Компания Cisco заявляет, что электронная почта — источник угрозы №1 в современном мире, а по данным Verizon отправка мошеннического письма становится самым простым и популярным способом взломать любую компанию.

Статья подготовлена для блога по управлению проектами

Сергей Волдохин
sv@antiphish.ru

Получается, работать с электронной почтой небезопасно?

В статье мы расскажем, как происходят такие атаки и что делать, чтобы не стать их жертвой.

Почему электронная почта?

Чтобы добраться до корпоративных систем с ценными данными — CRM, бухгалтерии или интернет-банка — мошенникам нужно:

1. найти и взломать внутреннюю сеть компании, которая у многих компаний хорошо защищена или вообще недоступна извне, либо
2. взломать хотя бы одного пользователя, у которого уже есть нужные доступы.

Второй вариант — проще и эффективнее: достаточно найти адреса электронной почты нескольких сотрудников и отправить им специально подготовленные письма.

Во вложении к таким письмам будет вредоносная программа, которая заражает компьютер и дает хакеру удаленный доступ, или шифрует все данные и требует выкуп. Такая же программа ждет пользователя по ссылке в письме. Часто никаких дополнительных действий не требуется: компьютер будет заражен сразу после клика.

Таким образом, чтобы взломать компанию мошенникам приходится решить несложную задачу: сделать так, чтобы получатель письма захотел открыть вложение или перешел по ссылке.

Как это работает?

Для этого мошенники стараются вызвать сильные эмоции: это позволяет на секунду отключить критическое мышление. Секунды вполне хватит, чтобы кликнуть по ссылке или открыть вложенный файл.

Страх

Сотруднику приходит мошенническое письмо «от банка». Ключевые слова: кредит, задолженность, судебный иск:

Письмо составлено так, чтобы получатель захотел «ознакомиться с документами» и кликнул по одной или второй ссылке.

Другие примеры — письма «от контрагента», который просит погасить долг, прикладывает счет на оплату или высылает новый прайс-лист:

Что сделает ваш бухгалтер, если получит такое письмо?

Страх + Авторитет

FinCERT — действующий отдел Центробанка РФ, который действительно информирует банки об инцидентах и угрозах в сфере информационной безопасности.

Хакеры организовали атаку от имени Центробанка, полностью скопировав формат электронного письма:

Источник: Лаборатория Касперского

Во вложении — .doc-файл с макросом, который запускает вредоносную программу.

Жадность

Почему бы не получить двадцать девять тысяч рублей, ведь все что нужно для этого — перейти по ссылке:

Источник: Тинькофф Журнал

Желание помочь или хорошо сделать свою работу

Оба следующих письма рассчитаны на то, что менеджер или сотрудник бухгалтерии захочет узнать подробности, посмотрит вложенные файлы или перейдет по ссылке:

Вместо настоящих документов в архиве может быть вредоносная программа:



Желание заработать

На зарплату сотрудника могут влиять объем продаж или количество принятых заказов. Такая мотивация сыграет на руку мошенникам:

Обе ссылки около «заявки» ведут на вредоносный файл.

Любопытство

Один из сотрудников компании RSA получил такое письмо и решил посмотреть вложенный «план набора» на 2011 год:

Файл оказался вредоносным, в результате компания была взломана, а общий ущерб составил 66 миллионов долларов США.

Как защититься?

В любой современной компании должен быть минимальный набор средств защиты: антивирусы на рабочих станциях и антиспам-фильтрация на почтовых серверах.

К сожалению, технические средства не всегда могут защитить от подобных атак. Если ссылка в мошенническом письме ведет на сайт, которого еще нет в репутационных базах, а вредоносный файл разработан профессионалами, антивирус и антиспам не помогут.

В таких условиях можно рассчитывать только на правильные действия пользователей.

Хорошо, если сотрудники знают о проблеме и умеют реагировать на фишинговые письма. Как правило, те сотрудники, которые стали жертвами реальной атаки — самые защищенные, потому что на практике убедились, что будет, если кликнуть по ссылке или открыть вложенный вредоносный файл.

Чтобы защититься, мы рекомендуем:

• регулярно обучать всех сотрудников: показывать актуальные примеры фишинга и объяснять, чем грозит письмо от неизвестного отправителя с непонятным вложением и ссылкой.
• проверять навыки сотрудников: как они реагируют на учебные фишинговые письма? Открывают ли вложения, переходят по ссылкам? Если ваша компания проходит ежегодный “тест на проникновение”, обязательно дополните его сценариями атак на своих пользователей.

Выводы

1. Одного письма достаточно, чтобы взломать компьютер сотрудника и всю компанию.
2. Не открывайте вложения и не переходите по ссылкам, в которых не уверены.
3. Обращайте внимание на свои эмоции: страх, авторитет или ощущение срочности — признаки мошеннического письма.
4. Перезвоните отправителю и уточните, действительно ли он выслал вам этот счет, акт или договор?
5. Обучайте своих пользователей основам информационной безопасности. Для начала можно переслать ссылку на эту статью.
6. Тренируйте и контролируйте практические навыки противодействия фишингу.