Прежде чем перейти к статье, хочу вам представить, экономическую онлайн игру Brave Knights, в которой вы можете играть и зарабатывать. Регистируйтесь, играйте и зарабатывайте!
В марте 2008-го на Ютубе появился самый короткий рассказ про неношеные ботиночки детектив. Кажется, что суть видео — раскрыть тайну убийства за одну минуту. Но не все так просто, если учитывать, что видео сделано по заказу Управления транспорта Лондона.
Всего таких видео было выпущено пять. Самые популярные из них — «детектив» и «игра в баскетбол» — набрали 14 и 26 миллионов просмотров. Второй ролик получил награду Британской ассоциации дизайнеров и арт-директоров, самой престижной премии в креативной сфере.
Под катом на их примере разбираем, как разработчики имитированных фишинговых атак доносят важные смыслы до неподготовленной аудитории и почему в Security Awareness важно удивлять.
Погрузиться в мир жертвы
Итак, в 2008 году по лондонскому ТВ и в кинотеатрах запустили рекламную кампанию Awareness Test. В пяти коротких роликах Управление транспорта Лондона (Transport for London) напоминало водителям о велосипедистах на дорогах.
В сравнении с началом нулевых дороги в Лондоне стали намного безопаснее для пешеходов и автомобилистов, чего нельзя было сказать о велосипедистах. Каждый день на столичных дорогах погибал или получал серьезные травмы один велосипедист.
Власти задумались, как можно сделать велосипедистов более заметными для людей, которые постоянно фокусируются на машинах и дорожных знаках. Скоростные лимиты и демонтаж знаков — лишь часть работы, основная загвоздка в самом механизме привлечения внимания. Мало просто зачитать драматическим голосом статистику за кадром, здесь нужна сильная социальная реклама. И агентство WCRS, которое наняло Transport for London, как раз знало в этом толк.
Проверьте эффект на себе. Посмотрите видео и ответьте всего на один вопрос — сколько пасов сделала команда в белом?
Да, качество 240p, но это не делает видео хуже!
Чтобы не спойлерить, продолжение спрятали ниже.
↓
↓
↓
↓
↓
↓
↓
↓
↓
↓
Давайте пока не будем говорить о танцующем лунной походкой медведе и поговорим о первой части видео. Вам дали довольно сложную задачу, для решения которой мозг закрыл лишние диалоговые окна и сосредоточился на счете.
Примерно то же происходит с сотрудниками, когда они получают письма от мошенников. Сфокусированные на рутинных задачах, неподготовленные пользователи смотрят куда угодно, но только не на медведя (например, отличающийся на одну букву адрес отправителя), и как итог — заполняют фишинговые формы, разрешают макросы, скачивают вложения.
Помочь увидеть медведя
Чтобы подготовить компанию к реальным атакам, команды безопасности обучают сотрудников теории, затем проводят имитированные атаки для отработки материала. Специалисты создают письма с фишинговой формой/ссылкой/опасным файлом — механика зависит от цели проверки — замеряют статистику по небезопасным действиям и принимают решения по повторному обучению.
Когда в штате 10 000 сотрудников, столько же новостей и бизнес-целей, писать письма и рассылать их вовремя вручную нереально предельно сложно, поэтому под эти цели существуют платформы — в них можно не только делать рассылки, но и мгновенно получать результаты в виде дашбордов и таблиц. Для большего ускорения и автоматизации есть еще два инструмента.
Сценарий — документ, который дает представление о будущей атаке, он состоит из нескольких элементов:
описание инфоповода и целевого действия;
подсвеченные векторы атаки;
технологии, или каналы, по которым будет идти атака.
Шаблон — html-письмо будущей атаки, которое сохраняется на сервере для переиспользования. Например, готовый шаблон под 8 Марта можно рассылать каждый год с изменением html, заголовка, файлов-приложений и сравнивать динамику реакции на один и тот же посыл. Так шаблон выглядит в редакторе:
В отличие от сборки атаки вручную, которая в среднем занимает 8 часов, подготовка шаблона письма и его тестирование занимают всего 30 минут.
Удивить, чтобы научить
Теперь, если вы посмотрите видео еще раз, медведь покажется чересчур явным. Не будем сильно углубляться в методику и педагогическую теорию и просто скажем — чтобы добиться эффективного закрепления информации, нужно включать у человека эмоции. И не как попало, а в самый решающий момент.
В тесте с баскетболистами важна не столько внимательность, сколько осознание, осведомленность, тот самый awareness, который снимает шоры и дает более широкий обзор на ситуацию. Чтобы его добиться, зрителя можно было утомлять статистикой и грозить пальцем, но вместо этого ему просто показали человека в костюме медведя. И это сработало.
Перед вами еще один ролик — 50-секундный детектив Whodunnit. Ваша задача: понять, кто из подозреваемых в кадре убил лорда Смайта тупым предметом.
Убийца не дворецкий!
↓
↓
↓
↓
↓
↓
↓
↓
↓
↓
21 изменение за 50 секунд! Сколько из них вы заметили, и что почувствовали, когда увидели перестановку за кадром?
По мнению представителя Управления транспорта Лондона, успех кампании связан именно с донесением смысла через эмоциональную реакцию. Ролики заставили задуматься, как легко не заметить велосипедиста, пока ты обращаешь внимание на другие вещи.
Готовить имитированные фишинговые атаки нужно тоже в связке с эмоциями. Например, так выглядит одна из финальных страниц целевой имитированной атаки через электронную почту:
На контрасте с привычным письмом о закупках или счетом от контрагента ядерный гриб вырывает сотрудника из цепочки автоматических действий и дает момент для осознания случившегося. Хорошая имитированная атака строится по такой схеме:
опасное действие → эмоциональная реакция → осведомленность.
Прикинуться своим
Создатель имитированных атак — настоящий эмпат. Он, независимо от своего возраста и жизненных ценностей, может поставить себя на место бухгалтера в день выплаты авансов или маркетолога с горящими дедлайнами, чтобы ответить на главный вопрос — среагирует человек на письмо или нет.
Например, сотрудники до 35 лет с детьми с большей вероятностью откроют письма на «детскую» тематику: льготы, выплаты, корпоративный детский сад.
Чтобы готовить цепляющие фишинговые атаки, нужно мониторить новые схемы мошенничества, собирать инфоповоды и оценивать их потенциал. Какие инфоповоды могут стать основой для атак:
мировые и российские новостей в сфере кибербезопасности;
популярные новости, интересные широкой аудитории (законопроекты, новые возможности Госуслуг);
подтвержденные истории пользователей об атаках (например, под статьей об атаке нашего топ-менеджера хабровчане оставили больше 250 комментариев со своими историями. Спасибо всем, кто поделился опытом);
праздники и масштабные сезонные события (отопительный сезон, диспансеризация);
актуальные события в компании (смена руководства, переезд в другой офис, новые регламенты).
У компании может быть запрос на кастомизированную атаку своих сотрудников — в таком случае информацию собирают с помощью OSINT, или разведки по открытым источникам. В ход идут социальные сети, публикации в СМИ, форумы, игровые платформы, а чтобы автоматизировать поиск цифровых следов, используются утилиты:
Snoop — 1600 сайтов;
Spiderfoot — 350 сайтов;
Sherlock — 350 сайтов;
Whatsmyname — 290 сайтов;
Namechk — 100 сайто
Ручной поиск и обработка такого объема информации заняли бы месяцы.
Вот пример одной из сводок с потенциально реактивными инфоповодами из открытых источников:
Разработка имитированных атак схожа с рекламой еще и кинематографичностью, потому что после сбора инфоповодов специалисты, как уже упоминалось выше, пишут сценарий.
Надавить на правильные триггеры
Если реклама с медведем и детективом заставляет задуматься о внимательности на дорогах, письма имитированных атак воздействуют на более широкий спектр триггеров — спусковых крючков, через которые мошенники побуждают жертвы совершить небезопасное действие. Такие триггеры описывают в сценарии будущей атаки, только актер в нем всегда один, а вместо декораций — рабочий стол.
Письмо имитированной атаки за секунды должно создать через триггер искусственную потребность у жертвы и тут же предложить ее удовлетворить — для этого, конечно, нужно совершить небезопасное действие.
В методологии такие векторы разбиты на восемь групп: шесть векторов, связанных с эмоциями и чувствами, и два усилителя. Например, реклама с детективом и медведем иделаьно подходит для сиреневого триггера.
По этим же векторам сотрудники потом проводят рефлексию после атаки и анализируют эмоции, которые вызвало письмо, чтобы взять паузу и с холодной головой оценить неосознанные реакции. То же мы видим и в роликах, где сразу после «атаки» проводят разбор случившегося.
Есть несколько правил, чтобы имитированные атаки работали эффективно:
Назначать имитированные атаки в среднем один раз в месяц.
Использовать разные дни и время для отправки.
Назначать только новые шаблоны атак на сотрудников (за исключением проверки навыков).
Выбирать актуальные сценарии и штурмить новые идеи.
Использовать разную сложность, в зависимости от опыта сотрудников.
Использовать все психологические и технические векторы.
С частотой отправки все ясно: если рассылать больше двух атак в месяц, можно нарваться на негатив сотрудников и еще больше усложнить с ними коммуникацию, а если меньше двух — будет сложнее держать навык в тонусе.
Но что с остальными правилами? Тем, кто создает имитированные атаки, нужно помнить, что у людей замыливается взгляд и от обычных рутинных дел, и от задач, требующих высокой концентрации.
В примере с баскетболистами мозгу хватило одной математической задачи и 23 секунд, чтобы сбавить нагрузку и не заметить опасности. С рутиной еще сложнее — если ситуация кажется знакомой, мозг почти сразу отключает осознанность и подозрение. «Надо срочно оплатить счет? Я оплачу, это моя работа, тем более рабочий день действительно скоро заканчивается».
Поэтому разные атаки в разные дни помогают вам увидеть настоящую картину осведомленности и не дают сотрудникам терять бдительность.
Не затягивать
Рекламная кампания Awareness Test пришлась на то время, когда в Лондоне умирало больше детей на велосипедах, чем в Швейцарии, Нидерландах, Германии, и некоторых других стран.
За 2023 год мошенники совершили 31 миллион фишинговых атак на россиян, а общий объем похищенных средств от компаний составил 150 миллиардов рублей. И пока фишинг остается одной из основных киберугроз для компаний, вовремя отправленное учебное письмо может помочь сберечь миллионы рублей.
Даже если вся информация на руках и сценарий имитированной атаки уже согласован, его нужно правдоподобно и быстро оформить, потому что самый большой ограничитель в разработке атак — гонка с мошенниками.
В 2021 году в новостях появились первые заметки о разработке вакцины от коронавируса. Для одной компании мы разработали имитированную атаку с призывом вакцинироваться. Часть натренированных сотрудников пометила письмо как нежелательное, а спустя время, когда Спутник V уже запустили, компания получила настоящие письма от мошенников — только в этот раз сотрудники уже были готовы и распознали угрозу. Так мы заранее увидели новую возможность для мошенников и успели предупредить об этом сотрудников.
→ Научить сотрудников видеть медведей
Чек-лист хорошей тренировки на внимательность
У имитированной атаки нет цели запомниться на 16 лет, но оставить эмоциональный отклик она должна, иначе знания не перейдут в навыки. Необязательно запугивать сотрудников, поскольку это может дать обратный эффект и вызвать раздражение.
Лучше всего люди реагируют на вовлекающие активности — как вариант, сотрудникам можно отправить весь плейлист с социальной рекламой Awareness Test (вшитых субтитров на русском нет, но можно настроить внутри перевод через «Настройки → Субтитры → Перевести»).
Если вы сами разрабатываете имитированные атаки для сотрудников, помните о нескольких правилах. Хорошее практическое задание на awareness:
1. Вызывает сильную эмоцию.
2. Незаметно вплетается в мир жертвы и не вызывает подозрений на первый взгляд.
3. Дает четкое побуждение к действию (посчитайте пасы, скачайте файл).
4. Отправлено вовремя.
Все! Теперь вы знаете, почему в Security Awareness нужно удивлять.
