Comments 40
пфф слабаки кто начал ныть, преступники не будут жалеть
— Списки на сокращение;
— Подарки в корпоративном магазине;
— Перерасчёт премии;
— «Репорт» о посещении развлекательных сайтов в рабочее время;
— и многое другое!
Вот темы внутренних проверочных писем, которыми служба безопасности Сбера регулярно тестирует сотрудников на умение опознавать фишинг. Если попался и кликнул по ссылке в письме — перепроходишь тестирование, а это час-два времени. Письма различаются по «толстоте», начиная от очевидно фишинговых, заканчивая такими, что начинаешь сомневаться, проверяешь домены, сертификаты и подписи.
Как к этому относиться — так и не решил. С одной стороны — да, этичность таких проверок можно ставить под сомнение. С другой — действительно поддерживает бдительность.
— Подарки в корпоративном магазине;
— Перерасчёт премии;
— «Репорт» о посещении развлекательных сайтов в рабочее время;
— и многое другое!
Вот темы внутренних проверочных писем, которыми служба безопасности Сбера регулярно тестирует сотрудников на умение опознавать фишинг. Если попался и кликнул по ссылке в письме — перепроходишь тестирование, а это час-два времени. Письма различаются по «толстоте», начиная от очевидно фишинговых, заканчивая такими, что начинаешь сомневаться, проверяешь домены, сертификаты и подписи.
Как к этому относиться — так и не решил. С одной стороны — да, этичность таких проверок можно ставить под сомнение. С другой — действительно поддерживает бдительность.
Я относился к этому как к занимательным головоломкам. Можно ещё было на какой-то определённый адрес написать, там хвалят за бдительность. Ну, вернее, туда надо репортить настоящий фишинг и подозрительные письма, но ведь нигде не указано, что что это фальшивый фишинг-проверка. Так что репортить его, даже если очевидно. :)
Другая беда — большое количество неотключаемой рассылки типа "Доброе утро, Сбербанк" или "Новости отдела кадров". Это самый настоящий спам, который забивает одногигабайтный почтовый ящик. :/
А сделать подписи для «внутренних» писем и неподписанное сразу в /dev/null? Или кто-то наверху против?
Тех кто наружу слил нужно ещё на перепрохождение курса по NDA отправлять
В ответном заявлении представитель GoDaddy сообщил, что компания извинилась перед сотрудниками. «GoDaddy очень серьезно относится к безопасности нашей платформы. Мы понимаем, что некоторые сотрудники были расстроены попыткой фишинга и посчитали ее неуместной, за что приносим свои извинения», — сказал он. В компании заключили, что им нужно быть «быть более внимательными к сотрудникам».
Я прошу прощения, но… А настоящий фишер тоже будет задумываться о чувствах своих жертв, как думаете?
Вот у меня колено разбито, ходить тяжело, а по лестницам вообще беда. А они, пока мы в офисе работали, каждые пол-года тренировку противопожарную делали. И мне приходилось с седьмого вниз топать. А потом обратно вверх, потому что бизнес-центр большой и после отмены учебной тревоги к лифтам не пробиться было. Это жестоко, я считаю. Это так нельзя, надо внимательнее к своим сотрудникам быть.
Правда, когда там натурально полыхнёт, эти сотрудники или угорят, или в панике друг друга перекалечат, потому что не тренированы. Но это же ерунда, правда? Главное, чтобы этично было.
Мир явно сходит с ума…
Когда натурально полыхнёт, эти сотрудники действительно угорят иди друг друга перекалечат. Потому что такие тренировки — то же самое, что резиновые собутыльники и пластмассовые подстаканники:
— о тренировках сообщают заранее
— многие во избежание либо не приходят в офис (могут себе позволить), либо выходят на улицу курить сразу по приходу и тусят там до отключения тревоги (всё равно нормально не поработать)
Настоящая тренировка должна быть:
— внезапной
— каждый раз с изюминкой (например, там и тут организованы завалы, в некоторых местах баррикады имитируют непроходимый огонь, выход только через окно, развёртываем батуты, отгоняем и оттаскиваем транспорт, чтобы пожарные бригады с лестницами имели возможность развернуть спасательную операцию)
— о тренировках сообщают заранее
— многие во избежание либо не приходят в офис (могут себе позволить), либо выходят на улицу курить сразу по приходу и тусят там до отключения тревоги (всё равно нормально не поработать)
Настоящая тренировка должна быть:
— внезапной
— каждый раз с изюминкой (например, там и тут организованы завалы, в некоторых местах баррикады имитируют непроходимый огонь, выход только через окно, развёртываем батуты, отгоняем и оттаскиваем транспорт, чтобы пожарные бригады с лестницами имели возможность развернуть спасательную операцию)
многие во избежание либо не приходят в офис (могут себе позволить), либо выходят на улицу курить сразу по приходу и тусят там до отключения тревоги (всё равно нормально не поработать)
Во избежание чего? Выйти во двор по учебной тревоге это не что-то ужасное, чего стоит избегать.
Курильщики с 10 утра и до 18 вечера курить будут, ожидая включения тревоги?
Время включения ведь никто не сообщает. Если они могут позволить себе весь рабочий день курить, зачем они вообще нужны?
> Во избежание чего?
Во избежание срыва рабочего процесса. Выйти во двор на неопределенное заранее время, затем ожидать неопределенное время, пока запустятся лифты, затем ожидать неопределенное время, пока к лифту получится пробиться — это так себе подспорье в работе, особенно, если работа требует погружения и сосредоточения.
> Курильщики с 10 утра и до 18 вечера курить будут, ожидая включения тревоги?
Получается, что так. Я у БЦ, в котором работал, примерно это и наблюдал. В обычное время у входа кратно меньше людей толпилось, чем в дни «учебных тревог». И, что характерно, после тревоги толпы у входа куда-то исчезали.
Во избежание срыва рабочего процесса. Выйти во двор на неопределенное заранее время, затем ожидать неопределенное время, пока запустятся лифты, затем ожидать неопределенное время, пока к лифту получится пробиться — это так себе подспорье в работе, особенно, если работа требует погружения и сосредоточения.
> Курильщики с 10 утра и до 18 вечера курить будут, ожидая включения тревоги?
Получается, что так. Я у БЦ, в котором работал, примерно это и наблюдал. В обычное время у входа кратно меньше людей толпилось, чем в дни «учебных тревог». И, что характерно, после тревоги толпы у входа куда-то исчезали.
Типичные учения в ВУЗе. Утром в учебном отделе предупреждают: сегодня на паре X будут учения. Сигнализация сработает за пять минут до звонка. Занятие прекратить заблаговременно, студенты должны одеться и приготовиться. Спускаться надо лестницей такой-то и пофиг, что написано в плане эвакуации, утвержденном управлением мчс по области. Перед началом занятий напрячь старосту, чтобы обеспечила 100% явки на занятие к моменту начала эвакуации. А все потому, что отклонение от этого шаблона есть невыполнение учебного плана, за которое проверяющие от образования нагнут больше, чем проверяльщики из МЧС.
Из жизни: эвакуировали один из корпусов, все стоят на улице. Она из студенток другой почти на весь задний двор: «Ну и [нецензурное выражение] мы сюда спустились, лучше бы остались в аудитории, хоть бы покурили нормально...»
Из жизни: эвакуировали один из корпусов, все стоят на улице. Она из студенток другой почти на весь задний двор: «Ну и [нецензурное выражение] мы сюда спустились, лучше бы остались в аудитории, хоть бы покурили нормально...»
Ну я ж и говорю: случись реальный пожар, будет еще одна «Зимняя Вишня». Несмотря на «учебные тревоги».
В одном из зданий вообще было веселье: на четвертом этаже повесили «кишку» («чулок») — рукав, в который нужно прыгать (и дальше в нем почти как на лифте спускаешься до земли). Так вот, по плану третий этаж должен был при эвакуации подниматься на четвертый и вместе с четвертым прыгать в эту «кишку». По инструкции к этой «кишке» прыгать в нее можно только в том случае, если внизу стоит сотрудник пожарной части, ловит всех опускающихся и дает разрешение следующему человеку прыгать в «кишку». И вся эта хрень — не личное творчество завхоза и коменданта…
Ну так на то и тренинги, чтобы выяснить нестыковки и ошибки.
Первое учение провели по инструкции — подогнали пожарные машины, народ в «кишку» прыгнул. Дальнейшие учения — все спускаемся по лестницам, на план эвакуации — пофиг. А «кишку», поди, микки-маусы уже съели…
Дальнейшие учения — все спускаемся по лестницам, на план эвакуации — пофиг.
Ответственный за безопасный цирк не дорожит ни своей работой, ни, в перспективе, свободой. Увы.
Бывают и другие, например.
Проходишь по ссылке (из-под TOR, конечно же), заполняешь данными коллеги/насяльника/самого-главного-насяльника… В эту игру можно и так играть? Хотя в ссылке может быть что-то персональное закодировано..
Именно. Например, gophish, которым часто пользуются для таких рассылок, создает уникальную ссылку для того, чтобы в дашборде показывать кто до какого шага дошел, а сам фишинговый сайт может даже и не спрашивать данные пользователя, а просто предлагает ему скачать якобы полезный файлик.
Я вообще всегда чищу параметры из ссылок, даже если ссылки от друзей.
Около 500 сотрудников получили письма, в которых им обещали выплатить по $650.
А на Секлабе сказано что «около 500» — это число сотрудников попавшихся на фишинг.
Однако те, кто ответили на сообщения, вместо бонуса получили дополнительную работу за то, что провалили тест.
На том же Секлабе сказано что их напрягли не на поработать, а на прохождение обучения:
через два дня компания прислала им еще одно письмо, в котором сообщила, что они провалили тест на безопасность и обязаны провести на работе дополнительное время для прохождения обучения
Подробнее: www.securitylab.ru/news/515104.php
И здесь тоже:
А по сути бред, злоумышленники не будут задумываться об этике, так что учения вполне нормальные. А это нытье про «этично/не этично», «оскорбляет чувства» уже, честно говоря, надоела.
Тем, кто это сделал, через два дня заявили, что они «провалили недавний тест на фишинг» и что им необходимо пройти курс по безопасности.
А по сути бред, злоумышленники не будут задумываться об этике, так что учения вполне нормальные. А это нытье про «этично/не этично», «оскорбляет чувства» уже, честно говоря, надоела.
Так как на секлабе об этом читал ещё утром, то после того провального абзаца про 500 получивших письмо, дальше уже особо не вчитывался. Тем более это редакторская статья в стиле РБК — пара абзацев по теме(и то не всегда корректных), потом вода для наполнения(в стиле «ранее мы так же сообщали о том что...»). Так что концовка «новостей» зачастую на уровне рефлекса игнорируется.
По поводу этичности, я вообще не понял возмущений в интернете. В Европе постоянно проводятся тренинги(с последующим тестированием) по безопасности GPDR, я так понял там такое требование на уровне государства. Может в США это не принято? А если принято, то ребята явно прошли обучение и тестирование на «отвали», за что и наказаны.
Нам головная компания(EU) тоже постоянно шлёт, приходится проходить. И тем не менее периодически с азуры приходят уведомления что тот или иной сотрудник замечен в кликанье по ссылке в сомнительном сообщении(«High-severity alert: A potentially malicious URL click was detected.»), правда я не в курсе применяются ли к ним какие-то санкции со стороны компании.
По поводу этичности, я вообще не понял возмущений в интернете. В Европе постоянно проводятся тренинги(с последующим тестированием) по безопасности GPDR, я так понял там такое требование на уровне государства. Может в США это не принято? А если принято, то ребята явно прошли обучение и тестирование на «отвали», за что и наказаны.
Нам головная компания(EU) тоже постоянно шлёт, приходится проходить. И тем не менее периодически с азуры приходят уведомления что тот или иной сотрудник замечен в кликанье по ссылке в сомнительном сообщении(«High-severity alert: A potentially malicious URL click was detected.»), правда я не в курсе применяются ли к ним какие-то санкции со стороны компании.
По поводу этичности, я вообще не понял возмущений в интернете.
Можно комментарии на HackerNews почитать. Вот, например:
I explicitly told my penetration testers to avoid anything like this.
Invoking and then revoking a bonus email in a year where folks are already hard hit financially and mentally under the guise of “education” is lazy and any security leader who does it is a fool.
Effective security culture builds rapport with business units. This type of nonsense does the exact opposite.
Yes you may have proven a tactical point, but you have just set yourself up to lose the war.
It might be a realistic scenario and thus a «good» test. It still is a total dick move to do this as an employer. Some things you just should not do to your employees. There are a million other fishing scenarios that are realistic where you don't have to be promised money by your employer.
Are you managing people or customer expectations? If so, how many already left because of the rational explanations of your lack of empathy? If not, keep it that way, you don't have the emotional capacity to lead others.
If my employer pulls this prank on me, they can either give a formal apology to everyone, give me the actual bonus, or find another developer.
Люди живут в стране розовых единорогов. И это айтишники, чёрт подери!
В твитторе вообще истерика. Но там так всегда, меняется только тема.
"тот или иной сотрудник замечен в кликанье по ссылке в сомнительном сообщении"
О чем это говорит? Спам-фильтры настроены плохо, раз поддельные письма доходят до адресата.
Это говорит лишь о том что люди не учатся, и не думают.
Что касается настройки спам-фильтров:
1. Чтобы спам-фильтр гарантировано рубил весь спам, придётся смириться с большим числом ложных срабатываний. И то никаких гарантий, пока фильтрацией не займётся искусственный интеллект уровнем повыше типового пользователя.
2. Подскажите пожалуйста, какие возможности настройки спам-фильтров доступны в Google G Suite, или в Microsoft 365? Вести чёрные списки отправителей это не вариант, и никогда им не был.
В G Suite в настройках своего ящика выставил «не отправлять в спам *», и несмотря на это часть сервисных писем(с моего домена в мой же домен, причём с IP прописанных в админке как белые) попадают в спам. При этом некоторые реально спамовые письма попадают таки во Входящее.
Что касается настройки спам-фильтров:
1. Чтобы спам-фильтр гарантировано рубил весь спам, придётся смириться с большим числом ложных срабатываний. И то никаких гарантий, пока фильтрацией не займётся искусственный интеллект уровнем повыше типового пользователя.
2. Подскажите пожалуйста, какие возможности настройки спам-фильтров доступны в Google G Suite, или в Microsoft 365? Вести чёрные списки отправителей это не вариант, и никогда им не был.
В G Suite в настройках своего ящика выставил «не отправлять в спам *», и несмотря на это часть сервисных писем(с моего домена в мой же домен, причём с IP прописанных в админке как белые) попадают в спам. При этом некоторые реально спамовые письма попадают таки во Входящее.
Люди учатся, но на своих ошибках.
Бес понятия ;) Это ширпотреб с кнопкой «сделать хорошо». При наличии собственного спам-фильтра можно играться в white/black/greyсписки, SPF, DKIM, коеффициенты в классификаторе крутить…
Подскажите пожалуйста, какие возможности настройки спам-фильтров доступны в Google G Suite, или в Microsoft 365?
Бес понятия ;) Это ширпотреб с кнопкой «сделать хорошо». При наличии собственного спам-фильтра можно играться в white/black/greyсписки, SPF, DKIM, коеффициенты в классификаторе крутить…
Подскажите пожалуйста, какие возможности настройки спам-фильтров доступны в Google G Suite, или в Microsoft 365?
Не связывайтесь с ними. Ну хотя бы потому, что не надо отдавать свою почту чужим дядям.
Свой почтовый сервер рулит. Postfix+Dovecot+SpamAssassin+PostGrey+настройка SPF и DKIM. Да, бывает проскакивает, но это — одно – два письма за год. Из «хороших» писем пока что ни одно в спам не улетело. На работе — Outlook в облаке, каждую неделю нужное письмо улетает в спам. На предыдущей был GMail на домен — то же самое.
Еще приятная фича — настройка SPF+DKIM с указанием убивать письма, если они ушли не с моего сервера. Насколько помню, у MS и G такого нет от слова «совсем».
Еще приятная фича — настройка SPF+DKIM с указанием убивать письма, если они ушли не с моего сервера. Насколько помню, у MS и G такого нет от слова «совсем».
Настройка DKIM для обслуживаемого домена/доменов есть у обоих.
Защита на основе SPF DKIM в G Suite тоже есть(а может появилась *) — в Settings for Gmail/Safety/Spoofing and authentication. Не могу сказать насколько гибкая, сам только о её наличии узнал :).
За MS сказать не берусь, там бразды правления не у меня, так что такими глобальными вещами я там не занимаюсь по собственной инициативе :).
* — главная проблема с админками что у гугла, что у майкрософт, это то что там чёрт ногу сломит. И если у гугла всё хотя бы в пределах одного интерфейса(и даже поиск настроек в основном срабатывает — так и узнал о том что появились новые настройки для DKIM), то у MS полная мешанина из разных админок. Причём как минимум две для эксченджа(«старая» и «новый интерфейс»), а что касается отслеживания почты(грубо говоря поиск по логам), так вообще 4 или 5 инструментов разной степени иновационности и функциональности. Зато у MS есть работа через PS(как минимум для эксченджа это очень удобно бывает), а у Google только API, инструмент для которого предлагается пилить самому.
Что касается собственного сервака, то был когда-то. Но гемора от этого было много — сервак пережил многое, диски были маленькие, софт древний(наследство прошлого — фряха+сендмейл+спамассасин), трогать что-то по живому было не вариант(он и так работал на пределе). Апгрейд/замена — «денег нет». Так что перенос почты в чужую инфраструктуру сильно облегчил жизнь как админам, так и пользователям. А посыл «не надо отдавать свою почту чужим дядям» не котировался — международной компании Google тогда безоговорочно доверяли, в отличии от российских, примерно как сейчас когда все опасаются товарища майора, но не имеют ничего против его коллег из АНБ :). Всё таки в Европе степень паранойи по этому поводу значительно ниже чем у нас, так что Google & MS там вполне в доверии.
Настройка DKIM для обслуживаемого домена/доменов есть у обоих.
Только кривая. У SPF и DKIM есть пункт, что делать, если письмо ушло с левого сервера, или подписи нет, или она кривая. Возможны три варианта: принимать, решать получателю, убить. По смыслу должно быть «убить», и я не знаю, зачем остальные пункты придумали, но MS и G перманентно ставит их в «решать получателю». В результате можно отправить фишинговое письмо с поддельной подписью с левого сервера и оно, скорее всего, будет доставлено. Кто из получателей типа «офисный планктон» смотрит, есть ли у письма SPF и валидируется ли DKIM подпись? Да никто, вот и читает народ письма «от начальства» с последующим переходом по левым ссылкам.
Еще есть проблема у MS и G, если у получателя есть грей-лист. Второй раз они отправляют письмо с другого IP/хоста, и оно снова попадает в грей-лист. И так могут слать двое – трое суток, видимо, пока весь диапазон IP не кончится.
Что касается собственного сервака, то был когда-то. [...] Апгрейд/замена — «денег нет».
Лучше было бы все-таки железо поменять…
Было бы правильно выплатить премии тем кто не провалил, ну хотя бы по $65.
У нас тоже такое приходит регулярно, одн раз даже случайно ткнул, но всё понял, когда попросило ввести пароль и логин на левой странице. Вполне нормальная практика, без такого любой фишинг будет более эффектиным. А хакеры о толерантности не будут думать, бить по самым слабым местам — наиболее эффективная тактика.
Возмутительно! Как служба безопасности посмела хорошо делать свою работу?
Всем известно, что в самом верху проверочного письма аршинными мигающими буквами должно быть написано про то, что оно проверочное.
Нужен тест эксплуатирующий blacklist/whitelist, master/slave и прочие альтернативно оскорбительные темы. Но это опасно, безопасников могут и уволить за такое.
Отличный ход, пара десятков таких дрессировок и потом можно будет рассылать реальные письма про премии, никто на них не ответит, а руководство потом скажет, ну мы вас хотели премировать, а никто не захотел )
Я извиняюсь, но впервые слышу, чтобы руководству для того, чтобы премировать сотрудника, нужны были какие-то подтверждения, регистрации и тому подобные активные действия со стороны этого сотрудника. Если уж и будет рассылка про премии, то там так и будет написано – все молодцы, всем выплатим премию такого-то числа в таком-то размере. И всё, без ссылок, логинов и вот этого всего.
Если ответ на письмо идёт на домен компании, то при чем тут фишинг вообще?
Если же сотрудники сдали свои данные на внешний домен, тогда да — сразу по голове, ибо если свои данные легко сливают, то и данные клиентов сольют не глядя.
обещание праздничных бонусов в разгар пандемии, когда миллионы пытаются выживать, кажется особенно жестоким.
Нападение Германии на СССР в ночь 22 июня 1941 года — воскресенье — кажется особенно жестоким, ведь у людей выходной был! (сарказм)
Тренировки для того и проводятся в условиях максимально приближённых к боевым, чтобы люди имели возможность в безопасных условиях подготовиться к отражению реальной опасности. Как говорится, "трудно в учении — легко в очаге поражения".
Sign up to leave a comment.
GoDaddy раскритиковали за маскировку фишинг-теста под сообщения о новогодней премии