Киберпреступники часто атакуют пользователей с помощью писем, содержащих вложения и ссылки на фишинговые сайты. Они имитируют банковские и другие популярные ресурсы, собирают личные и платежные данные, могут поставить под угрозу всю ИТ-инфраструктуру предприятия.
Британский железнодорожный оператор West Midlands Trains решил проверить, смогут ли его сотрудники противостоять таким угрозам, и разослал фишинговые письма с обещанием бонусов за работу в пандемию.
Бесплатный сыр
Рассылку для 420 сотрудников, занимавших руководящие должности, провели от имени отдела заработной платы West Midlands Trains. В тексте письма сотрудников благодарили за работу в сложных условиях пандемии и подчеркивали, насколько важен личный вклад каждого специалиста.
В конце послания авторы вставили ссылку на созданный фишинговый сайт. Если сотрудник переходил по этой ссылке, ему предлагали заполнить форму и ввести свои платежные данные – они якобы требовались для получения бонуса.
После заполнения формы пользователи оказывались на новой странице, где специалисты по кибербезопасности West Midlands Trains подробно рассказывали, что письмо было проверкой на фишинг. Так компания хотела оценить восприимчивость сотрудникам к потенциально опасным посланиям, которые рассылают хакеры.
Обратная сторона
Профсоюз West Midlands Trains раскритиковал эксперимент. Его назвали «циничным и шокирующим трюком» и потребовали извинений. Многие сотрудники компании заразились COVID-19 на работе, и остальным пришлось непросто, поэтому тема рассылки была неэтичной.
Профессор инженерной безопасности Лондонского университетского колледжа Стивен Дж. Мердок отметил: «Достаточно хорошо продуманное фишинговое письмо сработает в 100% случаев». Все компании уязвимы для фишинга. Тестирование коллектива с помощью поддельных электронных писем – «ловушка», которая может повредить отношениям между компаниями и сотрудниками. Такие эксперименты могут быть небезопасны для бизнеса, ведь нередко именно недовольные сотрудники запускают вирусы в ИТ-инфраструктуру или продают важные данные конкурентам.
Мердок подытожил: «Люди, ответственные за пожарную безопасность, не поджигают здание».
Распространенная практика
Британский железнодорожный оператор – не единственная компания, которая проводила тесты на знание правил кибербезопасности. Издатель Tribune Publishing Company, которой принадлежат The Baltimore Sun, Chicago Tribune и ряд других изданий, в сентябре прошлого года разослал аналогичные письма. Компания обещала фальшивые бонусы в размере 10 тыс. долларов, но в итоге вынуждена была публично извиниться перед сотрудниками.
Провайдер хостинга GoDaddy в декабре 2020 года попросил сотрудников заполнить фишинговую форму, чтобы получить праздничный бонус в размере 650 долларов. Не менее 500 специалистов ИТ-компании провалили тест на фишинг.
Соосновательница компании в сфере кибербезопасности Cygenta Джессика Баркер подчеркнула, что компаниям не стоит проводить сомнительные эксперименты. Надежнее устанавливать ПО для блокировки спама, защиты от вымогателей и обнаружения потенциальных уязвимостей в ИТ-системах.
Доверительные отношения с сотрудниками не менее важны: если они будут сразу сообщать о малейших подозрениях, это поможет предотвратить масштабные атаки. Если же специалисты будут опасаться новых проверок, они в какой-то момент перестанут сообщать об угрозах – и косвенно помогут хакерам.
Спам атакует
За первый квартал 2021 года антивирусные продукты «Лаборатории Касперского» заблокировали в почте клиентов около 40 млн вредоносных почтовых вложений.
Кроме того, ПО зафиксировало примерно 80 млн. попыток перехода по ссылкам на фишинговые сайты. С ними столкнулись 5,87% пользователей продуктов компании.
По итогам 2020 года лидерами по объемам исходящего спама стали Россия (22,47%) и Германия (14,89%). На третьем месте — США (12,98%), а четвертое занял Китай (7,38%).
Чаще всего открывали вредоносные вложения в Испании (8,74%). На втором месте антирейтинга – Италия (7,59%), на третьем – Германия (5,84%). Россия заняла пятое место (4,88%).