Rambler's Top100
Все новости Новости отрасли

Научите рыбку не попадаться на крючок

25 декабря 2015

Фишинговые рассылки – один из самых эффективных способов кражи корпоративной информации, но сотрудников можно и нужно обучить правильно на них реагировать.

Компания PhishMe опубликовала итоги исследования, в котором выяснялось, насколько легко сотрудники компаний становятся жертвой фишинга – одной из самых распространенных сегодня киберугроз. В течение 13 месяцев PhishMe разослала примерно 8 млн писем, имитирующих фишинговые рассылки, 3,5 млн сотрудников компаний из 23 отраслей. Анализ результатов исследования проводился совместно с Кембриджским университетом и Лондонской школой экономики.

Согласно данным отчета 2015 Enterprise Phishing Susceptibility Report, в среднем фишинговые сообщения открывают около 20% сотрудников. И почти все они – 87% – делают это в тот же день, когда письмо появилось в почте (в основном рано утром, только придя на работу). Это, безусловно, создаст серьезные проблемы службе безопасности в случае таргетированной атаки, направленной на множество сотрудников компании, поскольку у нее не будет времени на реагирование. Кроме того, 67% пользователей, открывших псевдофишинговое письмо, уже делали это раньше и вполне вероятно, что поступят так же в следующий раз.

Впрочем, уровень доверчивости пользователей для разных сфер деятельности различается, и на первом месте здесь сфера образования, в которой 49% респондентов открыли псевдофишинговые письма. Далее идут сельское хозяйство и фармацевтические/биотехнологические компании (по 41%), медиаиндустрия и телеком (по 37%).

Наиболее полезными для хакеров оказались темы рассылок, связанные с офисными коммуникациями или финансовой информации. Что касается строки Subject, то больше всего доверяют тем письмам, в которых якобы прислан отсканированный файл (File From Scanner) или сообщается о попытке неавторизованного доступа (Unauthorized Activity/Access) – их открыли соответственно 34 и 36% пользователей (среди тех, кто отреагировал на письмо). Самыми эффективными мотиваторами оказались темы отношений и вознаграждений (типа «вы выиграли приз»).

Из исследования PhishMe (а компания занимается разработкой средств управления угрозами и обучением пользователей) следует также, что путем тренинга сотрудников нетрудно превратить из «уязвимости» в «ценный актив», создающий дополнительный интеллектуальный слой зашиты от хакерских атак. В результате обучения достаточно быстро вырабатывается своего рода условный рефлекс на фишинговые письма: если после первой тестовой рассылки, имитирующей фишинг, проверку не проходят 35% сотрудников, то после минимального обучения – только 13%. А после третьего и четвертого письма «доверчивых» остается всего 4 и 1%.

Риски утечки данных из-за фишинга – равно как и других угроз – особенно велики для банков, поскольку те имеют дело с большими объемами чувствительной клиентской информации и суммами денег. Банки выделяют, по определению их руководителей, «бездонные» и «практически неограниченные» бюджеты на кибербезопасность (как выразился в недавнем интервью CEO банка Wells Fargo Джон Стампф, «это единственная статья расходов, про которую я спрашиваю, достаточно ли там средств»). Но при этом ошибка или простая невнимательность сотрудника может проделать серьезную брешь в системе защиты. Поэтому в банках, например, запрещают пользоваться корпоративным адресом в личных целях (особенно для регистрации в соцсетях или онлайн-магазинах) или настраивать в почте автоответ об отсутствии на работе во время отпуска (это означает, что компьютер в офисе или дома остался без присмотра).

Обучение безопасному поведению включает и тестирование «на фишинг» – с рассылкой псевдофишинговых сообщений персоналу. Так, банк J.P. Morgan Chase, где произошла массированная утечка данных пользователей, затронувшая 76 млн домохозяйств, через некоторое время, как пишет WSJ, разослал имитирующее фишинг письмо 250 тыс.своих сотрудников. Из них примерно 20% открыли это письмо (этот результат, кстати, хорошо согласуется с данными PhishMe).

Даже небольшие финансовые организации тратят время и средства на то, чтобы обучить сотрудников правильному поведению. К примеру, банк Pinnacle Financial Partners из штата Теннесси рассылает 1100 своим сотрудникам псевдофишиговые сообщения примерно раз в три месяца. «Они все шутят по этому поводу», – цитирует WSJ Клейтона Вебера, директора банка по информационной безопасности. Но даже при том, что сотрудники знают о регулярном тестировании, примерно 2% их все равно открывают такие письма.

По материалам зарубежных источников

Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!

Оставить свой комментарий:

Для комментирования необходимо авторизоваться!

Комментарии по материалу

Данный материал еще не комментировался.