The 6 Biggest Email Security Risks for Enterprise

6 рисков для безопасности корпоративной электронной почты

6 рисков для безопасности корпоративной электронной почты

Каждая компания должна обеспечить надежную защиту конфиденциальной информации. Эта задача особенно важна для тех, кто ведет бизнес главным образом в интернете. Для защиты информации, безусловно, требуется программное обеспечение (брандмауэры, антивирусные программы и т. д.), но без вовлеченности сотрудников ни одна стратегия обеспечения безопасности не будет успешной. 

Когда сотрудники должным образом проинформированы об угрозах безопасности и своей роли в их предотвращении, они способны сформировать своего рода «человеческий брандмауэр», который обеспечивает надежную защиту современного бизнеса от растущего числа угроз. Если компании пренебрегают такой возможностью, они не просто теряют шанс защитить своих сотрудников, но и подвергают свою компанию огромному количеству рисков. 

На начальном этапе ваша компания должна быть готова к 6 угрозам безопасности электронной почты. Следуйте нашим рекомендациям, мотивируйте сотрудников противодействовать этим угрозам.

1. «Письма счастья»

Письма счастья могут быть самыми разными. Многим из нас знакомы эти странные сообщения, которые сулят семь лет несчастий, если не переслать письмо всем своим знакомым. Однако некоторые такие письма далеки от безобидной шутки. 

Например, исходный отправитель письма может выдавать себя за сотрудника вашего ИТ-отдела, а само письмо может оповещать о необходимости удалить неиспользуемые лицензии на программное обеспечение. При этом текст письма обещает, что действие вашей учетной записи электронной почты или вообще всей лицензии Office 365 будет прекращено, если вы не ответите на сообщение и не отправите его всем сотрудникам в организации. Пользователи считают, что лучше перестраховаться, чем потом сожалеть, и благополучно рассылают это письмо всем остальным сотрудникам. И вот так, совершенно незаметно для вас, настоящий отправитель сообщения уже получил список адресов электронной почты всех пользователей в компании, а также список доверчивых мишеней для будущих атак. 

Такие атаки могут быть еще опаснее: например, сообщения могут содержать просьбы о денежных пожертвованиях в пользу заболевшего коллеги, причем этот коллега понятия не имеет о таком благотворительном порыве. Это дает злоумышленникам вполне реальный шанс похитить сотни или даже тысячи долларов у сотрудников вашей компании. Кроме того, такие сообщения могут предлагать сотрудникам загрузить файл, который содержит вредоносную программу, таким образом скомпрометировав сотрудников всей организации. Чтобы успешно противостоять этим угрозам, сотрудники должны четко понимать, как выглядит подобное «письмо счастья», и быть абсолютно уверенными, что никто не станет устраивать перекличку среди коллег, чтобы выяснить, какие лицензии стоит оставить. 

2. Фишинг

Многие сотрудники считают, что фишинг им не угрожает. Однако он опасен именно из-за такого ложного ощущения. На самом деле треть всех нарушений системы безопасности в 2019 году была следствием фишинга, причем 78% кибератак так или иначе связаны с фишингом. Жертвами фишинга становятся даже члены правительства! Следовательно, надо признать, что ваши коллеги как минимум не менее уязвимы для этой угрозы — а то и более.

В качестве примера фишинговой атаки можно привести сообщение от Microsoft, в котором сотрудников просят подтвердить свои учетные данные для входа в Office 365 — якобы вследствие недавнего нарушения системы безопасности. Такие сообщения могут на первый взгляд выглядеть весьма убедительно, однако, если обратить внимание на адрес отправителя, можно понять, что он довольно странный (скажем, support@microsoftsupport.com). Совершенно очевидно, что корпорация Microsoft никогда не стала бы использовать такой адрес электронной почты для отправки официальных писем. Специалисты ИТ-отделов должны научить пользователей всегда проверять адрес отправителя и ни в коем случае не сообщать своих паролей в ответ на такой «запрос подтверждения» без разрешения ИТ-отдела.

3. Адресный фишинг

Адресный фишинг представляет собой более сложную и изощренную разновидность обычного фишинга. Злоумышленник специально изучает пользователя, который представляет особую ценность и (или) уязвим для атаки. Прежде чем отправить фишинговое сообщение, злоумышленник звонит своей жертве и договаривается о последующей отправке сообщения или приглашения. Злоумышленник постарается так или иначе выманить конфиденциальную информацию, вынудить человека отправить деньги или загрузить вредоносную программу. Такие сообщения еще более опасны, чем обычный фишинг, поскольку они создают ложное впечатление, что злоумышленник знает вас лично. 

Для противодействия адресному фишингу применяются примерно те же инструменты и способы, как в случае с обычным фишингом. Сотрудники должны во всех случаях проверять данные отправителя и ни в коем случае не загружать файлов или переходить по ссылкам в сообщении с незнакомого «личного» адреса электронной почты. Если у пользователя возникли сомнения, лучше написать предполагаемому отправителю на известный корпоративный адрес электронной почты или обратиться за дальнейшими инструкциями непосредственно к специалистам ИТ-отдела. 

4. Спуфинг

Спуфинг призван ввести в заблуждение пользователя телефона, электронной почты или интернета, заставив его думать, что он общается с кем-то, кого он знает и кому доверяет. Например, во многих случаях при совершении звонка мошенник подменяет свой номер телефона номером сотрудника компании (например, руководителя или ИТ-специалиста). Такая атака используется для сбора важных данных о компании или даже для получения денег от сотрудников и зачастую становится лишь промежуточным шагом на пути к более серьезной атаке — например, «вишинговой» (см. ниже). 


Первое, что нужно сделать, чтобы пресечь любые попытки спуфинга, — сообщить сотрудникам о том, что это очень распространенная практика. При получении подозрительного звонка со знакомого номера сотрудник должен прекратить разговор как можно скорее и направить ИТ-специалистам информацию о таком звонке, чтобы своевременно уведомить об опасности остальных сотрудников компании. Если сотрудник не уверен, является ли звонящий тем, за кого он себя выдает, есть довольно простой способ проверить это: просто скажите, что перезвоните ему позже. Спуфинг не предполагает двусторонней связи. То есть, если сотрудник перезвонит по знакомому номеру телефона, на другом конце провода точно будет не мошенник. Таким образом можно проверить личность звонящего. 

5. Вишинг

Вишинг во многом напоминает фишинг, однако в этом случае атака проводится по каналам голосовой связи: телефону, голосовой почте или даже на платформах для видеоконференций. Цель таких звонков — убедить жертву расстаться с деньгами или сообщить конфиденциальную информацию. Для этого злоумышленники имитируют номера телефонов или другие данные руководителя или клиента выбранной жертвы. 


Например, вам может позвонить якобы провайдер (а на самом деле, конечно, мошенник) и сообщить, что ваша учетная запись скомпрометирована и вам необходимо поговорить со специалистом. И этот «специалист» в ходе разговора обязательно попросит вас сообщить учетные данные для входа, банковские реквизиты и другие данные — мошенники постараются получить от жертвы как можно больше информации. 

Чтобы быть готовым к вишинговым атакам, ИТ-специалисты должны понятно и доступно объяснить сотрудникам, что подобные звонки в большинстве случаев нацелены на то, чтобы вызвать панику, а настоящий специалист, которому теоретически может потребоваться такая информация, наверняка проявил бы больше такта и терпения и, скорее всего, обсуждал бы эти вопросы с ИТ-отделом. Сотрудникам нужно просто остановиться и подумать: не похоже ли, что собеседник угрожает или выманивает данные? Если сотрудник получает такой подозрительный звонок, ему следует сообщить звонящему, что обработкой таких запросов обычно занимается ИТ-отдел, и перенаправить вызов ИТ-специалистам.

6. Вредоносные вложения

Хотя в большинство сервисов электронной почты встроены инструменты антивирусного сканирования, вредоносные вложения по-прежнему остаются серьезной угрозой для многих компаний. Злоумышленники зачастую рассылают безобидные на вид письма с вложениями в рамках фишинговых атак, убеждая сотрудников загрузить файл. Мошенники апеллируют к страху или любопытству, чтобы убедить свою жертву загрузить неблагонадежные файлы, которые при загрузке или открытии заражают устройство вирусом. 

Есть две стратегии защиты сотрудников от вредоносных вложений: противодействие и защита. Попросите сотрудников никогда не загружать странных документов, даже если они вызывают любопытство или содержат угрозы. Однако стоит быть готовым к тому, что сотрудники все же могут нарушить запрет, а значит, на всех устройствах и серверах должна быть установлена качественная антивирусная защита, способная помечать и уничтожать вирусы во вредоносных вложениях.  

Выводы

Компании часто становятся мишенями для атак по электронной почте и другим каналам связи, и сотрудники в этом случае должны стать первой линией защиты от действий злоумышленников. К сожалению, далеко не все пользователи готовы к этому и обладают достаточной информацией об угрозах безопасности. И даже если они все-таки проинформированы и подготовлены, самонадеянность может сделать их легкой добычей для мошенников. 

ИТ-специалисты компании должны не просто рассказывать сотрудникам об опасности фишинга и других подобных атак, но и применять надежные решения для обеспечения безопасности, которые защитят компанию в случае, если мошеннику все же удастся обмануть сотрудника. Совершенно ясно, что кибератаки не исчезнут сами по себе в ближайшее время — и, скорее всего, их количество будет возрастать экспоненциально, учитывая повсеместное распространение удаленной работы. Чем скорее ваши ИТ-специалисты начнут информировать сотрудников об угрозах, с которыми они могут столкнуться, работая в режиме онлайн, тем лучше компания будет защищена от любых атак.

Узнать больше о современных способах защиты инфраструктуры!

Отправить запрос на консультацию

Прокомментировать статью

Напишите, пожалуйста, ваше мнение по поводу данной статьи!

Комментировать

Автор

Bala Sathunathan

Bala Sethunathan

Director, Security Practice & CISO

Cybersecurity

Статьи по теме

SoftwareONE Cyber Security Updates - November 2019

Бюллетень киберугроз: Ноябрь 2019г

В нашей ноябрьской версии мы расскажем об этих атаках и расскажем, как эффективно защитить ваши сети от вымогателей и утечек данных.

SoftwareONE Cyber Security Update 2019-10

Бюллетень киберугроз: Октябрь 2019г

Всё больше компаний начинают инвестировать в долгосрочную стратегию информационной безопасности и стараются быть в курсе новых вредоносных программ, вымогателей и других угроз. Мы в SoftwareONE решили запустить ежемесячный информационный…

  • 08 мая 2019
  • Елена Чекаленкова
  • Управляемые сервисы по безопасности
  • Data quality

Персональные данные: всё, что нужно знать

В мае 2018 года Европа перешла на обновлённые правила обработки персональных данных, установленные Общим регламентом по защите данных (Регламент ЕС 2016/679 от 27 апреля 2016 г. или GDPR — General Data Protection Regulation). Новый регламент…