Ловим на живца: секреты успешной фишинговой кампании для своих

Сегодня поговорим о том, как превратить фишинг из головной боли в полезный инструмент. Речь пойдет о том, как легально и этично проверить устойчивость сотрудников к методам социальной инженерии. 

Бизнес может вкладывать миллионы в развитие ИБ-инфраструктуры и регулярно проводить тесты на проникновение с «зелеными» отчетами пентестеров, но неприступных крепостей не существует. Главная уязвимость не в коде, а в человеке, который по незнанию или невнимательности может открыть дверь злоумышленникам.

В статье Всеволода Овчинникова, специалиста группы социотехнического тестирования компании «Бастион», разберем, как организовать учебную фишинговую кампанию, не нарушив закон и не распугав сотрудников. Вы узнаете, как выбрать подходящий сценарий атаки и подготовить убедительные письма, а также что делать с полученными результатами.

Материал будет полезен всем: от начинающего сисадмина до опытного CISO. Рассмотрим весь процесс от планирования атаки до анализа результатов, приведем реальные примеры и дадим практические советы.

Зачем бизнесу проводить фишинговые рассылки

Злоумышленники, отправляющие фишинговые письма компаниям, преследуют разные цели. Некоторые фишеры убеждают бухгалтеров переводить миллионы по поддельным контрактам или выуживают коммерческую тайну, но такой виртуозный целенаправленный обман встречается редко. Чаще всего атакующие стремятся получить доступ к корпоративной сети, чтобы все зашифровать. 

Фишерам нужны учетные данные (например, от доменной учетной записи и корпоративного VPN) или возможность доставить вредоносный код. Часто они используют макросы MS Office, чтобы получить доступ к корпоративной сети.

Даже несколько взломанных учетных записей создают серьезную угрозу для компании. На фишинговые письма попадается гораздо больше сотрудников, чем принято считать. По нашим данным за 2024 год, в среднем на уловки злоумышленников ведутся 13 сотрудников из 100: восемь переходят по фишинговым ссылкам, трое открывают вредоносные вложения, еще двое вступают в диалог с атакующими.

Невнимательность, усталость, незнание методов киберпреступников — причины неосторожного поведения разные, но итог один: бизнес теряет деньги, а усилия по защите корпоративной сети обесцениваются.

Поэтому, проверяя устойчивость компании к фишингу, мы оцениваем действия сотрудников, а не техническую защиту: моделируем ситуацию, когда фишинговое письмо обошло все фильтры и человек стал последним барьером, после чего анализируем реакцию: откроет ли сотрудник вложение, перейдет ли по ссылке.

Как организовать учебную фишинговую рассылку

Нет единого детального алгоритма проведения таких проверок безопасности. Процесс зависит от специфики компании и методов специалистов, выполняющих фишинговую рассылку. Однако существуют ключевые этапы, которые мы сейчас рассмотрим.

Шаг 1. Решить, проводить ли рассылку своими силами или привлечь подрядчика

Каждый сотрудник способен отправить письмо, и любой системный администратор сможет завести тестовый почтовый ящик, но написать убедительный фишинговый текст и сверстать правдоподобную фейковую форму авторизации уже сложнее. Имитация сценариев атак с использованием вредоносных вложений и вовсе требует редких навыков.

Имитация фишинга на базовом уровне возможна без привлечения специалистов. Такой подход можно рекомендовать для небольших компаний, при условии соблюдения правил, о которых мы поговорим далее.

Для серьезной фишинговой рассылки, учитывающей актуальные методы злоумышленников, нужен безопасник, который понимает принципы работы сетей и разбирается в трендах социальной инженерии. Важно понимать, какие протоколы используются в различных ситуациях и как маскируют вредоносные вложения. Чтобы сделать качественный и правдоподобный макет, понадобится дизайнер. Не обойтись и без специалистов с навыками написания сайтов. 

Даже крупные компании редко имеют в штате специалистов со всеми необходимыми навыками. Организации сравнительно редко проводят такие мероприятия своими силами и чаще обращаются к специализированным ИБ-компаниям. Лучшие из них располагают собственными центрами мониторинга безопасности. Специалисты изучают методы злоумышленников и на основе этих данных совершенствуют свои методики рассылки.

Шаг. 2. Определить адресатов рассылки

Когда проводится учебная фишинговая рассылка, в первую очередь необходимо определиться с ее покрытием. Обычно такие письма рассылают не всем сотрудникам за раз, а небольшой группе, чтобы не нарушать рабочие процессы. 

Выбор адресатов зависит от разных факторов: например, для начала имеет смысл разослать письма тем сотрудникам, чьи контакты уже попали в обнародованные утечки данных. Именно они в первую очередь рискуют привлечь внимание настоящих злоумышленников.

Мы рекомендуем разделить персонал на группы по уровню знаний в области информационной безопасности. Так, ИБ- и ИТ-специалисты относятся к наиболее осведомленным сотрудникам, в то время как секретари, бухгалтеры и другие административные работники хуже разбираются в вопросах кибербезопасности и поэтому становятся приоритетными целями злоумышленников. От уровня осведомленности группы зависит выбор сценария рассылки и тщательность подготовки к ней.

Шаг 3. Подготовить и согласовать фишинговые сообщения

Выбор легенды для фишинговой рассылки зависит от творческого подхода компании и исполнителей, будь то собственные специалисты по безопасности или привлеченные эксперты. Опытные подрядчики часто помогают определиться с подходящей легендой. У многих компаний, специализирующихся на информационной безопасности, есть набор проверенных сценариев, которые успешно применялись в различных проектах.

Укрупненно можно выделить несколько основных «сюжетных направлений», каждое из которых играет на определенных чувствах и интересах целевой аудитории. Это прежде всего страх, материальный интерес и любопытство. 

Первый тип фишинговых писем акцентирует внимание получателя на срочности вопроса. Допустим, сотруднику рекомендуют перейти по ссылке и подтвердить регистрацию на корпоративном или стороннем сервисе. Для острастки подчеркивается, что ресурс станет недоступным пользователю в ближайшее время, если не выполнить рекомендацию. Получатель письма видит в ссылке знакомое название сервиса и домен, похожий на рабочий. Не замечая подвоха, сотрудник переходит на фишинговый сайт и вбивает данные своей учетной записи. Дело сделано: условный злоумышленник может использовать предоставленную информацию, чтобы проникнуть в корпоративную сеть. 

Второй распространенный сценарий играет на материальном интересе жертвы. Например, жертве предлагается пройти по ссылке или открыть вложение, чтобы подписать приказ о премировании либо график квартальных бонусов. Здесь особенно важно тщательно проработать детали письма и вложения, чтобы все соответствовало корпоративным стандартам. Финансовые документы компании далеко не всегда размещаются в открытом доступе, поэтому их образцы обычно приходится запрашивать у специалистов. 

Применяются и более экстравагантные фишинговые сценарии, когда ставка делается на любопытство. Один из возможных вариантов — предложение пройти по ссылке, чтобы посмотреть фото отличившихся на корпоративе коллег. Подобные сценарии удаются при локальных рассылках узкому кругу получателей.

Письмо или, например, сообщение в мессенджере тщательно маскируется под обычную переписку. Важна каждая деталь: шрифты, отступы, логотип, лексика. Даже такая мелочь, как наличие или отсутствие названия компании в логотипе для внутренних рассылок, имеет значение. Цель — не вызвать подозрений у сотрудников. Оформлению вложений нужно уделить не меньше внимания. Если рассылку готовят внешние эксперты, предоставьте им образцы принятого в вашей компании оформления писем и документов.

При самостоятельной подготовке писем помните о юридических ограничениях. Злоумышленники могут использовать любые методы, а для ИБ-специалистов границы дозволенного заканчиваются там, где начинают действовать нормы уголовного и гражданского кодекса. К примеру, при проверках сотрудников методами социальной инженерии нельзя дословно копировать товарные знаки и дизайн ресурсов сторонних компаний. Последние могут подать в суд и потребовать компенсации, причем закон будет на их стороне. 

Другое юридическое табу — это сбор личной информации сотрудников: банковских и паспортных данных, адресов проживания. Целью учений должно быть получение сведений о компании-жертве и ее корпоративной сети, а не чьих-то персональных данных. 

Шаг 4. Провести рассылку и собрать статистику

Фишинговая рассылка должна быть неожиданной для сотрудников, но не для службы безопасности и руководства компании. Были случаи, когда проведение фишинговых учений совпадало с реальными атаками. Возникающая путаница мешала эффективно реагировать на настоящие инциденты. 

Время фишинговых рассылок влияет на их эффективность. Оптимальное время — первая половина рабочего дня, примерно с 11:00 до 12:00. Середина дня менее удачна из-за обеденного перерыва. Если проводите несколько рассылок, постарайтесь выдержать между ними паузу в пару дней. Это поможет избежать подозрений у сотрудников.

Действуйте оперативно. Распространенная ситуация: бдительный сотрудник распознает фишинг и сразу предупреждает коллег об опасности в корпоративных чатах. Лучше не дожидаться этого и не растягивать рассылку, иначе последние доставленные письма не принесут результата. Кроме того, даже засветившие свои данные сотрудники смогут быстро поменять пароли от учетных записей. Проверить, клюнули ли они изначально на обман или намеренно указали неверную информацию, станет гораздо сложнее. По нашим наблюдениям, наибольший эффект достигается в течение двух часов после старта рассылки.

Итогом мероприятия должен стать подробный отчет. Он начинается с описания самой рассылки: сколько было получателей, кто они, что содержалось в письмах и вложениях, какие сценарии использовались. Затем идет детальная статистика результатов: кто и сколько раз перешел по ссылке или открыл вложение, сколько сотрудников раскрыли свои учетные данные.

Шаг 5. Провести корректирующие мероприятия 

Фишинговая рассылка — не формальность. Бизнесу важно тщательно изучить результаты и улучшить цифровую гигиену сотрудников, особенно тех, кто попался на уловку. Для этого используют разные подходы: проводят разъяснительные беседы, организуют тренинги и обучающие программы. Некоторые компании создают памятки по безопасному поведению в сети. В рамках одного из наших проектов клиент попросил подготовить такую инструкцию с наглядными скриншотами. Ключевой момент — обучение основам кибербезопасности должно быть регулярным. Разовые мероприятия либо неэффективны, либо дают только кратковременный результат.

Лучше проводить рассылки раз в квартал или хотя бы в полугодие. Разовая рассылка принесет лишь краткосрочный эффект: спустя всего несколько месяцев после такого мероприятия сотрудники снова потеряют бдительность. К тому же методы социальной инженерии постоянно эволюционируют, появляются новые фишинговые сценарии и ресурсы. 

Учебные фишинговые кампании — мощный инструмент для укрепления кибербезопасности компании. Они позволяют выявить уязвимые места в защите и своевременно принять меры. Такие мероприятия помогают сформировать у сотрудников навык распознавания угроз, но это лишь часть комплексной стратегии безопасности, которую обязательно нужно дополнять регулярным обучением персонала и повышением осведомленности об угрозах.