Это обнаружилось в проведенном Альянсом цифровой безопасности (DDA) и аудитором информационной безопасности IT Centrs эксперименте с использованием методов социальной инженерии.
В ходе теста была симулирована фишинг-атака с использованием публично доступной в Интернете информации о предприятии и различных разыгранных в электронных письмах сценариев: заявка о приеме на работу, покупка услуг, просьба проверить безопасность паролей или авторизоваться на других интернет-страницах. В электронных письмах получателям предлагалось загрузить приложения или файлы из Интернета.
"В проведенном нападении мы использовали простой и популярный среди хакеров вид атаки: сотрудник получает вроде бы невинное электронное письмо, в котором в худшем случае можно нажать на зараженную ссылку или даже отдать свой пароль", ‒ поясняет руководитель Альянса цифровой безопасности Марта Криваде.
В итоге на восьми предприятиях из десяти как минимум один сотрудник открыл рекомендованную в полученном электронном письме ссылку, что потенциально создает возможность проникновения в компьютер зловредной программы. В двух случаях сотрудники перешли по "подозрительной" ссылке или открыли "зараженный" файл, позволив "заразить" свой компьютер зловредным ПО.
"Насколько слабо самое уязвимое звено цепи, настолько сильна защита предприятия в целом. Лишь два предприятия из десяти выдержали тест ‒ сотрудники не повелись на ненастоящие электронные письма. Многие руководители предприятий даже не осознают, насколько просто при помощи поддельных электронных писем получить доступ к сенситивным данным предприятия, к его системам, информации о партнерах и клиентах, а также зашифровать данные, чтобы затем вымогать деньги за их расшифровку", ‒ рассказывает основатель и ведущий консультант компании IT Centrs Агрис Крустс.
Отметим, что атаки с использованием методов социальной инженерии доступны даже школьникам. В т.н. "темном интернете" есть специальные интернет-аукционы, на которых продают простейшие вирусы и механизмы загрузки троянов, кейлогеров и шифраторов. Обладая элементарными компьютерными навыками и не слишком большой суммой денег, можно собрать себе вирус из "конструктора" и использовать его для атак на выбранные цели через обычную электронную почту.
В данном случае это было согласованное с предприятиями и специально разработанное, безопасное и контролируемое нападение, в результате которого фирмы получают рекомендации о том, как обучить сотрудников безопасному поведению в цифровой среде. Однако завтра это может быть уже настоящая атака с не менее настоящими последствиями.
