Памятка по безопасной работе с корпоративной email-корреспонденцией

    Составил небольшую памятку, надеюсь, она окажется полезной для вас и ваших коллег в противодействии социальной инженерии и фишингу.


    Кто-то скажет «баян», кому-то подойдет как основа, если собственных инструкций для сотрудников нет или они занимают десятки страниц.


    К слову, по роду деятельности, встречались организации, у которых не просто сотрудники не знают базовых правил информационной безопасности, но и железо с софтом уязвимы перед уловками «хитрецов».


    Например

    Уже больше года существует полезный в узких кругах способ (теперь нет).
    Если вставить ссылку на источник в виде обычного url, то otvet.mail.ru выдаст заглушку при клике.
    Если же использовать «mail.ru@» перед вредным url, то заглушка не появляется.


    image

    А на одном из тестовых серверов с Windows машиной, запрещено было майнить криптовалюту через Coinhive на уровне фаервола. Разместив браузерный майнер на поддомене https://google.com.mainer...1.ru, всё работало в плюс.


    Но эта статья не об уязвимостях софта или железа, хоть их настройкой и занимаются люди.


    В общем, читайте, редактируйте под себя, используйте.


    Признаки в письмах, которым не стоит доверять:


    • в тексте более чем одна ашибка или писка;
    • ссылка в виде цифр. Пример: 178.248.232.27;
    • ссылка содержит символ «@»; Пример: http://bank.ru@phish.ru ;
    • ссылка c двумя и более адресами. Пример: https://bank.ru/bitrix/rd.php?go=https://bitly.com/bank
    • письма с отсутствующими дополнительными контактами (ФИО, должность, телефон, почтовый адрес);
    • если в начале адреса сайта есть www, но нет точки или стоит тире. Пример: wwwbank.ru или www-bank.ru
    • если в начале адреса сайта есть http или https, но нет «://». Пример: httpsbank.ru
    • когда в адресе сайта несколько точек, смотрите то, что написано в правой части, до первого символа «/», там вы обнаружите исходный сайт и если он вам не знаком — ссылка подозрительна. Пример: www.bank.ru.zlodey.ru/login?id=12/aa/bank.ru
    • email в поле «Отправитель» может быть подделан или самого отправителя могли взломать;
    • если при наведении указателя «мыши» ссылка выглядит по-другому. Пример: в тексте письма написано tele2.ru, а при наведении мыши, в нижнем левом углу браузера отображается teie2.ru
    • ссылка может быть не кликабельна, но содержать подмененные символы. Злоумышленник надеется, что вы скопируете ссылку и вставите в браузер. Пример: в письме указана ссылка teIe2.ru, копируете и вставляете в браузер, но оказывается, что это teie2.ru
    • злоумышленник может заменить букву “o” на цифру “0” или маленькую латинскую букву L — “l”, на большую букву i — “I” или b на d, использовать сочетание букв (rn вместо буквы m, cl вместо d, vv вместо w) и т.д. Пример: 0nIinedank.ru вместо onlinebank.ru
    • если ссылка начинается с https:// — это не значит, что она безопасна;
    • к любым письмам с вложениями обязательно применяйте другие правила из памятки;
    • не фотографируйте свое рабочее место и компьютер и тем более не выкладывайте эти фото в интернет.

    Что делать при получении подозрительного письма:


    • лично, по телефону, через мессенджер уточнить факт отправки такого письма. Желательно, контакт для связи взять не из письма, а из других источников: собственная записная книжка, визитка, спросить у коллег, узнать на официальных сайтах;
    • перешлите письмо в службу безопасности.

    Как быстро проверить подозрительную ссылку если у вас в организации нет инструкций на этот счет:


    • Можно использовать сайт https://www.browserling.com ;
    • В поле ввода вставьте проверяемую ссылку и нажмите «Test now»;
    • У вас будет 3 минуты, чтобы изучить куда ведет ссылка;
    • Главное, если у вас попросят ввести логин и пароль от чего угодно или скачать что-то, уходите с сайта. Если ссылка была подозрительна, то это тем более свидетельствует, что она опасна.

    Надеюсь, материал окажется полезным. Его можно свободно использовать для повышения осведомленности ваших коллег как базовый материал, корректируя под себя.


    В следующей статье составлю список тезисов, как различать вредоносные вложения и отправителя-злоумышленника. Оказалось, что не все пользователи знают, что «.exe» можно скрыть так


    image

    Желаю вам и вашим близким непопадаемости на уловки злоумышленников.

    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 27

      0
      От себя бы добавил:
      # Письма с темами «акты сверки», «Высылаю документы за...» от неизвестных отправителей банить и удалять без разбора. Лучше потом попросить выслать еще раз, потому что такие письма высылаются, обычно, по договоренности.
      # Особое внимание уделять письмам в пятницу вечером и перед затяжными выходными.
        0
        #По поводу писем с темами про документы, думал над этим, просто около 3-х раз получал «акты» от организаций, с которыми работал ранее, похоже их взломали.
        #Про пятницу вечером, интересное правило. Сформировалось на основе опыта?
          0
          Да, был такой опыт. Чаще такие письма прилетают к концу недели или перед длинными выходными, когда у людей уже меньше желания разбираться, что это такое пришло, не открылся файл — ну и фиг с ним, в понедельник разберусь. Социнженерия
        0
        У нас правила работы с такими письмами проще: «Если пришло неожиданное письмо — пересылайте айтишникам, они разберутся.»

        Неожиданное — это что-то от левого адресата, или от знакомого, но без предварительного упоминания того, что аттач пришлют и т.п.
        Такое людям гораздо удобнее, чем список из двух десятков сильно технических правил запоминать и применять.
          0
          Если у вас это работает — это здорово.
            0
            Работает, давно уже вирусов никто не ловил.
            Но, само собой, первоначально ещё на почтовом сервере все подозрительные аттачи расстреливаются.

            Кстати, 001 дописать надо, да. Что-то за последнее время их много пошло.
            0
            Пересылать айтишникам — это, конечно, хорошо… Но, «и на старуху бывает проруха», айтишники тоже люди, и точно также могут «проморгать» вредонос. Конечно же, такая вероятность сильно ниже, но тем не менее. И будет сильно намного хуже, если вредонос попадет на машину нерадивого айтишника, ещё и работающего под «администратором»…
              0
              Думаю, от пересылания пользы больше, чем держать IT-службу в неведении. Если им не пересылать, никто не узнает о селевой или массовой атаке. Попасться может любой, даже атакующий, поэтому осведомленность нужно повышать во всех подразделениях, включая ТОП-ов (что особенно нелегко для it-шников).
                0
                Да. Когда учащается какой-то тип спама, то рассылается информационное письмо на тему.
                0
                А зачем работать под администратором? UAC — это довольно удобно.
                Ну и для того, чтобы понять, что письмо — фигня, совсем не обязательно переходить по ссылкам или запускать вложения.
              0
              У нас в числе прочего, довольно действенным оказался запрет на *.tar и *.gz.
                +1
                А запрет на *.001 сделали?
                0
                От себя бы добавил дополнительный подозрительный фактор:
                # если адрес содержит кучу «случайных символов», например bank.ru/?action=R290b3NpdGU9ZXZpbC5ydQ==
                  0
                  Для некоторых организаций, наверное, подойдет такое правило. Его можно было бы включить в список обязательных для всех, если бы можно было в символах, зашифровать редирект, например, а он возможен не на всех сайтах жертв. В общем, для тех у кого на сайте есть возможность создать подобную вредоносную ссылку, ваше правило точно подойдет.

                  Еще умиляют такие ссылки пришедшие от paypal@mail.paypal.com
                  epl.paypal-communication.com/T/v40000016c69cba950c5a91df4bbcfbb48/9879e7559b6b4ac9000021ef3a0bcc6/9879e755-9b6b-4ac9-945e-239bcdc7f22?__dU__=v0G4RBKTXg2GtDSXU69Ujn5RqR7EEyYkx
                  (изменил пару символов, раньше она вела на www.paypal.com/ru/home).
                  Похоже у них безопасники с маркетологами не дружат.
                  0

                  Почему в названии статьи есть слово "корпоративной" ?


                  Приведённые советы полезны далёким от it-безопасности людям но ничего специфического и относящегося именно к "корпоративной email-корреспонденции" я в статье не увидел.

                    0
                    Статья как раз предназначалась для людей, близких к it, чтобы они воспользовались памяткой для коллег, по причинам, указанным в третьем абзаце.
                    0
                    Можно ли выкладывать в интернет фотографии моего рабочего места, сделанные людьми, которые не работают на предприятии?
                      0
                      Надеюсь, ваш комментарий не относится к инструкции отсюда «Троллем быть фуфуфу, заметите их — не кормите.».
                      Если нет, то на вашем предприятии (и на каждом предприятии) должен быть регламент для таких случаев.
                        0
                        PereslavlFoto не в ту ветку вам ответил, а то вдруг вы ждете ответ
                          0
                          Нет регламента. Есть люди, которые приходят на занятия. Они фотографируют свои занятия на моём рабочем месте. Что опасного в таких фотоснимках?
                            +1
                            Очевидно, это зависит от того, как выглядит ваше рабочее место в момент фотографирования — что открыто на экране компьютера, что разложено/развешано вокруг.
                              0
                              Andrusha всё верно ответил. В зависимости от рода деятельности предприятия, есть шанс на осуществление таргетированной атаки против него. Тогда злоумышленнику, увидевшему снимки, пригодятся и программы, которые есть на вашем рабочем столе.
                                0
                                порчу наведут
                              0
                              Проводил проверку у себя с фишинговыми письмами.По опыту самое ходовое это «Коллективный договор» и «Фотки с кооператива», процентов 10-15 открывают даже не глядя
                                0
                                «Коллективный договор», имеется ввиду рассылка с мотивацией присоединиться или подписать договор?
                                0
                                Поделитесь, кто как борится с письмами с вложенным архивом *.001 (Акты сверки, документы за январь и др.). Письма пересылают через открытые или взломанные почтовые сервера. Блоркировка по расширению не вариант т.к. могут быть легитимные архивы.
                                  +1
                                  Я не знаю легитимных архивов с таким расширением, потому просто отбрасываю.
                                  Сейчас мало кто режет на куски большие файлы, обычно через облако передают.

                                Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                Самое читаемое