Ликбез для ритейла: как обучить сотрудников киберграмотности

Сергей Волдохин, директор компании Антифишинг, рассказал, почему фишинг остаётся одним из самых популярных приемов хакеров против клиентов и сотрудников ритейла, и как с этим бороться.



Ритейл под киберогнём

По данным Group-IB, ритейл — на втором месте в числе наиболее атакуемых отраслей, уступает только производственным предприятиям. За ними следуют государственные учреждения, здравоохранение и строительство. С точки зрения атак на клиентов ритейла, большинство фейков приходится на сайты, продающие электронику, бытовую технику и брендовую одежду. С июля 2019 по июнь 2020 компания выявила и заблокировала на 118% больше фишинг-ресурсов, чем в предыдущем отчетном периоде.

Из данных компании «Валарм» следует, что число атак на корпоративный сектор и производства вырос в 1,9 раза, электронной коммерции — в 2,3 раза. Потери российской экономики от киберпреступности при этом по данным Сбербанка по итогам 2020 года могут достигнуть 3,5 трлн руб. 

Пандемия COVID-19 привела к росту не только онлайн-торговли и популярности интернет-сервисов, но и количества киберпреступлений. Это связано, в том числе, с переходом сотрудников на удаленную работу, что ведет к увеличению поверхности атаки и общему снижению уровня защищенности, как рабочих мест, так и корпоративных систем, которые приходится открывать для доступа извне.

Согласно проведенному нами исследованию, 86,4% россиян в этом году сталкивались с кибератаками, и наиболее эффективными методами обмана остаются фишинговые письма. 


Охота на данные

Первый шаг мошенников — получить доступ к внутренним ресурсам компании, и для этого они чаще всего используют фишинг. Далее преступники либо постараются получить доступ к базе данных с информацией о клиентах, либо заразят системы шифровальщиком, чтобы потребовать выкуп в обмен на возобновление операционной деятельности. О случаях шифрования компании-жертвы предпочитают не распространяться. А вот утечки данных неизбежно становятся объектом внимания СМИ, когда украденные базы выставляют на продажу в сети.

Пара громких подобных эпизодов в ритейле связаны с американскими национальными сетями Target и Macy’s. В первом случае злоумышленники заполучили данные около 40 миллионов банковских карт. Количество украденных записей Macy’s не сообщается, зато известно о решении суда в июле 2020, по которому ритейлер выплатит пострадавшим $192000. И не забудем о репутационном ущербе.

Другой недавний пример — крупнейшая чилийская сеть ритейла Cencosud, работающая на территории половины стран Латинской Америки и имеющая доход в 2019 году в 15 млрд. долларов, которая в ноябре 2020 стала жертвой вымогателя. В результате атаки были зашифрованы устройства в розничных точках Cencosud, что привело к отказу ряда сервисов, к примеру, невозможности оплаты товаров банковскими картами. Новой неприятной особенностью шифровальщика стала распечатка записки с требованием выкупа на всех доступных в атакованной сети принтерах — видимо для того, чтобы руководство компании-жертвы не могло скрыть факт атаки ransomware:



В 2019 году СМИ сообщили об обнаружении базы, содержащей более 450 тысяч аккаунтов пользователей Ozon. Интернет-магазин утечку не подтвердил, но отправил потенциально затронутым пользователям письма с информацией о сбросе паролей и необходимости обновления антивирусного ПО.

А в начале 2020 года в России стало известно о появлении в открытом доступе данных сетей «К-Руока» и «К-Раута», которые развивала финская Kesko. База содержит более 970 тысяч строк с данными клиентов, включая ФИО, дату рождения, телефон, электронную почту, город и район проживания, количество человек в семье.


Фишинг к нам приходит

По наблюдениям «Лаборатории Касперского», в предновогодний период в зоне особого риска находится именно ритейл. Мошенники пользуются тем, что сотрудники перегружены, и их бдительность снижается. Под видом легальной деловой переписки людям могут прислать письма с вредоносными вложениями в форматах MS Word и Excel. Сотрудник компании может получить предложение посмотреть обновленный каталог партнёра или сверить данные по логистике. 

Жертвами могут быть и сотрудники бухгалтерии, которым также могут отправить зараженный файл или заманить на внешний сайт под предлогом важной информации по налоговым вычетам. Опасные вложения могут маскироваться под счета или обновленные реквизиты — оплата такого счета или замена реквизитов может дорого обойтись в прямом смысле слова.

Во всех подобных случаях решающее значение имеет человеческий фактор. На 100% защитить сотрудников и компанию от подобной социальной инженерии техническими средствами невозможно. Антивирус никак не отреагирует, если сотрудник решит ответить на письмо или заменить реквизиты в рамках своих должностных обязанностей.

---

Читайте также: Сбербанк предупреждает об активности мошенников в конце новогодних каникул

---

Какие методы обучения сотрудников возможны?

Обеспечение информационной безопасности в организациях – комплексная задача. От специалистов ИБ требуются не только технические навыки, но и понимание логики действия мошенников, а также наиболее вероятной реакции коллег на цифровые нападения. Защита от фишинга обеспечивается комплексным обучением персонала всех уровней. Причём, показать обучающее видео недостаточно. Злоумышленники используют весьма изощренные техники, которые иногда пропускают даже специалисты по кибербезопасности. Впрочем, базовые правила никто не отменял:

● не переходить по ссылкам из переписки
● не открывать вложения, которые вы не ждёте
● при любых подозрениях незамедлительно консультироваться со службой безопасности

Для уменьшения рисков необходимы регулярные тренинги для персонала, на которых они ознакомятся со всем разнообразием приёмов мошенников, чтобы легче распознавать разные виды фишинга. После чего полученные знания можно проверить тестированием, а также проведением запланированных учебных атак, которые покажут, насколько сотрудники готовы к неприятностям в реальной жизни, а не в учебном кабинете.

С сотрудниками будет полезно проводить разбор возможных цифровых атак, который позволит повысить эффективность обучения по распознаванию мошеннических нападений и правильным действиям при их обнаружении. При выстраивании грамотной системы обучения ИБ в своей компании нужно руководствоваться ключевыми идеями: 

1. Устойчивость компании к цифровым атакам определяется не только функциональностью технических средств защиты, но и уровнем подготовленности персонала. 

2. Теоретические знания о цифровых атаках не всегда помогают противостоять реальным случаям кибернападений. 

3. Обеспечить эффективную защиту от цифровых атак может только сочетание знаний принципов информационной безопасности и навыков их применения, отработанных на близких к настоящим атаках. 

4. Проверить результативность тренировки сотрудников можно с помощью тестирования. Оно также выявит «слабые звенья», для которых необходимо повторное обучение. 

5. Чтобы сохранять мотивацию, сотрудники должны понимать конечную цель обучения и тренировок, а также их личные бонусы.

Сергей Волдохин, 
директор компании Антифишинг

Для New Retail