Общество13 сентября 2021 19:50

Мы вам писали: 35% участников эксперимента «Комсомолки» не прошли проверку на кибербезопасность

К счастью, фишинговые письма, которым они поверили, были смоделированы с помощью обучающей программы

Фото: Shutterstock

Тихая преступность

Если поздно вечером в темном переулке вам навстречу двинется верзила со злобным выражением лица, вы наверняка заподозрите, что дело пахнет криминалом, и примете меры, чтобы спасти свой кошелек или жизнь. Хотя бы закричите «Караул» и попытаетесь сбежать, пока не поздно. К сожалению, у современной преступности есть и другие обличья, и распознать коварные замыслы стало гораздо труднее.

По данным Следственного комитета России, за последние 7 лет количество киберпреступлений – совершенных с использованием информационно-телекоммуникационных технологий или в сфере компьютерной информации, – увеличилось более чем в 20 раз. Только в 2020 году рост составил 73,4 процента!

Раскрывать такие преступления очень сложно: вместо улик, отпечатков и примет преступников часто есть только письма в электронной почте. Выход один: наращивать уровень знаний и бдительности быстрее мошенников. Но способны ли мы вспомнить умные советы по кибербезопасности в тот самый момент, когда они нужнее всего? Чтобы разобраться в этом, «Комсомолка» решилась на эксперимент в собственном коллективе.

«Здравствуйте, вам штраф!»

В «Комсомольской правде» работает несколько сотен человек. От курьеров до редакторов, от бухгалтеров до айтишников. Постарше, помоложе, мужчины, женщины, те, кто по работе каждый день имеет дело с интернетом и информацией, и те, кто заходит в сеть только для того, чтобы уточнить прогноз погоды на даче… Одним словом, не просто коллектив, а модель страны в миниатюре. Так что экзамен на знание основ кибербезопасности мы тоже решили смоделировать в собственных рядах.

И – в качестве эксперимента – тайно отправили 158 нашим коллегам фишинговые письма. Это одна из самых распространенных уловок кибермошенников.

Фишинговое письмо

Фишинговое письмо

Фишинговые письма имитируют сообщения известных организаций и сервисов. Их главная цель – «выманить» из человека личные (или корпоративные) данные, которые мошенники смогут использовать для получения прибыли. Для этого в письма включаются ссылки на поддельные сайты, призывы – под благовидным предлогом – ввести свои логины и пароли, предоставить номер паспорта и так далее.

Наша экспериментальная рассылка, к счастью, была абсолютно безопасной: ее смоделировала специальная обучающая платформа Security Awareness, которую летом этого года запустил МегаФон.

«МегаФон Security Awareness» помогает работодателям научить сотрудников эффективно противодействовать киберугрозам и тем самым защититься от возможной потери данных и денежных средств. С помощью этой платформы можно не только проверить бдительность коллектива, но и провести курсы по кибербезопасности.

Участники эксперимента «КП» получили разные варианты сообщений: одним пришло уведомление о штрафе, другим – просьба подтвердить запрос на удаление почтового ящика или архива документации за прошлый год – ну у какого бухгалтера не дрогнет сердце при виде такой имейла?!

Все письма – для большего сходства с фишинговыми – так же, как у мошенников, имитировали уведомления от реальных сервисов или государственных структур: вплоть до «иконки» в строке с адресом отправителя. Правда, адреса и ссылки немного отличались от настоящих…

Но, признаем честно: кто из нас проверяет такие нюансы, вглядываясь в каждый значок или букву? А ведь надо бы – по нынешним-то временам.

Словом, результаты «экзамена» оказались вполне показательными: 35 процентов участников эксперимента не только открыли подложные письма, но и перешли по ссылкам, которые в них были. А каждый шестой оставил свои личные данные на мошеннических интернет-страницах!

Причем уровень доверчивости никак не зависел от должности: корреспонденты «КП» (которым часто приходится писать о криминале) реагировали на письма с той же частотой, что секретари или менеджеры.

Фото: Иван МАКЕЕВ

Справедливости ради отметим, что сотрудники «Комсомолки» избалованы хорошей работой антиспам- и других защитных систем: мы привыкли к тому, что в наши почтовые ящики попадают, как правило, только настоящие, «правильные», письма. А ведь у многих российских компаний дела обстоят по-другому, и доверчивость сотрудников может обойтись им очень дорого. Откуда же она берется и почему мы так редко проверяем свои «входящие», прежде чем отреагировать на них?

– Это достаточно сложный вопрос, с одной стороны, а с другой – легкий, – комментирует руководитель по облачным платформам и инфраструктурным решениям МегаФона Александр Осипов. – Действительно, ничего не стоит включить рациональное мышление и потратить полминуты времени на то, чтобы проверить адрес: знаете ли вы этого человека или нет? Но многие люди просто забывают или ленятся. У нас есть привычка – открывать письма, которые мы получаем регулярно.

К тому же у мошенников сейчас появились более изощренные тактики социальной инженерии. И это тоже играет на руку киберпреступникам.

– Киберпреступники используют уведомления, похожие на письма от сервисов, которыми вы пользуетесь, – например, ZOOM. Или это может быть письмо от налоговой, Госуслуг, – продолжает Александр Осипов. Если атака происходит на организацию, то вы можете получить письмо от «генерального директора» или «банка», который является держателем зарплатного проекта компании. Словом, что-то похожее на то, с чем вы сталкиваетесь ежедневно. Всегда найдется процент людей, который нажмет на ссылку.

Цена доверчивости

Чем может обернуться готовность предоставить свои личные данные – от фамилии и номера паспорта до логинов и паролей – мошенникам? Как минимум, риском потери денег.

Александр Осипов, руководитель по облачным платформам и инфраструктурным решениям МегаФона

Александр Осипов, руководитель по облачным платформам и инфраструктурным решениям МегаФона

Фото: Иван МАКЕЕВ

– Во-первых, любые данные о человеке могут стать дополнительной возможностью получить еще больше информации, – напоминает Осипов. Некоторых данных достаточно, например, чтобы оформить на вас микрозайм. А потом к вам будут приходить коллекторы и «выбивать» деньги, которые вы на самом деле не брали. И даже если вы это докажете, для вас это все равно будет ресурсозатратно и нервно.

Для бизнеса риски еще существеннее, чем для частных лиц. С нарушениями информационной безопасности со стороны сотрудников уже столкнулось 88 процентов российских компаний, говорится в исследовании SearchInform. Каждый третий инцидент привел к финансовому ущербу.

В теории все сотрудники должны знать хотя бы элементарные правила «цифровой гигиены». А на практике… Все призывы к осторожности слишком часто тонут в потоке рутины и череде авралов. Именно поэтому появление таких обучающих платформ, как Security Awareness, стало долгожданной инновацией.

Во-первых, потому что поможет проверить бдительность коллектива на практике – симулировав фишинговую атаку и посмотрев, кто охотнее всего поддается на лживые письма мошенников. После этого оценить общий уровень знаний информационной безопасности, объяснить сотрудникам, чем могла обернуться их доверчивость для них самих и для всей компании, и провести дополнительное обучение. На примерах в виде открытых сообщений и оставленных данных беседа окажется гораздо убедительнее…

А во-вторых, например, «МегаФон Security Awareness» аккумулирует порядка 60 различных обучающих курсов по кибербезопасности, «заточенных» под разные виды бизнеса – от финансовых организаций до промышленности. Можно выбрать для своего коллектива именно те, которые лучше всего отражают специфику бизнеса, или и вовсе заказать индивидуальные, под ключ.

– Это такое постоянное соревнование брони и снаряда. То есть чем больше люди пользуются цифровыми сервисами, тем чаще они сталкиваются с проблемами кибербезопасности: с хакерами или мошенниками. В то же время растет понимание, что нельзя доверять незнакомым людям, – напоминает Александр Осипов.

И дает контрольный совет всем, кто каждый день пользуется десятками сайтов, приложений, интернет-магазинов и так далее:

– Не забывайте чаще менять пароли и не используйте один пароль для разных сервисов!

Смотреть видеосюжет
Кибербезопасность: эксперимент показал, насколько доверчивы сотрудники
Кибербезопасность: эксперимент показал, насколько доверчивы сотрудники