Киберпреступники ставят на человеческий фактор
Как подчеркнул сооснователь и генеральный директор компании "Антифишинг" Сергей Волдохин, в ходе современных цифровых атак, как на частных лиц, так и на компании, сложные инструменты если и применяются, то крайне редко. Злоумышленники добиваются своего с помощью телефонных звонков, сообщений по электронной почте и в мессенджерах, а также с помощью нехитрых способов добиваются от потенциальных жертв того, чтобы они открыли нужную им ссылку или специальным образом составленный документ. И эти методы принципиально не меняются уже в течение многих лет, но они продолжают работать. Примером тому компрометация данных клиентов "Фридом Финанса", вызванная успешной фишинговой атакой на одного из сотрудников.
При этом в 2020 г. в ходе перехода на удаленный режим работы ситуация, как отметил Сергей Волдохин, существенно ухудшилась, и только в 2021 г. начались изменения в лучшую сторону. А в последний месяц фишинг активно применяется в качестве средства доставки шифровальщиков в ходе политически мотивированных атак на российские компании, в том числе и те, которые раньше никогда не подвергались такого рода посягательствам.
Как правило, злоумышленники эксплуатируют страх, невнимательность, раздражение, любопытство, жадность или желание помочь. В качестве своего рода усилителей используют срочность или авторитет (например, известных компаний и банков, под видом акций которых пользователей социальных сетей заманивали на фишинговые сайты медийных персон, руководителей компаний, представителей правоохранительных органов или служб безопасности). Тут, как отметил Сергей Волдохин, в ряде случаев злоумышленники использовали технологию дипфейк. Так, в ходе одной из кампаний использовался ролик с участием якобы Олега Тинькова. Также в ОАЭ имела место кража $35 млн, когда преступники подделали голос руководителя компании.
При этом большая часть технических средств и политик безопасности против методов фишинга малоэффективна или вовсе не дает никаких результатов. Сотрудников необходимо обучать, причем делать это правильно. Если подходить к обучению формально, то результатов оно не даст. Необходима ориентация на реальную практику. Хороших результатов позволяют добиться и киберучения, особенно если они проходят в условиях, максимально приближенных к реальной атаке. Именно так до сотрудников проще всего донести, какие ошибки они допускают и как нужно поступать правильно.