Привет! Это Олег, специалист по информационной безопасности. В этом тексте расскажу, как и зачем компании пытаются подловить своих сотрудников, покажу реальные примеры. Погнали!
Сколько ни пиши статей в интернете, с инструкциями, с примерами, сколько не объясняй людям — ну не кликай ты, не кликай на эту ссылку/вложение — все равно кликают, а потом удивляются последствиям. Компании с развитым ИБ-штатом уже давно пытаются справиться с эпидемией фишинга тестовыми рассылками для сотрудников, которые имитируют такие письма. Получается иногда забавно, иногда стремно. Об этом и поговорим.
История из жизни
Несколько лет назад я работал в достаточно крупной государственной организации (не буду ее называть, но, скажем так, в новостях вы время от времени про нее слышите). Встала проблема фишинга. Гендир собрал в зуме все руководство, менеджеров, объявил им: мол, посовещался с отделом информационной безопасности (ИБ), и решили устроить тестовый месяц фишинга, имейте в виду, потом отчитаетесь, кто из сотрудников попался, проведем для них специальный тренинг.
Проходит неделя, все как обычно, работаем. Время от времени в почтовый ящик падают такие, довольно небрежно сделанные, письма якобы от руководства с требованием срочно перейти по ссылке или открыть вложение — ну мы с коллегами только рофлим. Проходит еще пара дней — и мы узнаем, через разговоры в курилке, что на этот фальшивый коряво сделанный фишинг попалась замруководителя, у которой вся финансовая и кадровая инфа по организации. Которая присутствовала на этом самом собрании в зуме.
О чем нам говорит эта история? Прежде всего о том, что ИБ-тесты на фишинг нужны, потому что люди реально на них попадаются. Даже руководители (это подтверждается и другими исследованиями). Что эта угроза реальна и нужно с ней работать.
Коллеги из других компаний сообщают, что у них тестовый фишинг практикуется в разных, иногда достаточно креативных формах. Иногда это письмо о том, что там нужно пройти какой-то опрос обязательно по проверке безопасности. Или под видом расчетных листов (которые присылает бухгалтерия после получения ЗП). Или, допустим, письмо было без предупреждения с названием, которое похоже на обычный внутрикорпоративный контент, но не совсем — без стандартной подписи, внутри были ссылки на внешние ресурсы, был запрос на действие, не связанное напрямую с рабочими обязанностями.
Все еще популярен жанр письма от самого руководителя компании — здесь тревожность от такого высочайшего внимания обычно застилает глаза, чтобы понять, что это фишинг. В любом случае при тестовом фишинге проверка идет на внимательность: правильный ли E-mail отправителя, есть ли ошибки в должности или имени, подозрительна ли ссылка, на которую переходишь, и так далее.
Получается, правда, не у всех удачно.
Рассмотрим несколько занимательных примеров
Праздничная премия с подвохом
В 2020 году перед Рождеством сотрудники GoDaddy получили рассылку о том, что год для компании был рекордным, и каждому из них будет выплачена специальная премия в размере $650. Составители письма для большего доверия использовали и контекст ковидного локдауна: в послании было сказано, что эта премия будет компенсацией за отсутствие ежегодного корпоратива.
Через пару дней все, кто кликнул на ссылку в письме — более 500 человек — получили письмо от ИБ-отдела компании, что вместо премии, которой не существует, они теперь будут обязаны повторно пройти тренинг по противодействию социальной инженерии.
Излишне говорить, насколько были «рады» такой заботе со стороны руководства сотрудники, уже запланировавшие, на что потратить премию.
Похожая история произошла в апреле 2022 года, когда Орегонский госпиталь разослал сотрудникам фишинговый e-mail, в котором при переходе медработники видели обещание вознаградить их за тяжкий труд по борьбе с ковидом в размере $7500.
В реальности в период двухлетней бесконечной смены — во время которой у многих получивших письмо умерли от ковида родственники и коллеги — госпиталь таких щедрот не проявлял. Поэтому многие «провалившие» фишинговый тест сочли его издевательством и циничным надругательством над их надеждами на что-то хорошее со стороны руководства.
Очень серьезное отношение
Некоторые конторы сильно увлекаются темой тестового фишинга и относятся к его результатам слишком серьезно, прямо на грани с неэтичным поведением.
Как думаете, когда вам присылают фишинговые письма при собеседовании на новую работу, это еще нормально?
А когда — в случае провала такого теста — ваше фото вывешивают на всеобщее обозрение на Стену Позора (Wall of Shame)?
А если за провал такого теста вас увольняют?
Насколько вообще все это эффективно?
Честно говоря, есть некоторые сомнения.
Университет Сан-Диего в 2025 году провел исследование, проанализировав поведение почти 20 тысяч офисных работников на протяжении 8 месяцев эксперимента с тестовым фишингом. Оно показало — количество реальных инцидентов сократилось всего на 2%, в пределах статистических колебаний.
Более того, была выявлена прямая зависимость (см. диаграмму ниже): чем дольше шла кампания по тестовому фишингу, тем больше людей на нее попадались. Исследователи делают из этого довольно мрачный вывод, что «при достаточном времени и усилиях злоумышленники, скорее всего, смогут обмануть большую часть сотрудников организации, в том числе тех, которые сумели избежать фишинга ранее».
Еще одно исследование Университета Цюриха вообще пришло к парадоксальному выводу, что корпоративный тестовый фишинг может повышать количество реальных инцидентов, так как у сотрудников формировалось ощущение ложной безопасности, и они принимали реальный фишинг за тестовый и просто хотели посмотреть, что там для них написал отдел ИБ.
Следует ли из этого, что нужно перестать делать тестовый фишинг?
Конечно нет. Да, люди продолжат упорствовать и совершать ошибки, кликать на «письма счастья» и легкомысленно относиться к предупреждениям ИБ — но это как раз задача отдела информационной безопасности, просвещать и терпеливо взращивать в сотрудниках цифровую осведомленность. В конце концов, систематическое обучение антифишингу еще достаточно молодая дисциплина, которая пока просто не принесла свои плоды.
При работе с сотрудниками, санкции, судя по всему, неэффективны, они приведут только к скрытности и негативу. Не говоря уже о том, что на фишинг попадаются в одинаковой степени и руководители, и рядовые работники, поэтому такие меры будут выглядеть лицемерно.
А вот какая-нибудь позитивная мотивация (например в виде символического бонуса для самого внимательного) могла бы быть кстати. Нужен баланс: гуманные, регулярные тренинги + честная обратная связь и доверие.
Спасибо что прочитали! Расскажите, было ли у вас в компании подобное и кликали ли вы сами на «письма счастья» от ИБ?
Реклама ООО «ДДОС-ГВАРД», ИНН: 9204005780, erid: 2VtzquoM1dg
