Positive Technologies отправила 3332 письма, 17% из них в реальной жизни могли бы привести к компрометации корпоративной ИТ-инфраструктуры.
По мнению экспертов Positive Technologies, самым эффективным методом социальной инженерии оказались сообщения с фишинговой ссылкой: по ней перешли 27% получателей. Пользователи невнимательно читают адрес или даже просто, не глядя, кликают на него и переходят на поддельный сайт. Для повышения эффективности атаки злоумышленники могут комбинировать различные методы: в письме одновременно может присутствовать и вредоносный файл, и ссылка на сайт с набором эксплойтов и формой для ввода пароля, говорится в сообщении пресс-службы компании.
Отмечается, что сотрудники часто не просто открывают незнакомые файлы и кликают по подозрительным ссылкам, но и вступают в переписку со злоумышленниками. В 88% случаев это делают работники, не связанные с IT (бухгалтеры, юристы, менеджеры и т. п.). Каждый четвертый участник такой переписки оказался руководителем отдела. Впрочем, на удочку хакеров могут попадаться даже специалисты по безопасности: в ходе проведенных экспериментов 3% из них вступили в диалог.
В ходе беседы с хакером пользователи могут жаловаться на то, что присланные зловредные файлы или ссылки не открываются, — в некоторых случаях перед этим они пробовали открыть файлы или ввести пароль по ссылке по 30–40 раз! Часто, если открыть файл сразу не удается, сотрудник пересылает письмо в IT-департамент компании с просьбой о помощи. Это увеличивает риски компрометации инфраструктуры, поскольку технические специалисты доверяют коллегам и с высокой вероятностью запустят файл. Иногда адресаты сообщали о том, что письмо попало к ним по ошибке и предлагали имена других сотрудников организации, кому его следовало бы отправить, констатируют эксперты Positive Technologies.
По их наблюдению, киберпреступники используют страх, жадность, надежду и другие эмоции для повышения эффективности своих атак. Поэтому в темах своих писем они используют фразы вроде «список сотрудников на увольнение» (спровоцировали 38% потенциально опасных действий), «выплаты премий за год» (25%) и т. п. При получении таких сообщений люди довольно часто забывают об элементарных правилах безопасности.
Также злоумышленники часто звонят сотрудникам компаний по телефону, чтобы, например, представиться специалистом техподдержки и получить важные данные или заставить собеседника совершить нужное действие. Классический пример — звонок рано утром в воскресенье с просьбой срочно явиться на работу. Когда в итоге смущенному сотруднику говорят, что можно и просто продиктовать свой пароль, чтобы «специалисты» разобрались во всем сами, — многие с радостью соглашаются.
— Наше исследование процессов обеспечения ИБ в российских компаниях показало, что 38% организаций вообще не проводят тренинги для сотрудников по вопросам ИБ, а 37% делают это формально, без какой-либо проверки эффективности, — комментирует аналитик Positive Technologies Дмитрий Каталков. — Для снижения вероятности успешной атаки с применением методов социальной инженерии важно периодически проводить обучение, с контролем информированности каждого сотрудника.
Фото: pixabay.com, автор- TheDigitalArtist