Менеджеры среднего звена — основные жертвы фишинга

Фишинговые атаки признаны одной из наиболее серьезных проблем для компаний. Почти половина сотрудников сразу открывают фишинговое сообщение, однако, в противоположность сложившемуся мнению, основной целью фишеров являются не руководители. По данным  ИБ-компании Proofpoint, злоумышленники предпочитают менеджеров среднего звена, которые чаще всего завалены работой и выполняют несколько задач одновременно.

Кевин Эпштейн (Kevin Epstein), вице-президент Proofpoint, называет 2014 год «годом, когда фишеры сконцентрировались на компаниях», — злоумышленники раскусили, что это более выгодно, чем в случае с частными лицами.

Для исследования тенденций в Proofpoint проанализировали более миллиона электронных писем и сообщений в соцсетях, которые пришли в адрес корпоративных пользователей за последний год. Для этого использовалась технология, точно определяющая сотрудника, нажавшего на злополучную ссылку. Компания не имела доступа к почте или данным, но знала должности пользователей. Оказалось, что показатель CTR (коэффициент кликабельности) вредоносных ссылок, попавших в почту сотрудников среднего звена в ходе фишинговых кампаний, в 2014 году увеличился вдвое по сравнению с 2013 годом, когда менеджеры еще не были основной целью фишеров.

Специалисты Proofpoint считают, что менеджеры попали под прицел потому, что по долгу службы им приходится быстрее обрабатывать входящую почту, а также получать в свой адрес более «убедительные» сообщения — например, о доставке товара или неоплаченном счете. Более того, сотрудники среднего звена быстрее кликают на вредоносные сообщения: в 2013 году 40% менеджеров открыли зараженное сообщение в течение рабочего дня, а еще 25% — в течение первой недели с момента получения. В 2014 году уже двое из трех сотрудников открыли фишинговое сообщение в течение дня, притом обычные сотрудники кликали на вредоносные ссылки в два раза чаще, чем руководители. Если вредоносную ссылку открыли в течение суток с момента получения, ИБ-сотрудникам приходится действовать крайне быстро, иначе всего через несколько часов после установки зловреда хакеры начнут орудовать в ИТ-системах компании.

С тем, что фишеры в последнее время нацелились на корпорации, согласен и Стю Сьюверман (Stu Sjouwerman), CEO консалтинговой компании KnowBe4, специализирующейся на тренингах по безопасности. «Причина того, что CTR вредоносных ссылок у менеджеров среднего звена вырос за последний год, понятна: сотрудники этого уровня обычно получают 100–200 писем в день, тогда как средний показатель по всей компании составляет 40 email-сообщений», — объясняет он.

Фишеры наловчились проводить кампании именно в то время дня, когда email-трафик интенсивнее всего и вероятность принять фишинговое сообщение за легитимное в спешке возрастает. Любимое время злоумышленников — утро вторника: количество кликов на вредоносные ссылки на 17% выше, чем в другое время дня, как показало исследование Proofpoint. Также сотрудников сбивают с толку вложения вроде факсов или срочных голосовых сообщений. Также, по мнению Сьювермана, очень эффективна тактика поддельных сообщений от сотрудников ИТ-отдела с просьбой сменить пароль.

Несмотря на неутешительную статистику, менеджеры среднего звена в большинстве случаев — просто первые жертвы атаки, нежели ее цель. В KnowBe4 уверены, что злоумышленники, добравшись до базы электронных адресов какой-либо компании, просто делают веерную рассылку в надежде, что кто-то попадется на удочку. Так получается, что в наибольшем стрессе на работе пребывают обычные «рабочие пчелы», быстро кликающие на все, что попадает в почтовый ящик, не задумываясь о том, что это может быть уловка. Кроме того, мошенники не ограничиваются одним сообщением: они зачастую шлют несколько писем, ведь, по данным отчета Verizon за 2015 год, кампания из десяти последовательных сообщений на 90% увеличивает вероятность того, что хотя бы один адресат кликнет на ссылку. Уставшие от такой «настойчивости» отправителя, менеджеры в итоге нажимают на ссылку или открывают вредоносное вложение, чтобы остановить поток корреспонденции.

Хотя все отделы организации попадают под прицел фишеров, по данным Proofpoint, чаще всего попадаются на их уловки отделы финансов, продаж и снабжения — на 50–80% чаще, чем коллеги. Это неудивительно: именно они имеют дело со счетами, платежными документами и денежными переводами. В отчете Vtrizon, однако, основными жертвами значатся сотрудники отдела связей с общественностью, юристы и менеджеры по работе с клиентами.

Компаниям остается только одно: максимально защитить всех своих сотрудников, вне зависимости от должности, от фишинга. Сьюверман рекомендует уделить время тренингам, в ходе которых демонстрируются различные методы фишинговых атак. Также организациям не следует забывать о безопасности на уровне межсетевого экрана, сети, компьютера, приложений и данных. Для защиты конечных точек также нужно использовать принципы белых списков.

«Недостаточно использовать только антивирус: при атаках с использованием программ-блокеров антивирус не всегда видит вредоносный файл, так как последний, например, «сидит» внутри безобидного на вид zip-архива. Тактики социнженерии заставляют самих людей открывать такие файлы, и эту проблему нельзя решать только при помощи технологий», — предупреждает он.

Представители Proofpoint также подтверждают, что программы повышения осведомленности об информационной безопасности должны уделять особое внимание сотрудникам среднего звена, которые чаще всех становятся жертвами мошенников. Кроме того, нужно разрабатывать специальные политики безопасности для тех отделов, которые наиболее уязвимы для атак.

Источник: Threatpost