Осторожно, бонусы: компания устроила сотрудникам необычную проверку кибербезопасности

19.05.2021      13497

Киберпреступники часто атакуют пользователей с помощью писем, содержащих вложения и ссылки на фишинговые сайты. Они имитируют банковские и другие популярные ресурсы, собирают личные и платежные данные, могут поставить под угрозу всю ИТ-инфраструктуру предприятия.

Британский железнодорожный оператор West Midlands Trains решил проверить, смогут ли его сотрудники противостоять таким угрозам, и разослал фишинговые письма с обещанием бонусов за работу в пандемию.

Бесплатный сыр

Рассылку для 420 сотрудников, занимавших руководящие должности, провели от имени отдела заработной платы West Midlands Trains. В тексте письма сотрудников благодарили за работу в сложных условиях пандемии и подчеркивали, насколько важен личный вклад каждого специалиста.

В конце послания авторы вставили ссылку на созданный фишинговый сайт. Если сотрудник переходил по этой ссылке, ему предлагали заполнить форму и ввести свои платежные данные – они якобы требовались для получения бонуса.

После заполнения формы пользователи оказывались на новой странице, где специалисты по кибербезопасности West Midlands Trains подробно рассказывали, что письмо было проверкой на фишинг. Так компания хотела оценить восприимчивость сотрудникам к потенциально опасным посланиям, которые рассылают хакеры.

Обратная сторона

Профсоюз West Midlands Trains раскритиковал эксперимент. Его назвали «циничным и шокирующим трюком» и потребовали извинений. Многие сотрудники компании заразились COVID-19 на работе, и остальным пришлось непросто, поэтому тема рассылки была неэтичной.

Профессор инженерной безопасности Лондонского университетского колледжа Стивен Дж. Мердок отметил: «Достаточно хорошо продуманное фишинговое письмо сработает в 100% случаев». Все компании уязвимы для фишинга. Тестирование коллектива с помощью поддельных электронных писем – «ловушка», которая может повредить отношениям между компаниями и сотрудниками. Такие эксперименты могут быть небезопасны для бизнеса, ведь нередко именно недовольные сотрудники запускают вирусы в ИТ-инфраструктуру или продают важные данные конкурентам.

Мердок подытожил: «Люди, ответственные за пожарную безопасность, не поджигают здание».

Распространенная практика

Британский железнодорожный оператор – не единственная компания, которая проводила тесты на знание правил кибербезопасности. Издатель Tribune Publishing Company, которой принадлежат The Baltimore Sun, Chicago Tribune и ряд других изданий, в сентябре прошлого года разослал аналогичные письма. Компания обещала фальшивые бонусы в размере 10 тыс. долларов, но в итоге вынуждена была публично извиниться перед сотрудниками.

Провайдер хостинга GoDaddy в декабре 2020 года попросил сотрудников заполнить фишинговую форму, чтобы получить праздничный бонус в размере 650 долларов. Не менее 500 специалистов ИТ-компании провалили тест на фишинг.

Соосновательница компании в сфере кибербезопасности Cygenta Джессика Баркер подчеркнула, что компаниям не стоит проводить сомнительные эксперименты. Надежнее устанавливать ПО для блокировки спама, защиты от вымогателей и обнаружения потенциальных уязвимостей в ИТ-системах.

Доверительные отношения с сотрудниками не менее важны: если они будут сразу сообщать о малейших подозрениях, это поможет предотвратить масштабные атаки. Если же специалисты будут опасаться новых проверок, они в какой-то момент перестанут сообщать об угрозах – и косвенно помогут хакерам.

Спам атакует

За первый квартал 2021 года антивирусные продукты «Лаборатории Касперского» заблокировали в почте клиентов около 40 млн вредоносных почтовых вложений.

 

 

Кроме того, ПО зафиксировало примерно 80 млн. попыток перехода по ссылкам на фишинговые сайты. С ними столкнулись 5,87% пользователей продуктов компании.

По итогам 2020 года лидерами по объемам исходящего спама стали Россия (22,47%) и Германия (14,89%). На третьем месте — США (12,98%), а четвертое занял Китай (7,38%).

Чаще всего открывали вредоносные вложения в Испании (8,74%). На втором месте антирейтинга – Италия (7,59%), на третьем – Германия (5,84%). Россия заняла пятое место (4,88%).


Автор:
Обозреватель


См. также

Новость Законодательство ИТ-Новость

Со следующего года все россияне смогут в любое время оформить кредитные каникулы по потребительским кредитам, если попали в трудную жизненную ситуацию. Соответствующий законопроект одобрен Госдумой.

21.07.2023    818    VKuser24342747    0       

2

Новость Развлечения, искусство, спорт Конкурс ИТ-Новость Сообщество

Редакция Инфостарта продолжает тестировать новые форматы: в эфире рубрика книжный клуб. Раз в месяц мы будем публиковать подборку полезных книг от разработчиков и для разработчиков. 

06.02.2023    9325    a_a_burlakov    46       

41

Новость ИТ-компания ИТ-льготы ИТ-Новость Минцифры

Правительство расширило программу выдачи кредитов на жилье под низкий процент для сотрудников ИТ-компаний. Увеличен возрастной диапазон, снижены требования к заработной плате.

31.01.2023    5850    VKuser24342747    9       

1

Новость ИТ-льготы ИТ-Новость Минцифры

Собирать информацию для передачи в Министерство обороны ведомство будет до 6 февраля. Право на отсрочку имеют ИТ-специалисты, работающие в аккредитованных компаниях.

24.01.2023    7177    VKuser24342747    0       

2

Новость ИТ-Новость ФНС

Налоговики опубликовали первые статистические данные о выданных по новым правилам электронных подписях. А также призвали пользователей оформить новые сертификаты КЭП до конца этого года, не дожидаясь январского ажиотажа.

18.10.2022    6941    ЕленаЧерепнева    0       

1

Новость ИТ-Новость

Министерство для обеспечения работы высокотехнологической отрасли намерено освободить от частичной мобилизации разработчиков с высшим образованием из аккредитованных в Минцифры ИТ-компаний.

27.09.2022    5460    VKuser24342747    10       

4

Новость Безопасность ИТ-Новость

Минцифры намерено создать реестр, в котором будут представлены все согласия на обработку персональных данных. Россияне получат к нему доступ через Госуслуги и смогут отзывать собственные разрешения.

16.09.2022    7893    VKuser24342747    1       

4

Новость ИТ-Новость Образование Цифровая экономика

Минпросвещения сообщило, что при помощи кода можно будет получить подробную информацию о теоретических знаниях и практических навыках студента. Это упростит трудоустройство выпускников.

23.08.2022    6108    VKuser24342747    0       

1
Комментарии
Подписаться на ответы Инфостарт бот Сортировка: Древо развёрнутое
Свернуть все
1. CheBurator 3125 19.05.21 21:33 Сейчас в теме
а вот как проверить письмо на фишинг.
в вин10 Хоум я, например, даже не нашел возможности включить показ служебных заголовков письма чтобы посмотрет ь фальшивое письмо или из источников, заслуживающих доверия...
2. Артано 764 20.05.21 06:59 Сейчас в теме
(1) Так адрес же можно подменить. ХЗ, проверяется ли это сейчас, но сам протокол такую возможность имеет.
4. CheBurator 3125 20.05.21 13:09 Сейчас в теме
(2) письмо обычно идет по длинной цепочке. вряд ли куча недохакеров подменяют всё в служебных заголовках.
гораздо хуже, когда письмо реальное с реального корпоративного адреса (взломали почту например).
3. Aleskey_K 35 20.05.21 08:35 Сейчас в теме
если пользователь дурак, то никакая система защиты не спасёт.
он ведь сам передаёт свои реквизиты непонятно кому.
Оставьте свое сообщение