Журнал "Information Security/ Информационная безопасность" #3, 2019

При создании фишинго- вых писем решили играть на желаниях экономить, заработать, получить что-то бесплатно. В настоящее время существует огромное количество решений по безопасности. Можно, казалось бы, защитить все. Но есть одна малень- кая деталь – люди. Можно внедрить какую угодно защиту, но человек оста- нется слабым звеном. В нашей компании реализовано множе- ство защитных средств и мер. И вот настал момент научить наших сотрудников безопасности при работе с ИТ-сервисами. Для этого мы постоянно организуем различные курсы обучения, делаем рассылки с основными правилами безопасности, пуб- ликуем новости на портале и т.д. Одна из тем была посвящена выявлению фишинговых писем. Несмотря на внедренные сред- ства защиты, иногда такие пись- ма просачивались, и мы стара- лись научить наших сотрудников их выявлять и правильно реаги- ровать. Однако по результатам проведенных мероприятий было непонятно, насколько сотрудники воспринимают информацию и применяют ее на практике. Фишинговая рассылка Для проверки знаний и трени- ровки сотрудников было принято решение организовать "фишин- говую" рассылку силами отдела информационной безопасности. Для реализации этого мероприя- тия взяли в аренду сервер на внешней площадке, на него была установлена операционная система Linux и Open Source решение KingPhisher 1 . Данное решение позволяет организовать фишинговую рас- сылку. При этом реализован вариант для организации обучающей рассылки, при кото- рой не фиксируются введенные пароли пользователей (рис. 1). Дополнительно был настроен почтовый сервер, получены и настроены все необходимые атрибуты, такие как SPF, DKIM и другие, чтобы наш сервер воспринимался легитимным. После установки, настройки и отладки началась работа по подготовке самих фишинговых писем и соответствующих Web- страниц, на которых сотрудники могли бы ввести свои данные. Была также подготовлена стра- ница, на которую попадали те, кто ввел свои данные. На этой странице им сообщалось, что они стали жертвой фишинга, и выдавалась краткая информа- ция, что нужно было делать, чтобы этого не произошло. При создании фишинговых писем решили играть на жела- ниях экономить, заработать, получить что-то бесплатно, для чего подготовили два варианта письма. В первом предлагали выгодные условия по кредитам и вкладам от Сбербанка, во втором – выгодные предложе- ния от РЖД на поездки в отпуск. Одним из условий хорошего результата было то, что в одну волну рассылки нужно было включать сотрудников из раз- ных регионов и подразделений, чтобы они не могли оперативно обмениваться информацией. Цель рассылки – собрать стати- стику по следующим признакам: l смогут ли пользователи опре- делить фишинговые письма; l сообщат ли о найденных фишинговых письмах; l сообщат ли, если станут жерт- вой фишинговых писем. В системе, соответственно, фиксировалось, сколько писем отправлено, сколько из них открыто, сколько человек про- шло по ссылке, сколько человек ввело свои данные, какие дан- ные ввели. Все это отслеживалось за счет формирования для каждо- го адресата уникального иден- тификатора, прописанного во всех ссылках. В дальнейшем оказалось, что открытие письма не всегда отражалось коррект- но, так как оно отслеживалось однопиксельной картинкой, загружаемой с нашего сайта при открытии письма. А Micro- soft Outlook в большинстве слу- чаев не загружает внешнее содержимое. Это немного сма- зало картину. Однако переходы по ссылке и ввод данных фик- сировался хорошо. Результаты В результате проведенного мероприятия были получены следующие результаты: l отправлено более 12 тыс. писем; l сообщили о фишинге 103 сотрудника; l перешли по ссылке 1174 сотрудника; l ввели свои данные 417 сотрудников. Всем перешедшим по ссылке и тем, кто ввел свои данные, были назначены обучающие курсы по выявлению фишинга с итоговым тестированием. В ходе рассылки возникали различные ситуации. Например, в одном из регионов сотрудники стали звонить в отделение Сбербанка и требовать выдать им кредит под указанные в фишинговом письме проценты. Сотрудники Сбербанка опера- тивно отреагировали на такие сообщения и связались с нами с целью выяснить источник рас- сылки. После полученных объ- яснений вопрос был исчерпан. Часть сотрудников, которые попались на фишинг и ввели свои данные, обвиняли нас в том, что мы неправильно все 42 • УПРАВЛЕНИЕ Как усилить слабое звено? Люди как люди. Любят деньги, но ведь это всегда было… Человечество любит деньги, из чего бы те ни были сделаны, из кожи ли, из бумаги ли, из бронзы или из золота. Ну, легкомысленны… ну, что ж… и милосердие иногда стучится в их сердца… обыкновенные люди… в общем, напоминают прежних… квартирный вопрос только испортил их… М. Булгаков. Мастер и Маргарита Андрей Нуйкин, начальник отдела обеспечения безопасности информационных систем, блок вице-президента по ИТ, ЕВРАЗ 1 https://github.com/securestate/king-phisher