Как ИБ-отдел «ловит» сотрудников на фишинге: смешно, больно и поучительно

Всем привет! Я Олег, эксперт по информационной безопасности. В этой статье я расскажу, как и почему компании пытаются «ловить» сотрудников, и приведу несколько реальных примеров. Начнем!

Сколько бы статей вы ни писали в сети, сколько бы инструкций и примеров вы ни приводили, как бы вы ни объясняли людям — типа, не нажимайте, не нажимайте на эту ссылку/вложение — они все равно нажмут, а потом будут удивлены последствиями. Компании с хорошо укомплектованной службой информационной безопасности уже давно пытаются бороться с эпидемией фишинга, рассылая своим сотрудникам тестовые письма, имитирующие такие письма. Иногда результаты получаются забавными, иногда пугающими. Давайте поговорим об этом.

История из жизни

Несколько лет назад я работал в довольно крупном государственном учреждении (не буду называть его, но о нем иногда слышно в новостях). Возникла проблема с фишингом. Генеральный директор собрал всех руководителей и менеджеров в Zoom и объявил им: он проконсультировался с отделом информационной безопасности (ИБ) и решил организовать месяц тестов на фишинг. Помните, вы будете сообщать, какие сотрудники были пойманы, и мы проведем для них специальное обучение.

Прошла неделя, и все было нормально. Мы работали как обычно. Время от времени в почтовый ящик приходили какие-то, казалось бы, поспешные письма, якобы от руководства, с просьбой срочно перейти по ссылке или открыть вложение — мы с коллегами просто смеялись над этим. Через несколько дней, во время разговора в курилке, мы узнали, что заместитель руководителя, который имел доступ ко всей финансовой и кадровой информации компании, попался на это фальшивое и неудачно сделанное фишинговое письмо. И он сам присутствовал на встрече в Zoom.

Чему нас учит эта история? Во-первых, тестирование информационной безопасности фишинга необходимо, потому что люди действительно доверчивы, даже менеджеры (другие исследования это подтвердили).

Обратите внимание: ТОП 7 КНИГ ДЛЯ ВАС, И ВАШИХ СОТРУДНИКОВ..

Угроза реальна и ее необходимо устранить.

Коллеги из других компаний сообщают, что их проверяют на фишинг в самых разных формах, иногда довольно необычных. Иногда это письмо с просьбой принять участие в обязательном обследовании по проверке безопасности. Иногда оно замаскировано под платежную ведомость (отправляется после того, как бухгалтерия получает зарплату). Или письмо отправляется без предупреждения, с заголовком, который выглядит как обычный внутренний контент компании, но не совсем так — нет стандартной подписи, письмо содержит ссылки на внешние ресурсы и просьбы выполнить действия, не связанные напрямую с должностными обязанностями.

Письма от самих директоров компаний по-прежнему популярны — повышенная тревожность этого внимания часто ослепляет людей и не позволяет им осознать, что это фишинг. В любом случае, при проверке на фишинг необходимо проверять уровень осторожности: правильный ли адрес электронной почты отправителя, не неверно ли указано название должности или имя, не является ли ссылка, по которой нажали, подозрительной и т д.

Но оказывается, что не всем это удаётся.

Рассмотрим несколько занимательных примеров

Праздничные преимущества, но есть и подводные камни

Перед Рождеством 2020 года сотрудники GoDaddy получили письмо, в котором сообщалось, что у компании был рекордный год и что каждый человек получит специальный бонус в размере 650 долларов. Автор письма также использовал контекст карантина из-за COVID-19 для повышения доверия: в письме говорилось, что бонус будет использован в качестве компенсации за пропуск ежегодной вечеринки компании.

Через несколько дней все, кто нажал на ссылку в письме (более 500 человек), получили письмо от отдела информационной безопасности компании, в котором говорилось, что теперь им необходимо повторно пройти обучение по антисоциальной инженерии вместо получения несуществующего бонуса.

Излишне говорить, что сотрудники «довольны» заботой руководства, поскольку они уже спланировали, как использовать бонус.

Награды за упорный труд

Похожая история произошла в апреле 2022 года, когда больница в Орегоне разослала своим сотрудникам фишинговое письмо, в котором обещала вознаграждение в размере 7500 долларов за упорную работу по борьбе с пандемией коронавируса, если они кликнут по письму.

На самом деле, в течение двухлетней бесконечной смены, во время которой у многих получателей письма от Covid умерли родственники и коллеги, больница не проявила такой щедрости. В результате многие, кто «провалил» тест на фишинг, увидели в этом издевательство, насмешку над своими надеждами на то, что руководство ответит им взаимностью.

Очень серьезное отношение

Некоторые компании с большим энтузиазмом относятся к тестированию тем фишинга и относятся к своим результатам слишком серьезно, почти на грани неэтичного поведения.

Считаете ли вы нормальным получать фишинговые письма при собеседовании на новую работу?

Если вы провалите такой тест, будет ли ваша фотография размещена на стене позора для всеобщего обозрения)?

А что, если вас уволят за провал такого теста?

Насколько вообще все это эффективно?

Честно говоря, у меня есть некоторые сомнения.

Исследование 2025 года, проведенное Университетом Сан-Диего, проанализировало поведение почти 20 000 офисных работников в восьмимесячном тестовом фишинговом эксперименте. Результаты показали, что количество реальных фишинговых инцидентов сократилось всего на 2%, что находится в пределах статистических колебаний.

Более того, исследование выявило прямую корреляцию (см рисунок ниже): чем дольше длилась тестовая фишинговая кампания, тем больше людей на нее попадалось. Исследователи пришли к довольно мрачному выводу: «Приложив достаточно времени и усилий, злоумышленники, скорее всего, смогут обмануть значительную часть сотрудников организации, включая тех, кто ранее успешно избегал попыток фишинга».

Другое исследование Цюрихского университета пришло к парадоксальному выводу: корпоративный тестовый фишинг может увеличить количество реальных инцидентов, поскольку сотрудники впадают в ложное чувство безопасности и принимают настоящий фишинг за тесты, просто чтобы посмотреть, что написал для них отдел информационной безопасности.

Следует ли из этого, что нужно перестать делать тестовый фишинг?

Конечно, нет. Да, люди будут продолжать упорствовать, совершать ошибки, нажимать на «письма счастья» и легкомысленно относиться к предупреждениям по информационной безопасности — но это как раз и есть задача отдела информационной безопасности — обучать и терпеливо развивать цифровую осведомленность сотрудников. В конце концов, систематическое антифишинговое обучение — это пока еще довольно молодая дисциплина, которая еще не принесла своих плодов.

Санкции явно неэффективны при решении проблем сотрудников и ведут только к сокрытию и негативу. Более того, как руководители, так и рядовые сотрудники одинаково доверчивы, из-за чего такие меры кажутся лицемерными.

Но некоторые позитивные стимулы (например, поощрение самых внимательных сотрудников символической наградой) могут помочь. Нам нужно найти баланс: регулярное обучение с человеческим подходом + честная обратная связь и доверие.
Спасибо за прочтение! Расскажите, сталкивалась ли ваша компания с подобными ситуациями? Вы также нажали на "Письмо счастья" от IB?

Реклама ООО "ДДОС-ГВАРД", ИНН: 9204005780, erid: 2VtzquoM1dg

Больше интересных статей здесь: Финансы.

Источник статьи: Как ИБ-отдел «ловит» сотрудников на фишинге: смешно, больно и поучительно.