Юздеск
Запишитесь на бесплатную онлайн-демонстрацию Юздеска
Оставьте ваши контактные данные ниже и мы свяжемся с вами в ближайшее время
Нажимая на кнопку, вы соглашаетесь с политикой конфиденциальности

Как мошенники могут украсть данные вашей компании и клиентов?

про мошенников
оставайтесь на линии
В этот раз мы немного отошли от темы саппорта и поговорим о безопасности. У нас в гостях компания «Антифишинг»

Как мошенники манипулируют вами?
Как вы можете стать инструментом в их руках и подставить свою компанию?

Обсуждаем, как наш СЕО тайно провел тестовую фишинговую атаку (спойлер: к сожалению успешно).
Чтобы не пропустить новые выпуски, подписывайтесь на подкаст Юздеска:
Читать текстовый вариант подкаста
Сергей:
Я начну с истории. Пару месяцев назад пришло письмо из компании рег.ру, в котором было написано, что наш домен заканчивается вчера и если мы сейчас его не продлим, то наши сервисы пропадут. И я у себя очень быстро в голове построил картинку, как основной домен падает, все поддомены падают и полная жопа происходит. Но потом коллега мне прислал скриншот на это письмо и была вторая волна паники, потом паника сменилась разумом. И я понял, что такого быть не могло, что домен продлятся автоматически и баланса там достаточно. Я залез, посмотрел в письмо, там была фишинговая ссылка на какой то яндекс кошелёк, который предлагал мне, типа оплатите 800 рублей и тогда домен продлится . И тут я вспомнил про Женю малого, который работает в фишинге и тоже отвечает за саппорт. Я понял, что эта штука очень важна и важна не только для компаний, которые получают тонну писем в день или каких то сообщений в день и часть из них будут мошенническими. Как защищаться от этих историй на базе собственных пониманий. Наверно есть профессионалы, которые умеют это делать круто. Сергей, я хочу спросить тебя сначала об бэкграунде, о компании поговорим чуть дальше, что вы там делаете и так далее.
сергей:
Привет! По поводу того, как я и мой партнёр к этому пришли. История довольно простая. Я давно занимался безопасностью профессионально. Начинал как инженер, как системный администратор. Занимался безопасностью как менеджер и моё последнее место работы, это довольно большая компания, где много тысяч людей, где много филиалов. Мы сделали с коллегами очень много, чтобы защитить компанию. Проводили международные сертификации, применяли все самое лучшее, технологии для защиты, и по факту, когда ты все это делаешь, у тебя большая компания, проходят все стандарты безопасности, это здорово. Единственная серьёзная проблема, с которой ты не знаешь, что делать, это поведение твоих людей. И вроде бы это проблема техническая, потому что она может привести к инцидента, если кто то заразит своей системой, сделав что то не так, другой стороны техническими мерами решить её не известно как. Потому что антивирус не встроишь в голову и всегда какая то вредоносная программа или какая то цифровая атака может быть сделана так, чтобы человек заразил свою систему. Соответственно, наша задача была - придумать и сделать продукт, который с одной стороны поможет безопасникам в традиционной модели решить эту проблему, то есть лицензии, софт, с другой стороны, чтобы проблема, не техническая, а скорее психологическая, она была решена. Вот примерно так.
Сергей:
Кайф. Вы с партнёром соответственно решили, что будет клёво сделать компанию, которая будет это делать
Сергей:
Да, мой партнёр, он профессиональный тестер и он практически в своей работе очень хорошо представляет и умеет проводить такие атаки, за которые ему платили деньги и всегда в любом пинтесте, социальная инженерия, когда атакуют людей, это такая лакомая, но сладкая часть проекта, когда точно мы обеспечим пробив, точно проникнем в системы, точно получим бизнес эмпакт и отчёт будет красивый. Всегда все пинтестеры воспринимали это как дефолтный способ точно не слить проект, а заказчики воспринимали как проблему из разряда дождь идёт и мы ничего не можем с этим сделать. Вот это немного напрягало меня, как безопасника, потому что я не хотел что то оставлять в своей компании, что зависит от погоды, от чего то там, но не от меня.
Сергей:
Расскажи, почему ты пришёл с психологом или может быть она расскажет.
Ольга:
На самом деле я психолог и т к фишинг во многом связан с социальной инженерией, а социальная инженерия это по сути психологические методы, которые используются, чтобы обмануть людей. Соответственно Я использую свои знания, чтобы изучать этот процесс, вести соответствующие исследования на наших клиентах, наших пилотаж, на самих себе и на всех, кто соглашается участвовать в соответствующих исследованиях и соответственно работаю над тем, чтобы сделать нашу систему, нашу платформу эффективнее, и выявляю, как это делать в процессе именно обучения и тренировки сотрудников
Сергей:
Я чуть попозже расскажу про пилот, который мы с вам сделали. Расскажите, что делает антифишинг в принципе, кто ваши целевые клиенты и так далее
Сергей:
Главный факт, я не знаю, это такое противоречие в том, что ты на первом примере сказал, что атаки на людей это то, что представляет проблему и неважно, какого размера компания. Если бы ты работал в компании один, то это же самое письмо могло представлять такую же точно проблему лчино для тебя, если в компании 10000 человек, то у них точно есть домены, и та самая атака для них могла быть актуальна. И по факту, если говорить про наших клиентов, то сейчас это довольно крупные компании, которые как правило уже сделали очень много для обеспечения своей безопасности, у них есть куча очень хороших и действительно нужных система, средств защиты, софта хороших четких процессов, но при этом они точно знают, как я тогда, понимают, что главная проблема и главный риск - это действия их людей. И им теперь нужен такой же системный подход, платформа, которая помогает управлять знанием людей и формировать, Тренировать, контролировать навыки людей. Поэтому они используют нас
Сергей:
Когда мы договаривались об этой истории, Женя сказал, что у вас, вы фокусируетесь компании больше 500 человек, то есть это просто фокусировка вас или это просто вы поняли, что для компании поменьше в целом или они мало платят, или что, как.
Сергей:
Так так то, что мы продаём это не услуга, это лицензии. Лицензии по числу людей, на год на два, на насколько лет, то нам экономически выгодно иметь дело с небольшими компаниями, для них у нас есть решения. Мы работаем с очень хорошими партнёрами, так называемыми провайдерами, сервисами и услуг софта, как они по разному называются, которые на своих мощностях, используя технологическую нашу платформу оказывают услуги и продают лицензии компаниям любого размера.
Сергей:
То есть это через партнёров вы продаёте.
Сергей:
Да.
Сергей:
Мы провели пилот, нам собственно не так много времени нужно было, потому что в целом в компании довольно мало людей и мы делали это за день. В течение длюня я отправил их интерфейса несколько писем, которые Оля нам подготовила и результаты я бы не назвал их очень плачевными, результаты показывают, что в компании не очень есть понимание, что такое фишинговые письма. И самое главное мне показалось, что нет понимания, как действовать, когда человек получает это письмо. Собственно результат, который мы получили, приблизительно 20,точнее 30% людей открыли письма, из них 10% кликнули на вложение, 2 человека заполнили данные. Надо сказать, как происходит механика это их проверок?
Сергей:
Это так называемый процесс пилота или раз овой оценки защищённости сотрудников, когда мы только начинаем обсуждать платформу и все процессы с клиентами. Очень часто они просят помощи, подтверждения, что эти процессы стоит вести и такие атаки опасны для их сотрудников. В таком случае мы помогаем на базе нашей платформы собрать сценарий и шаблоны таких атак, это как раз то за что отвечают коллеги, и то что Ольга делала для вас. Соответственно шаблоны таких атак, как будет выглядеть то письмо, ссылка, вложение, какие то сайты, которые увидят люди или может быть, даже флешки. Собственно это то, что мы проектируем и регулярно обновляем в соответствии с тем, какая организация, какие у неё процессы и какие в реальности атаки на них. То, что дальше происходит. На пилоте происходят атаки, они могут быть разные, вообще если брать процесс, то было бы здорово обучить людей сначала и знание то, что должны знать люди, чтобы обнаруживать эти атаки, вести себя правильно с этого стоит начинать. Но навыки, как они себя поведут и как они будут себя вести после обучения, после атак, это то, что в полном процессе должно измеряться. То, о чем говоришь ты, это одна из разовых атак, которая просто показывает некий срез, который был интересен тебе. Честно говоря в интерпрайзе имеется пример, когда какой то сайт, они могут использовать в сети, на который приходят люди, мы может с помощью нашей платформы проверить, ввели ли они свой доменный пароль, например. Если это не их доменный пароль, то статистика не будет защита на. Это детали, которые помогают воспроизвести реальные атаки, максимально опасные для людей и максимально полезные, чтобы Тренировать навыки.
Сергей:
На самом деле мой интерес был связан не только с компанией, потому что у нас маленькая компания и у меня как у сео, есть админ ресурс всем сказать, а ну ка начали проверять и в целом все будут проверять, но мой интерес ещё связан с тем что мы предоставляем сервис, который обрабатывает сотни тысяч запросов по всем каналам связи для наших клиентов и у них тоже работает куча сотрудников, которые ничего не знают о подобных вещах. Ты в самом начале сказал, что в пинтесте это последняя стадия, когда в целом ты от всего не защититься. У нас антивирус проверит вложения, но не проверит ссылку, просто что она идёт на другой домен. У меня возникло несколько идей, как мы можем добавить дополнительную защиту, но в целом кажется, что это не поможет. Поэтому интересно, какие там цифры, как люди вообще реагируют на такие штуки.
Сергей:
Да, в среднем по больнице это выборка, мы делали её полгода назад, и это 9 500 сотрудников из разных компаний, отраслей, но порядка 30% людей осуществляют какие то опасные действия. По моим ощущениям около 10% людей с точки зрения безопасника опасное, что они могут - сливают логины и пароли и где то вот между этими цифрами происходит переход по ссылке, открытие вложений, разрешение макросов и подключение устройств. Такая воронка жертв
Ольга:
Ну я скажу наверное ещё большие цифры. Тут вопрос связан с тем, как проводить атаки. То есть если на сотрудника провели разово, то у вас пробилось 30-40% максимум, но если вы в течение месяца это делаете, то цифры будут другие - 80-90, т е одна из пяти всех пробьет. Это вопрос зависит от шаблона, какие слабости, какие потребности и это как раз то, что мы изучаем.
Сергей:
Да, это очень важная часть, о которой Оля пока не говорила, но это ровно предмет наших исследований. То есть разослать спам ты мог бы не через платформу, для этого есть крипты, что угодно, а наша цель изучить, какие психологические, технологические вектора и на каких людей они воздействуют сильнее. Если измерить это, то это помогает Тренировать людей по тем векторам, которые наиболее опасные. Если мы говорим про разницу в атрибуции. Средний спам, письмо от соц сети или гос услуг, это то, что имеет средний процент по индустрии. А теперь представьте письмо от вашего коллеги или руководителя, который срочно требует посмотреть, что там за ерунда, но по ссылке в таком письме порядка 40% переходов и дальше почти 100% от этих процентов следующие действия.
Сергей:
Наверное эта штука зависит сильно от компании и то, как внутри компании построена иерархия, потому что часть людей просто ко мне пришла и сказала типа что это. Наверно в компаниях, в которых куча народу и до руководства не так просто дойти, там если что то отправили, то это воспринимается как указание к действию. У вас в платформе вшито обучение. Вообще ты сказал, что обучение должно сначала идти. Мы сделали не так, мы отправили проверочную штуку, потом я всем отправил обучение и обучение прошёл один человек, 5% от всех. То есть какие у вас цифры и как вообще люди охотно занимаются тем что учатся и проходят это обучение?
Сергей:
Да. Это онлайн курсы и их несколько. Они очень чётко сфокусированы, мы не даем ничего лишнего. Статистика честно говоря противоположная. Есть компании, которые спрашивают нас, как заставить людей учиться, в целом у них это получается. Большие компании, безопасники очень ценные, авторитетные люди, они могут заставить людей учиться. По другая сторона спектра, тоже большие, крупные компании в которых люди сами приходят к безопасникам и просят их научить. По моим наблюдениям это больше зависит от корпоративной культуры. Там, где людей, в больших компаниях грузят не очень нужным обучениям, они вообще не склонны что то открывать. Там, где они достаточно любознательны и эта культура приветствуется, там будет интересно. И с нашей стороны задача - сделать курсы такими, чтобы в ним было как можно больше примеров из естественной среды, чтобы это были не развлекательные мультики или не сухой текст, чтобы это был баланс. И благодаря этому, если человек начал проходить наш курс, он пройдёт его скорее всего до конца. Это не будет проблемой.
Сергей:
То есть скорее статистика обратная? Большинство проходит курс? Или все таки кто то вообще не проходит?
Сергей:
Чего то среднего нет
Сергей:
Мы собрали намного обратной связи от команды и давай послушаем, а по итогу я какие то вопросы просто спрошу.
Команда Юздеска:
Я после работы решила Проверить почту, очистить спам, получила письмо сотрудника Юздеска. Первым делом подумала, что тут явно что-то тестирует даже собственно не вникала в суть. С учётом того что меня ни разу никто не взламывали, в том числе соц сети, то я даже мысль об этом не пришла. После того, как я перешла по ссылке мне пришло Уведомление о том, что мои файлы заблокированы, и комп взломан. Вот тут я открыла глаза, конечно, проверив первым делом файлы, вернулась к мысли о тестировании но по факту, я знаю, что моя халатность может привести к необратимым последствиям. Теперь я бдительна, спасибо
Команда Юздеска:
На мою почту пришло письмо от админа, письмо было со странным содержанием так же обратил внимание на подачу информации в этом письме. Во мне поселились сомнения, что на него нужно отвечать. Я не перешёл ни по какой ссылке, это напомнило мне попытку фишинговой атаки.
Сергей:
Тут важная штука, саша был единственным, кто сказал, что это похоже на фишинг. Другие ребята писали в чат, что они обращались к другим сотрудникам. Люди рандомно обращались к кому угодно. Это сильно беспокоит. Вопрос тут как обычно маскируются письма, какие есть кейсы, маскировки, что даже профи не сможет догадаться что это письмо не настоящее?
Сергей:
Конечно, да, у нас есть градации таких атак. Самые простые атаки это атаки с левых доменов, неверной грамматикой, с простым текстом. Сейчас тренд это взлом переписки, просьбы отправить деньги на счёт. Спрятаться может в подмене адреса, ссылки, файлов, разрешения, названия файлов и так далее. В самых сложных случаях это письмо будет выглядит настоящим.
Сергей:
Месяц назад Женя Малов выступал на нашей конференции и показал видео про медведя, который шёл лунной походкой и нужно было посчитать количество передач мячика и следующим вопросом было видели ли вы медведя. И большинство не видело.
Сергей:
По сути мошенники манипулируют эмоциями и вниманием. Внимание это что в первую очередь видит человек в письме, а эмоции это то, что вызывает реакцию на письмо. Это работает биологически обоснованно. Есть базовые эмоции, которые вы испытываете моментально, а более сложные эмоции заставляют думать. Мошенники стремятся как раз по первым эмоциям действовать. И по сути мы учим людей на уровне рефлексов делать обратно, включать другое мышление, заставлять задуматься над способом, чтобы они тыкнули не туда, а сюда.
Сергей:
Это был 6 выпуск подкаста "Оставайтесь на линии". Спасибо за внимание
Поделиться с коллегами:
Поделиться с коллегами:
Другие выпуски подкаста оставайтесь на линии

Никто не застрахован от фишиногвой атаки. У компании есть свой блог, где они пишут новости об актуальных технологиях фишинга и других атаках на человека.
Задать вопрос
Если вы хотите стать героем подкаста или задать вопрос, который мы разберем в нашем выпуске, воспользуйтесь формой ниже.