Тренинг персонала по выявлению фишинговых атак

Фишинг - угроза весьма распространенная. Письмом с ссылкой на вредоносный сайт или вредоносное вложение никого не удивишь, а развитие шифровальщиков только добавило масла в огонь.

Технические меры защиты от фишинга, такие как фильтрация и анализ почтового/веб трафика, ограничение программной среды, запрет запуска вложений - весьма эффективны, но они не могут противостоять новым угрозам и, что более важно, не могут противостоять человеческой глупости любознательности и лени. Бывали случаи, когда пользователь, будучи не в состоянии открыть/запустить вредоносное содержимое на рабочем месте пересылал его на свой домашний компьютер и запускал, со всеми вытекающими...

Поэтому, какую бы основательную техническую систему защиты мы не строили, про главное звено во всей цепи - пользователя, и его обучение, забывать не стоит.

Периодические инструктажи и информационные рассылки являются важной составляющей обучения персонала, но, как показывает практика, их эффективность значительно ниже, нежели обучение сотрудников на собственных ошибках.

Далее опишу простую систему, позволяющую провести тестирование и тренинг персонала по выявлению фишинговых атак.

Что будет делать система:

1. Рассылать фишинговые письма пользователям;
2. При нажатии на ссылку в теле письма уведомлять пользователя о его ошибке - направлять на web сайт с обучающей страницей;
3. Вести статистику по невнимательным пользователям.

Рассылка писем

В результате рассылки всем пользователям приходят сформированные нами фишинговые письма. Например, вот такие:

Имя пользователя в приветствии берется из имени его почтового ящика. Письмо целенаправленно сделано таким образом, чтобы у пользователя была возможность посчитать его подозрительным. По прошествии нескольких тренировок сложность писем можно повышать.

Ссылка, ведущая на фишинговый сайт, вида http://phishingsite-327.com/p/?p=AIvanov@company.com меняется в зависимости от имени пользователя. Таким образом мы передаем на сайт информацию о пользователе и можем вести отчетность.

Реализована рассылка PowerShell скриптом, который на входе берет список почтовых ящиков организации. Код тут.

Создание обучающей страницы

Наша задача состоит не в том, чтобы обвинить пользователя в нарушении, а в том, чтобы объяснить ему в чем состоит угроза фишинговых атак, показать где он допустил ошибки и дать простое руководство к действию на будущее. Поэтому информационная страница содержит подробный разбор его действий:

Обучающая страница размещается на Web сервере организации, включает PHP код для ведения статистики.

На локальных DNS серверах организации настраиваем CNAME запись для нашего web сервера таким образом, чтобы ссылка была более похожа на вредоносную, например: http://phishingsite-327.com/

В случае, если мы хотим контролировать факт открытия вредоносной ссылки с не рабочих мест (например, когда сотрудник пересылает письмо на свою личную почту), то придется использовать реальный адрес в сети Интернет. Или мониторить факт пересылки письма на внешний адрес через имеющиеся средства защиты и администрирования. 

Реализация: PHP. Код тут.

Отчетность

По прошествии времени анализируем отчет с списком пользователей, прошедших по фишинговой ссылке. В нашем случае PHP скрипт сохраняет в csv-файл информацию о времени, адресе электронной почты и ip-адресе узла, с которого был осуществлен заход на сайт.

Отчет помогает оценить уровень подготовки персонала, выявить слабые звенья. А при проведении периодических проверок (ежемесячно/ежеквартально) можно:

1. Построить кривую подготовленности персонала к фишинговым атакам, использовать ее как один из количественных показателей защищенности инфраструктуры;
2. Выявить пользователей, регулярно совершающих одни и те же ошибки, с целью применения к ним иных мер повышения образованности.

Опыт внедрения

• Подготовка ИТ персонала
  Перед проведением рассылки следует предупредить ИТ персонал и объяснить, как следует реагировать на обращения пользователей о странном письме. Но перед этим следует провести тестирование на них самих. В случае невнимательности ИТ персонала не стоит ограничиваться рекомендациями, так как в будущем подобная халатность может быть крайне плачевна для инфраструктуры. 
• Подготовка руководства
  Руководство организации о планирующемся тестировании следует предупредить. Или даже оформить проведение тестирования внутренним актом. Пользователь, в зависимости от его должности и личных качеств при осознании того, что он нарушил требования ИБ, что он "был введен в заблуждение" может реагировать весьма непредсказуемо. Аргументы в пользу службы ИБ в виде документов и поддержки руководства лишними не будут.
• Выбор цели
  При массовой рассылке по всем сотрудникам сарафанное радио значительно подпортит объективность конечной оценки. Лучше проводить тестирование частями, не забывая менять текст письма.

В первый раз результаты тренинга могут весьма удивить и даже расстроить, ведь они предоставляют более объективную информацию о подготовленности персонала нежели подписи в Журналах инструктажа.
Эффективность подобной меры весьма высока и проведение тренингов на регулярной основе позволяет существенно повысить подготовленность и бдительность персонала.