Комментарии 59
есть такая поговорка - когда коту делать нечего, он себе яйца лижет.
Вы лучше приведите пример инструкции для сотрудников, как распознавать "фишинг". Потому что эти инструкции обычно сводятся к "вы обязаны распознавать подозрительные письма, не открывая их. Как? Ну придумайте как, не дети же!"
В компании, где я сейчас работаю, это устроено так:
- Есть видеотренинг относительно фишинга
- Тест относительно этого тренинга
- Периодически прилетающее говно на почту, в случае клика на фишинг ссылку - форсится прохождение видеотренинга еще раз
Не скажу, что это лучший способ, ибо покрывает не все ситуации, но как минимум тренирует обеспокоенность у Бабы Сраки, ибо после двух-трех прохождений одного и того же, это начинает надоедать.
Это работает только если работа интересная, у большей части сотрудников это не так, так что порой можно и покликать, чтобы отдохнуть от работы, еще раз посмотрев видео втыкая в это время в телефон. Доведение человека до обеспокоенности Бабы Сраки восемь часов * пять дней в неделю, лишь помешает ему работать. Да и невозможно это, физически. В любом случае перевоспитывать сотрудников - настоящей возможности нет, можно лишь мотивировать их к нужному поведению, положительными подкреплениями.
Не сталкивался и не слышал, т.к. работаю в IT подразделении, но думаю после определенного порогового значения к этой Бабе Сраке придет ножками безопасник, и наглядно объяснит, чем отличается Панин от Баскет Дуэта(спойлер: в баскет влезает две ножки), а так же вежливо поинтересуется, как она выучила продажи, но не умеет внимательно читать до сих пор.
она продаёт и приносит конторе деньги.
А вы её работать мешаете.
Ещё неизвестно к кому придут интересоваться.
Суть проста, многим работникам пофиг на фирму и ее безопасность, если для них нужно хоть немного что-то делать, например охранять корпоративную жиру. А еще иногда бывает, что это очень нужные конторе люди, так бывает часто, ибо других обычно просто увольняют. А еще нефиг выкладывать секреты в жиру. Это как выложить в музыку в закрытую вк группу и рассчитывать что ее не спиратят.
В общем безопасники считающие что в компании всем не все равно на ее судьбу это оторванные от реальности люди. В реальности надо быть заодно готовиться к саботажу. Где-то тут была статья где одного из основателей какой-то конторы (вроде додо) похитили ради выкупа, так теперь у них просто нельзя вывести деньги без личного разговора.
А Бабе Сраке все равно что там наговорит безопасник, она похлопает глазками, и дальше будет клеить пароль на монитор.
Т.е. не то чтобы вся эта работа бесполезна. Однако у нее весьма меньше пользы чем кажется. Как говорится в кучу мест можно зайти если ты в спецовке и несешь лестницу. Попадаться на фишинг это плохо, но отвлекать работника за это каждый раз - больше вреда чем пользы, часть народа просто начнет нарочно переходить, и однажды это окажется не ученьем.
Создавайте положительную мотивацию, вместо наказания провинившихся выпишите премию сообщившим в ИБ отдел, так пользы будет больше. Иначе у людей вообще нет мотивации вам помогать. И помните обязанности и благо компании - это не мотивация. Часть этих людей вообще собирается уволиться им пофиг их все достало. А если людей много, то кто-то вообще на работе может быть пьяным, особенно на корпоратив.
а зачем вообще открывать что-то чего ты не ждал?
Если только позиция не предполагает обработку заявок от новых клиентов, которые могут по ссылке передать ТЗ, например.
Мы обычно рекомендуем сотрудникам придерживаться следующих правил:
— Мысли критически и не поддавайся эмоциям. Мошенники давят на твои чувства и заставляют совершать необдуманные поступки. Не ведись на их провокации.
— Помни: компаниям незачем просить твои учетные данные. Такие письма приходят только от мошенников.
— Обращай внимание на адрес ссылки. Домен может отличаться от реального всего одним символом, но этого достаточно, чтобы украсть данные.
— Вместо перехода по ссылке из письма открывай уже известные ссылки или воспользуйся поиском нужного сайта в интернете.
— Не открывай файлы и не переходи по ссылкам из писем, которых не ждал.
— Проверяй антивирусом все файлы, которые скачиваешь.
— Пользуйся менеджером паролей. Такие менеджеры автоматически заполняют пароли на известных им сайтах, поэтому, если менеджер не предлагает заполнить пароль, имеет смысл задуматься о корректности сайта.
— Не переходи по ссылке, если она заканчивается на .zip и содержит знак @
И напоминаем им, что основным каналом коммуникации является корпоративный мессенджер, поэтому пришедшее на почту письмо от коллег должно вызывать опасения. В случае сомнений сотрудники всегда могут обратиться за консультацию в тематический канал команды ИБ, где мы рассмотрим кейс и подскажем, что делать.
Настолько же, насколько этот совет правильный, настолько он и бессмысленный, к сожалению: "— Мысли критически и не поддавайся эмоциям. Мошенники давят на твои чувства и заставляют совершать необдуманные поступки. Не ведись на их провокации. "
Большинство людей впадают панику в нестандартной ситуации и никакими регламентами и правилами это не исправить... Сам попадал в разные чрезвычайные ситуации (горящий автобус, лобовое дтп, неадекват с ножом, чп) и по моим наблюдениям, большинство людей вообще становятся неадекватными.
Ну открыть письмо и перейти по ссылке это вполне адекватные действия) Ввести лого-пасс от корпоративной жиры уже хуже, но в целом тоже допустимо. А вот вести жиру так, что предполагается что к ее аккаунтам имеют доступ только сотрудники по принципу один аккаунт - один сотрудник, вот это уже неадекватно)
В общем если кто-то может вывести 30кк, то этот способ лучше сделать проходящим через 30 кругов ада, с подтверждением на совещании. Остальное это вставление палок в колеса собственной компании.
на мой непросвещенный взгляд, когда сотрудник кликает ссылку, вводит логин\пароль, и 30 лям улетают, это повод для размышлений не для сотрудника, а для ИБ. Почему, например, для подключения к корпоративным системам стороннего юзера извне корпоративного трафика\прокси\VPN достаточно пароля\логина, например. И почему у юзера ничего в фоне не болтается, отслеживающего активность по отправке корпоративных паролей на сторонние ресурсы, ну что-нибудь-то ИБ должно придумать. А то как-то у нас провели тестовый фишинг, а за ним через 2 недели - переход на новые аккаунты, мессенджеры, удаленные диски. Так народ просто боялся куда-то что-то вводить, техподдержку завалили тикетами на помощь по настройке доступов. Через 2 месяца спрашиваю чувака - а у него просто аккаунт не активирован, долбит техподдержку, техподдержка в нокауте, закрывает ему тикеты, даже не глядя. "Тебе ссылка приходила?" - "Приходила" - "А что не нажал?" - "Да ну его, мало ли что там".
То есть вместо тонкой настройки почтового файрволла вы решили выявить слабое звено в людях, не имеющих достаточного уровня компетенции в ИТ? Ну что же, удачи.
Цинично говоря, с переводчиками такое вполне пройдет, там затраты на онбординг и поиск новых специалистов почти никакие, но уже мидл-программист пошлет проверяющих, без хамства, но так, что желание делать повторную проверку отпадет напрочь.
Люди - всегда ненадежное звено. Сколькими инструкциями их не обложи. Какая бы компетенция у них ни была. Непонимание этого простого факта ведет к утечкам.
Вспоминаем подход Кевина Митника: он не работал по низовому звену, а выуживал доступ у топов, которые почти всегда имеют простые пароли и максимально возможный уровень доступа
мидл-программист пошлет проверяющих, без хамства, но так, что желание делать повторную проверку отпадет напрочь
Любопытно, как именно он это сделает?
Вот пришло письмо с признаками фишинга - и что дальше?
Я имел в виду, когда придут с претензиями проверяющие, но можно и так: подписать отправителя на рассылку китайской порнухи и сообщить об этом в ответном письме в вежливых выражениях
Полностью согласна. Люди — самое слабое звено в системе безопасности, именно поэтому мы и решили их проверить: чтобы знать, к чему быть готовыми, и как много можем потерять из-за человеческого фактора.
Проверки не отменяют остального ландшафта работы безопасника, а дополняют его и помогают делать выводы и принимать стратегические решения.
Мы воспринимаем фишинговые учения как метод получения быстрого и достоверного среза, какие активности и изменения нам стоит провести, с каким приоритетом, и сколько разумно на них потратить. При планировании изменений мы опираемся на расчеты рисков и делаем выводы, нужны ли они вообще.
Цитирую специалиста по ИБ:
"Люди — самое слабое звено в системе безопасности, именно поэтому мы и решили их проверить"
"Во время учений для своего удобства я выгрузила базу всех сотрудников из
системы управления персоналом — с именами, должностями, почтовыми
адресами. Затем по невнимательности вся эта информация попала в рассылку
в заголовках письма каждому"
Сколькими инструкциями их не обложи
Как раз инструкции не помогают, да. Если человек ими не пользуется (реальные атаки случаются редко). А учения заставляют пользоваться знаниями и они оказываются в активной памяти. И тогда они начинают работать.
Кстати, это полезно не только работодателю. Выработанный рефлекс смотреть на адрес отправителя заставляет это делать и в личной почте. В итоге человек с меньшим шансом попадётся и на фишинг вне работы и от этого выиграет уже он сам, а не его работодатель.
Не буду повторяться, вот мой трактат, когда эту тему прошлый раз поднимали.
У нас симулированный фишинг не отменяет других мер безопасности. То есть всякие пометки "осторожно, внешнее письмо" на нём вполне стоят. Но без учений люди будут забивать на эти пометки. А учения развивают рефлекс "видишь пометку внешнее письмо - проверь адрес".
Насчёт полезности для "тёти Клавы из бухгалтерии", как раз ей это полезнее всего. Потому что рефлекс выработанный на работе легко переносится на личную жизнь. И она с повышенным шансом не попадётся на фишинг на персональную почту. И это уже нужно в первую очередь ей самой.
У нас половина учебных материалов рассказывает про безопасность на личных устройствах. Разумеется, именно сами учения затрагивают только рабочие аккаунты. Но посыл "применяйте знания с работы вне работы".
Вначале хотел много написать. Но на мой взгляд 99% рисков фишинга нивелируются через толково настроенный SAML.
Если пользователь в конфлюенс никогда не вводил пароль то и при фишинге не введёт ввиду его банального отсутствия. да ещё такое письмо и подозрение вызовет.
Бонусом получаем увольнение сотрудника одним кликом
Можно подделать форму ввода пароля центрального сервиса аунтефикации. Проверит ли юзер строку адреса?
Также помимо фишинга "введи пароль" ещё есть "скачай и открой файл".
Если у вас "центральный сервис аутентификации" не требует, например, токена с телефона - то ИБ нужно нахрен уволить.
скачай и открой файл достаточно легко обходится корп. политиками браузера.
форму ввода пароля SAML можно подделать - спору нет.
Поэтому SAML нужно правильно настраивать хороший пример тому - корпорация бобра. Используя следующие принципы - риск снижается до минимума :
OTP через приложение - когда запрос на генерацию OTP приходит через третий канал (напрямую на телефон) - как в том же гугле "нажмите 23 на телефоне"
Доступность SAML сервера только в локальной сети. Фишинговые странички часто для инициации OTP являются проксями для оригинальной странички. Если SAML доступен только из корп. сети - ни OTP ни сессионный токен они не получат в принципе.
Обязательно эвристическая IDS и автоматически анализ аномалий и скорингом (благо для этого уже есть много MLек с низким порогом входа - от SArima до K-Means) - чем более необычный запрос к оригинальному SAML тем больше средств идентификации пользователя используется - когда-то только пароль, когда-то пароль + ТОТР, когда-то ТОТР + письмо в спортлото :)
продолжение предыдущего пункта - чем выше необычность логина, тем короче срок жизни токена. Даже если злоумышленник получил доступ к аккаунту (предположим, что он добрался таки), то пусть ему нужна будет повторная авторизация через 10 минут и без возможности рефреша токена.
Тут достаточно кербероса с явным запретом на другие виды авторизации
Для нормальных учений надо письмо о том, что проводились учения, тоже делать фишинговым. И рассылать фишинг в виде писем от начальника, с его реальной почты. Эй, я забыл пароль, дай ка мне твой на время
Насколько я понимаю, от подмены адреса отправителя, если речь о корпоративной почте, есть достаточно надёжные технические меры. Почтовый сервер просто настраивают, что вот с этого внутреннего домена не может быть внешней почты принципиально, только между юзерами этого сервера. Поэтому фишинг с реальной почты руководителя не особо реальная история. А вот с похожей, но с внешнего сервиса - вполне.
Летайте самолётами Sberbank Airlines
Но в целях безопасности я решила собирать не пароли, а только логины.
И, в целом, зря. Есть довольно неиллюзорный % людей, которые легко поймут, что это фишинг, откроют вашу ссылку с noscript (т.е. вы им даже не сможете предъявить, что они открыли ссылку, ну, открыли... и?) и напишут фейковый пароль типа "34K0/\E64/\|/|_Y}|{E"
Хуже, если впишут пароль того, кто устроил учения..
Ну для этого его надо знать. В общем случае, если СБ все же грамотное, пароли нигде не хранятся и узнать его можно только теоретически на квантовом компьютере из его хеша.
Когда у нас СБ такое учение производило я запустил VM, открыл ссылку через curl, им же взломал сайт через XSS. Убедился, что вводимые логины и пароли вообще не сохраняются, а фиксируется только URL, который был индивидуален для каждого пользователя. Честно послал результаты исследования в СБ. Что совершенно не помешало тому же СБ несколько месяцев подряд назначать мне прохождение тупейшего курса по безопасности. В следующий раз буду не просто ломать, а еще и чистить все логи, чтобы курсы не назначали.
Эти же самые люди и в логинах пишут непотребства, по которым можно легко понять, что и пароль некорректный. У нас были такие кейсы, я их из статистики исключила.
У нас стабильно 1-2 раза в месяц рассылают симулированный фишинг. Задача сотрудников - зарепортить письмо через специальный плагин почтовой программы. Там сразу пишется, что это была симулированная атака и вы не попались, молодец. Также у сотрудника есть дашбоард с его статистикой сколько фишинга ему пришло, сколько он зарепортил и сколько раз перешёл по ссылке.
Мне нравится геймификация системы, а фишинг часто приходит с юмором и скрытыми пасхалками и его даже интересно искать. При этом он приходит не слишком часто.
Идёт пятачек и Винни пух по лесу. Вдруг Винни пух останавливается и как даст пятачку с размаху по морде. - Винни, Винни за что? - От Вас, свиней всего ожидать можно.
Подскажите:
У вас есть процесс в компании по фишинг?
Обучение, как определять фишинг?
Что делать при подозрении о фишинге?
Расследование фишинга.
Для чего вы проводили фишинг? Научить пользователей или же потренировать специалистов ИБ?
Если это было сделано для специалистов ИБ, то добавлялись ли на какие-то СЗИ в исключения домен/ip?
Как вы проводили фишинг:
С внутреннего/внешнего контура?
Если не секрет, то какими средствами?
Это первое проведение фишинга в компании?
Могли бы продемонстрировать скрин фишинговой страницы, где вводятся креды?
Отдельного процесса по антифишинг-обучению у нас нет. Мы затрагиваем этот момент в общем обучении по информационной безопасности: рассказываем, как определить фишинг, и что делать в случае фишинга или подозрений.
Мы проводили фишинговые учения, чтобы выявить слабые места, понять "масштабы трагедии" и делать выводы на основании этих данных выводы относительно новых проектов. А ещё проверяли свою реакцию.
После учений внедрили СЗИ, чтобы закрыть дыры.
Учения проводили "снаружи" и впервые, с помощью Gophish.
Я конечно не сотрудник ИБ, но меня немного удивляет, что во время, когда двухфакторная авторизация уже не является панацеей, логин и пароль вообще имеют ценность?
Почему не сделать физические токены без которых в принципе не зайдешь корп систему, ВПН и нормально организовать доступы к данным, чтобы защитить от дурака (например меня?)
Опять же, никто не будет каждый адрес внимательно читать, да и бывают практически не отличимые ссылки.
На мой взгляд проверка бы была интереснее будь это рассылка с взломанного мессенджера условного hr или буха или самого ИБ (истории можно придумать).
Я бы проводил проверку в пятницу вечером, когда человек уже мыслями не на работе, а в случаи успеха реальных злоумышленников вероятно часть людей уже была бы не на рабочих местах.
И да люди на местах клали на безопасность в силу того, что для этого есть штат спецов, которые должны организовать работу так, чтобы человек !не специалист в it не мог разрушить всю систему безопасности путём утери логина и пароля
Вы верно подметили, двухфакторная аутентификация — не панацея. Второй фактор тоже можно украсть, но сделать это несколько сложнее. Логины и пароли все еще ценны для систем, где двухфакторки нет и нет возможности ее настроить из-за технических или организационных особенностей.
Рассылка шла с поддельной почты команды Информационной Безопасности, внешне сотрудники видели легитимный домен. Мы не стали взламывать или имитировать взлом, так как решили, что злоумышленнику проще мимикрировать, чем заморачиваться со взломом.
При выборе дня и времени учений я опиралась на психологические факты и особенности компании. В пятницу вечером многие уже просто не за компьютером и не увидят письмо.
Когда я работал в офисе, у меня безопасники вытащили из USB порта адаптер для беспроводной мышки и заставили писать объяснительную, почему я использую флешки.
В трех моих последних компаниях (а это были большие компании) фишинговые письма я получал только от ИБ...
Стоит задуматься
а можно подробнее про "во время учений для своего удобства я выгрузила базу всех сотрудников из системы управления персоналом — с именами, должностями, почтовыми адресами. Затем по невнимательности вся эта информация попала в рассылку в заголовках письма каждому с его ФИО и должностью."?
Я выгрузила часть базы работающих сотрудников, чтобы провести учения, и загрузила эти данные в инструмент для проведения фишинговых учений. Внимательные коллеги в почте развернули информацию о получателе, и увидели там каждый только свое полное ФИО. По связке "полное ФИО" + "корпоративная почта" стали делать выводы, что унесли базу системы управления персоналом.
Отдельно еще раз подсвечу, что каждый увидел только свои персональные данные.
а, ок, с то при прочтении почему то воспринимается как классика жанра: слей пару сотен адресов через CC в письме про безопасность и персональные данные, а потом удивляйся почему тебя не воспринимают серьёзно.
имхо стоит уточнить в статье, не один я так это воспринял.
ну и в целом, учения и проверки без предупреждения это конечно более объективно, но ведь бесит же. вы же понимаете что бесит? люди мобилизуются, в стрессе ищут и решают проблему, ищут на что могло повлиять, что могло утечь. часто это не просто и требует проверки буквально всего и не по разу, потому что одно дело взлом а другое взлом который частично или полностью не заметили и не приняли меры. а потом приходите вы и радостно "это учения, вы прошли, а давайте анализировать результаты". вполне понимаю желание что нибудь и в вашей епархии уронить чтобы вы тоже по тренировались и повысили свои навыки. короче тут думать надо прежде чем делать втихую, очень хорошо все взвешивать. плюсы, минусы, стоит ли одно другого. и не забывать про мальчика который кричал "волки, волки!".
P. S. чаще всего айтишников бесят не столько проверки сколько некорректная подборка обучающих материалов и треннингов. особенно если она дилетантская и не актуальная. когда ты веб разработчик, а тебе приходится проходить интерактивный урок в духе "проверь домен в адресе отправителя" то сначала конечно ржачно а потом грустно (надеюсь вы вкурсе что поле from сумеет подделать даже джун вообще не учившийчюся безопасности). и бесит. особенно если скипнуть нельзя. знаете такие видео уроки с проверками, по две-три минуты, и не проскролишь, и не отойдешь пока оно крутится там себе, и ничего нового не узнаешь, и хочется написать письмо безопаснику и HR о том что это обходится на раз-два, но знаешь что это все равно бесполезно, если бы он/она умел думать он бы не включил подобные уроки в обязательный онбординг для всех.
Очень странная и сомнительная мысль, что если человек ввёл логин, то введёт и пароль.
Логин не является секретной информацией почему бы его не ввести? А если уж пароль попросит, то задуматься.
Как мы отправляем фишинг на своих сотрудников, чтобы не расслаблялись по ИБ