Pull to refresh
3
0
Кирилл Антонов @an1ik

Технический писатель

Send message

Вполне возможна атака и через почтовый сервер, не обязательно сразу получать доступ к железу или софту. Фишинг и прочие атаки через ВПО никто не отменял, но вы верно подметили про две части, конечно, это более корректное решение. С точки зрения ИБ.

Цель фишинг-учений не наказать, а научить сотрудника в условиях учебной атаки распознавать действия нарушителей и отличать "оригинальное" от "поддельного", как файлы, так и сообщения почты. LNK не является исполнительным файлом, а лишь ярлыком, который ссылается на .exe. Но и если говорить о "нормальных компаниях", то вектор через подрядчика никто не отменял. И если бы все было так идеально, то ИБ уже бы не было так востребовано.

Возможно, вы не поняли, но это отображение того, как ярлык будет выглядеть на рабочем столе после скачивания. Суть в том, что формат lnk, даже при функции "Отобразить формат файла", не будет вписан в конец эксплойта.

А где вы увидели, что передача формата .lnk будет в той форме, как оно отображено на пк? Естественно это особенности любой системы и файл в почте будет выглядеть в виде "Положение №300.pdf.lnk"
Не каждый пользователь знает все форматы, не всегда дотошен к деталям и прочие моменты человеческого фактора, на которых и завязан фишинг. По-идее, вся атака закончится на этапе открытия исходного кода сообщения, при должных знаниях.

В любой корпоративной среде есть то, с чем не сталкивался сотрудник. Важно на реальном примере с последствиями показать способ их избежать, тогда задача для коллег не будет такой сложной. В принципе, для чего и нужны фишинг-учения.

В инфраструктуре существует СЗИ класса Mail Security, которое проверяет вложения и сами письма антивирусом автоматизировано. Недостаток в том, что подобного рода корпоративные решения зачастую используют свои же продукты, как пример Касперский Secure Mail Gateway. Поэтому это доп.эшелон защиты: решение, которое проверяет письма разными антивирусами и выдает результат по ним.

Information

Rating
Does not participate
Registered
Activity