Комментарии 40
— Подарки в корпоративном магазине;
— Перерасчёт премии;
— «Репорт» о посещении развлекательных сайтов в рабочее время;
— и многое другое!
Вот темы внутренних проверочных писем, которыми служба безопасности Сбера регулярно тестирует сотрудников на умение опознавать фишинг. Если попался и кликнул по ссылке в письме — перепроходишь тестирование, а это час-два времени. Письма различаются по «толстоте», начиная от очевидно фишинговых, заканчивая такими, что начинаешь сомневаться, проверяешь домены, сертификаты и подписи.
Как к этому относиться — так и не решил. С одной стороны — да, этичность таких проверок можно ставить под сомнение. С другой — действительно поддерживает бдительность.
Я относился к этому как к занимательным головоломкам. Можно ещё было на какой-то определённый адрес написать, там хвалят за бдительность. Ну, вернее, туда надо репортить настоящий фишинг и подозрительные письма, но ведь нигде не указано, что что это фальшивый фишинг-проверка. Так что репортить его, даже если очевидно. :)
Другая беда — большое количество неотключаемой рассылки типа "Доброе утро, Сбербанк" или "Новости отдела кадров". Это самый настоящий спам, который забивает одногигабайтный почтовый ящик. :/
В ответном заявлении представитель GoDaddy сообщил, что компания извинилась перед сотрудниками. «GoDaddy очень серьезно относится к безопасности нашей платформы. Мы понимаем, что некоторые сотрудники были расстроены попыткой фишинга и посчитали ее неуместной, за что приносим свои извинения», — сказал он. В компании заключили, что им нужно быть «быть более внимательными к сотрудникам».
Я прошу прощения, но… А настоящий фишер тоже будет задумываться о чувствах своих жертв, как думаете?
Вот у меня колено разбито, ходить тяжело, а по лестницам вообще беда. А они, пока мы в офисе работали, каждые пол-года тренировку противопожарную делали. И мне приходилось с седьмого вниз топать. А потом обратно вверх, потому что бизнес-центр большой и после отмены учебной тревоги к лифтам не пробиться было. Это жестоко, я считаю. Это так нельзя, надо внимательнее к своим сотрудникам быть.
Правда, когда там натурально полыхнёт, эти сотрудники или угорят, или в панике друг друга перекалечат, потому что не тренированы. Но это же ерунда, правда? Главное, чтобы этично было.
Мир явно сходит с ума…
— о тренировках сообщают заранее
— многие во избежание либо не приходят в офис (могут себе позволить), либо выходят на улицу курить сразу по приходу и тусят там до отключения тревоги (всё равно нормально не поработать)
Настоящая тренировка должна быть:
— внезапной
— каждый раз с изюминкой (например, там и тут организованы завалы, в некоторых местах баррикады имитируют непроходимый огонь, выход только через окно, развёртываем батуты, отгоняем и оттаскиваем транспорт, чтобы пожарные бригады с лестницами имели возможность развернуть спасательную операцию)
многие во избежание либо не приходят в офис (могут себе позволить), либо выходят на улицу курить сразу по приходу и тусят там до отключения тревоги (всё равно нормально не поработать)
Во избежание чего? Выйти во двор по учебной тревоге это не что-то ужасное, чего стоит избегать.
Курильщики с 10 утра и до 18 вечера курить будут, ожидая включения тревоги?
Время включения ведь никто не сообщает. Если они могут позволить себе весь рабочий день курить, зачем они вообще нужны?
Во избежание срыва рабочего процесса. Выйти во двор на неопределенное заранее время, затем ожидать неопределенное время, пока запустятся лифты, затем ожидать неопределенное время, пока к лифту получится пробиться — это так себе подспорье в работе, особенно, если работа требует погружения и сосредоточения.
> Курильщики с 10 утра и до 18 вечера курить будут, ожидая включения тревоги?
Получается, что так. Я у БЦ, в котором работал, примерно это и наблюдал. В обычное время у входа кратно меньше людей толпилось, чем в дни «учебных тревог». И, что характерно, после тревоги толпы у входа куда-то исчезали.
Из жизни: эвакуировали один из корпусов, все стоят на улице. Она из студенток другой почти на весь задний двор: «Ну и [нецензурное выражение] мы сюда спустились, лучше бы остались в аудитории, хоть бы покурили нормально...»
Ну так на то и тренинги, чтобы выяснить нестыковки и ошибки.
Дальнейшие учения — все спускаемся по лестницам, на план эвакуации — пофиг.
Ответственный за безопасный цирк не дорожит ни своей работой, ни, в перспективе, свободой. Увы.
Бывают и другие, например.
Около 500 сотрудников получили письма, в которых им обещали выплатить по $650.
А на Секлабе сказано что «около 500» — это число сотрудников попавшихся на фишинг.
Однако те, кто ответили на сообщения, вместо бонуса получили дополнительную работу за то, что провалили тест.
На том же Секлабе сказано что их напрягли не на поработать, а на прохождение обучения:
через два дня компания прислала им еще одно письмо, в котором сообщила, что они провалили тест на безопасность и обязаны провести на работе дополнительное время для прохождения обучения
Подробнее: www.securitylab.ru/news/515104.php
Тем, кто это сделал, через два дня заявили, что они «провалили недавний тест на фишинг» и что им необходимо пройти курс по безопасности.
А по сути бред, злоумышленники не будут задумываться об этике, так что учения вполне нормальные. А это нытье про «этично/не этично», «оскорбляет чувства» уже, честно говоря, надоела.
По поводу этичности, я вообще не понял возмущений в интернете. В Европе постоянно проводятся тренинги(с последующим тестированием) по безопасности GPDR, я так понял там такое требование на уровне государства. Может в США это не принято? А если принято, то ребята явно прошли обучение и тестирование на «отвали», за что и наказаны.
Нам головная компания(EU) тоже постоянно шлёт, приходится проходить. И тем не менее периодически с азуры приходят уведомления что тот или иной сотрудник замечен в кликанье по ссылке в сомнительном сообщении(«High-severity alert: A potentially malicious URL click was detected.»), правда я не в курсе применяются ли к ним какие-то санкции со стороны компании.
По поводу этичности, я вообще не понял возмущений в интернете.
Можно комментарии на HackerNews почитать. Вот, например:
I explicitly told my penetration testers to avoid anything like this.
Invoking and then revoking a bonus email in a year where folks are already hard hit financially and mentally under the guise of “education” is lazy and any security leader who does it is a fool.
Effective security culture builds rapport with business units. This type of nonsense does the exact opposite.
Yes you may have proven a tactical point, but you have just set yourself up to lose the war.
It might be a realistic scenario and thus a «good» test. It still is a total dick move to do this as an employer. Some things you just should not do to your employees. There are a million other fishing scenarios that are realistic where you don't have to be promised money by your employer.
Are you managing people or customer expectations? If so, how many already left because of the rational explanations of your lack of empathy? If not, keep it that way, you don't have the emotional capacity to lead others.
If my employer pulls this prank on me, they can either give a formal apology to everyone, give me the actual bonus, or find another developer.
Люди живут в стране розовых единорогов. И это айтишники, чёрт подери!
В твитторе вообще истерика. Но там так всегда, меняется только тема.
"тот или иной сотрудник замечен в кликанье по ссылке в сомнительном сообщении"
О чем это говорит? Спам-фильтры настроены плохо, раз поддельные письма доходят до адресата.
Что касается настройки спам-фильтров:
1. Чтобы спам-фильтр гарантировано рубил весь спам, придётся смириться с большим числом ложных срабатываний. И то никаких гарантий, пока фильтрацией не займётся искусственный интеллект уровнем повыше типового пользователя.
2. Подскажите пожалуйста, какие возможности настройки спам-фильтров доступны в Google G Suite, или в Microsoft 365? Вести чёрные списки отправителей это не вариант, и никогда им не был.
В G Suite в настройках своего ящика выставил «не отправлять в спам *», и несмотря на это часть сервисных писем(с моего домена в мой же домен, причём с IP прописанных в админке как белые) попадают в спам. При этом некоторые реально спамовые письма попадают таки во Входящее.
Подскажите пожалуйста, какие возможности настройки спам-фильтров доступны в Google G Suite, или в Microsoft 365?
Бес понятия ;) Это ширпотреб с кнопкой «сделать хорошо». При наличии собственного спам-фильтра можно играться в white/black/greyсписки, SPF, DKIM, коеффициенты в классификаторе крутить…
Подскажите пожалуйста, какие возможности настройки спам-фильтров доступны в Google G Suite, или в Microsoft 365?
Не связывайтесь с ними. Ну хотя бы потому, что не надо отдавать свою почту чужим дядям.
Свой почтовый сервер рулит. Postfix+Dovecot+SpamAssassin+PostGrey+настройка SPF и DKIM. Да, бывает проскакивает, но это — одно – два письма за год. Из «хороших» писем пока что ни одно в спам не улетело. На работе — Outlook в облаке, каждую неделю нужное письмо улетает в спам. На предыдущей был GMail на домен — то же самое.
Еще приятная фича — настройка SPF+DKIM с указанием убивать письма, если они ушли не с моего сервера. Насколько помню, у MS и G такого нет от слова «совсем».
Еще приятная фича — настройка SPF+DKIM с указанием убивать письма, если они ушли не с моего сервера. Насколько помню, у MS и G такого нет от слова «совсем».
Настройка DKIM для обслуживаемого домена/доменов есть у обоих.
Защита на основе SPF DKIM в G Suite тоже есть(а может появилась *) — в Settings for Gmail/Safety/Spoofing and authentication. Не могу сказать насколько гибкая, сам только о её наличии узнал :).
За MS сказать не берусь, там бразды правления не у меня, так что такими глобальными вещами я там не занимаюсь по собственной инициативе :).
* — главная проблема с админками что у гугла, что у майкрософт, это то что там чёрт ногу сломит. И если у гугла всё хотя бы в пределах одного интерфейса(и даже поиск настроек в основном срабатывает — так и узнал о том что появились новые настройки для DKIM), то у MS полная мешанина из разных админок. Причём как минимум две для эксченджа(«старая» и «новый интерфейс»), а что касается отслеживания почты(грубо говоря поиск по логам), так вообще 4 или 5 инструментов разной степени иновационности и функциональности. Зато у MS есть работа через PS(как минимум для эксченджа это очень удобно бывает), а у Google только API, инструмент для которого предлагается пилить самому.
Что касается собственного сервака, то был когда-то. Но гемора от этого было много — сервак пережил многое, диски были маленькие, софт древний(наследство прошлого — фряха+сендмейл+спамассасин), трогать что-то по живому было не вариант(он и так работал на пределе). Апгрейд/замена — «денег нет». Так что перенос почты в чужую инфраструктуру сильно облегчил жизнь как админам, так и пользователям. А посыл «не надо отдавать свою почту чужим дядям» не котировался — международной компании Google тогда безоговорочно доверяли, в отличии от российских, примерно как сейчас когда все опасаются товарища майора, но не имеют ничего против его коллег из АНБ :). Всё таки в Европе степень паранойи по этому поводу значительно ниже чем у нас, так что Google & MS там вполне в доверии.
Настройка DKIM для обслуживаемого домена/доменов есть у обоих.
Только кривая. У SPF и DKIM есть пункт, что делать, если письмо ушло с левого сервера, или подписи нет, или она кривая. Возможны три варианта: принимать, решать получателю, убить. По смыслу должно быть «убить», и я не знаю, зачем остальные пункты придумали, но MS и G перманентно ставит их в «решать получателю». В результате можно отправить фишинговое письмо с поддельной подписью с левого сервера и оно, скорее всего, будет доставлено. Кто из получателей типа «офисный планктон» смотрит, есть ли у письма SPF и валидируется ли DKIM подпись? Да никто, вот и читает народ письма «от начальства» с последующим переходом по левым ссылкам.
Еще есть проблема у MS и G, если у получателя есть грей-лист. Второй раз они отправляют письмо с другого IP/хоста, и оно снова попадает в грей-лист. И так могут слать двое – трое суток, видимо, пока весь диапазон IP не кончится.
Что касается собственного сервака, то был когда-то. [...] Апгрейд/замена — «денег нет».
Лучше было бы все-таки железо поменять…
Возмутительно! Как служба безопасности посмела хорошо делать свою работу?
Всем известно, что в самом верху проверочного письма аршинными мигающими буквами должно быть написано про то, что оно проверочное.
Нужен тест эксплуатирующий blacklist/whitelist, master/slave и прочие альтернативно оскорбительные темы. Но это опасно, безопасников могут и уволить за такое.
Если ответ на письмо идёт на домен компании, то при чем тут фишинг вообще?
Если же сотрудники сдали свои данные на внешний домен, тогда да — сразу по голове, ибо если свои данные легко сливают, то и данные клиентов сольют не глядя.
обещание праздничных бонусов в разгар пандемии, когда миллионы пытаются выживать, кажется особенно жестоким.
Нападение Германии на СССР в ночь 22 июня 1941 года — воскресенье — кажется особенно жестоким, ведь у людей выходной был! (сарказм)
Тренировки для того и проводятся в условиях максимально приближённых к боевым, чтобы люди имели возможность в безопасных условиях подготовиться к отражению реальной опасности. Как говорится, "трудно в учении — легко в очаге поражения".
GoDaddy раскритиковали за маскировку фишинг-теста под сообщения о новогодней премии