Organizacijų darbuotojai tampa atsparesni kibernetinėms atakoms – naujausių pratybų metu daugiau darbuotojų pranešė apie įtartinus laiškus (8417), nei pateikė jautrius duomenis (8029). Tai tęsia birželį užfiksuotą teigiamą tendenciją, kai pranešimų skaičius (5500) pirmą kartą viršijo sukčiams duomenis pateikusių darbuotojų skaičių (4900).
Rugsėjo 29 – spalio 3 d. Nacionalinis kibernetinio saugumo centras (NKSC) prie Krašto apsaugos ministerijos surengė socialinės inžinerijos pratybas „Kibernetinis skydas – PhishEx“, siekdamas stiprinti organizacijų pasirengimą kibernetinėms grėsmėms. Pratybose dalyvavo rekordinis skaičius dalyvių – 193 organizacijos.
„Pratybomis „Phishex“ siekiame padėti darbuotojams lavinti kritinį mąstymą ir formuoti įprotį – pastebėjus įtartiną laišką, nedelsiant pranešti IT ar kibernetinio saugumo kolegoms. Tokios nuosekliai ir periodiškai vykdomos pratybos padeda ne tik geriau suprasti socialinės inžinerijos metodus, bet ir didina organizacijų pasirengimą atremti kibernetines grėsmes“, – sako NKSC direktorius Antanas Aleknavičius.
Visi pratybų dalyviai galėjo taikyti tris realias atakas imituojančius sukčiavimo scenarijus, kurie leidžia įvertinti organizacijų atsparumo lygį. Iš viso buvo išsiųsta daugiau nei 120 tūkst. el. laiškų, paremtų socialinės inžinerijos metodais ir pritaikytų pagal organizacijos atstovo pateiktą informaciją, siekiant padidinti jų įtikinamumą.
„Microsoft“ scenarijus įtikino 8,5 proc. darbuotojų pateikti savo prisijungimo duomenis. Šiame scenarijuje darbuotojai gavo fiktyvų laišką iš savo „tiesioginio vadovo“ – kvietimą peržiūrėti bendrinamą dokumentą „Office 365“ debesijos platformoje. Paspaudus nuorodą, buvo atvaizduojamas suklastotas „Microsoft“ prisijungimo langas, prašantis suvesti slaptažodį. Suvedus duomenis, vartotojas buvo nukreipiamas į bendrinį „Word“ puslapį. Šis scenarijus buvo sunkiausiai atpažįstamas – apie jį pranešė tik 3,9 proc. darbuotojų.
„SignDoks“ scenarijuje buvo imituojama dokumentų pasirašymo el. parašu paslauga. Laiške, prisistatydami neegzistuojančios platformos „SignDoks“ vardu, sukčiai ragino darbuotoją prisijungti ir patvirtinti tapatybę – įvesti telefono numerį ir paskutinius keturis asmens kodo skaitmenis. Ekrane pasirodydavo pranešimas, esą vartotojui išsiųstas patvirtinimo kodas. Kodui nepasirodžius, platforma „SignDoks“ daugeliui sukeldavo įtarimą. Dėl to šis scenarijus turėjo vieną mažiausių prisijungimo duomenis pateikusių rodiklių – 6 proc., o net 11,8 proc. darbuotojų pranešė apie įtartiną laišką.
Pirmą kartą pratybose buvo panaudotas šantažo scenarijus. Organizacijų, kurios pasirinko šį scenarijų, darbuotojams buvo parodytas įspėjimas, kad jų failai esą užšifruoti, ir reikalauta įvesti slaptažodį su pažadu (galimai) juos atšifruoti. Nesulaukus darbuotojo reakcijos per minutę, paleidžiama fiktyvi „Windows“ įrenginio perkrovimo animacija, po kurios vėl pateikiamas suklastotas prisijungimo langas – dar viena galimybė piktavaliams rinkti duomenis. Tik 1 proc. darbuotojų iš organizacijų, pasirinkusių šantažo scenarijų, suvedė prisijungimo duomenis. Dauguma atpažino grėsmę ir tinkamai reagavo – neįvedė duomenų bei pranešė apie incidentą savo organizacijos kibernetinio saugumo kolegoms.
Nors socialinės inžinerijos grėsmės atpažįstamos geriau, įtikinami sukčiavimo laiškai išlieka grėsme. Ypač pavojingi yra atvejai, kai pasitelkiamos atpažįstamos platformos ar autoritetingų asmenų, pavyzdžiui, įmonių vadovų, vardu siunčiami apgaulingi pranešimai.
NKSC primena, kad nuolatinis darbuotojų švietimas ir budrumo ugdymas yra esminiai veiksniai, užtikrinantys organizacijų kibernetinį saugumą. Į reguliariai vykdomas pratybas „PhishEx“ NKSC kviečia visas organizacijas, įtrauktas į Kibernetinio saugumo subjektų sąrašą ir prisijungusias prie Kibernetinio saugumo informacinės sistemos (KSIS).
