Осторожно: фишинг

Николай Агринский,
основатель компании «Фишман»

О том, что пользователь является слабым звеном в системе корпоративной безопасности, не говорят только ленивые. И APT-атаки, и страшная статистика, и гигантские ущербы — всё указывает на то, что проблема существует, и ее нужно решать уже сейчас. Возникают закономерные вопросы: какие бывают виды мошенничества и способы борьбы с ними? И где можно получить экспертное мнение по данному направлению?

В современном мире фишинг (англ. phishing, от fishing — рыбная ловля, выуживание) — один из самых распространенных видов интернет-мошенничества. Техники реализации фишинговых атак используют не только технические уязвимости, а скорее ошибки и слабости людей — работников компании.

Выделяют несколько техник фишинга в зависимости от метода реализации атаки (рис. 1), но цель у них одна — обманным путем завладеть личными данными пользователя, его логинами, паролями или получить возможность удаленно управлять его компьютером, заставив человека открыть вложенный файл.

КАК НАС ЛОВЯТ НА УДОЧКУ

Основная техника фишинга — рассылка электронных писем, например, от имени банков или государственных органов. Это самый распространенный вид атак: пользователь получает электронное письмо, идентичное тому, как, в его понимании, должно выглядеть настоящее сообщение от банка или государственной организации. В сообщении содержится ссылка на сайт, как две капли воды похожий на настоящий, или замаскированный файл (например, счет от компании-партнера). Далее жертве предложат ввести данные своей кредитной карты, логин/пароль или скачать программу, которая может оказаться вирусом-шифровальщиком, предоставляющим злоумышленнику полный доступ к компьютеру.

Большой популярностью у киберпреступников пользуется такой прием, как публикация ссылок на фишинговые сайты в социальных сетях. Например, получив доступ к странице пользователя, мошенник может от его имени рассылать его контактам ссылку на вредоносное ПО. Уровень доверия к сообщениям, полученным от знакомых, значительно выше, и, соответственно, больше вероятности, что ссылка из электронного письма будет открыта.

Также распространена техника так называемого голосового фишинга. Пользователь получает сообщение по СМС или в мессенджере (Viber, WhatsApp и т.д.) о необходимости позвонить по указанному номеру для решения проблемы с банковским счетом, задолженностью по налогам или платежам. И уже в ходе телефонного разговора, представившись работником банка или специалистом техподдержки, злоумышленник получает от пользователя данные кредитной карты или логины/пароли от систем в компании.

При этом важно понимать, что мошенники — хорошие психологи, и при подготовке фишинговых атак они будут стараться играть на таких эмоциях, как азарт, чувство тревоги, неизвестности, желание побыстрее разобраться с проблемой.

ПОСЛЕДСТВИЯ

Вариантов того, как можно пострадать от фишинга, много. Потери могут быть как прямые, так и косвенные. Жертвой может стать как непосредственно сам невнимательный пользователь, так и его компания, если фишинговое письмо было открыто с рабочего компьютера.

Получив доступ к системе онлайн-банка, злоумышленники, скорее всего, переведут все средства на свои счета и банковские карты. Причем оспорить эти операции впоследствии окажется практически невозможно.

Если на компьютер попадет программа-вымогатель, которая блокирует его работу либо шифрует файлы на жестком диске, но у вас имеется резервная копия всей важной информации — прекрасно. Вы потеряете только время, которое будет затрачено на переустановку системы. Но если доступ к данным все-таки потребуется восстановить, то код расшифровки файлов/разблокировки компьютера будет стоить денег. Причем валютой в данном случае зачастую выступают биткоины^[1], что несет дополнительные расходы. И не факт, что после перевода денег злоумышленник вас не обманет.

Также фишинг используется при целенаправленных атаках на компании. В случае успешного нападения киберпреступники получат возможность удаленного управления компьютером, находящимся во внутренней сети организации, обойдя таким образом системы защиты периметра сети.

Итак, последствия могут быть самые разные — от банального вируса на компьютере до многомиллионных потерь компании.

Незначительная часть фишинговых писем будет заблокирована такими системами, как антиспам и DLP, однако безоговорочно полагаться на технические средства защиты неблагоразумно. Данный вид интернет-мошенничества успешно используется по всему миру и постоянно совершенствуется уже несколько лет. Киберпреступники придумывают всё новые и новые способы, а разработчики систем защиты попросту не успевают на это реагировать.

КАК БОРОТЬСЯ

Обучение персонала

В борьбе с фишингом самое слабое и одновременно самое сильное звено — это люди, персонал вашей компании. И для защиты бизнес-ресурсов организации в первую очередь требуется работать с людьми: повышать их бдительность, грамотность и уровень компетенции в вопросах информационных технологий и информбезопасности (рис. 2). Эти задачи входят в обязанности сотрудников ИБ и HR-подразделений, которые должны находить для этого время и ресурсы.

Начать следует с подготовки обучающих материалов и рассылки их по почте. Чуть большего результата можно добиться, если обязать работников расписываться за ознакомление с прочитанным. Очное обучение дает еще больший эффект, но, к сожалению, требует много времени.

Компания «Фишман» разработала интересное решение — программу обучения для сотрудников, включающую в себя автоматическую рассылку псевдофишинговых писем, предварительно согласованных с департаментом по информационной безопасности. Работники, кликнувшие на ссылку из такого письма, не распознав в ней фишинг, попадают на страницу, информирующую их о том, что они только что стали жертвой атаки и должны в обязательном порядке пройти обучение и сдать тест.

Дополнительно можно подключать административный ресурс в виде наказаний/поощрений для работы с особо невнимательными сотрудниками. Теоретические знания параллельно с периодическими проверками заставят персонал быть внимательнее при работе с почтой и мессенджерами.

Подходов к обучению много, и у каждого свои плюсы и минусы. Каким из них вы ни начали бы пользоваться, это в любом случае лучше, чем оставить всё как есть, надеясь, что вашей компании эта проблема не коснется.

Постоянный автоматизированный контроль и информированность пользователей

Сейчас всё больше компаний в России и в мире следуют современным тенденциям в области систематизации и унификации процессов управления организацией — используют системы менеджмента ИТ-сервисами, качеством, охраной труда и, конечно же, информационной безопасностью. В России внедрение подобных систем охватывает всё больше и больше предприятий из разных отраслей рынка, однако основным движущим фактором остается требование западных партнеров, клиентов или головной организации. Как правило, выбор при этом падает на международные стандарты серии ISO, а если говорить об информационной безопасности, то на ISO 27001:2013. Данные проекты завершаются получением международного сертификата, что является целью владельцев бизнеса, но для служб ИБ это приводит к дополнительным постоянным трудозатратам при сохранении текущего штата и действующих автоматизированных систем управления.

Давайте рассмотрим, какие сложности видят аудиторы при внедрении системы у клиента, и что происходит с подобной системой через два-три года поддержания сертификата.

Внедрение системы управления ИБ в соответствии с ISO 27001:2013 длится около года, при этом специалисты компании проходят огромный путь от обследования и проведения анализа рисков информационной безопасности до запуска каждого процесса в соответствии с требованием стандарта на практике. При этом могут привлекаться внешние консультанты, которые готовы провести все работы за своего клиента и избавить его от необходимости непосредственно участвовать во всех этапах проекта (что само по себе плачевно для работы системы).

Последний этап — запуск процессов в компании — бывает особенно сложным, поскольку запустить одновременно даже 10 процессов — фактически неподъемная задача, не говоря уже о запуске большего количества. К тому же на данные работы выделяется, как правило, период до трех месяцев. При этом обучение персонала всем новшествам зачастую сводится к одной презентации или одному удаленному вебинару, а тестирование знаний проводится очень редко.

Затем компания успешно проходит аудит, принимает поздравления, ждет выпуска сертификата, организует маркетинговые мероприятия — и наступает период долгожданного отдыха… на год … до очередной проверки.

Данный цикл проходила не одна организация. Где-то процессы внедряются более успешно, где-то — менее, но везде можно наблюдать одно очень слабое звено — своевременное и актуальное доведение до ответственных лиц и пользователей знаний обо всех изменениях системы и ситуации в области безопасности. А ведь успех запуска процессов ИБ зависит именно от эффективных коммуникаций, поддержки пользователей и своевременных предупреждений о возможных проблемах.

На текущий момент есть множество компаний, которые предлагают услуги по обучению и внедрению внутренних порталов по ИБ, однако, как правило, это довольно дорогие работы. Кроме этого, обучающие материалы быстро устаревают, а их обновление ложится на плечи сотрудников подразделений ИБ, и без того перегруженных рутинной деятельностью.

Система автоматизированного контроля и обучения персонала

Идеальным решением в данной области является выбор подходящего решения по автоматизированному контролю и обучению персонала на базе корреляции событий, которые совершает пользователь в своей повседневной работе. К примеру, если сотрудник имеет доступ к конфиденциальной информации и передает ее за пределы организации, система может отслеживать его активность и автоматически назначать курс по правилам работы с конфиденциальными данными. При этом курс обновляется в зависимости от изменений в законодательстве и внутренних регламентов организации. Или, например, пользователь большую часть времени работает удаленно с ноутбука, и ему автоматически назначается курс с рекомендациями по защите мобильного устройства. Не говоря уже о таких возможностях, как тестирование сотрудников на устойчивость к фишинговым письмам и обучение в части противостояния злоумышленникам: как отличить фишинг, что делать, если получаешь фишинговое сообщение; каким образом проверять подозрительные ссылки.

Подобные системы начинают активно развиваться и имеют большое будущее. Одним из решений, которое появилось на рынке России, является система Awareness Center компании «Фишман». Исходные данные для оценки уровня осведомленности пользователя Awareness Center может получать от любых информационных систем (DLP, SIEM, AD, Web-filtering). Постоянный мониторинг событий позволяет определить требуемые для изучения области знаний, используя поведенческий анализ.

Системы подобного класса предоставляют следующий функционал:

• автоматизированное обучение пользователей;

• формирование новых курсов в области ИБ;

• тестирование знаний пользователей в области ИБ;

• тестирование на стойкость к фишинговым атакам;

• корреляция событий пользователя для выбора соответствующих целей обучения.

Подобные системы позволяют службе ИБ решать задачи предотвращения угроз, связанные с действиями пользователей, а кадровой службе — проблемы повышения эффективности использования времени, в том числе при работе с бизнес-приложениями. Неоспоримым плюсом системы является возможность автоматизации данных действий и существенная экономия времени персонала службы ИБ.

BSI

Ключевым направлением для любой компании является повышение грамотности персонала и развитие навыков, необходимых для выполнения поставленных задач. При этом надо понимать, что образование в одной области для технического сотрудника и для руководителя будет значительно отличаться. Например, не раз приходилось слышать от технических специалистов на курсах по стандарту ISO 27001: «Как же так? Стандарт посвящен системам управления информационной безопасностью, а там говорится про процессы, а не про технические настройки». Да, это так — ключевым словом здесь будет именно управление.

Вообще линейка международных стандартов в области управления ИТ, ИБ и непрерывности деятельности (ISO 20000, 27001, 22301) написана очень хорошо по сравнению с рядом других стандартов. Специалисты, получившие сертификаты ведущих аудиторов (Lead Auditor) или ведущих специалистов (Lead Implementer) по этим стандартам, ценятся на рынке. Британский институт стандартов (BSI) по праву считается одной из старейших, легендарных и самых авторитетных организаций, занимающихся стандартизацией. За более чем 100 лет успешного развития BSI превратился из национального органа в глобальную организацию, задающую тон в развитии современных стандартов, образования и сертификации по всему миру.

Однако не все могут позволить себе тратить время на такое обучение. Для тех, кому неудобно приезжать в Москву, существует возможность заниматься дистанционно в подразделении BSI. Независимо от формы образования — очной или заочной — при успешной сдаче экзаменационных испытаний выдается международный сертификат.

Однако сейчас уже мало кого можно удивить дистанционным обучением. В настоящий момент специалисты BSI готовятся выпустить приложение, которое можно будет интегрировать в сеть компании и которое на основе наблюдений за информационно-вычислительной средой будет давать рекомендации специалистам ИБ и ИТ, основываясь на лучших практиках и требованиях международных стандартов. Такой подход вполне логичен: кому, как не разработчику стандарта, давать рекомендации, связанные с выполнением его требований. К тому же это позволит не только разово обучить сотрудников, но и, основываясь на реальной ситуации, давать дальнейшие рекомендации.

ГЛОССАРИЙ

APT

(англ. advanced persistent threat — развитая устойчивая угроза, целевая кибератака)

Термин APT изначально использовался для описания кибернападений на военные организации, но более не ограничен военной сферой. Атака APT превосходит обычные киберугрозы, т.к. ориентируется на взлом конкретной цели и готовится на основании информации о ней, собираемой в течение длительного времени. APT осуществляет взлом целевой инфраструктуры посредством эксплуатации программных уязвимостей и методов «социальной инженерии».

DLP

(англ. Data Leak Prevention — предотвращение утечки данных)

Технологии предотвращения утечек конфиденциальной информации из информационной системы, а также технические устройства (программные или программно-аппаратные) для такого предотвращения утечек.

Биткоин

Цифровая валюта, не контролируемая ни одним государством, работающая только в сети интернет.

подробнее о защите ваших информационных данных можно узнать на: www.phishman.ru