нельзя: все сообщения, которые не отно- сятся к делам компании, долж- ны отправляться в спам. В основе стратегии защиты лежат следующие действия: 1. Отсекаем общий спам на сервере. Если письмо вдруг проходит через спам-фильтр, то далее придется его анализи- ровать самостоятельно. 2. Отсекаем целевой фишинг. Самое важное – это научить сотрудников распознавать подо- зрительные почтовые сообще- ния, которые они могут получить в рамках своей деятельности, поэтому все сообщения прове- ряются беглым осмотром пись- ма на наличие в них некоторых аномалий. Если аномалии выявлены, необходимо отправить письмо на проверку специалисту по информационной безопасно- сти. Такой проверки требуют целевые атаки: письмо в боль- шинстве случаев составлено так, чтобы обойти все фильтры и защитные механизмы на сер- вере. Главная задача – не толь- ко провести такой анализ, но и скорректировать СЗИ, чтобы не допустить подобных атак в дальнейшем. Этап настройки антиспам-фильтров на сервере мы пропустим, а все остальное рассмотрим чуть более под- робно. Начальные условия Предположим, что подозри- тельное письмо успешно про- шло через спам-фильтр и анти- вирусные проверки на почтовом сервере. Как правило, в таких письмах довольно сложно про- верить отправителя. Что это означает? Поиск аномалий в подобных сообщениях бывает затруднен, если не анализиро- вать заголовки письма. Но у таких атак есть общие черты, по которым их и можно распознать: 1. Побуждающее действие. Злоумышленников интересует действие, которое может выпол- нить потенциальная жертва, например открытие и запуск вложения, переход по ссылке, целевой фишинг через сервис. 2. В письме обязательно будет скрыта полезная нагрузка, кото- рую жертва должна запустить. Это может быть документ, кар- тинка, приложение и т.п. Письма, содержащие выше- указанные признаки, необходи- мо тщательно проверять. Пер- вый этап проверки – анализ писем самими сотрудниками. Для этого можно составить небольшую памятку для них, в которой указываются основные черты проблемных сообщений. Для того чтобы упростить задачу пользователю, стоит ввести балльную оценку сообщениям. Так, имеется сов- падение хотя бы с одним пунк- том, указанным ниже, значит ставим сообщению один балл. Если в письме набирается кри- териев хотя бы на два балла, оно получает статус подозри- тельного. Вот примеры критериев, по которым мы проверяем каждое письмо: l письмо не связано или, в лучшем случае, связано кос- венно с профессиональной дея- тельностью получателя; l искаженно имя известного домена, замена букв на визу- ально похожие, например shartres вместо shartrez; l длинное имя отправителя в адресе отправителя, например sometext.manager.somedata@до мен; l длинное имя домена в адресе отправителя, например cnaan- tours.co.il ; l странные суффиксы домена в адресе отправителя, например .xyz,.it,.abc и т.д. Ключевым признаком атаки является наличие в письме некоего объекта – файла или ссылки, действие с которым надо обязательно выполнить, поэтому далее пользователю необходимо проверить письмо на наличие подозрительных объектов. Примеры: l проверить, есть ли в письме ссылки, по которым надо обя- зательно перейти;. l проверить, есть ли в письме вложения; l проверить, есть ли в письме подпись с данными владельца и совпадает ли подпись в пись- ме с доменом отправителя. Затем следует проверить, что хочет отправитель. Как и гово- рилось выше, киберпреступнику нужно заставить пользователя выполнить какое-то действие. Это достигается при помощи таких методов: 1. Отправитель письма апел- лирует к страху перед возможной ответственностью или играет на жадности, корысти, получении материальных или иных благ. 2. Отправитель письма апел- лирует к стремлению проявить некие положительные качества получателя письма, для чего надо или запустить файл-вло- жение, или перейти по ссылке. 3. Отправитель письма шан- тажирует или угрожает компро- метацией персональной инфор- мации – фотографий, переписки и т.п., если пользователь не выполнит указанные в письме действия. 4. Отправитель письма пыта- ется апеллировать к чувствам пользователя, например жалости, чтобы тот перешел по ссылке. 34 • УПРАВЛЕНИЕ Нужно отсечь утечку пер- сональных данных сотрудни- ков, иначе киберпреступни- кам будет проще найти к потенциальной жертве подход. Главный момент: корпо- ративная почта должна использоваться лишь для делового общения. Личное общение, какие-либо персо- нальные рассылки, не имею- щие отношения к компании, допускать нельзя. Первый этап проверки – анализ писем самими сотрудниками. Для этого можно составить неболь- шую памятку для них, в которой указываются основные черты проблем- ных сообщений. Рис. 1. Практический пример