Как стать автором
Обновить

Тест на доверчивость: зачем мы отправляем фишинг-сообщения сотрудникам

Время на прочтение8 мин
Количество просмотров10K
Всего голосов 32: ↑28 и ↓4+28
Комментарии30

Комментарии 30

Недавний таит:

Corporate Infosec sends a phishing test email, I click, and somehow I'm the asshole because "[I] failed the test; had this been real it would have destroyed the company network"?

If me clicking can destroy the network, I'm not the one in this conversation who sucks at their job.

Разумеется, за безопасность отвечает отдел ИБ; но автору твита не стоило бы забывать, что удаление слабых мест (подобных ему самому) из системы также является обязанностью службы ИБ.

Фишинговые письма — нормальная практика в крупных компаниях. Если проводится предварительное обучение сотрудников нереагировать на подобную почту, то затем стоит её тестировать.

Работая в Интеле один раз клюнул так, на подобное письмо. Имел потом разговор с руководством. Дальше стал умнее.

У нас обучением и тестированием занимается вендор. Когда он только появился, то security training'и сыпались регулярно, а тестовые письма приходили чуть ли не каждую неделю. Сначала их изобретательность забавляла, но потом стала раздражать, т.к. у меня привычка изучать необычные письма (откуда, как прошло спам фильтры и т.п.) и лишний шум сильно отвлекает от чего-то более важного. В конечном счёте я нашел в таких письмах паттерн и настроил рул в почтовом клиенте, помечающий эту ерунду. Кстати за все время работы в этой компании, 100% фишинга в inbox попадает только от них. С настоящим фишингом справляются спаморезки office365.

Разработчик попытается скачать содержимое по ссылке с помощью CURL и провалит тест. Плавали, знаем...

Кстати, попытка скормить ссылку внутрь VirusTotal (или DrWeb, как рекомендуется в тексте) тоже из той же серии - тест не пройден. Поэтому такое тестирование или должно учитывать больше деталей (IP адрес клиента, тип агента) или будет релевантно только для далёкого от IT персонала.

Ну так не со своего компа надо же скачивать.

С тестового сервера. И желательно фоновым скриптом (не в рамках сессии).

Любопытно же по попотрошить такое.

Там персонифицированные ссылки. Я пробовал когда-то ради интереса открыть с помощью curl на спот инстансе в AWS и на что сразу получил автореплай от безопасников. Ещё можно вставить ссылку в Skype (отправлять сообщение не обязательно) и триггер срабатывал когда тот генерирует preview страницы.

Да даже раньше: на ифона когда лонгтапнешь чтобы открыть менюшку и скопировать ссылку (или просто посмотреть куда она идет) сразу начнет подгружаться превью

Вообще не важно откуда качать, примитивный сценарий на серверной стороне реагирует только на факт обращения по ссылке.

Ну и онлайн антивирусы уж точно не имеют никакого отношения ни к локальному компу ни к сессиям на нём, но успешно вызывают срабатывание таких тестов во всех случаях, о которых я слышал. Что говорит о том, что адекватной реализацией тестирования сильно не заморачиваются.

это если заморачивались персональными ссылками

чаще просто хост, который принимает GET фиксирует IP в локальной сетке.

С таким тестированием обычно не локальная история. Услуга аудита, обучения и тестирования покупается у сторонних компаний, у которых, естественно, персональные ссылки, а не сервер во внутренней инфраструктуре.

А что в этих формах страшного такого? Соврать в том что не хочешь сообщать маркетологам и все. В остальном не вижу ни одной проблемы в заполнении такой формы.

Пароли не спрашивают, логиниться не требуют. И даже номер карты не спрашивают. Ни одной проблемы от заполнения формы не видно. Как атаковать через это непонятно.

Например, список доверчивых сотрудников и внутренних почт может быть полезен для рассылки троянов или выуживания логинов/паролей по телефону / через менссенджеры.

Так не лучше сразу с этого и начинать? Зачем уменьшать воронку бесполезными формами?

Мы в Selectel нашли способ повышения грамотности сотрудников в сфере ИБ в виде боевых учений

Фальшивые "фишинг" - это гарантированный способ повышения раздражения сотрудников на отделы ИБ, которые вместо разработки и совершенствования почтовых фильтров развлекаются составлением подобных писем.

Особым издевательством после таких "фишинговых писем" выглядят уже настоящие корпоративные рассылки с просьбой, а иногда и требованием, принять участие во всяческих опросах, акциях и мероприятиях.

Очень знакомо. Особенно требование прохождения АНОНИМНОГО опроса, в котором необходимо ввести свою корпоративную почту.

Но тестофишинговые рассылки у нас слишком топорно выглядят. Так что их легко определить. Однако в прошлый раз видимо слишком уж много народу попалось, были проведены внеочередные курсы по ИБ

Работал как-то в банке в Европе: у нас делали такие "тренировочные" рассылки где-то раз в 1-2 недели, при этом реального фишинга за пару лет работы я не видел. Зато лично знаю пару человек, которые после десятка подобных писем начинали специально ходить по всем ссылкам. Что характерно, никаких последствий за это не было.

Здравствуйте! Служба безопасности проводит не только почтовые фишинг-тесты, ведь в реальности источники атак бывают разными. 

А сам скилл распознавания фишинговых сообщений важен и полезен как для сотрудников, так и для компании.

К сожалению, но фишинг-письмом может оказаться текст с любым содержанием. Поэтому и отрабатываются разные сценарии.

Фишинг... Как нынешний люд заходит в интернет-банк или соцсеть? Правильно - вводит название банка или соцсети в поисковик и не задумываясь ломится по первой же ссылке... Закладки для него - это слишком сложно, так же как сложно просто запомнить доменное имя >_<

Однако распределение по стажу неочевидное

Позанудствую: само по себе распределение попавшихся сотрудников по стажу может не говорить ни о чём: его было бы неплохо наложить на распределение всех сотрудников по стажу.
А если сравнивать два распределения попавшихся сотрудников в разные моменты времени, можно придумать альтернативное объяснение: "старички" просто почему-то массово уволились между двумя событиями (да, сценарий маловероятный, но помнить про него, сравнивая распределения, очень полезно).

Я вижу смысл этих телодвижений не в том, что "как мы решили обезопасить сотрудников", а в том, что служба безопасности перекладывает ответственность на сотрудников за свои будущие косяки. Человек под рабочей нагрузкой в принципе не способен отфильтровать фишинговые письма, особенно если к сфере IT он не имеет никакого отношения. Тогда следующий этап претензий к сотруднику - а почему вы не смогли самостоятельно справиться с тренировочной DDOS атакой, так я понимаю?

По итогу возникает вопрос к службе безопасности - чем она занимается на самом деле. Имитацией бурной деятельности?

Здравствуйте! Служба безопасности занимается комплексным обеспечением защиты  информационного контура компании. Проведение фишинговых тестов — это малая часть этой работы. Selectel среди прочего занимается хранением данных клиентов. Высокая культура в сфере ИБ — как у технических, так и нетехнических специалистов — у нас очень важна. 

Кроме того, опыт распознавания мошенников, кажется, довольно неплохой скилл в наше время ? Сотрудники компании это понимают и с азартом принимают участие в тестах.

Проведение фишинговых тестов — это малая часть этой работы

Вот и рассказали бы про "остальную работу". Дело в том, что если реальное фишинговое письмо аналогичное вашему фиктивному тестовому может дойти до конечного адресата, то следует единственный логичный вывод, что эффективность вашей службы безопасности под большим вопросом.

Сотрудники компании это понимают и с азартом принимают участие в тестах.

Таки у них есть выбор?

А про какую часть работы специалистов ИБ вам интересно узнать? 

Вы можете предложить тему и мы выпустим статью, если топик окажется актуальным ?

Для начала - просто познакомиться с общей структурой и принципами работы. Плюс разобрать несколько случаев внештатных ситуаций с которыми столкнулась служба безопасности, чтобы понять насколько эффективна ее работа. Это, на мой взгляд, интересно читателям с точки зрения обмена опытом.

Дождётесь сотрудника, который будет на каждый чих отправлять уведомление о прорыве периметра безопасности и других научит.

Гораздо интереснее было бы сделать рассылку по личным адресам сотрудников. ИБ их знает по факту своего наличия (зум пересылаем) и посмотреть отклик

У нас на работе когда-то давно было обучение на сайте касперского для всех сотрудников в обязательном порядке, а параллельно с этим иб рассылала фишинг-письма и смотрела кто на них поведется. в итоге сотрудники стали более внимательны, лучше реагировать на подозрительные письма и извещать иб, ит. такой эксперимент сначала всех раздражал, но благодаря ему многие стали куда более внимательны к тому, что они открывают, от кого, что запускают...

Домен отправителя ошибочен. Вместо «@selectel.ru» написано «@selectel.ru.com».

Который вполне может принадлежать одному из подразделений Селектела, у крупных компаний есть привычка выкупать все одноименные домены из популярных зон. Собственно, selectel.ru.com и принадлежит Селектелу, верно?

Информационный спам-баннер. Обращайте внимание на предупреждения от электронной почты.

Вот только в спам письмо может попасть по любой причине, не только потому что письмо фишинговое. Большинство пользователей попадало в ситуацию: "Ой, письмо не пришло? Поищи в спаме!"

Подозрительная ссылка. В Selectel используют гугл-формы, когда как ссылка вела на аналоговый сервис от Яндекс.

Это корпоративный стандарт за которым нужно следить каждому работнику компании? Ситуация, в которой один из работников использует яндекс формы невозможна?

Ошибка в дате. Мошенники часто допускают подобные очепятки.

Как и люди в общем.

Неактуальная должность. Коллеги отправителя знают, что его давно повысили.

Или не знают. Или подумают, что человек допустил ошибку и не исправил свою подпись. Или вообще внимания не обратят, привычка пропускать футер при чтении есть у большинства.

На мой взгляд, ситуацию с направленным фишингом можно поменять, только разделив потоки информации, оставив, например, внутреннюю почту и внешнюю, явно обозначив критерии писем и в той и в той.

За ворохом похожих внутренних писем пропустить похожее внешнее несложно, как бы СБ не тренировала людей

Здравствуйте! 

В тексте мы не говорим об отдельно взятых пунктах. Мы говорим о том, что они в совокупности должны вызвать подозрение у получателя. + "намеки" встречались и в анкетах. 

Не исключено, что, например, спам-баннер может появиться беспричинно. Вы это верно отметили. Но, согласитесь, редко бывает, когда все признаки фишинг-письма лишь совпадения.

Спасибо за развернутый комментарий!

Зарегистрируйтесь на Хабре, чтобы оставить комментарий