Да, в приложении Cash App можно стать жертвой мошенничества различными способами, включая флиппинг с деньгами, случайные платежи и фишинговые сообщения. Мошенничество в Cash App опасно тем,...
Обновлено 11 апреля 2023 г.
Фишинг — это проблема, к которой необходимо серьезно относиться предприятиям всех форм и размеров. Лучший способ защитить вашу компанию от неизбежной фишинговой атаки — подготовиться заранее. Обучение персонала и проведение проверок на уязвимость к фишинговым атакам гарантируют, что сотрудники смогут обнаружить попытки фишинга.
Чтобы провести эффективную проверку на уязвимость к фишингу, вам нужно сначала найти инструмент фишинга, который поможет вам провести проверку, разработать ее, а затем проанализировать результаты. В этом руководстве мы расскажем, как провести проверку на фишинг в рабочей среде, чтобы ваши сотрудники были готовы обнаружить эти атаки до того, как они попадутся на настоящий фишинговый скам.
Что такое фишинг?
Фишинг — это вид кибератаки, при котором злоумышленник пытается получить конфиденциальную информацию, выдавая себя за доверенную сторону, которую знает жертва. Фишинговые атаки чаще всего осуществляются через электронную почту или текстовые сообщения и часто содержат элементы срочности, чтобы жертва действовала быстро.
В качестве примера предположим, что вы открываете свой почтовый ящик и замечаете электронное письмо от банка Chase, касающееся обновления вашего банковского счета. Письмо кажется важным, а шаблон выглядит так же, как электронные письма, которые вы обычно получаете от Chase, поэтому вы переходите по ссылке. Однако эта ссылка является вредоносной и отправляет вас на поддельный сайт. Поддельный сайт — это сайт, который выглядит как настоящий, но на самом деле таковым не является. После ввода информации для входа на этот сайт вы, по сути, выдаете свои учетные данные злоумышленнику, даже не подозревая. Теперь у злоумышленника есть вся информация, необходимая для входа в вашу законную учетную запись Chase.
На рабочем месте фишинговое письмо может прийти в виде письма от вашего начальника с одной небольшой орфографической ошибкой или от коллеги с немного другого домена, чем обычно. Обычно в электронном письме вас просят предоставить конфиденциальную информацию, которую злоумышленник затем будет использовать, чтобы украсть вашу компанию или каким-либо образом нанести ей ущерб.
Что такое проверка на уязвимость к фишингу?
Проверка на фишинг — это программа, которая позволяет компаниям отправлять сотрудникам реалистичные, смоделированные фишинговые электронные письма, чтобы увидеть, как они на них отреагируют. Эти проверки позволяют компаниям увидеть, насколько хорошо их сотрудники обучены обнаруживать фишинговые атаки, и предоставить им обучение фишингу, если они взаимодействуют с ними. Отправляя сотрудникам симулированные фишинговые атаки, они узнают, как лучше их обнаружить, если произойдет настоящая атака, что защитит вашу компанию в долгосрочной перспективе.
Как подготовить сотрудников к проверке на фишинг
Прежде чем приступить к проведению проверки на фишинг вам нужно найти инструмент, который можно использовать для ее проведения. Доступно много вариантов, включая бесплатные с открытым исходным кодом, такие как Gophish. Кроме того, вы можете ознакомиться с коммерческими продуктами, такими как KnowBe4 и Infosec IQ.
После того как вы определились с каким-либо средством, пришло время уведомить и обучить своих сотрудников — в конце концов, цель состоит в том, чтобы проинформировать их об опасности фишинга, а затем проверить их эффективность.
Если вы проведете тестирование, не предупредив сотрудников, то рискуете потерять их доверие и создать у них ощущение, что ИТ-служба пренебрегает ими. Однако если вы предупредите и обучите своих сотрудников заранее, то увеличите вероятность того, что они воспримут это как ценный опыт обучения, а не как досадную и неприятную неудачу с их стороны.
Вам также потребуется сплотить своих менеджеров и руководителей отделов, чтобы установить параметры проверки. Многие фишеры используют тактику социальной инженерии, такую как притворство коллегой или менеджером, чтобы увеличить шансы обмануть свою жертву. Поэтому, как правило, полезно поработать с руководителями отделов, чтобы выяснить, как атаковать конкретных сотрудников, как это сделал бы настоящий злоумышленник.
Важно четко указать, как сотрудники могут подавать отчет/жалобу о попытках фишинга. Например, должны ли они пересылать электронное письмо в ИТ-отдел? Или сообщить об этом менеджеру? Сотрудники охотнее сообщают об электронных письмах, если это не нарушает их рабочий процесс, поэтому процесс отчетности должен быть как можно более безболезненным. Процесс отчетности варьируется от инструмента к инструменту, поэтому обязательно имейте это в виду, прежде чем выбирать инструмент фишинга для своей компании.
Как разработать проверку на фишинг
После первичной подготовки вы можете начать разбираться в некоторых особенностях ваше проверки, например, как долго она продлится, какие типы фишинговых схем будут проверяться, какие показатели вы будете просматривать и кого будут тестировать.
Самые содержательные фишинговые проверки продолжаются бесконечно, поскольку к компаниям постоянно присоединяются новые сотрудники, которых необходимо обучать и тестировать. Каждый новый сотрудник будет получать в месяц по одному фишинговому письму с четким шаблоном, который позже превращается в электронное письмо, созданное с помощью социальной инженерии и выглядящее так, будто оно от коллеги. Медленное усложнение помогает сотрудникам постепенно обретать уверенность, а не разочаровываться после слишком быстрой неудачи.
Прежде чем приступить к проверке, важно вместе со своей командой решить, какие типы фишинговых атак вы будете использовать. Например, будете ли вы использовать фишинг для атаки на конкретных лиц? Китовый фишинг с целью преследования генерального директора и других руководителей? Будете ли вы также включать фишинг-клоны? Как правило, вам понадобится использовать несколько различных фишинговых атак, чтобы проверить способность членов вашей команды распознавать каждую из них.
Чтобы точно измерить и интерпретировать то, что происходит во время теста, вам также необходимо выбрать, какие показатели вы будете отслеживать. Как правило, нужно отслеживать эти три показателя:
- число сотрудников, ставших жертвами попыток фишинга и утечки данных,
- число сотрудников, которые успешно распознали попытку фишинга и сообщили о ней,
- показатели кликов по ссылкам.
При проведении теста не забудьте включить в него старших менеджеров, руководителей и даже членов совета директоров. Эти высокопоставленные члены команды часто являются одними из крупнейших объектов фишинга, поэтому их также необходимо подготовить.
Когда все детали формата проверки определены, пришло время запуска. Здесь важно помнить, что точный график развертывания должен оставаться в тайне. Если сотрудники слишком хорошо знают время рассылки, они будут ожидать фишинговых писем, что приведет к снижению результатов.
Что делать после получения результатов проверки на фишинг?
Даже если проверка окончена, работа еще не завершена. После проведения проверки самое время просмотреть полученные данные и выяснить, какие результаты показала ваша компания.
Для начала вам нужно узнать, достигли ли вы целей, на которые рассчитывали: стало ли с течением времени меньше сотрудников попадаться на фишинговые электронные письма? Снизилось ли количество переходов по ссылкам? Увеличилось ли количество сотрудников, сообщающих о подозрительных электронных письмах?
Когда вы просмотрели все данные, пришло время принять решение о том, как двигаться дальше. Как правило, рекомендуется представить результаты вашей компании, чтобы каждый мог увидеть, где необходимы улучшения. Однако важно не выделять публично конкретные отделы или сотрудников.
Неизбежно, что некоторые сотрудники окажутся неэффективными, поэтому важно относиться к ним с тактом и пониманием. Проверка предназначена для обучения, поэтому нет причин грубить или снисходительно относиться к людям с низкими показателями. Тем не менее вы захотите предоставить им дополнительное обучение, чтобы они могли совершенствоваться. Большинство фишинговых инструментов имеют возможность проводить дальнейшее обучение фишингу для лиц, которые могут в этом нуждаться.
Повышение уровня кибербезопасности начинается с сотрудников
Проведение проверки на фишинг — это лишь одна часть более крупной головоломки кибербезопасности. Чтобы обеспечить безопасность вашей компании в долгосрочной перспективе, очень важно держать кибербезопасность на виду у всех благодаря периодическому обучению и постоянным инициативам по тестированию.
Кроме того, может быть полезно модернизировать другие области безопасности вашей компании, внедрив управление привилегированным доступом и дав указания сотрудникам использовать менеджеры паролей. Менеджеры паролей помогают сотрудникам с легкостью использовать безопасные и надежные пароли, защищая вашу компанию от распространенных взломов паролей. Кроме того, они могут напрямую защитить от фишинга, поскольку будут автоматически заполнять пароли только при прямом совпадении URL-адресов, чтобы избежать поддельных URL-адресов с фишингового сайта.