Журнал "Information Security/ Информационная безопасность" #3, 2019

В ходе рассылки возни- кали различные ситуации. Например, в одном из регионов сотрудники стали звонить в отделение Сбер- банка и требовать выдать им кредит под указанные в фишинговом письме про- центы. Сотрудники Сбербан- ка оперативно отреагирова- ли на такие сообщения и связались с нами с целью выяснить источник рассыл- ки. После полученных объ- яснений вопрос был исчер- пан. Часть сотрудников, кото- рые попались на фишинг и ввели свои данные, обвиня- ли нас в том, что мы непра- вильно все делали. Напри- мер, в одной из рассылок мы использовали в качестве адреса отправителя поч- товые адреса топ-менедж- мента. Это многих смутило. Они поспешили открыть письма и пройти по ссыл- кам. После этого они возму- щались и говорили, что теперь вообще письма от топ-менеджмента открывать не будут. На наш вопрос, как часто они получали письма напрямую от топ- менеджмента, они затрудни- лись ответить. К сожалению, у многих таких сотрудников есть стойкое убеждение, что злоумышленники не будут маскироваться и обязатель- но напишут большими крас- ными буквами, что это фишинговое письмо. делали. Например, в одной из рассылок мы использовали в качестве адреса отправителя почтовые адреса топ-менедж- мента. Это многих смутило. Они поспешили открыть письма и пройти по ссылкам. После этого они возмущались и гово- рили, что теперь вообще письма от топ-менеджмента открывать не будут. На наш вопрос, как часто они получали письма напрямую от топ-менеджмента, они затруднились ответить. К сожалению, у многих таких сотрудников есть стойкое убеж- дение, что злоумышленники не будут маскироваться и обяза- тельно напишут большими крас- ными буквами, что это фишин- говое письмо. С каждым таким сотрудником была проведена беседа и назначено обучение с тестированием. Выводы l Нужно тщательно подходить к подготовке фишинговых писем. В первом письме о совместной акции с банком мы использовали желания людей заработать и сэкономить. В письме были предложены очень выгодные условия, значительно лучше рынка. И это сработало. Сотруд- ники, работающие с финансами, не реагировали на это сообще- ние. Но у остальных предложе- ние вызвало живой интерес, как в регионах, так и в Москве. И даже часть опытных в вопро- сах ИБ сотрудников отреагиро- вали на наши письма и ввели свои данные, так как именно в этот момент искали, куда вло- жить деньги, или хотели выгодно взять кредит. В ходе беседы на вопрос "Как же так?" люди при- знавались, что сами не пони- мают, как так произошло. Просто увидели выгодное предложение, и мозг отключился. Второе пись- мо также использовало желание людей сэкономить. В преддверии отпусков мы предлагали выгод- ные условия на проезд к местам отдыха. В Московском регионе это письмо не вызвало интереса. Основной целью были регио- нальные пользователи. И там предложение вызвало большое количество срабатываний. Под- водя итог, можно сказать, что очень важно понять целевую группу, что им будет интересно, и под это создавать контент. l Большинство не сообщили о полученном фишинговом пись- ме. В этом вопросе нужно про- водить работу по информиро- ванию сотрудников о том, как важно передать информацию о событиях и инцидентах ИБ соот- ветствующим подразделениям. l У части сотрудников большой объем входящей почты, и наши письма затерялись в этом потоке. l Часть сотрудников побоялась или постеснялась сообщить о факте компрометации своих учетных данных. Здесь, как и в случае сообщения о получении письма, нужно проводить рабо- ту с сотрудниками и доносить до них важность информирова- ния о таких фактах, так как это может предотвратить более серьезные инциденты. По итогам принято решение продолжать мероприятия по обучению информационной без- опасности. Особое внимание будет уделяться вопросу инфор- мирования отдела информа- ционной безопасности о фактах выявленного фишинга. Во второй половине года мы планируем повторить рассылку с новыми письмами и сравнить полученные результаты. Подводя итог, можно конста- тировать, что проведение таких тестов-тренировок необходимо. Сотрудники учатся правильно определять подозрительные письма и правильно на них реа- гировать. Даже опытные сотруд- ники могут стать жертвой фишин- га. Использовать для этих меро- приятий коммерческие сервисы или собранные самостоятельно из Open Source решения – это вопрос каждого конкретного предприятия. В любом случае результат того стоит. l • 43 УПРАВЛЕНИЕ www.itsec.ru Ваше мнение и вопросы присылайте по адресу is@groteck.ru