С мая 2017 года в мире бушует эпидемия вирусов-вымогателей, самые известные из которых: WannaCry и Petya. Первые «пробы пера» подобных атак были зафиксированы еще в 2016, но тогда значительных результатов хакерам добиться не удалось. К сожалению, с весны этого года ситуация резко изменилась и компании начали массово рушиться под натиском бесконечных нападений. Европейские страны, по большому счету, оказали достойное сопротивление, хотя ряд компаний в Испании, Британии и Германии все же были заражены. В России, Украине, Индии и Тайване ситуация оказалась плачевной: ни персонал компаний, ни программное обеспечение оказались неподготовленными к возможным атакам, которые парализовали деятельность ряда крупных и мелких компаний.
Трудно преувеличить опасность вируса, ведь только одна из его версий – WannaCry, по данным Европола, заразила около 200 тысяч компьютеров, в более чем 150 странах мира.
Существует множество версий заражения систем вирусами-вымогателями. Часть специалистов по безопасности считает, что одним из каналов, по которым распространялся вирус, был фишинг.
Фишинг – самое дешевое и самое эффективное средство взлома компьютерной сети предприятия. Чаще всего атака состоит из двух, либо в хорошо подготовленных операциях, трех фаз. Начало операции – подготовка «лендинга» — точной копии одного из популярных сайтов, личного кабинета банковской системы, онлайн CRM и так далее. Вторая фаза – рассылка сообщений, в которых содержится ссылка на подставной сайт. На этом этапе злоумышленники широко используют приемы социальной инженерии. Для придания письмам убедительности, а жертвам – дополнительной мотивации открыть письмо и перейти на опасные ресурсы, в качестве отправителей указываются руководители компании, первые лица организаций-партнеров, представители государственных регуляторов или фискальных служб. Третья – звонок, побуждающий открыть вложение или перейти на «подставной» сайт.
Например, сотрудники организации массово получают письма о плановой смене пароля в CRM, новых правилах ведения документации или любые другие сообщения, побуждающие работников к немедленному прочтению и реакции. В письмах присутствует ссылка на ресурс, тщательно замаскированный под сайт компании, онлайн-интерфейс какой либо бухгалтерской или банковской системы. Иногда к письму прикрепляют «важный» документ. Ничего не подозревающий служащий переходит по ссылке или открывает вложение, и защитный периметр организации падает с оглушительным треском.
Еще несколько лет назад фишинговые атаки были нацелены на получение доступа к важной информации, которая потом продавалась на черном рынке. На сегодняшний день прорыв системы безопасности используется для заражения сети компании. «Занесенный» вирус шифрует данные, а хакеры начинают требовать выкуп за предоставление ключа к дешифровке.
Эксперты в сфере цифровой безопасности считают, что для противодействия фишингу необходима многоуровневая, эшелонированная система защиты.
Первый уровень – мониторинг почты. Фишинговые письма никогда не приходят по одному, ведь для хакеров нет никакой разницы, кто откроет письмо и перейдет по ссылке. В случае, когда, за небольшой промежуток времени ряд сотрудников получил подозрительные сообщения со ссылками или вложениями – нужно срочно бить тревогу.
Второй уровень – контроль интернет-трафика. Если зафиксированы массовые переходы работников из корпоративной почты на подозрительные сайты, с уверенностью можно говорить о самом разгаре фишинговой атаки.
Третий уровень – контроль голосового общения. Звонки «роботов» в 99% случаев представляют угрозу, ведь они могут сопровождать фишинговую атаку. Письмом не всегда легко убедить человека выполнить определенное действие. А вот звонок «псевдо» руководителя из банка может мотивировать работника открыть вредоносный сайт или вложение. Каждый сотрудник должен быть проинструктирован, что и кому можно говорить, какую информацию передавать, а в случае странных звонков – быстро заканчивать разговор и сообщать руководству. Отфильтровать «безопасные» звонки от представляющих угрозу можно, благодаря системам голосового DLP, которые умеют реагировать на определенные ключевые слова в разговоре, и, в случае возникновения рисковой ситуации, мгновенно уведомляют руководство.
Самый главный уровень защиты – обучение персонала. Зная о фишинге, ни один работник не откроет подозрительное письмо, и тем более не будет переходить на странные сайты и запускать опасные вложения. Обучение обычно проходит в два этапа. Первый – информационный. Работникам рассказывают о возможных киберугрозах, векторах атаки и действиях в случае возникновения рисковой ситуации. Второй этап – контроль. Раз в квартал на предприятии поводится контролируемая, не представляющая угрозы, но реалистичная фишинговая атака. По результатам действий персонала специалисты определяют, могло ли нападение нанести реальный вред, был ли прорван периметр безопасности, а также кто из персонала действовал неправильно в возникшей ситуации. Финишный этап – разбор полетов и дополнительное обучение персонала.
Успешность фишинговой атаки во многом зависит от подготовленности персонала и технического оснащения организации. Ни для кого не секрет, что в современном мире антивирус – недостаточная защита от угроз. А неподготовленный работник – отмычка к внутреннему информационному пространству. Только многоуровневая система безопасности, обязательно включающая в себя DLP и возможности мониторинга и контроля действий персонала, может стать надежным щитом от злоумышленников. А если прибавить к электронным средствам защиты высокий уровень технической грамотности сотрудников – любая атака потерпит фиаско.
