За 2022 год в России утекло более 660 миллионов записей персональных данных. Во всем мире каждый год их утекает до 15 миллиардов. Но даже если утечки случились не у вас, компания все равно может быть под угрозой.
В статье расскажем, как данные из утечек могут помочь злоумышленникам в целевых атаках на вашу компанию, и что можно с этим сделать.
Как утечки повышают эффективность фишинга и увеличивают масштаб атаки
По оценкам Deloitte, 91% всех кибератак начинается с фишинговых писем. По нашим данным, цифра сопоставима — 84% по России.
Массовые фишинговые письма имеют низкую эффективность. Вы все их видели: это получение наследства, выигрыш миллиона в лотерею и быстрый заработок. Их открывают сотые доли процента, потому что письма сразу попадают в папку «Спам».
Но все меняется, если письмо отражает реальные проблемы сотрудников. Например, в исследовании Лаборатории Касперского рассылалось сообщение о сложностях с курьерской доставкой документов. По ссылке в письме перешли 34% получателей.
Чтобы повысить эффективность атаки в десятки раз, злоумышленникам достаточно одного — взять данные из утечек и использовать их в письме.
Утечки дают злоумышленникам тысячи корпоративных адресов для атаки, а персональные данные сотрудников повышают ее эффективность.
В слитых базах собрана вся информация для атаки.
Допустим, в сеть утекли заказы из некоторого сервиса еды. Из них злоумышленник может узнать:
корпоративный адрес сотрудника, который заказывает еду в офис, его имя и фамилию;
когда происходит заказ — например, до обеда в пятницу;
что заказывают — пиццу, бургеры, вок и т. д.;
телефон того, кто встречает курьера;
сколько было заказов, какая регулярность.
С этой информацией легко превратить обычный спам в целевую атаку. В пятницу утром на корпоративную почту придет письмо:
Добрый день, Афанасий Валерьянович!
Спасибо, что являетесь клиентом нашей пиццерии. Мы благодарны вам и дарим купон на скидку 20%. Работает только сегодня, автоматически применится при заказе по ссылке: фишинговая ссылка.
С уважением, пиццерия Мама Вонс.
Такую рассылку можно сделать для тысячи компаний автоматически. И ее успешность будет намного выше, чем у обычного спама.
В имитированных атаках Start AWR (ранее Антифишинг для сотрудников) сотрудники открывают такие письма в 51% случаев. И 40% из них совершают небезопасные действия: переходят по ссылкам, скачивают вложения или вводят данные в форму.
Чтобы провести атаку, не нужно предварительно взламывать вашу компанию и похищать данные. Вся информация уже есть в слитых базах.
Почему атаки по данным из утечек так эффективны
Злоумышленники используют особенности психики человека, чтобы привести его к нужному действию. Самый частый прием — манипулирование сильными эмоциями. Например, фишинговое письмо может обращаться к жадности человека в духе «скидка 50% только сегодня, переходи по ссылке».
Мы разработали модель психологического воздействия цифровых атак, которая описывает, как человек реагирует на атаку, как принимает решение и какие факторы на него влияют.
Нас интересует блок с векторами атаки. Каждый дополнительный вектор повышает эффективность атаки, но требует времени и денег на подготовку.
Если злоумышленники используют только «темный OSINT», т. е. собирают данные о сотрудниках компании из открытых источников, то цена атаки кратно превышает ее эффективность.
Плюс такая атака плохо масштабируется. Допустим, в соцсетях и на сайте компании злоумышленники нашли данные 1% сотрудников. Из 1000 человек фишинговые письма получат 10. Шансы на успех стремятся к нулю.
Когда злоумышленники используют базы из утечек, они получают информацию для нескольких векторов атаки почти бесплатно. При этом они могут автоматизировать создание писем и рассылать их не 10 сотрудникам, а нескольким миллионам в разных компаниях.
Из утечек злоумышленники получают три вектора:
актуальность — потребности сотрудников во время атаки. Как в примере с пиццей: каждую пятницу в обед офис-менеджер делает заказ на всю команду;
атрибуцию — т. е. источника для письма, который подействует на сотрудника. Например, это может быть почтовый адрес начальника;
персонификацию: имя, фамилию, телефон, адрес и другие личные данные сотрудников.
Рассмотрим эти векторы по отдельности.
Актуальность: поиск потребностей и проблем сотрудников в утечках
Злоумышленники предлагают жертве атаки удовлетворение потребностей или решение проблем. В обычном спаме это предложения легкого заработка, знакомств и секса, а также различных марафонов «исполнений желаний», «узнай свою судьбу» и т. д.
Такие атаки редко срабатывают в корпоративной почте, так как актуальные потребности у сотрудника связаны с работой. Например, оформление документов, работа с сервисами, заказ еды в офис. Утечки дают именно их.
Чтобы использовать вектор актуальности в атаке, злоумышленникам достаточно самого факта, что сотрудник или компания использует этот сервис:
утечка сервиса заказа еды — можно предложить скидку, бесплатный заказ, попросить оставить телефон;
утечка у мобильного оператора — предложение новых тарифов, просьба проверить счета за связь;
утечка курьерской службы — предложение оформить пересылку документов, проверить статус отправления, заполнить личные данные;
утечки из банков — обновление информации о компании, уплата налогов для юрлиц, штрафы;
онлайн-сервисы — предложение пройти авторизацию заново.
Злоумышленники часто имитируют сообщения от известных сервисов, например Microsoft Teams, Trello, Jira, Slack. В российском сегменте это может быть Яндекс.Диск, Облако Mail.ru, приложения банков и сервисов доставки еды.
К таким сообщениям обычно прикрепляют зараженный файл. В 2021–2022 годах самым популярным стал зловред Agent Tesla. Он похищает и отправляет злоумышленникам пароли из браузеров, баз данных и почтовых клиентов.
Атрибуция: имитация письма от коллег или контрагентов для повышения авторитета
Атрибуция — это источник, от имени которого злоумышленник обращается к человеку. Это может быть известный бренд, друг, родственник, директор компании или коллега.
Обычно целевые атаки с актуальной атрибуцией происходят уже после похищения персональных данных сотрудников. Но если утечка произошла у вашего контрагента, злоумышленники могут писать сообщения от его имени.
Утечки контрагентов могут использоваться в атаках на вашу компанию.
Больше всего эффективность атак повышает атрибуция под видом коллег или начальства. А вот имитация бренда или обращения от друзей работают менее эффективно.
Мы предполагаем, что письма от брендов пропускаются как реклама, а к личным сообщениям по корпоративной почте большое недоверие. При этом всегда можно написать другу в привычном мессенджере или позвонить по телефону.
С точки зрения реализации атрибуция — самый сложный вектор. Но если есть данные, такую атаку легко усилить с помощью эмоции «страх» и усилителя «срочность». Например, как в письме выше.
У многих первой реакцией будет открыть вложение, если стиль письма и адрес отправителя достаточно похожи на реальные.
Персонификация: повышение достоверности атаки с помощью личных данных
Чем больше личной информации и особенностей сотрудника соберет злоумышленник, тем более успешной получится атака. Единственная проблема — это дорого. По нашим наблюдениям, чтобы повысить эффективность, достаточно обратиться в письме по имени и фамилии.
Имя и фамилия есть почти в каждой утечке. Чаще всего они будут в базах с корпоративными почтовыми адресами. Такая персонификация самая простая в реализации, несмотря на небольшое повышение эффективности. Она отлично работает с другими векторами и добавляет достоверности фишинговым письмам.
Пример фишинговой атаки со всеми векторами одновременно
Под конец месяца сотрудники получают приглашение на созвон с подведением итогов работы. Злоумышленники предлагают заранее проверить звук и видео по ссылке. Она может вести на форму ввода логина корпоративного мессенджера, напрямую скачивать зловред или просить доступ к камере и микрофону.
Здесь злоумышленники используют все векторы атаки:
повышают актуальность с обещанием повышенной премии по результатам созвона;
отправляют письмо якобы от руководителя отдела, со всеми личными данными;
обращаются по нику в начале письма.
Данные из утечек для такой атаки злоумышленник найдет в два этапа. На первом соберет базу корпоративных адресов и сотрудников, на втором узнает организационную структуру, т. е. кто кому подчиняется.
Последнее, что нужно злоумышленнику, — узнать, какой сервис видеосвязи использует компания. Эту информацию достаточно легко получить из открытых источников или можно сходить на онлайн-собеседование.
По нашим тестам при получении такого письма по ссылке переходят от 20 до 70% сотрудников. Эффективность зависит от компании.
Как защититься от фишинговых атак по утечкам
Традиционно считается, что для защиты от утечек нужны DLP-системы. Но такие системы не смогут защитить вас от фишинговых атак по чужим утечкам.
Поэтому для повышения защиты нужно обучать и тренировать сотрудников. Как это делают обычно и как сделать это максимально эффективно?
Допустим, компания провела серию вебинаров по фишингу. На них служба ИБ разобрала несколько известных атак, показала примеры писем и дала советы, как действовать, если такое письмо оказалось в почте.
По нашим данным, после такого обучения в течение целого года свое поведение поменяют только 9% сотрудников. И это не гарантирует, что они правильно отреагируют во время самой атаки.
Чтобы сотрудники на практике стали действовать безопасно, обязательно нужны имитированные атаки. Тогда сотрудники будут приобретать навык на основе личного опыта и реального взаимодействия с атаками.
Мы разработали специальную методику проведения имитированных атак. Правильный процесс обучения и тренировки состоит из теории, практики, мотивации, контроля навыков и обратной связи сотрудникам.
Шаг 1: первичное тестирование и контроль результатов
Мы отдельно проводим обучающие атаки и атаки для замера результатов обучения.
Чтобы сделать срез знаний, первая имитация атаки должна проводиться в полной секретности. О ней знают 2–3 человека, которые сами рассылают письма и собирают результаты.
По ней мы определяем уровень защищенности компании и классифицируем сотрудников по группам риска. Например, особо выделяем сотрудников, которые выполнили все заложенные небезопасные действия из письма.
В середине процесса мы контролируем результаты с помощью атак, похожих на самую первую, которую отправляли до начала обучения.
Шаг 2: мотивация
Защита компании сильно снижается, если сотрудники игнорируют курсы, не сдают тесты и проваливают большую часть атак.
Всем сотрудникам перед началом обучения мы рассылаем мотивирующую рассылку. Она рассказывает, почему навыки противодействия кибератакам так важны компании. Отдельно на развитие мотивации мы проводим вебинары и дополнительные активности. Также элементы мотивации включены в курсы и систему.
Если вы сейчас проводите обучение или задумываетесь о нем в будущем, мы подготовили руководство, как повысить мотивацию сотрудников. В нем есть шаблоны сообщений, которые можно использовать в корпоративных новостях, рассылке или на внутреннем портале компании.
Шаг 3: теория
Мы рекомендуем отправлять новых сотрудников, добавленных в систему, на обучение в первый месяц. И обучать сотрудников ежеквартально минимум одному курсу.
Шаг 4: практика — имитированные атаки
Мы рекомендуем проводить по одной имитированной атаке в среднем каждый месяц. Чтобы научиться правильно реагировать на фишинговые письма, сотрудник должен увидеть от 12 до 24 имитированных атак за год.
После такого обучения снижается и открываемость фишинговых писем и процент небезопасных действий, а количество репортов писем в отдел безопасности увеличивается.
Шаг 5: обратная связь и анализ действий сотрудников
По данным наших клиентов, тренировка навыков проходит в 2 раза успешнее, если после совершения небезопасного действия сотрудник получает моментальную обратную связь: что он сделал неправильно, на какие триггеры опасности стоило обратить внимание в письме и что нужно делать при получении таких писем.
Бывает, что сотрудник саботирует обучение. В таких случаях мы рекомендуем:
отправить напоминание, если сотрудник не прошел курс вовремя или не сдал тест;
поговорить с ним. Лучше, если беседу проведет HR-служба или руководитель отдела, в котором сотрудник работает;
если после разговора поведение не изменилось, то назначить административное наказание в соответствии с политикой компании;
оформить дополнительное соглашение к трудовому договору, если в компании нет выстроенного процесса обучения. В нем явно указать, что обучение теперь часть работы;
заложить время на обучение, чтобы сотрудники не чувствовали, что обучение забирает время и мешает им выполнять рабочие задачи.