Блог
19.08.2016
24.05.2016
14.08.2015
15.05.2015
16.04.2015
27.03.2015
20.11.2014
13.11.2014
Вредоносные (фишинговые) письма – тренд последнего времени

Атаки с помощью рассылки электронных писем с вредоносными вложениями и ссылками без преувеличения можно назвать трендом последнего времени. Данный тезис подтверждает Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (FinCERT) опубликовав в своём отчёте информацию об основных типах атак, зафиксированных FinCERT, в частности о «Рассылках электронных сообщений, содержащих вредоносное ПО» (с полной версией отчёта можно ознакомиться здесь).

Рассылка вредоносных писем является одной из форм фишинга (англ. phishing, от fishing — рыбная ловля, выуживание). Целью фишинга является получение доступа к конфиденциальным данным пользователей, либо заражение персональных компьютеров с целью укрепления в информационной инфраструктуре и последующее полномасштабное вторжения в корпоративную сеть.

Распространённость атак через канал электронной почты обусловлена простотой и относительно недорогой реализацией данной атаки. Сами письма, как правило, содержать вредоносное программное обеспечение (далее ПО) в виде вложения (вложения разных форматов) или ссылку, ведущую на зараженный сайт или фишинговую (поддельную) страницу.

Тест самих писем, может носить как общий характер, так и нацеленный на конкретного человека или подразделение (например, финансового директора или бухгалтерию). Примеры вредоносных писем:

Для борьбы с вредоносными письмами на данный момент существуют, различные средства защиты, каждое с которых выполняет свою функцию, например:

  1. Антиспам средства (для блокировки адресов рассылающих вредоносные письма);
  2. Антивирусные средства (для сканирования вложений электронных писем и уже попавших в систему вредоносных файлов);
  3. Средства межсетевого экранирования и контентной веб-фильтрации (для блокировки вредоносных Интернет-ресурсов и сетевых адресов) и другие средства защиты.

В данной статье подробнее хотелось бы поговорить ещё об одном средстве защиты от вредоносных рассылок, о котором много говориться, но на практике не используется или используется не эффективно это повышение осведомленности сотрудников.

Безопасность системы равна безопасности самого слабого звена – гласит основной принцип информационной безопасности. Это означает, например, что в случае если из тысячи пользователей, хотя бы один сотрудник откроет вредоносное (фишинговое) сообщение, то защищенность других пользователей и информационных систем не имеет значения – этот рубеж защиты окажется быстро и легко преодолим через неподготовленного сотрудника. Поэтому, какая бы основательная техническая система защиты не строилась, про главное и в то же самое время очень слабое звено системы защиты – пользователей, и их обучение, забывать не стоит.

Формы повышения осведомленности персонала могут быть различными:

  1. Обучающие семинары (всего персонала или отдельных подразделений в зависимости от специфики деятельности);
  2. Инструктажи (в разных формах и с определенной периодичностью);
  3. Информационные рассылки (по различным каналам, используемым в организации);
  4. Проверка знаний (вопросы, тестирования) и пр.

Периодические инструктажи и информационные рассылки являются важной составляющей повышения осведомленности персонала, но, как показывает практика, их эффективность значительно ниже, нежели обучение сотрудников на собственных ошибках, т.е. проверка знаний при имитации атаки. Имитация, максимально приближенной к реальной атаки, позволяет оценить и проанализировать на практике готовность сотрудников к противостоянию подобным воздействиям. Для организации данной формы повышения осведомленности персонала необходимо реализовать два основных этапа:

  • техническая часть (для реализации рассылки имитации вредоносных вложений и ссылок, возможности сбора и анализа результатов);
  • организационная часть (сбор информации о работе подразделений, разработка сценариев атаки, шаблоны писем для конкретных пользователей или подразделений и т.д.).

Использование различных форм обратной связи, и проверка усвоенной информации сотрудниками, позволит выстроить непрерывный процесс повышения осведомленности персонала с возможностью оценки результатов, эффективности работы подразделения по информационной безопасности и предоставления необходимых показателей руководству.