Comments 19
Я думал, что на эти ссылки ведутся только неграмотные люди. Есть у меня коллега, невероятно умный мужик, который работает в интернете уже много-много лет.
Пришло мне в контакте как-то сообщение с его весьма интересными фотками. И он поведал, что его шантажировали. Сначала просили 5 тысяч, потом ещё 20, он заплатил, но у вымогателей аппетиты росли. и они стали просить ещё. В общем, не ходите по ссылкам и не отправляйте жёнам фотки. Иначе их увидят все ваши друзья.
На самом деле случиться может с каждым, тут всегда важно быть начеку
>на эти ссылки ведутся только неграмотные люди
Самое поразительное, что на социальную инженерию ведутся даже сотрудники банков.
Имхо, слитые второй стороной фотки - все же не совсем "информационная безопасность", это скорее вопрос доверия. Вряд ли можно что-то сделать, если ваши данные именно ХОТЯТ слить, злонамеренно. Не только фотки, просто персональные данные.
Другое дело, что вы не можете быть уверены, что вторая сторона предпринимает достаточные меры безопасности. Грубо говоря, если вы доверияте персональную информацию банку - можно предположить, что там есть определённые процедуры. А если передаёте информацию любовнице - может оказаться, что у неё пароль из цифр дня рождения.
Вариант "не отправлять ничего никому и никогда" я не рассматриваю. Мы же хотим получать преимущества от технологий и делиться информацией, а не окукливаться.
Я когда работал в управлении ИБ часто ругался со своими коллегами, потому что они выступали как раз за регулярные учения и кнут для не прошедших эти учения, а я пытался им доказать, что бесполезно учить бухгалтера определять адресата по заголовку письма. Когда секретарю сыпется сотня писем в час, ей некогда каждое изучать под лупой, сверяя каждую букву в адресе. Надо остальную систему безопасности на предприятии выстраивать так что бы удачный фишинг (А он всегда будет удачным, это даже автор статьи признает) не нанес серьезного урона инфраструктуре и бизнесу. А штрафовать на премию бедного бухгалтера бесполезно, это приведет только к тому, что сотрудники будут старательно замалчивать все потенциальные инциденты.
Что нужно выстраивать систему безопасности – это 100% верно. Учения в этом случае – это только часть комплексных мер, которые помогают сотрудникам понимать, как фишинг в принципе работает и чего стоит опасаться
именно, в компании постоянно рассылаются ИБ письма с имитацией фишинга и мониторится кто как реагирует. Последний раз я таки сходил по их гребанной ссылке. неудачно ткнув мышкой по слепоте, великолепно понимая, что письмо фишинговое, открывать его не надо, а надо удалить.:) Просто ткнул не туда. От такой ситуации не застрахован никто, а потому репрессивные меры приведут к тому. что перестанут читать сообщения от корпоративных служб.
Я, например, после первого же имитатора фишинга, маскировавшего под рассылку корпоративного блога, просто отключил эту рассылку, чтобы вообще не лезло ничего от них - вот еще распознавать, то ли коллега делится фотками с корпоративного велопробега, то ли ИБ свой фишинговый тренинг рассылает.
К вопросу, на предыдущем емсте работы у меня не было ни одного фишингового письма. Как-то корпорации удавалось все вычислить и отсечь. Да, мучили раз в три месяца проходить тест по киберсекьюрити, который к нашему отделу относился только в 10% вопросов. Да, один раз зашел с рабочего на личную почту и отправил своему же начальнику резюме (ему надо было в учетку для HR подгрузить, за что меня поимели угрозой снять бонусы, которых я там принципиально не мог получить как аутстафф). Но этих дурацких тренингов, когда в любой момент можешь нарваться на депремирование просто не распознав по особым приметам, что это не корпоративная рассылка, не было.
Когда секретарю сыпется сотня писем в час
о, это прямо моя ситуация. Много сообщений, большая компания, сотни новых контактов, о которых ты тут же забываешь. И мозг оптимизирует это всё совсем небезопасным путём.
Тоже топлю за безопасность во всём, сам очень соблюдал гигиену. Но мне как-то в соцсети написала девушка: "Привет, я от %имя_юриста%, веду дела нашего питерского филиала. можешь мне на пару вопросов ответить?". И я начал отвечать до тех пор, пока не выяснилось, что у человека нет прав для просмотра ссылок, которые я кидаю. И тут я запаниковал.
%имя_юриста% - действительно юрист нашей компании, которого я иногда консультировал по техническим вопросам, а также ставил подписи на некоторых бумагах, где нужно "экспертное заключение". В потоке сообщений я даже не осознал, что фразы "я от знакомого человека" достаточно, чтобы я уже авторизовал человека по полной. Ведь фраза "я от твоего коллеги" звучит в день 100 раз, и мозг даже не видит, что в этот раз что-то идёт по-другому. А то, что юристы сидят в других мессенджерах - ну мало ли у них там своя атмосфера.
В тот раз было всё хорошо, это действительно была помощница нашего юриста. Но я тогда сделал для себя много выводов.
По долгу службы в 2014-2016 годах занимался рассылками фейковых фишинговых писем в своей компании. На тот момент это было чем-то новым, и мне скорее было интересно изучить механизм работы программы и немного психологию людей. После теста лично говорил со всеми "нарушителями", обьясняя на пальцах, как и почему они подставили себя/компанию.
При этом всегда выступал против карательных мер - которые ничего полезного (на мой взгляд) компании принести не смогут. В отчетах руководству всегда ограничивался числом нарушений, без имен и лиц.
На текущем месте такого функционала у нас нет, и честно говоря я считаю - что он устарел, т.к. отвлекает внимание от работы и заставляет скорее бояться безопасников, нежели учиться избегать фишинга.
В общем за все хорошее и против карательной безопасности.
Можно ли защититься от фишинга полностью?
Нет, и это факт, с которым стоит смириться. «Человеческий фактор» – не просто словосочетание, это основная движущая сила фишинговых атак.
Разве использование ключей, которые пользователь физически не может ни в какую фишинговую форму ввести (эцп для почты или доступ в интранет по токену) не спасает от подобных атак в 99.9% случаев?
Целью фишинга может быть не только получение пары логина\пароля. Может быть открытие зараженного файла с червем-шифровальщиком или просто бэкдор.
Мы разве не можем на собственном почтовом сервере сделать фильтр вложений, который разрешает передавать файлы без валидации только от коллег, письма которых подписаны ЭЦП? Для внешних отправителей можно сделать своего рода фильтр, который все вложения загружает на внутренний ресурс и вместо вложения в письме формирует ссылку на этот ресурс. При переходе по ссылке мы попадаем в зону, которая требует апрува от безопасников. Если файл признается безопасным, то мы безпрепятственно его качаем. Пока апрува не получено пользователь будет видеть сообщение "Файл на рассмотрении. Для эскалации звоните туда-то туда-то".
Не переходи по ссылке, не совершай ошибку: как научить сотрудников не попадаться на фишинг-письма