Памятка по безопасной работе с корпоративной email-корреспонденцией

[D03ER]

От себя бы добавил:
# Письма с темами «акты сверки», «Высылаю документы за...» от неизвестных отправителей банить и удалять без разбора. Лучше потом попросить выслать еще раз, потому что такие письма высылаются, обычно, по договоренности.
# Особое внимание уделять письмам в пятницу вечером и перед затяжными выходными.

[dyser]

#По поводу писем с темами про документы, думал над этим, просто около 3-х раз получал «акты» от организаций, с которыми работал ранее, похоже их взломали.
#Про пятницу вечером, интересное правило. Сформировалось на основе опыта?

[D03ER]

Да, был такой опыт. Чаще такие письма прилетают к концу недели или перед длинными выходными, когда у людей уже меньше желания разбираться, что это такое пришло, не открылся файл — ну и фиг с ним, в понедельник разберусь. Социнженерия

[aik]

У нас правила работы с такими письмами проще: «Если пришло неожиданное письмо — пересылайте айтишникам, они разберутся.»

Неожиданное — это что-то от левого адресата, или от знакомого, но без предварительного упоминания того, что аттач пришлют и т.п.
Такое людям гораздо удобнее, чем список из двух десятков сильно технических правил запоминать и применять.

[dyser]

Если у вас это работает — это здорово.

[aik]

Работает, давно уже вирусов никто не ловил.
Но, само собой, первоначально ещё на почтовом сервере все подозрительные аттачи расстреливаются.

Кстати, 001 дописать надо, да. Что-то за последнее время их много пошло.

[Xenobius]

Пересылать айтишникам — это, конечно, хорошо… Но, «и на старуху бывает проруха», айтишники тоже люди, и точно также могут «проморгать» вредонос. Конечно же, такая вероятность сильно ниже, но тем не менее. И будет сильно намного хуже, если вредонос попадет на машину нерадивого айтишника, ещё и работающего под «администратором»…

[dyser]

Думаю, от пересылания пользы больше, чем держать IT-службу в неведении. Если им не пересылать, никто не узнает о селевой или массовой атаке. Попасться может любой, даже атакующий, поэтому осведомленность нужно повышать во всех подразделениях, включая ТОП-ов (что особенно нелегко для it-шников).

[aik]

Да. Когда учащается какой-то тип спама, то рассылается информационное письмо на тему.

[aik]

А зачем работать под администратором? UAC — это довольно удобно.
Ну и для того, чтобы понять, что письмо — фигня, совсем не обязательно переходить по ссылкам или запускать вложения.

[NAI]

У нас в числе прочего, довольно действенным оказался запрет на *.tar и *.gz.

[dyser]

А запрет на *.001 сделали?

[Germanjon]

От себя бы добавил дополнительный подозрительный фактор:
# если адрес содержит кучу «случайных символов», например bank.ru/?action=R290b3NpdGU9ZXZpbC5ydQ==

[dyser]

Для некоторых организаций, наверное, подойдет такое правило. Его можно было бы включить в список обязательных для всех, если бы можно было в символах, зашифровать редирект, например, а он возможен не на всех сайтах жертв. В общем, для тех у кого на сайте есть возможность создать подобную вредоносную ссылку, ваше правило точно подойдет.

Еще умиляют такие ссылки пришедшие от paypal@mail.paypal.com
epl.paypal-communication.com/T/v40000016c69cba950c5a91df4bbcfbb48/9879e7559b6b4ac9000021ef3a0bcc6/9879e755-9b6b-4ac9-945e-239bcdc7f22?__dU__=v0G4RBKTXg2GtDSXU69Ujn5RqR7EEyYkx
(изменил пару символов, раньше она вела на www.paypal.com/ru/home).
Похоже у них безопасники с маркетологами не дружат.

[suffix_ixbt]

Почему в названии статьи есть слово "корпоративной" ?

Приведённые советы полезны далёким от it-безопасности людям но ничего специфического и относящегося именно к "корпоративной email-корреспонденции" я в статье не увидел.

[dyser]

Статья как раз предназначалась для людей, близких к it, чтобы они воспользовались памяткой для коллег, по причинам, указанным в третьем абзаце.

[PereslavlFoto]

Можно ли выкладывать в интернет фотографии моего рабочего места, сделанные людьми, которые не работают на предприятии?

[dyser]

Надеюсь, ваш комментарий не относится к инструкции отсюда «Троллем быть фуфуфу, заметите их — не кормите.».
Если нет, то на вашем предприятии (и на каждом предприятии) должен быть регламент для таких случаев.

[dyser]

PereslavlFoto не в ту ветку вам ответил, а то вдруг вы ждете ответ

[PereslavlFoto]

Нет регламента. Есть люди, которые приходят на занятия. Они фотографируют свои занятия на моём рабочем месте. Что опасного в таких фотоснимках?

[Andrusha]

Очевидно, это зависит от того, как выглядит ваше рабочее место в момент фотографирования — что открыто на экране компьютера, что разложено/развешано вокруг.

[dyser]

Andrusha всё верно ответил. В зависимости от рода деятельности предприятия, есть шанс на осуществление таргетированной атаки против него. Тогда злоумышленнику, увидевшему снимки, пригодятся и программы, которые есть на вашем рабочем столе.

[200sx_Pilot]

порчу наведут

[senator9991]

Проводил проверку у себя с фишинговыми письмами.По опыту самое ходовое это «Коллективный договор» и «Фотки с кооператива», процентов 10-15 открывают даже не глядя

[dyser]

«Коллективный договор», имеется ввиду рассылка с мотивацией присоединиться или подписать договор?

[Alexey_001]

Поделитесь, кто как борится с письмами с вложенным архивом *.001 (Акты сверки, документы за январь и др.). Письма пересылают через открытые или взломанные почтовые сервера. Блоркировка по расширению не вариант т.к. могут быть легитимные архивы.

[aik]

Я не знаю легитимных архивов с таким расширением, потому просто отбрасываю.
Сейчас мало кто режет на куски большие файлы, обычно через облако передают.