Как не стать
жертвой фишинга

За последние десять лет Райан Райт и Мэттью Дженсен смогли завладеть данными тысяч людей с помощью фишинга. И они не собираются останавливаться.

Эти двое не хакеры и не охотники за ценной информацией или деньгами. Они исследователи, которые работают с компаниями, университетами и правительствами по всему миру. Их цель — понять, почему мы так часто попадаемся на крючок фишеров и что могут сделать организации, чтобы снизить угрозу. Отделы корпоративной безопасности информируют сотрудников о фишинге — причине 90% утечек данных, но примерно треть вредоносных писем все равно оказываются прочитанными.

Это недопустимо много, если учесть, что средний ущерб от успешной хакерской атаки против компании составляет $3,8 млн. В эпоху пандемии из-за неразберихи и работы из дома, где так много отвлекающих факторов, бдительность снижается, и таких писем открывают еще больше, что на руку хакерам. Опираясь на свои исследования, Райт (профессор кафедры коммерции Университета Вирджинии) и Дженсен (доцент кафедры автоматизированных систем управления Университета Оклахомы) нашли способы сделать тренинги по вопросам безопасности эффективнее.

Добавьте осознанности. Во многих компаниях сотрудникам приходится раз или два в год проходить типовые тренинги. По словам исследователей, на этих занятиях неплохо преподносят основную информацию: каковы общие угрозы и как оценивать входящие сообщения. И все же однотипные инструкции не гарантируют результата, предупреждают авторы. Напротив, спустя какое-то время они могут вызвать обратный эффект: информация станет хуже усваиваться, а во время занятий может появиться ложное чувство компетентности.

Частично проблема в том, что теоретические тренинги приводят в действие тип мышления, который лауреат Нобелевской премии психолог Даниэль Канеман называет Системой 1. Человек начинает обрабатывать информацию автоматически и очень быстро, и это экономит его усилия, но чревато необдуманными решениями и делает сотрудника уязвимым перед нетипичными атаками. «Вместо того, чтобы заставлять людей заучивать длинные списки постоянно меняющихся указаний, — говорит Райт, — нужно обратиться к более целостному методу». Он предлагает тренировать осознанность. Цель — стимулировать Систему 2 — внимательное и аналитическое мышление.

Был проведен эксперимент, в котором приняли участие 355 студентов, преподавателей и сотрудников университета. Исследователи сравнивали три группы, каждая из которых принимала участие в стандартном тренинге по вопросам безопасности. Первой группе выдали дополнительные теоретические инструкции. Вторую группу учили применять простые техники осознанного наблюдения: сделать паузу, если письмо призывает к действию; помнить о характере, времени, цели и уместности запроса; посоветоваться с другими, если письмо кажется подозрительным. Третьей группе не выдавали никаких дополнительных инструкций. Спустя десять дней исследователи симулировали фишинговую атаку и получили такие результаты: на провокацию попались 13% участников первой группы, 23% участников третьей группы и только 7% из тех, кого учили осознанности. Более поздняя работа Кристофера Нгуена показала похожие результаты. Он также выяснил, что повышенная бдительность сохранялась на протяжении месяцев.

Решайте проблему на уровне команды. Часто в коллективе есть «слабое звено», которое сводит на нет все старания по обеспечению безопасности: если хоть один человек не распознает попытку атаки, она достигнет цели. Чтобы понять, может ли группа уменьшить уязвимость «слабого звена», Райт с коллегами провели двухлетний эксперимент, в котором приняли участие 180 сотрудников финансового отдела крупного университета. Они обозначили должность каждого сотрудника и его связи в соцсетях, а затем провели несколько фишинговых атак. Оказалось, что чем более «центральную» позицию человек занимал в коллективе и чем больше связей у него было в соцсетях, тем меньше он попадался на удочку. Например, сотрудники, занимающие положение в верхнем квартиле группы, переходили по ссылкам в фишинговых письмах только в 14%, а в нижнем — в 35% случаев. Также участники команд, в которых общий уровень компьютерной грамотности был выше, были менее уязвимыми к уловкам фишеров.

Значит, сотрудники могут учиться принципам безопасности друг у друга, в формальной или в неформальной обстановке — и руководитель может этим воспользоваться. «Надо провести командный тренинг и возложить ответственность за результат на весь коллектив, а не посылать сотрудника на ИТ-тренинг “для галочки”», — говорит Райт. Анализ сетевой активности поможет выявлять наиболее уязвимых сотрудников, чтобы отправить их, а также тех, кто держится в стороне или только пришел в команду, на дополнительный тренинг.

Обнаружилась неожиданная закономерность: чем больше сотрудник обращался в техподдержку и просто доверял ей, тем чаще попадался на крючок. Исследователи полагают, что это менталитет застрахованного. «Если вашу кредитную карту украдут, банк покроет потери, и потому многие не слишком-то заботятся об охране карт. Мы думаем, что-то похожее происходит и в офисах, — объясняет Райт. — Когда человек думает: “Если я перейду по неправильной ссылке, техподдержка с этим разберется без меня”, он не пытается активно защитить данные и не учится у коллег». По его словам, менеджеры могут включить пункт о соблюдении норм безопасности в ежегодную оценку результатов работы — это будет мотивацией для всех сотрудников. А техподдержка может не просто устранять последствия атаки, но и объяснять сотруднику, почему не надо было переходить по данной ссылке.

Используйте игровой метод. Еще один способ улучшить коллективную защиту — добавить элемент конкуренции. Исследователи провели три эксперимента, в которых приняли участие 568 человек: они примеряли на себя роль стажера, которого учат распознавать подозрительные сообщения и докладывать о них. Затем им давали разнообразные задания, среди которых была сортировка входящих писем руководителя. Когда участники принялись за работу, они получили по пять фишинговых писем. В первых двух экспериментах их результаты сводили в рейтинги, критерии которых менялись. В третьем эксперименте сравнили действенность рейтингов и других мер против фишинга (обучающие видео, пометки «внешнее» на письмах, приходящих не с внутреннего адреса организации, а также предупреждения о подозрительных письмах).

Рейтинг оказался очень эффективной мерой: сотрудники сообщали о подозрительных письмах, но старались не совершать «ложных вызовов», так как они тоже отображались в таблице. Лучше рейтингов показали себя только предупреждения о подозрительных письмах. Особенно хорошо рейтинг сработал вкупе с тренингом. Имели значение и критерии оценивания. Оптимальная конфигурация такая: имя сотрудника, плюсовые очки за распознавание фишинга и минусовые — за «ложную тревогу». «Внешняя мотивация оказалась намного более эффективной, чем внутренняя», — говорит Дженсен.

Никто не собирается тратить время на охоту за фишинговыми письмами забавы ради. Но эти рекомендации могут помочь компаниям донести до сотрудников, как важно распознавать фишинг и сообщать о нем, а также усилить их мотивацию и эффективность. Что касается случаев, когда сотрудники все-таки попадаются на уловки фишеров, Дженсен говорит: «Практически невозможно свести их к нулю. Нужен комплексный подход».

Об исследовании: «Beyond Individuals: A Group Perspective of IT Security Compliance», Ryan T. Wright, Steven L. Johnson, and Brent Kitchen (рабочий документ); «Building the Human Firewall: Combating Phishing Through Collective Action of Individuals Using Leaderboards», Matthew L. Jensen et al. (рабочий документ); «Training to Mitigate Phishing Attacks Using Mindfulness Techniques», Matthew L. Jensen et al. («Journal of Management Information Systems», 2017)

НА ПРАКТИКЕ: «Персонализированные уроки лучше запоминаются»

Директор по информационной безопасности в крупнейшем американском ипотечном агентстве Fannie Mae Кристофер Портер курирует обучение по ИТ-безопасности почти 7,5 тыс. сотрудников компании наряду с несколькими тысячами подрядчиков и консультантов. Недавно он поговорил с HBR о том, как в компании защищаются от фишинговых атак. Ниже — отредактированные выдержки из интервью.

Как именно вы обучаете сотрудников борьбе с фишингом?

В компании есть обязательная широкая программа. Специфические вопросы мы рассматриваем отдельно. Например, кредиторские счета и финансовые группы — мишень для особых атак: их надо защищать специально. Еще мы каждый месяц проводим учебные атаки разного характера. Если люди открывают одно из тестовых писем, они сразу же получают обратную связь — короткое видео, которое объясняет, почему это сообщение — фишинг. Сотрудники, которые провалят два или больше теста за год, проходят дополнительный групповой тренинг. Наконец, мы развернули еженедельную кампанию, повышающую бдительность сотрудников. Каждую пятницу мы выкладываем в блоге пост о разных способах распознать фишинг и о действиях, которые нужно предпринять, если попадется такое письмо — очень важно, чтобы люди сообщали об атаках. Мы постоянно улучшаем рекомендации для сотрудников.

На чем вы фокусируетесь в ежемесячных упражнениях?

Есть три главные темы. Во-первых, потери: хакер угрожает что-то отобрать у человека, если тот не ответит на письмо. Во-вторых, обещания: людям говорят, что они что-то получат, если перейдут по ссылке. Третья тема связана с эмоциями: фишинговые письма часто злоупотребляют, например, любопытством. Важно знать слабые места наших сотрудников, чтобы прорабатывать их на тренингах. Мы также следим за тем, какие атаки распространены в тот или иной момент времени. Сейчас очень частой приманкой стал COVID-19.

По результатам исследований, простые упражнения на тренировку осознанности помогают противостоять атакам. Вы пробовали такой подход?

Мы пытаемся научить людей действовать по механизму «остановись, подумай, действуй». Например, мы просим их сделать паузу, если они видят, что письмо помечено как «внешнее». Перед тем, как читать такое письмо или что-то делать, нужно спросить себя: ждал ли я этого письма, знаю ли отправителя и не кажется ли оно подозрительным. Со временем это помогло нам усилить сопротивление атакам.

Что вы делаете, чтобы люди перестали открывать подозрительные письма после тренингов?

Во-первых, мы стараемся, чтобы было весело. Мы используем профессионально анимированные ролики, в которых раскрываются правила бдительности. Иногда их озвучивают знаменитости — как-то у нас был комик Джон Ловетт. Во-вторых, мы опираемся на исследования, которые показали, что лучше научить сотрудников защищать свою личную информацию дома — и тогда они начнут делать то же в офисе. Для этого мы учим их настраивать многофакторную аутентификацию, чтобы хранить в безопасности личные финансовые сведения. Когда приходит время подавать налоговые декларации, мы напоминаем, что они могут получить письма якобы от Налоговой службы США, а на самом деле от мошенников. Мы многое делаем, чтобы помочь людям защитить себя и близких. Например, к нам приходила женщина, чтобы рассказать, как в детстве ее похитили, склонив к встрече через интернет, и как родителям уберечь своих детей от подобного. Исследования и наш опыт доказали, что чем более персонализирован урок, тем лучше он запоминается.