Интервью с Сергеем Волдохиным (Антифишинг) про фишинг, киберкультуру и киберучения

Дата: 02.03.2021. Автор: CISO CLUB. Категории: Главное по информационной безопасности, Интервью с экспертами по информационной безопасности
Интервью с Сергеем Волдохиным (Антифишинг) про фишинг, киберкультуру и киберучения

Редакция CISO CLUB пообщалась с Сергеем Волдохиным и узнала как изменился рынок фишинга в 2021 году.

Сергей Волдохин — сооснователь и директор компании Антифишинг. Более 16 лет опыта в ИТ, из них 9 лет в безопасности. Внедрял системы информационной безопасности и отвечал за их соответствие стандартам PCI DSS, ISO 27001, SOC2. Отвечал за информационную безопасность в международной компании. Ведущий аудитор ISO/IEC 27001.

Редакция CISO CLUB узнала у Сергея кто чаще становится жертвами мошенников и как защищаться от них. Мы узнали у Сергея наиболее распространенные методы фишинга, как правильно проводить киберучения, а также в чем заключается отличие функционала платформы «Антифишинг», от традиционных курсов, проводимых учебными центрами.

Примечание: фишинг — это вид интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей — логинам и паролям. Это достигается в том числе путём проведения массовых рассылок электронных писем от имени популярных брендов, а также личных сообщений внутри различных сервисов, например, от имени банков или внутри социальных сетей. В письме часто содержится прямая ссылка на сайт, внешне неотличимый от настоящего, либо на сайт с редиректом. После того как пользователь попадает на поддельную страницу, мошенники пытаются различными психологическими приёмами побудить пользователя ввести на поддельной странице свои логин и пароль, которые он использует для доступа к определённому сайту, что позволяет мошенникам получить доступ к аккаунтам и банковским счетам.

1) Сергей, как изменился рынок фишинга в 2021 году? Какие громкие события произошли?

Наступивший год не принес существенных изменений в ландшафт фишинговых атак. По-прежнему в тренде темы, связанные с пандемией, но фокус внимания киберпреступников сместился с результатов тестов, супернадёжных масок и приложений для мониторинга ситуации с заболеваемостью на внеочередную вакцинацию, свидетельства о вакцинации и подобные темы. Также остаются среди лидеров атаки, посвящённые многотысячным «компенсациям» и «выплатам», для получения которых нужно всего лишь оплатить «пошлину за регистрацию», «закрепительный взнос» или ещё какую-то незначительную сумму.

Околопандемические инфоповоды постепенно утрачивают актуальность, и мы отмечаем активность киберпреступников, связанную с ажиотажем вокруг стремительно растущего в цене биткоина, а также массовые мошеннические кампании, направленные на хищение учётных данных высокопоставленных чиновников, руководителей организаций и военных.

2) В чем отличие вашей платформы от обучений, проводимых учебными центрами?

Главное отличие в том, что Антифишинг совмещает в себе обучение и тренировку навыков. Процесс ведется непрерывно, с нашей стороны сопровождается индивидуальным подходом к клиенту на всех этапах.

С самого начала мы кастомизируем учебные материалы под бренд-бук компании. На протяжении всего срока действия лицензии ежемесячно (ежеквартально) готовим 3-5 шаблонов имитированных атак по заранее согласованным сценариям под конкретные кейсы клиента и под актуальные события в мире. Это делает контент релевантным, обучает и тренирует сотрудников тому, что важно знать и уметь в настоящее время, чтобы защитить себя и свою компанию от мошенников.

Мы постоянно следим за новыми моделями фишинговых атак и разрабатываем сценарии разной сложности (авторизация на поддельном web-ресурсе по корпоративным данным; открытие фишинговых вложения в виде zip-архива с паролем). Именно такой подход позволяет формировать навык распознавания хакерских атак с разных сторон.

Обычные курсы без тренировки навыков не дают такой эффект. Неадаптированный контент также несет в себе сомнительную пользу — в разных компаниях процессы ИБ отличаются. Или, например, учебный план, назначенный на год вперед, пусть он даже содержит курсы, тесты и тренировочную атаку, потеряет актуальность по контенту раньше, чем отрудники начнут по нему учиться.

Мошенники не стоят на месте, а постоянно транслируют новые более хитрые модели угроз. Мы держим руку на пульсе, отслеживаем критерии успеха по ключевым показателям по каждому процессу, по каждому сотруднику и по компании в целом. 

Помимо обучения и тренировки навыков Антифишинг формирует у сотрудников привычки безопасного, правильного поведения. В почтовом клиенте сотрудников встроен плагин Антифишинга, то есть людям не нужно помнить адрес и номер телефона службы безопасности — в его рабочем пространстве всегда есть возможность «Сообщить об атаке». Это мотивирует сотрудников активно участвовать в процессах обеспечения безопасности организации, повышает культуру и меняет в лучшую сторону отношение к ИБ.

Все наши процессы глубоко рассматриваются с точки зрения психологии, за этим стоят наши многолетние исследования в области социальной инженерии.

3) Как понять, что полученное сообщение или email пришел от злоумышленников рядовому пользователю?

Пользователю нужно знать правила безопасности и иметь реальный опыт противодействия атакам, в идеале — имитированным.

Это позволит оперативно и без последствий выявить мошенническую угрозу в несколько шагов:

  • Проверить адрес отправителя. Если письмо пришло от знакомого человека, сверить его с прошлыми письмами.
  • Обратить внимание на то, персонифицированное это или анонимное письмо. Обезличенные обращения часто указывают на злоумышленников.
  • Оценить грамотность написанного текста. Часто письма от мошенников отличаются слабой орфографией и пунктуацией.
  • В случае, если письмо якобы пришло от знакомого человека, проверить контактную информацию в подписи.
  • Ознакомиться с фирменными логотипами в письме и сверить их с официальными на сайте компании.
  • Проверить подлинность ссылки в письме. Откройте новую вкладку в браузере, введите сайт в поисковике, затем сверьте его со ссылкой из письма.
  • Оценить, пытается ли отправитель письма побудить вас к незамедлительному действию, а также пытается ли воздействовать посредством своего авторитета? Если да — нужно незамедлительно закрыть письмо.  

4) Какой вред пользователю может быть нанесен при переходе по ссылкам из фишинговых писем?

Текст в мошеннических письмах наиболее часто написан с использованием психологических приемов, побуждающих жертву выполнить необходимое преступникам действие: перейти по фишинговой ссылке, ввести логин и пароль от корпоративной сети, скачать и открыть вредоносное вложение.

Если сотрудник выполнит это действие, злоумышленники получат реквизиты для доступа во внутреннюю сеть компании и другую конфиденциальную информацию, а в случае запуска эксплойта или вируса — возможность внедрить в сеть вредоносные программы, например, шифровальщика-вымогателя.

5) Как оценить стоимость ущерба от фишинга в рублях?

Количество киберпреступлений в прошлом году увеличилось на 73,4%, достигнув 510,4 тыс., и продолжает расти. По подсчетам специалистов информационной безопасности, общий ущерб российской экономики от кибермошенничества к концу 2021 года может достигнуть 7 трлн рублей.

Фишинг занимает львиную долю от общего числа преступлений в цифровом пространстве. По данным нашего исследования 86,4% россиян когда-либо сталкивались с кибератаками, и наиболее эффективными методами обмана остаются именно фишинговые письма.

6) Что лучше использовать для защиты от фишинга, облачное или on-premise решение? Эффективно ли защита от фишинга с помощью NGFW или же нужно специализированное решение?

Задача, которую решает наша платформа — это выработка у сотрудников компаний навыков безопасного поведения, формирование и развитие корпоративной киберкультуры как части бизнес-процессов. В этом контексте между облачным или on-premise решением нет принципиальной разницы, поскольку платформа сама по себе не является межсетевым экраном, XDR-системой или каким-то иным средством защиты.

Проще говоря, Антифишинг помогает компаниям защититься от человеческих уязвимостей, в то время как NGFW/UTM-решения защищают от уязвимостей технических. Они хорошо справляются, если нужно закрыть доступ к потенциально опасному ресурсу, обнаружить и запретить вредоносный трафик или выявить вложение с шифровальщиком. Однако когда дело доходит до сложных фишинговых атак с компрометацией деловой переписки (Business Email Compromise, BEC), NGFW/UTM-системы оказываются малоэффективны.

Письма при BEC-атаках или иная мошенническая коммуникация, например при звонках по телефону или в мессенджерах может вообще не содержать ссылок, вложений или каких-то вредоносных элементов. Главное оружие авторов таких атак — убедительный текст и качественное оформление, которые невозможно отличить от подлинных. Выявить такие атаки на сегодняшний день техническими средствами в общем случае невозможно, и компаниям остается только рассчитывать на грамотных и мотивированных сотрудников.

7) Антивирус на ПК пользователя всегда определяет фишинговый сайт?

Многие антивирусы имеют базы фишинговых сайтов, а также проверяют их на наличие вредоносного кода перед открытием. Качественная антивирусная программа в большинстве случаев не позволит пользователю перейти на вредоносный сайт, но поскольку фишинговые сайты появляются очень быстро, антивирус чаще всего просто не успеет внести информацию о них в базу. Поэтому не стоит полагаться только на технические способы защиты информации. Чтобы уберечься от возможной мошеннической угрозы, необходимо регулярное совершенствование навыков безопасной работы в цифровой среде.

8) Кто чаще всего становятся жертвами фишинга, сотрудники компаний или домашние пользователи? ИТ-сотрудники могут стать жертвами фишинга?

Фишинг распространен как в корпоративной среде, так и в обычной жизни. Цифровые атаки на компании часто являются первым шагом перед масштабными мошенническими действиями против людей. Например, когда злоумышленники используют базы данных пользователей с целью дальнейшей кражи средств с их банковских счетов. 

Согласно нашему исследованию, сотрудники IT и техподдержки в российских компаниях являются наиболее уязвимыми для фишинга. Больше половины из них открывают имитированные атаки. Наличие технических знаний создает у IT-специалистов иллюзию того, что они защищены лучше других и точно смогут распознать цифровую атаку.

Самыми киберграмотными, по данным нашего исследования, являются работники финансовой отрасли, сферы закупок и управления, тогда как в компаниях сферы услуг и производства почти каждый второй сотрудник совершает небезопасные действия.

9) Как правильно проводить киберучения по противодействую фишингу среди пользователей?

Сотрудников из всех подразделений компании необходимо не только обучить правилам безопасной работы, но и сформировать понимание логики действия мошенников, а также выработать правильную реакцию на цифровые нападения.

Тренинги в формате имитации атак для пользователей необходимо проводить регулярно, причем в них должны принимать участие все без исключения сотрудники компании. Для контроля эффективности поможет учет обратной связи от сотрудников и отображение ее в рейтинговой модели.

Также важно понимать ключевые идеи, которыми нужно руководствоваться при выстраивании грамотной системы обучения ИБ в своей компании:

  • Устойчивость компании к цифровым атакам определяется не столько функциональностью технических средств защиты, сколько уровнем подготовленности обычных сотрудников.
  • Теоретические знания о цифровых атаках не всегда помогают противостоять реальным случаям кибернападений.
  • Обеспечить эффективную защиту от цифровых атак может только сочетание знаний принципов информационной безопасности и навыков их применения, отработанных на близких к настоящим атаках.
  • Проверить результативность тренировки сотрудников можно только на практике. Имитированные атаки выявят «слабые звенья», для которых необходимо повторное обучение.
  • Чтобы сохранять мотивацию, сотрудники должны понимать конечную цель обучения и тренировок, а также их личные бонусы.

10) Средняя компания фишинга длится 21 час, вы согласны с этим утверждением?

Эта цифра получена в результате изучения 22 553 707 посещений 404 628 фишинговых страниц, проведенного специалистами компаний Google, Samsung и PayPal. У меня нет повода не доверять выводам специалистов, однако, нужно понимать, что это среднее значение, которое может служить лишь приблизительным ориентиром.

Встречаются изощренные киберкампании, длительность которых составляет месяцы, но есть и «молниеносные» атаки, которые запускаются и сворачиваются за считанные часы.

11) Назовите наиболее распространенные методы фишинга.

Самый распространенный технический вектор фишинговых атак — обычная электронная почта. По нашим наблюдениям, на  её долю приходится более 80% всех атак.

Самая опасная разновидность фишинга — кампании с компрометацией деловой переписки. Их крайне сложно детектировать. По данным Agari, BEC-атаки обходятся компаниям в 26 млрд долларов США ежегодно. На долю BEC-атак приходится 40% потерь от киберпреступлений во всем мире.

У нас есть достаточно полная и уникальная открытая классификация технических, психологических и иных факторов, которые определяют успех фишинга и любых других атак на людей. Мы рекомендуем всем специалистам и рядовым пользователям придерживаться ее при анализе и разборе новых примеров мошенничеств.

12) Вы ведете Антифишинг-дайджест, какие 3 самых громких события, связанных с фишингом произошли в 2020 году?

Один из самых громких инцидентов 2020 года стал взлом соцсети Twitter. В июле 2020 года мошенники устроили атаку по телефону, в результате чего в аккаунтах самых известных людей появились поддельные публикации. Применив социальную инженерию, — буквально, позвонив по телефону, — взломщики скомпрометировали учётные данные нескольких сотрудников. А когда оказалось, что у похищенных учётных данных недостаточно прав доступа, злоумышленники атаковали других работников компании, у которых были нужные права и доступ. Примечательно, что за атакой, по некоторым данным, стоит 16-летний подросток.

В середине 2020 года группа кибервымогателей атаковала крупные российские компании и банки. У одной из медицинских организаций преступники требовали 50 тысяч долларов после того, как зашифровали ее корпоративную сеть. Злоумышленники маскировали свои письма под уведомления от РБК, белорусского завода «МТЗ» и других организаций.

25 декабря 2020 года глава брокера «Фридом Финанс» Тимур Турлов сообщил о краже данных клиентов компании. Сотрудник открыл вредоносный вложенный файл, в результате чего неизвестным лицам удалось скомпрометировать российский сегмент компании и украсть данные с локальных машин нескольких сотрудников.

В целом, по данным ЦБ РФ, только за третий квартал 2020 года в результате цифровых атак мошенники украли у компаний почти 180 млн рублей, а у обычных людей — 2 млрд 500 млн рублей. Главной техникой обеих случаях стала социальная инженерия: ее доля оценивается в 34 и 64% соответственно.

13) Анонс ближайших событий.

В первом квартале 2021 года мы выпускаем новую версию Антифишинга для наших традиционных заказчиков, крупных предприятий и организаций. Делаем платформу еще удобнее и эффективней для обучения и тренировки навыков десятков тысяч сотрудников одновременно. Наша цель — чтобы каждый сотрудник стал сильным звеном, настоящим кибер-чемпионом и защитником своей организации.

В этом году мы уже начали сразу несколько внедрений еще одного нашего продукта, системы для управления требованиями по безопасности, обучения и тренировки навыков разработчиков, системных администраторов и инженеров, которые отвечают за разработку программного обеспечения. Задача оказалась очень актуальна для крупных компаний, у которых есть и собственная разработка, и внешние подрядчики. Традиционно их знаниям и навыкам уделялось мало внимания, но у нас есть технологии и методика, которые позволят изменить это.

Также за этот год мы планируем решить проблему, которая, кажется, коснулась каждого жителя России — мошеннические звонки, сообщения в мессенджерах и атаки через поддельные сайты, в результате чего люди уже потеряли, по некоторым оценкам, до 150 млрд. рублей. Мы провели достаточно исследований и знаем, как помочь людям сохранить свои нервы и деньги, независимо от возраста, банка и сотового оператора. Рассчитываю, что в этом году наше инновационное решение будет доступно каждому.

CISO CLUB

Об авторе CISO CLUB

Редакция портала cisoclub.ru. Добавляйте ваш материал на сайт в разделе "Разместить публикацию".
Читать все записи автора CISO CLUB

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *