Кибербезопасность: эксперимент показал, насколько доверчивы сотрудники
Фото: Иван Макеев.
35% не просто открыли письма, а перешли по ссылкам и передали личные данные.
Как не стать жертвой мошенников и научиться распознавать вредоносные письма?
Итоги эксперимента обсудили в рамках программы «What's up, страна!» с Михаилом Антоновым. Практическими советами поделился эксперт компании «МегаФон» – Александр Осипов, руководитель по облачным платформам и инфраструктурным решениям.
М. Антонов:
– Друзья, это прямой эфир Радио «Комсомольская правда». И мы сейчас поговорим с вами про человеческую доверчивость, про мошенничество и кибермошенничество, про утечку данных и многое другое. У нас сегодня в эфире специально приглашенный гость – руководитель по облачным платформам и инфраструктурным решениям «МегаФона» Александр Осипов.
– Александр, вы наблюдаете тенденцию. Доверчивых людей становится больше или меньше? И меняется ли количество мошенников? Какие выводы вы можете сделать, если говорить про общую картину?
А. Осипов:
– Это такое постоянное соревнование брони и снаряда. То есть чем больше люди погружаются в цифру, чем больше они пользуются какими-то цифровыми сервисами (будь это интернет-магазины, мобильные телефоны-приложения), тем больше они сталкиваются с проблемами с точки зрения кибербезопасности: с хакерами или мошенниками. Но они в то же время и больше «прокачиваются» в том, что нельзя доверять незнакомым людям.
М. Антонов:
– Мы провели эксперимент в «Комсомольской правде» и с помощью обучающей платформы «МегаФон Security Awareness» отправили по издательскому дому фишинговые письма с целью посмотреть, как реагируют на них наши сотрудники (откроют или нет)? Подобные рассылки обычно делают мошенники, чтобы выудить у пользователей личную информацию. К сожалению, нашлись люди, которые прошли по ссылкам, и даже есть те, кто отправил свои данные. Скажите, Александр, почему люди до сих пор еще так доверчивы? Казалось бы, возьмите и проверьте! Забейте эту ссылку. Посмотрите внимательно! Это же ваши данные. Вы их отдаете черт знает кому!
А. Осипов:
– Это достаточно сложный вопрос, с одной стороны, а с другой – легкий. Действительно, проверить что-то, включить на минутку рациональное мышление, в принципе, ничего не стоит. Потратить полминуты времени на то, чтобы проверить адрес, знаете ли вы этого человека или нет? Но многие люди просто ленятся. Есть привычка – открывать письма, которые получаем регулярно. Например, очень часто сейчас мошенники используют не просто письма от «вашего покойного дяди из Зимбабве», который оставил вам миллион долларов.
Появились более изощренные тактики. Мошенники используют похожие уведомления от каких-то облачных сервисов. Например, ZOOM, которым вы пользуетесь. Или это может быть письмо от налоговой, госуслуг. Если атака происходит на организацию, это может быть письмо от генерального директора или от банка, который является держателем зарплатного проекта этой компании.
Что-то похожее на то, с чем вы сталкиваетесь ежедневно. Например, письмо от социальных сетей или особенно письмо на злободневную тему – ковида. Допустим, что вам должны сделать какую-то выплату или налоговый вычет.
М. Антонов:
– Ой, да. Я как-то открываю свои сообщения, и это потрясающе! «Михаил, ваш кешбэк 18 тысяч рублей. Зайдите по ссылке, заберите!». И понимаю, что не потратил в этом месяце столько, чтобы такой кешбэк получить, у меня вообще кешбэка нет. Но я понимаю, что бесплатный сыр только в мышеловке, на что рассчитывают мошенники?
А. Осипов:
– Конечно, это же массовая рассылка. Всегда найдется процент людей, который нажмет. Кстати, наш эксперимент с вами это и доказал. Этих людей вы знаете, вы видите каждый день, они являются членами вашей уважаемой организации…
М. Антонов:
– А если бы в вашей организации такой бы эксперимент проводился? Никто бы не открыл, конечно?
А. Осипов:
– Мы проводим на периодической основе подобные эксперименты. Для этого существуют специальные инструменты, которые мы использовали в случае эксперимента с «Комсомольской правдой». У нас есть платформа «МегаФон Security Awareness». Мы используем ее для проверки реакции сотрудников на фишинговые рассылки – сколько откроют, сколько не откроют. У нас, действительно, такой процент значительно меньше, потому что мы давно этим занимаемся и регулярно проводим подобное тестирование. Особенно это касается новых людей – для них существуют специальные курсы по обучению кибербезопасности, которые они проходят на этой же платформе. После обучения все закрепляется на практике в формате таких экспериментов.
Конечно, большой организации здесь легче с точки зрения рисков, потому что у нее есть ресурсы. Как правило, компания вкладывает деньги в специальные средства защиты. Помимо вот таких экспериментов, с помощью которых можно и обучить, и протестировать людей, компания в том числе вкладывает деньги в различные так называемые «песочницы». Они стоят перед email-сервером и фактически отсеивают спам или письма со зловредным трафиком, со зловредными вирусами…
М. Антонов:
– А у нас с вами сейчас разговор идет не только про личные письма, но и про корпоративную рассылку, да?
А. Осипов:
– Безусловно.
М. Антонов:
– Хорошо, в эксперименте, про который мы говорим, надо было ввести свою фамилию, имя, отчество, номер паспорта и телефон. Слушайте, и что? Ну я вам сейчас дам номер паспорта, номер своего телефона и фамилию, имя и отчество. И что вы сделаете? То есть заспамите меня телефонными звонками? Я к незнакомым номерам не подхожу, у меня есть антиспам.
А. Осипов:
– Во-первых, любые данные о человеке могут стать дополнительной ступенькой для того, чтобы добыть еще больше данных. Некоторых данных достаточно, например, чтобы оформить на вас микрозаем в какой-нибудь небольшой организации. А потом к вам будут приходить коллекторы и «выбивать» у вас соответствующие деньги, которые вы на самом деле не брали.
М. Антонов:
– Но у меня есть доказательства, что я не брал. У меня подписи нет…
А. Осипов:
– Безусловно, но для вас это все равно будет ресурсозатратно.
М. Антонов:
– Я согласен, да.
А. Осипов:
– И немножко нервно. Мошенники не просто используют ваши данные, чтобы где-то взять кредит или где-то как-то нажиться, не взаимодействуя с вами. Они иногда начинают с вами общаться на уровне шантажа.
М. Антонов:
– Хорошо, а когда идет такая вот корпоративная рассылка фишинговых ссылок, это ковровая бомбардировка или все-таки у мошенников есть желание на какого-то определенного человека, сотрудника выйти, чтобы получить доступ к чему-то?
А. Осипов:
– Бывает и так, и так. Есть целевые атаки, есть нецелевые. Мошенники, которые рассылают письма веерно, коврово, просто могут собирать данные. Или, например, попытаться пролезть в организацию, через скачанный вирус, который был в таком письме. Вирус может даже ничего не делать, он просто «сидит» и ждет момента, когда мошенник его активирует. Многие компании, которые уже заражены, могут даже не знать об этом.
Бывают целевые атаки.
М. Антонов:
– То есть таких спящих штук достаточно много, да?
А. Осипов:
– Их достаточно много. Как правило, они могут быть активированы на рабочих станциях, на которых не установлено лицензионное программное обеспечение. Все еще есть достаточно большое количество тех, кто до сих пор использует пиратские версии Windows. А это очень большая дыра в безопасности и для людей, и для некоторых организаций. Если установлено пиратское программное обеспечение, то, естественно, почти любые вирусы могут проникнуть в систему, потому что большинство уязвимостей закрывается именно патчами – новыми обновлениями, которые выходят в различных типах программ на ежемесячной или ежегодной основе.
М. Антонов:
– Хорошо, давайте о безопасности. Определили проблему. А теперь вопрос: кроме отсеивания писем, чем еще можно обезопасить? Вот об этом поговорим – о безопасности, о кибербезопасности, в том числе корпоративной. Вы сказали, у «МегаФона» есть образовательная платформа, которая как раз и повышает осведомленность сотрудников компаний, предприятий. Вот об этой платформе чуть более подробно.
А. Осипов:
– В нашей отрасли вопросам кибербезопасности уделяется большое внимание. Поэтому мы стараемся быть в авангарде технологий. Помимо типовых файрволов и других систем, предотвращающих несанкционированный доступ к сети, у нас есть собственная экспертиза в повышении осведомленности сотрудников, в обучении их правилам цифровой гигиены. На базе этого нам удалось вместе с нашими партнерами разработать платформу, которую мы сейчас предлагаем рынку. Это как раз «Мегафон Security Awareness». Она состоит из нескольких модулей. Первый модуль – платформа антифишинга. Это инструмент для рассылки симулированных фишинговых писем, которые позволяют посмотреть, какие сотрудники открывают письма, даже на какие темы реагируют. Например, больше реагируют на письма от банка или от социальной сети.
М. Антонов:
– То есть когда вы запускаете «Мегафон Security Awareness» – вы знаете, что я открыл письмо, или вы знаете, что я пошел по этой ссылке?
А. Осипов:
– Да, мы знаем, что вы открыли письмо, что нажали на ссылку. И мы можем даже посмотреть, ввели вы какие-то данные туда (например, свой логин, пароль) или нет.
М. Антонов:
– Так, хорошо, это одна из частей защиты. Дальше?
А. Осипов:
– Это история про тестирование. Важно понимать, насколько серьезные проблемы, связанные с безопасностью, есть в организации, особенно в разрезе фишинговых атак. Вторая история – это обучающий блок. Там есть различные информационные курсы, которые позволяют сотруднику пройти целый образовательный курс, связанный с кибербезопасностью. Модуль содержит курсы на разные темы: начиная от каких-то простых историй, связанных с тем, как работать с конфиденциальной информацией. Что такое физическая безопасность на производстве, как работать с персональными данными. И заканчивая сложными историями про то, что такое социальная инженерия, как хакеры ведут себя, и какие атаки они могут на вас направить, помимо фишинга, и как необходимо вести себя в таких ситуациях.
М. Антонов:
– Слушайте, после обучения, после того как оно заканчивается, человек выходит, он продолжает пользоваться интернетом? Или только голубиная почта, самая безопасная в мире?
А. Осипов:
– Приведу пример. Все, кто у нас активно работает над этой платформой, все, кто ее продает или хорошо знает, что это такое, всегда реагируют с осторожностью на любые письма. Даже от руководителей. Приходит, например, сообщение от HR-директора, а в разделе «от» – пусто. При общих массовых рассылках так делают, чтобы никто случайно не ответил всем адресатам. И я сразу получаю уведомление: а это не фишинговая ли рассылка? Давайте обратимся в нашу информационную безопасность, чтобы они проверили.
То есть это действительно достаточно сильно повышает бдительность по отношению к фишинговым рассылкам.
М. Антонов:
– В итоге бедный эйчар-директор отослал всем письма – и ни одного ответа, потому что проверяют. Скажите, а есть какие-то отрасли, которые более часто становятся вашими клиентами? Или это касается всех компаний и организаций, даже если у них небольшая капитализация?
А. Осипов:
– То, что мы называем цифровой гигиеной, безусловно, касается всех компаний, которые так или иначе имеют хоть какую-то цифровую инфраструктуру. Если у вас есть серверы, если вы храните данные, у вас есть CRM, в котором вы ведете своих клиентов, значит, вы агрегируете данные. К ним есть доступ у ваших продавцов или у других членов организации. В этом случае вы уже должны озаботиться цифровой гигиеной, чтобы не допустить несанкционированного доступа к этим данным.
Существуют отрасли, которые уделяют особое внимание теме кибербезопасности. Кто-то из-за регуляторных требований, кто-то из-за высоких репутационных рисков, связанных с персональными данными. Это, безусловно, финансовая отрасль (банки, страховые), это промышленность, там, где одна атака может остановить производство на несколько недель. А это невероятные потери. Это энергетика, государственные учреждения. Интернет-компании, которые очень сильно зависят от того, работоспособен ли их сайт, можно ли оформить заказ через интернет, через приложение и т.д. Я надеюсь, СМИ (после нашего с вами эксперимента в том числе).
М. Антонов:
– Ваша платформа, она адаптирована для всех или все-таки какие-то изменения, то есть для транспортников мы одно подготовим, для айтишников другое, для средств массовой информации – третье? Или она адаптирована во все отрасли?
А. Осипов:
– Она имеет набор порядка 60 различных курсов, которые в том числе имеют какую-то сегментированность под финансовые организации или под промышленность. Но, тем не менее, в базовых курсах есть все, что может подойти любой компании в плане развития базовой цифровой гигиены. Но если требуется, например, разработка какого-то специализированного курса, такое тоже бывает, к нам приходят и говорят: мы хотим…
М. Антонов:
– …под ключ.
А. Осипов:
– Под ключ, вот именно про это. Например, что-то для страховых компаний. И мы действительно готовы разрабатывать дополнительный курс – нашими силами готовы адаптировать материалы под задачи клиента.
М. Антонов:
– Александр, но ведь у нас сейчас, по сути, весь разговор сводится к тому, что не открывайте неизвестные письма. Ну, по крайней мере, открывайте, но не ходите по ссылкам. Я прав? Или это слишком приземленное понятие?
А. Осипов:
– Это если мы говорим с вами о фишинговых ссылках. Но есть огромное количество различных других типов социальной инженерии, которые позволяют украсть данные или навредить компании.
М. Антонов:
– Это не является тайной «Мегафона», что это за типы?
А. Осипов:
– Это не является тайной. Я приведу примеры: один из самых редких случаев, другой из частых. Есть романтичный пример. Если хакер очень хочет пробраться в организацию и может это сделать только через какую-то условную жертву, часто с ней знакомятся через Тиндер. А потом злоумышленники физически проникают в офис под предлогом: давай я останусь у тебя в офисе, подожду, пока ты закончишь работу. Или: покажи мне, как вы работаете, оформи мне гостевой пропуск. Дальше приходит прекрасная девушка, раскидывает большое количество зараженных флешек, которые просто лежат рядом с компьютерами. И часто, если человек в поиске носителя для передачи какой-то информации, он может просто такую флешку найти и использовать, таким образом заразив свой компьютер зловредом.
М. Антонов:
– Ничего себе. Теперь вы понимаете, почему ваше сопровождение в студии мы не выпускаем из виду? Это тоже элемент безопасности.
А. Осипов:
– Да. И меня проверили на флешки, естественно, когда я сюда пришел.
М. Антонов:
– Да, у нас на входе турникет стоит. Практические советы, которые можно применить прямо сейчас и пользователям, и руководителям. Ваши рекомендации?
А. Осипов:
– С точки зрения получения фишинговых писем.
Первое. Надо всегда проверять источник, от которого приходит письмо. Если это неизвестный вам отправитель или вы ему не доверяете, потому что там неправильно написан адрес или вы видите какой-то странный email, конечно, никогда не надо нажимать кнопку «скачать» файл. Или, например, на ссылку, которая пришла к этому письму.
Второе. Очень важно создавать сложные пароли. Как правило, лучше даже пользоваться парольными мессенджерами, для того чтобы иметь доступ к различным социальным сетям, рабочим аккаунтам и т.д. Эти пароли обязательно должны быть разные, и они должны быть сложные. Потому что часто, если пароль один и тот же… Как правило, если вы в своей личной, не рабочей почте используете пароль такой же, как и на рабочей, может произойти слив (утечка) данных с вашего email-аккаунта, и тогда этот же пароль используют и в вашей рабочей почте, и получат доступ к данным корпоративным.
М. Антонов:
– То есть вы видите, как меняется мое лицо сейчас?
А. Осипов:
– А у вас один и тот же пароль, видимо?
М. Антонов:
– Он сложный, он очень сложный.
А. Осипов:
– Это очень плохо.
М. Антонов:
– Я знаю. Но у меня память плохая, я не запоминаю многие пароли.
А. Осипов:
– Есть даже специальные парольные мессенджеры, в которых есть дополнительный инструмент – вы можете проверить, слиты ли ваши пароли. Например, вы вводите туда логин своей почты, и программа проверяет, когда какие утечки были по вашей почте в связке логин – пароль. У меня, например, таких сливов было 5. Я менял свои пароли, и сейчас использую только разные пароли.
М. Антонов:
– Вот и я свой пароль 123456 тоже поменяю. Кстати, простота пароля – это один из…
А. Осипов:
– Да, простота пароля – это один из очень больших рисков. Третий совет, как ни странно, о том, о чем мы уже говорили. Необходимо регулярно обновляться, использовать только лицензионное программное обеспечение и обновлять его в тот момент, когда вышел патч. Потому что большая часть, например, в 2017 году организаций, которые были заражены WannaCry, были организации, которые не успели на месяц обновить Windows.
М. Антонов:
– Я что хочу сказать? Друзья, подробнее узнать о платформе «МегаФона», про которую мы говорили, вы можете на сайте «МегаФона», увидеть это всё.
Александр, спасибо вам большое за эксперимент – мы все поняли! У нас в гостях был Александр Осипов, руководитель по облачным платформам и инфраструктурным решениям «МегаФона». Будем и дальше встречаться и говорить о кибербезопасности.