Как проверить вложенный файл антифишинг

Как проверить вложенный файл антифишинг

Защита от веб-угроз проверяет ссылки на принадлежность к фишинговым веб-адресам. Это позволяет избежать фишинговых атак. Частным примером фишинговых атак может служить сообщение электронной почты якобы от банка, клиентом которого вы являетесь, со ссылкой на официальный веб-сайт банка в интернете. Воспользовавшись ссылкой, вы попадаете на точную копию веб-сайта банка и даже можете видеть его веб-адрес в браузере, однако находитесь на фиктивном веб-сайте. Все ваши дальнейшие действия на веб-сайте отслеживаются и могут быть использованы для кражи ваших денежных средств.

Поскольку ссылка на фишинговый веб-сайт может содержаться не только в сообщении электронной почты, но и, например, в сообщении мессенджера, компонент Защита от веб-угроз отслеживает попытки перейти на фишинговый веб-сайт на уровне проверки веб-трафика и блокирует доступ к таким веб-сайтам. Списки фишинговых веб-адресов включены в комплект поставки Kaspersky Endpoint Security.

Вы можете настроить функцию Анти-Фишинг только в Консоли администрирования (MMC) или в локальном интерфейсе приложения. Настроить функцию Анти-Фишинг в Web Console или Cloud Console невозможно. По умолчанию функция Анти-Фишинг с использованием эвристического анализа включена.

1. Откройте Консоль администрирования Kaspersky Security Center.
2. В папке Управляемые устройства дерева Консоли администрирования откройте папку с названием группы администрирования, в состав которой входят нужные клиентские компьютеры.
3. В рабочей области выберите закладку Политики .
4. Выберите нужную политику и откройте свойства политики двойным щелчком мыши.
5. В окне политики выберите Базовая защита → Защита от веб-угроз .
6. В блоке Уровень безопасности нажмите на кнопку Настройка .
7. В открывшемся окне в блоке Настройки Анти-Фишинга используйте флажок Проверять веб-адрес по базе фишинговых веб-адресов , чтобы включить или выключить функцию Анти-Фишинг.

В состав базы фишинговых веб-адресов включены веб-адреса известных на настоящее время веб-сайтов, которые используются для фишинг-атак. Базу фишинговых веб-адресов специалисты "Лаборатории Касперского" пополняют веб-адресами, предоставленными международной организацией по борьбе с фишингом The Anti-Phishing Working Group. База фишинговых веб-адресов входит в комплект поставки приложения и пополняется при обновлении баз приложения Kaspersky Endpoint Security.

В процессе эвристического анализа Kaspersky Endpoint Security анализирует активность, которую приложения производят в операционной системе. Эвристический анализ позволяет обнаруживать угрозы, записей о которых еще нет в базах Kaspersky Endpoint Security.

Для проверки ссылок кроме антивирусных баз и эвристического анализа вы также можете использовать репутационные базы Kaspersky Security Network.

1. В главном окне приложения нажмите на кнопку .
2. В окне параметров приложения выберите раздел Базовая защита → Защита от веб-угроз .
3. Нажмите на кнопку Расширенная настройка .
4. В блоке Анти-Фишинг установите флажок Проверять веб-адрес по базе фишинговых веб-адресов , если вы хотите, чтобы компонент Защита от веб-угроз проверял ссылки по базам фишинговых веб-адресов. В состав базы фишинговых веб-адресов включены веб-адреса известных на настоящее время веб-сайтов, которые используются для фишинг-атак. Базу фишинговых веб-адресов специалисты "Лаборатории Касперского" пополняют веб-адресами, предоставленными международной организацией по борьбе с фишингом The Anti-Phishing Working Group. База фишинговых веб-адресов входит в комплект поставки приложения и пополняется при обновлении баз приложения Kaspersky Endpoint Security.
5. Установите флажок Использовать эвристический анализ , если вы хотите, чтобы приложение использовало эвристический анализ при проверке веб-страниц на наличие фишинговых ссылок.

В процессе эвристического анализа Kaspersky Endpoint Security анализирует активность, которую приложения производят в операционной системе. Эвристический анализ позволяет обнаруживать угрозы, записей о которых еще нет в базах Kaspersky Endpoint Security.

Для проверки ссылок кроме антивирусных баз и эвристического анализа вы также можете использовать репутационные базы Kaspersky Security Network.

Инструменты для анализа вредоносных ссылок и файлов

Перевод Comss.ru. По материалам Windows Secrets

Каждый день вредоносные сайты и вложения пытаются вынудить пользователей загрузить их опасное содержимое.

К счастью, существует большое количество веб-ресурсов и инструментов, которые помогают выяснить, какие сайты являются безопасными, а какие представляют собой ловушку, предназначенную для кражи персональной информации и денежных средств.

Киберпреступники стали хитрее и умнее, становится все труднее обнаружить вредоносный сайт или файл.

Тем не менее, обладая определенной информацией, некоторые мошеннические уловки несложно обнаружить. Например, при получении звонка от сотрудника Microsoft, который утверждает, что согласно отчетам ваша система заражена вредоносными программами, можно быть уверенным, что это мошенничество. Microsoft никогда не осуществляет звонки совершенно неожиданно, пользователь первоначально должен самостоятельно обратиться в центр поддержки.

Тем не менее, распознать, является ли электронное письмо или внешняя ссылка опасными, может быть довольно сложной задачей. Приведем несколько полезных инструментов и стратегий для выявления хорошо замаскированных угроз.

Помощь от онлайн-ресурсов

Предположим, что Вы не хотите проверять подозрительные ссылки из браузера каждый день. Серьезно рассмотрите вопрос использования виртуальной машины или конфигурации с двойной загрузкой для тестирования подозрительных ссылок и файлов. В наше время виртуальные машины совсем несложно развернуть, используя Microsoft Hyper-V, Oracle VirtualBox или VMware Workstation. Просто помните: виртуальная система должна иметь собственную действительную лицензию.

Затем Вы, скорее всего, захотите добавить в закладки веб-сервисы, которые позволяют загружать подозрительные файлы и проверять потенциально опасные сайты. Иногда подобные ресурсы сообщают, что вредоносная ссылка известна для антивирусных вендоров, но в других случаях они подчеркивают, что антивирусные продукты не всегда помечают зловредные объекты.

Начнем со всеми известного ресурса VirusTotal. При получении электронного сообщения с ZIP-архивом, нелишним будет проверить вложенный файл с помощью данного сервиса. Конечно, необязательно, что приложенный архив всегда будет вредоносным. Тем не менее, рекомендуется не открывать ZIP-архивы без проверки, если только передача файла не была предварительно согласована.

Если антивирус не позволяет скачать файл (чтобы впоследствии загрузить на VirusTotal), значит, продукт распознал вредоносное содержимое. Согласно отчету VirusTotal только 13 из 57 антивирусных движков обнаружили угрозу в тестовом вложении.

Рисунок 1. VirusTotal показывает, что только 13 из 57 антивирусных движков распознали подозрительный ZIP-файл как вредоносный

Существует большое количество веб-ресурсов, которые помогают обнаружить вредоносные файлы или ссылки, а именно:

– данный сайт сканирует вредоносные файлы и выводит отчет о потенциальных проблемах с безопасностью; – Вы можете загрузить файлы на данный сайт, но не умеет работать с архивами; – позволяет загружать файлы и проверять, какие процессы будут запущены. Сервис также показывает, сколько антивирусных движков VirusTotal сработали. – еще один сайт для проверки потенциально опасных файлов, которые могут содержать вредоносный контент; – проверяет, содержится ли ресурс в базе известных мошеннических сайтов; – (обратите внимание, что используется доменная зона net, адрес в зоне com зарегистрирован посторонним лицом) данный сервис сканирует ссылки сайта на предмет вредоносных файлов и опасной активности;

Рисунок 2. Проверка веб-сайта с помощью сервиса urlQuery

Примечание: Все данные сайты поддерживают защищенный протокол HTTPS.

Существуют более продвинутые инструменты для исследования вредоносных веб-серверов и их местоположений или для отслеживания источников отправления опасных электронных писем.

Опять же, многие инструменты доступны из Интернета, приведем лишь некоторые из них. (Примечание: Вам нужно проверить условия использования у вашего провайдера и внутреннее законодательство, чтобы убедиться в легитимности использования данных инструментов против сайтов, которые Вы не контролируете. Для тестовых нужд использовался собственный сайт редактора).

— ресурс, который проверяет вредоносную активность других сайтов (поддержка HTTPS отсутствует); — данный сайт позволяет проверить, был ли конкретный IP адрес вовлечен во вредоносную активность (поддержка HTTPS отсутствует); — введите заголовок сообщения, чтобы определить, откуда оно было отправлено;

Рисунок 3. MxToolbox расшифровывает заголовки сообщений электронной почты для получения диагностической информации

На сайте Internet Storm Center размещена отдельная страница, которая будет полезна при исследовании потенциальных источников вредоносного содержимого. Страница содержит ссылки на некоторые сторонние сервисы, например anubis.iseclab.org/, который умеет анализировать файлы Android на предмет угроз и http://threatstop.com/checkip, который проверяет репутацию веб-сайта на предмет вредоносной истории.

Сохраняйте безопасность вашей системы и будьте в курсе!

Разумеется, после посещения потенциально опасных сайтов и загрузки подозрительных файлов, Вы захотите проверить свою систему с помощью антивирусного сканера, ведь есть вероятность, что Вы случайно инфицировали виртуальную машину или неосновную систему.

Для тщательной глубокой проверки Windows эффективнее использовать загрузочные антивирусные инструменты, например Kaspersky Rescue Disk. Сканирование с помощью альтернативной ОС помогает выявлять угрозы, которые успешно скрываются от защиты для Windows. Примечание, если Вы используете современный компьютер с UEFI, Вам нужно будет выполнить дополнительные манипуляции для запуска загрузочного диска.

Своевременная информация об актуальных изменениях вредоносного ПО также улучшит вашу безопасность. Вредоносные атаки часто поступают волнами, поэтому важно знать, какие типы атак в данный момент находятся в пике.

Среди иностранных источников актуальной информации об угрозах можно выделить OUCH! Security Awareness Newsletter и популярный сайт Krebs on Security (Брайан Кребс является бывшим журналистом Washington Post, который сейчас пишет об активности киберпреступников).

Как всегда, если есть сомнения, не стоит все списывать на паранойю. Если Вы получили странное письмо от известного источника, узнайте, действительно ли оно отправлялось вам. Большинство обычных пользователей сети теперь знают, что в некоторых сообщениях могут подменяться адреса отправителей. Вредоносные ресурсы воруют список контактов Gmail, Яндекс, Hotmail и Yahoo, которые содержат ваше имя и имена знакомых.

Компьютерная безопасность всегда будет представлять собой противоборство между новыми и инновационными методиками взлома и развивающимися защитами. В настоящее время, регулярное обновление антивируса не является достаточной мерой безопасности. Для профилактики заражений подумайте, прежде чем переходить по подозрительной ссылке.

Для пользователей, которые трепетно относятся к безопасности, приведенные ссылки определенно будут полезны.

3. От обучения пользователей к тренировке навыков по ИБ. Антифишинг

Приветствую друзья! Сегодня мы в рамках цикла статей по борьбе с фишингом познакомимся с российским решением “Антифишинг”. Для того, чтобы более подробно изучить концепцию и архитектуру системы, мы пообщались с представителями вендора и проверили решение на себе, обучая и тренируя сотрудников нашей компании — TS Solution, но обо всем по порядку. В статье рассмотрим:

Возможности и функции Антифишинга

Проведение пилота в TS Solution

Общие выводы и впечатления

Об Антифишинге

Антифишинг — российская исследовательская компания и разработчик ПО. На рынке с 2016 года, специализируются на решении проблем человеческого фактора в ИБ. Основной продукт — одноименная система, которая помогает обучать сотрудников и контролировать их навыки.

В штате компании присутствуют различные специалисты: ИБ инженеры, разработчики, тестировщики, аналитики, психологи, редакторы и методологи.

Возможности и функции Антифишинга:

Автоматизация процессов обучения и контроля защищённости сотрудников.

Разработка целевых имитированных атак для каждого заказчика и их выполнение на базе системы через электронную почту, ссылки, вложения различных типов, фишинговые сайты и USB-устройства.

Возможность создавать и изменять шаблоны для имитированных атак.

Имитации атак по различным технологическим и психологическим векторам.

Контроль уровня осведомлённости и навыков сотрудников.

Контроль уязвимостей клиентских приложений.

Обучение сотрудников с помощью авторских курсов компании Антифишинг, которые бесплатно адаптируются под требования заказчика.

Ежемесячные обновления материалов для обучения и тренировки навыков: курсы, сценарии и шаблоны целевых атак.

Использование планировщика для полной автоматизации процессов.

API для интеграции с другими системами и процессами ИБ.

Для лицензирования доступны три версии системы: базовая, стандартная и корпоративная. Более старшая версия включает в себя возможности предыдущих.

Подробная таблица о различиях в лицензиях

BASE. Базовая версия

STD. Стандартная версия

ENT. Корпоративная версия

Обучение и тестирование

Базовый набор обучающих курсов и тестов

Базовый набор обучающих курсов и тестов

Базовый набор обучающих курсов и тестов

Ежеквартальные обновления обучающих курсов и тестов

Ежеквартальные обновления обучающих курсов и тестов

Ежемесячные информационные дайджесты по безопасности

Имитация атак через электронную почту со ссылками и вложенными файлами

Имитация атак через электронную почту со ссылками и вложенными файлами

Имитация атак через электронную почту со ссылками и вложенными файлами

Имитация атак через фишинговые сайты

Имитация атак через фишинговые сайты

Имитация атак через фишинговые сайты

Имитация атак через съёмные устройства (HID)

Имитация атак через съёмные устройства (HID)

Ежеквартальная разработка до 5 целевых шаблонов атак

Ежеквартальная разработка до 10 целевых шаблонов атак

Имитация атак через съёмные устройства (накопители)

Имитация атак через приём ответных исходящих писем от сотрудника

Имитация атак через загрузку и запуск вредоносных файлов

Имитация атак через загрузку и установку браузерных плагинов

Учёт обратной связи от сотрудников и отображение её в рейтинговой модели

Учёт обратной связи от сотрудников и отображение её в рейтинговой модели

Плагин к почтовым программам Microsoft Office для учёта обратной связи

Плагин к браузерам и почтовым веб-интерфейсам для учёта обратной связи

Сбор и хранение действий администраторов системы, а также всех событий в формате Syslog

Автоматизация и интеграция

Определение уязвимых приложений на стороне пользователей

Определение уязвимых приложений на стороне пользователей

Определение уязвимых приложений на стороне пользователей

Ежеквартальные обновления правил определения уязвимых приложений

Ежеквартальные обновления правил определения уязвимых приложений

Базовые правила автоматизации на базе методологии «Антифишинга»

Базовые правила автоматизации на базе методологии «Антифишинга»

Модуль интеграции с системой обучения «ВебТьютор» и Moodle

Модуль интеграции с системой обучения «ВебТьютор» и Moodle

REST API для интеграции, управления и получения данных из любых внешних систем

REST API для интеграции, управления и получения данных из любых внешних систем

Многопользовательский режим и парольная политика

Многопользовательский режим и парольная политика

Ежеквартальная актуализация базы уязвимых приложений

Ежеквартальное обновление правил автоматизации

Улучшенная ролевая модель и шаблоны для типовых ролей администраторов «Антифишинга»

Автоматизация импорта и синхронизации сотрудников из LDAP с учётом структуры компании

Архитектура Антифишинга

Платформа доступна для развертывания в следующих режимах работы:

SaaS (Software as a Service) — “Антифишинг” в облаке вендора на территории РФ.

On-Premise — “Антифишинг” на платформе виртуализации в инфраструктуре заказчика, работает без доступа в Интернет (исходя из ограничений ИБ).

MSSP (Managed Security Service Provider) — Антифишинг как сервис в инфраструктуре внешнего поставщика, который оказывает собственные услуги или предоставляет сервис на базе вендора.

*Здесь стоит отметить, что в любом режиме установки заказчику доступны все возможности любой версии “Антифишинга”.

Общая логическая схема (см. ниже) позволяет администратору управлять процессом обучения и проверки сотрудников через интерфейс основного приложения “Антифишинг”, которое, в свою очередь, взаимодействует с почтовым сервером (SMTP) и с Active Directory Server (LDAP) организации.

Минимальные системные требования для развёртывания в режиме «on-premise» (до 5000 пользователей): 2 ЦП, 8 ГБ ОЗУ, 60 ГБ на жёстком диске.

У вендора есть технические решения, опыт и документация для масштабирования системы на объёмы от 5 000 до 100 000 сотрудников и выше, где используется кластеризация, доступна работа в распределённых организациях со слабой сетевой связностью.

Что касается стоимости, то для организаций она начинается от 1700 рублей за сотрудника в год (базовая версия). Более подробно о ценообразовании предлагаем ознакомиться по ссылке.

Проведение пилота в TS Solution

В этом разделе будет передан личный опыт TS Solution в сотрудничестве и испытаниях работы системы “Антифишинг”. Мы, как рядовой заказчик, оставили заявку на подготовку пилота, где указали количество наших сотрудников, домен корпоративной почты и данные инженера, который будет отвечать за эксплуатацию системы.

Вводная: в течение пяти рабочих дней был предоставлен доступ через аккаунт в SaaS, где уже были доступны курсы, разработанные для нашей компании, целевые шаблоны атак. На отдельном звонке нас познакомили с концепцией системы, ее особенностями и пошагово провели через десять базовых сценариев работы, которые рекомендуется проверять в первую очередь .

Теория: здесь стоит начать с того, что вендор подошел фундаментально к проблеме предотвращения фишинга и других цифровых атак, в которых задействован человеческий фактор. “Антифишинг” ведет собственные исследования в части анализа поведения человека в тех или иных средах (электронная почта, сайты, съемные USB-устройства и т.д.) под воздействием различных психологических факторов.

Согласно классификации цифровых атак Антифишинга, наиболее популярными векторами атак на людей считаются:

Электронная почта (открытие, переход по ссылкам, работа с вложениями).

Сайты (работа с формами для ввода данных, сбор данных о ПК).

Офис (подключение недоверенных устройств в рабочий ПК).

При этом вендор выделяет и классифицирует следующие причины небезопасного поведения — так называемые психологические векторы атак:

Вектор

Пример

«Ваш компьютер заражен и заблокирован. Кликните здесь»

«Чтобы отписаться, перейдите по ссылке»

«Смотри, как ты отжигаешь на видео»

«Скидка 50% при оплате прямо сейчас»

«Кажется, ваш коллега потерял свои вещи. Дайте мне его номер»

Кроме этого в Антифишинге есть различные дополнительные атрибуты для атаки (психологические катализаторы, уровень персонификации, формат и т.д.)

—> Для чего вышеперечисленное необходимо ?

На наш взгляд, имея структурированную классификацию небезопасных действий людей и собственную методологию, вендор способен подготовить шаблоны на все случаи жизни, где также учитывается их актуальность. Вот примеры того, как можно применять психологический анализ Антифишинга к разбору и анализу реальных цифровых атак:

Заказчик в лице администратора сети получает доступ к различным категориям атак: покрывает весь спектр человеческих уязвимостей, проверяя сотрудников на различные эмоции и сопутствующие факторы. Таким образом, Антифишинг выступает как психолог, но применительно к миру ИБ.

Шаблоны для TS Solution

Вендор перед проведением пилота, а впоследствии и после приобретения лицензий разрабатывает сценарии и помогает готовить целевые шаблоны имитированных атак. Благодаря такому подходу ваши сотрудники будут тренироваться в максимально сложных и реалистичных условиях, которые соответствуют условиям их работы, а не просто получать “спам” в качестве тестовых рассылок.

В нашем случае специалисты Антифишинга предложили следующие сценарии атак:

Каждый такой сценарий в реальности могли использовать мошенники, зная специфику деятельности и реальные бизнес-процессы нашей компании как интегратора. По своей сущности шаблон представляет собой готовое к отправке письмо с оформлением, ссылками, вложениями, фишинговыми страницами и моментальной обратной связью (финальными страницами).

Для примера показан шаблон с Яндекс-Паспортом:

В нем используется идентичная форма от оригинального сервиса Яндекса, которым действительно пользуются многие наши сотрудники. В качестве переменной подставляются данные из ФИО в карточке сотрудника. Внутренности шаблона изменяются с помощью встроенного редактора, есть доступ к HTML коду.

У нас уже был доступ к платформе в режиме SaaS и нам не терпелось протестировать систему, для удобства различные этапы убраны под спойлер.

Знакомство с интерфейсом системы

Для входа требуется ввести логин и пароль, они были предоставлены заранее, пароль можно сменить сразу после входа.

Главная страница структурно состоит из центральной панели мониторинга:

Перейдя по каждому из заголовков, отображается информация:

→ Знания. Раздел позволяет добавлять учетные записи сотрудников, группировать их в подразделения, доступна сортировка по различным представлениям (отдел, ФИО, руководство) и состояниям человека.

→ Навыки. Раздел отображает информацию о подготовленных ранее учебных атаках, в нем же их можно запускать и просматривать классификацию.

→ Рейтинг. Раздел отражает собственно сам рейтинг и отчетность по сотрудникам и отделам, он динамически изменяется в зависимости от действий человека в лучшую или худшую сторону.

→ Уязвимости. Раздел, в котором отражается информация по программным уязвимостям в клиентских приложениях, которые могут быть использованы в реальных атаках из-за небезопасных действий сотрудников. Это может быть устаревшая версия браузера, плагина, почтовой или офисной программы.

Если отключить ползунок ( в правом углу ), то верхняя панель мониторинга отобразится в текстовом виде:

Также имеется классическое меню, на одном экране оно представляет доступ ко всем основным функциям и разделам системы:

Перейдя в настройки, мы получаем возможность управлять учетной записью администратора портала “Антифишинга”: просмотреть текущую лицензию, настроить время для обучения, установить режим работы уведомлений, настроить автоматизацию, включить синхронизацию по LDAP и другие опции.

После первичного знакомства с интерфейсом системы нам не терпелось запустить нашу кампанию по захвату мира (хотя бы проверки навыков наших сотрудников). Опишем шаги, которые вам для этого понадобятся:

Первый шаг. Логично предположить, что для отправки писем нужна информация о получателях, для этого перейдем в раздел настроек → Cотрудники.

Система предлагает 3 варианта добавления данных из интерфейса:

по одному человеку;

импорт шаблона из файла (пример имеется на портале);

синхронизация с вашим AD через LDAP.

*еще один способ добавить сотрудников и выполнить любые другие действия — через программный интерфейс (API) Антифишинга.

Итак, на первом шаге мы импортировали шаблон с запрашиваемыми данными. В нем находилось: ФИО, почта, должность, отдел. В результате подготовили данные по “жертвам” рассылки.

Как можно было заметить, текущий рейтинг у сотрудников в значение “0”, ведь учебных атак или обучения еще не производилось.

Второй шаг. Собственно, чтобы запустить вашу учебную атаку — необходимо настроить шаблон.

В этом шаблоне имитируется реальный запрос от потенциально крупного клиента, с кем нам как интегратору, разумеется, захочется начать работу.

При создании атаки можно определить:

→ Цель для атаки. Выбор как отдельного сотрудника, так и целого отдела.

→ Отправитель. Имя отображается в заголовке письма.

→ Адрес. E-Mail с которого будет произведена отправка.

→ Редактор с шаблоном письма

→ Вложение. Поддержка всевозможных форматов данных для отправки, в том числе, архивов.

→ Фишинговая страница. Опция с переходом на учебную страницу злоумышленника.

→ Финальная страница. Контент, который увидит пользователь после перехода по фишинговой ссылке.

Третий шаг. После создания атаки у нас будет возможность задать для нее расписание.

Доступны следующие временные отрезки:

Отправка в интервале. Рассылка будет распределена в течение указанного времени.

Отправка в течение. Общая рассылка будет произведена после указанного времени.

Как выглядит учебная атака со стороны пользователя? Он получает соответствующее письмо.

Вложение сделано так, чтобы сотрудник захотел сделать небезопасное действие — отключить защищенный режим (или разрешить редактирование):

Если перейти по ссылке, система покажет сотруднику эмоциональную обратную связь:

Итак, мы уже изучили концепцию Антифишинга, познакомились с их методологией и даже запустили первую учебную фишинговую атаку, в целом пока ничего сложного — процесс интуитивно понятен и не требует больших временных затрат.

Обратная связь по атаке и вовлеченность людей

Качество проработки сценариев и шаблонов атак напрямую влияет на результаты тренировки навыков и вовлеченность сотрудников в процессы обеспечения безопасности. Если рассылать людям “спам” — не адаптированные и случайные шаблоны, то ничего, кроме раздражения и негатива к службе ИБ это не вызовет.

Если же подходить к процессу внимательно, готовить сценарии на основе реальных ситуаций, закрывать через атаки все психологические векторы и давать людям корректную обратную связь, можно получить очень сильный эмоциональный эффект для сотрудников, которые сами будут заинтересованы в будущем узнавать такие ситуации и помогать выявлять их.

Мы решили выяснить, как имитированные атаки воспринимались пользователями. В нашем случае, наиболее популярным по количеству жертв оказался шаблон с внезапной сессий в Zoom, имитирующий ежедневный сценарий общения в современном мире.

Далее делимся таблицей, в которой записали отзывы сотрудников, которые так или иначе взаимодействовали с атакой.

Сотрудники против фишинга

Шаблон

Действия сотрудника

Комментарий

Я: Расскажи что произошло?

Сотрудник: Пришло письмо, я его прочла и была возмущена, что мне никто ничего не сказал!

Я: Ты все таки решила что оно настоящее?

Сотрудник: Да, я побежала по дому в поисках наушников, чтобы подключиться, параллельно вспоминая всех причастных коллег.

Я: Эффект неожиданности и срочности

повлиял на то, что ты не заметила подвоха?

Сотрудник: Конечно!

В данном кейсе сотрудник открыл фишинговое учебное письмо, перешел по ссылке и нажал на кнопку запуска сессии, тем самым выполнил максимальное количество нежелательных шагов.

Шаблон отмечен следующими психологическими тегами: страх, неожиданность, срочность. Как видим в целом оправдано.

Я: Расскажи что произошло?

Сотрудник: Получила письмо на почту следующего характера: » *Имя *, Почему тебя нет на звонке? Нужна твоя помощь. Срочно подключайся».

Я: Какая твоя первая реакция?

Сотрудник: Первая реакция (а она самая ошибочная) — перейти по ссылке. У всех есть слабости и при виде сообщения «Срочно быть» и «Нужна твоя помощь» так и хочется впопыхах поддаться соблазну.

Я: Были ли сомнения?

Сотрудник: Да! возникают вопросы в стиле: «Что? Какой звонок? Не было же такого … или я не помню? Почему написано на почту, а не на удобный мессенджер, где я быстрее увижу сообщение”. Всматриваясь в письмо, замечаешь неверный адрес начальника и не совсем типичную стилистику общения. Параллельно с этим пишешь в общий чат и тут оказывается, что о нем не знает никто!

В данном кейсе сотрудник перешел по вредоносной ссылке в учебном фишинговом письме, но не подключался к конференции. Также он написал об этом в корпоративный чат, чтобы убедиться о недостоверности планируемой сессии.

Приглашение на собеседование

Я: Расскажи что было?

Сотрудник: Под конец рабочего дня, получил письмо от IT-компании с предложением о работе.

Я: Какое было твое первое впечатление?

Сотрудник: Я решил найти сайт компании, он действительно был. В письме была указана моя текущая должность с предложением о новой вакансии. В первые несколько минут не было подозрений!

Я: Но дальше твое мнение изменилось?

Сотрудник: Смутило то что предлагают повышение зарплаты в процентах и ссылка на вакансию отличается от оригинальных в HH, пусть и не значительно. Также почта отправителя в письме отличается от той, что используется в подписи. (различие в доменах).

Данный кейс может помочь вам определять уровень лояльности сотрудников. Во главе письма стоит жадность и интерес.

В нашем случае сотрудник был внимателен, не перешел по фишинговой учебной ссылке и сообщил в отдел IT об инциденте.

Обучение сотрудников

Чтобы сотрудники вели себя безопасно в информационной среде, им нужно не только тренироваться, но и что-то знать. В “Антифишинге” есть встроенная система обучения, которая уже наполнена следующими учебными курсами:

Базовый курс по безопасности

Безопасная работа в интернете и с почтой

Безопасная удалённая работа

Отправить сотруднику сообщение о прохождении курса, возможно с помощью:

*об автоматизации в следующем подразделе.

Каждый курс состоит из теории и обязательного тестирования. По большей части материал предлагается в виде практических кейсов (случаев), которые потенциально могут встретиться сотруднику, также даются рекомендации о том, как действовать в этих ситуациях.

После успешного прохождения теста существует награда и для вашего сотрудника — сертификат, который выдается автоматически.

Пример с сертификатом

Оформление сертификатов можно менять под корпоративный брендбук, а QR-код позволит всегда проверить актуальность действующего сертификата (если работник допустил нарушения, то его могут назначать на повторное обучение, а старые результаты в таком случае станут недействительными).

В каждую лицензию «Антифишинга» входят бесплатная и обязательная адаптация курсов по требованиям политик безопасности заказчика, а также брендирование и замена контактной информации. Имея версию лицензии «STD. Стандартная» или выше , Антифишинг позволяет интегрироваться с внешними системами обучения, такими, как «ВебТьютор» и Moodle.

Автоматизация процессов

Конечно, все то, о чем мы рассказали ранее, позволит вам проверить и обучать ваших сотрудников, но как это все администрировать? Сложно себе представить современные корпоративные процессы без автоматизации. В “Антифишинге” существует планировщик.

На рисунке активировано одно правило, что все кто перешел по ссылке ИЛИ открыл вложение, автоматически получат письмо с прохождением курса по Безопасной работе в интернете и с почтой. Соответственно, администратор будет иметь отчетность и будет уведомлен о прогрессе обучающихся.

Разумеется, есть большое количество встроенных правил, их можно отредактировать с использованием логических операторов. Тем самым вы можете автоматизировать большинство рутинных задач и работать с отчетностью, о которой будет далее.

Работа с отчетностью

Ключевая статистика по сотрудникам всегда доступна на главной странице портала управления Антифишинга.

Кроме этого доступен экспорт статистики в формате XLSX.

Главный отчет содержит:

Общая статистика по кол-ву сотрудников, их успеваемости и текущем статусе;

График, отображающий рейтинг сотрудников по последним 10 атакам;

Диаграмма, отображающая изменения рейтинга сотрудников по отделам;

Диаграмма навыков сотрудников по отделам.

Перечень уязвимостей, найденных на ПК сотрудников.

В отчете по обучению содержится:

Статусы по курсу: “прошел” / “не прошел” / “отменено”;

Количество попыток для прохождения;

Подробная отчетность о каждом курсе.

Завершая обзор возможностей, при работе с отчетностью в Антифишинге, стоит отметить возможности импорта всех событий в SIEM по протоколу Syslog, вендор сообщает, что этим пользуются заказчики, которые проводят корреляцию событий из области ИБ с поведением людей и уровнем их навыков.

Также данные из Антифишинга и все функции доступны через API, это позволяет интегрироваться и управлять Антифишингом, например, через IDM, IRP (например, R-Vision) или в интеграции с SOAR. Поддержка различных сценариев по работе с данными позволяет интегрировать Антифишинг для различных компаний, подстраиваясь под специфику их инфраструктуры, процессов и действующих регламентов.

Общие выводы и впечатления

В этом разделе хотелось бы напомнить, что мы проверяли и обучали своих сотрудников с помощью системы Антифишинг, общались с вендором на закрытых вебинарах, знакомились с интерфейсом и администрировали систему.

1) Прозрачная процедура проведения пилота.

Вендор использует стандартизированный подход в ходе всего тестирования системы заказчиком, он заключается в пошаговом выполнении различных операций с системой Антифишинг, согласно Уставу Пилота (внутренний документ вендора). Отдельно благодарим всех специалистов Антифишинга за их продуктивное взаимодействие, помощь при работе с системой.

2) Шаблоны писем как отдельный вид искусства.

Антифишинг позиционирует себя как вендор, который ведет исследовательскую работу, разрабатывает свою методологию и использует классификацию при создании шаблонов, это позволяет тренировать сотрудников на наиболее актуальные и “живые” случаи, которые могут встретиться в реальности. Таким образом, вы получаете непрерывный целевой пентест вашего персонала, не тратя время на создание и разработку контента для атак.

3) Обучение простое и эффективное.

Курсы Антифишинга обеспечивают подачу учебного материала в доступной и понятной форме. Учебные материалы разработаны с акцентом на практическую значимость, т.е разобрано достаточно много случаев из реальных жизненных ситуаций.

4) Планирование и автоматизация.

Возможности планировщика позволят вам гибко настроить политику работы с Антифишингом, исходя из внутренней схемы организации процессов в вашей компании. Доступная интегрированность с SIEM-решениями и поддержка API, безусловно обеспечат более простой процесс внедрения Антифишинга в вашу инфраструктуру, обеспечивая ожидаемую эффективность.

5) Отчетность и результативность.

У каждого сотрудника есть свой собственный рейтинг, благодаря которому легко отслеживать его индивидуальный результат. Общая отчетность позволит видеть картину о состоянии уровня IT-грамотности.

Если вас заинтересовало решение Антифишинг, вы всегда можете обратиться к нам, TS Solution поможет в организации пилота и проконсультирует совместно с представителями вендора. Спасибо всем тем кто дочитал до конца, статья вышла объемная, но мы надеемся, что не менее полезная для Вас. Оставайтесь на связи, мы будем и дальше знакомить вас с интересными решениями!

Антифишинговые решения

Настройка решений по борьбе с фишингом может быть простым процессом, но при этом необходимо учитывать множество моментов. За последний год среда фишинга значительно изменилась, как и повседневная жизнь. Чтобы продолжить свои новые аферы, фишеры и хакеры пытаются использовать различные бизнес-среды и новые инструменты, появившиеся в киберпространстве благодаря работе из дома.

В 2020 году количество фишинговых сайтов увеличилось на рекордную величину: Google обнаружил 2,11 миллиона новых сайтов, что на 25% по сравнению с 2019 годом.

Как мы предотвратим взлом нашего сайта хакерами? Смогут ли они по-прежнему красть пароли наших пользователей? Не займет ли весь процесс много времени и не будет ли он слишком хлопотным?

В этой статье мы ответим на все эти вопросы и приведем полный список антифишинговых решений, которые не требуют больших затрат, но при этом эффективны. Давайте посмотрим:

Возвышение фишинга

Поскольку потребители страдают «инфобизнесом» от получаемых электронных писем, что делает их менее бдительными в плане обнаружения фишинговых попыток, фишинг сегодня настолько успешен. Киберпреступники умело создают контент, чтобы обмануть людей и избежать разоблачения (кастомизация контента, копирование графического устава и т.д.). Киберпреступники могут разрабатывать индивидуальные и более подлинные шаблоны электронных писем, используя информацию, которую люди предоставляют о себе в социальных сетях.

Пользователи могут не получить достаточного обучения по вопросам фишинга, его использования для распространения выкупного ПО и наилучших способов борьбы с неожиданными угрозами. Кроме того, многие люди не проявляют достаточного скептицизма, когда их просят выполнить такие действия, как перевод денег, открытие вложений или разглашение важной информации. Еще хуже то, что некоторые компании не рассматривают возможность интеграции обучения и информирования пользователей в свои планы защиты.

Антифишинговые решения для малого и среднего бизнеса и предприятий корпоративного уровня

Антифишинговые решения являются обязательным условием для любой организации, работающей с данными клиентов. Антифишинговые решения направлены на предотвращение фишинговых атак путем блокирования доступа злоумышленников до того, как они смогут украсть информацию о ваших клиентах.

Антифишинговые решения можно разделить на два метода: предотвращение фишинга и обнаружение фишинга.

Решения для предотвращения фишинга: Разверните инструмент для борьбы с фишинговыми угрозами

Предотвращение фишинга — это механизм, который пытается предотвратить попадание пользователей в число жертв фишинговых атак путем повышения осведомленности и обучения пользователей о рисках этих угроз и способах защиты своих данных, а также аутентификации электронной почты и других инструментов безопасности для пресечения этих атак.

Самый эффективный способ предотвращения фишинговых атак — не нажимать на ссылки или вложения в сообщениях электронной почты, если вы не удостоверились в личности отправителя.

К счастью, существует множество способов защитить себя от этих атак. Вот некоторые из наиболее эффективных методов:

Попробуйте DMARC — глобальный стандарт защиты от фишинга

Протоколы SPF (Sender Policy Framework) и DKIM (DomainKeys Identified Mail) необходимы для DMARC или Domain-based Message Authentication, Reporting & Conformance, для функционирования DMARC. Чтобы ваш домен мог реализовать DMARC, необходимо включить хотя бы один из этих двух протоколов.

По сути, это всемирные стандарты защиты от фишинга, которые дают получателям возможность подтвердить, что письмо, кажущееся исходящим от определенного домена, было отправлено почтовым сервером, уполномоченным отправлять электронные сообщения от имени этого домена. При использовании отправителем эти методы могут защитить получателей от поддельных писем, якобы исходящих от их домена.

Как они работают?

Записи SPF, DKIM и DMARC добавляются в систему доменных имен отправителем). IP-адреса и доменные имена одобренных почтовых серверов перечислены в DNS-записи SPF. DKIM использует дополнительную пару открытый-закрытый ключ для проверки. Кроме того, DNS-запись DMARC включает запросы на предоставление отчетов отправителю.

Принимающая сторона получает инструкции от DMARC о том, как обрабатывать плохие электронные письма на основе результатов SPF и DKIM. Политика DMARC может быть настроена на разрешение всех писем, их отклонение или помещение в карантин независимо от отказа SPF/DKIM.

Поддерживайте антивирусное программное обеспечение в актуальном состоянии

Важно постоянно обновлять антивирусное программное обеспечение, чтобы обнаруживать новые угрозы по мере их появления. Если вы используете коммерческий продукт, убедитесь, что он регулярно обновляется и поддерживает последнюю версию браузера. Если вы используете решение с открытым исходным кодом, убедитесь, что оно недавно обновлялось. Также следует регулярно проводить сканирование инструмента, чтобы убедиться в его работоспособности и отсутствии вредоносных программ или других проблем.

Двухфакторная аутентификация

Двухфакторная аутентификация использует для входа в систему не пароли и PIN-коды, а нечто иное, что помогает защитить пользователей от попыток фишинга. Двухфакторная аутентификация обычно включает в себя одноразовый код, который необходимо ввести после ввода пароля или PIN-кода вместо традиционного пароля, что усложняет доступ хакеров к учетным записям.

Обучайте своих сотрудников

Проинформируйте сотрудников о фишинговых письмах с помощью программы повышения осведомленности о фишинге. Вы можете помочь им не попасться на фишинговые письма, объяснив им разницу между законным электронным письмом и не законным. Вы также можете обязать их проверять свои учетные записи, прежде чем вводить конфиденциальную информацию в Интернете.

Методы обнаружения фишинга: Ручное обнаружение попыток фишинга посредством общей осведомленности

Это активный подход, при котором вам придется блокировать эти вредоносные письма автоматически с помощью различных инструментов безопасности, таких как антивирусные программы, антивирусные программы и т. д. Этот тип решения может не подойти для любой ситуации, но он поможет вам обнаружить и блокировать вредоносные письма до того, как они заразят ваше устройство вредоносным ПО.

Неправильно написанное доменное имя

Фишинговые электронные письма часто содержат неправильно написанное доменное имя. Например, электронное письмо, которое выдается за письмо от «www.facebook.com», но в нем неправильно написано «facebbok.com», скорее всего, является мошенническим. То же самое относится к случаям, когда доменное имя было изменено путем добавления или удаления символов.

Подозрительные вложения

Вложение часто представляет собой документ Word, содержащий вредоносный макрос, который автоматически загружает вредоносное ПО на ваш компьютер, когда вы открываете файл.

Письма с незнакомым приветствием или поздравлением

Приветствие или поздравление в электронном письме должно совпадать с тем, что используется в законных сообщениях соответствующей компании. Если это не так, то прежде чем открывать сообщение, стоит убедиться в его подлинности.

Сообщение отправлено из публичного домена электронной почты

Если вы видите адрес электронной почты @gmail.com или @yahoo.com, скорее всего, он не является законным — эти домены принадлежат бесплатным службам веб-почты, на которые может подписаться любой желающий. Вероятность получения спама гораздо выше, если кто-то использует свое доменное имя или имя, зарезервированное его работодателем (например, @mycompany.com).

Заключительные слова

Чтобы быстро обнаружить вредоносные IP-адреса и источники отправки, эксперты отрасли рекомендуют пользователям включить отчеты DMARC для своего домена. Эти агрегированные отчеты предоставляют бесценную информацию о любой электронной почте, отправленной с вашего домена. Это не только поможет вам контролировать свои каналы электронной почты на предмет несоответствий, но и поможет вам реагировать на неудачные доставки легитимных сообщений. В целом, это может действительно улучшить производительность и охват вашей электронной почты.

Чтобы избежать расшифровки XML-данных в ваших отчетах, приобретите себе анализатор DMARC . Этот инструмент преобразует ваши данные в человекочитаемый формат и обеспечит визуальную привлекательность, ассортимент и возможности фильтрации.