В большинстве учебных программ приоритет отдается важным основам осведомленности о безопасности, таким как обучение сотрудников фишингу, но многие, к сожалению, преподают свои уроки в неинтересных и неэффективных форматах. Семинары и лекции главы отдела кибербезопасности вряд ли окажут влияние на сотрудников, ориентированных на бизнес, вот почему сегодняшние успешные программы способствуют геймификации и стратегиям микрообучения.

Нарушение Kaiser Permanente
Kaiser Permanente является крупнейшим некоммерческим поставщиком медицинских планов в Соединенных Штатах. 3 июня 2022 года компания объявила, что злоумышленники взломали учетную запись электронной почты сотрудника и потенциально раскрыли медицинские записи 70 000 пациентов. Интересно, что это объявление появилось через месяц после того, как компания впервые обнаружила несанкционированный доступ.

Новости о взломе не попали в заголовки газет, поскольку у Kaiser не было доказательств того, что злоумышленники разглашали конфиденциальные данные пациентов, такие как номера кредитных карт, информацию социального страхования и медицинские записи. Компании повезло, что это нарушение не привело к закрытию ее бизнеса. Аналогичное нарушение вынудило стартап myNurse закрыть свои двери ранее в этом году.

Хотя Kaiser не ответил на запросы о более подробной информации, эксперты по безопасности пришли к выводу, что это нарушение было результатом фишинговой кампании, которая также, вероятно, включала вброс учетных данных. В этих атаках злоумышленники выдают себя за надежные источники и убеждают сотрудников вводить конфиденциальную информацию.

Компрометация деловой электронной почты остается одной из крупнейших угроз кибербезопасности в настоящее время. Это также основополагающий элемент обучения безопасности. Тот факт, что сотрудник Kaiser попался на фиш, несмотря на прохождение обучения, указывает на то, что программы компании имеют много возможностей для улучшения.

Нарушение Uber
В то время как Kaiser был мамой в деталях нарушения, которое он перенес, злоумышленник Uber не оставил ему такого выбора. 18-летний хакер заявил, что неэффективные меры безопасности Uber позволили им легко украсть данные компании по обмену поездками в сентябре 2022 года.

Злоумышленник получил доступ с помощью комбинации социальной инженерии и фишинга. По данным компании, злоумышленник получил пароль подрядчика Uber (вероятно, на темном веб-форуме) после бомбардировки их запросами многофакторной аутентификации (MFA).

MFA требует, чтобы пользователи вводили свой пароль и подтверждали ключ, доставленный на другое устройство, например телефон. Подрядчик раскрыл свой ключ, чтобы остановить волну запросов МИД. Злоумышленник выдавал себя за внутреннего технологического работника и в конечном итоге получил доступ к системам Uber, предоставив им полный доступ к данным.

Этот эпизод показывает, насколько сложные и, казалось бы, надежные методы обеспечения безопасности, такие как MFA, неадекватны без надлежащего обучения сотрудников. В дополнение к обучению сотрудников методам обеспечения безопасности, компании также должны сообщать о многих возможных последовательностях нарушений, чтобы у сотрудников был шанс их распознать.

Третья утечка данных Marriott за четыре года
Организация Marriott, похоже, так же популярна среди киберпреступников, как и среди потребителей. Сеть отелей и курортов объявила о третьей утечке данных за четыре года в июле 2022 года, назвав последнее нарушение "не чувствительным".

Однако эксперты по безопасности и журналисты получили такие данные, как номера гостевых комнат, номера корпоративных кредитных карт и имена членов летного экипажа авиакомпании.

В этом последнем инциденте злоумышленник использовал социальную инженерию, чтобы обманом заставить сотрудника предоставить им доступ к базам данных Marriott. Хотя скомпрометированный пользователь не имел доступа к высокочувствительным системам в сети Marriott, потеря конфиденциальной информации 400 человек является значительной.

Хотя подробностей мало, злоумышленник, вероятно, использовал методы, аналогичные взлому Uber, обманув сотрудника, выдавая себя за кого-то выше по корпоративной лестнице. Хотя программы обучения безопасности часто предупреждают сотрудников об этом типе атаки, тот факт, что сотрудник Marriott не отреагировал должным образом, указывает на недостаточную эффективность обучения.

Spirit Super сталкивается с фишингом
Австралийская страховая компания Spirit Super едва попала в заголовки газет, когда объявила о нарушении данных в мае 2022 года. К сожалению, этот инцидент подчеркивает, насколько мир стал равнодушным к подобным инцидентам. Несмотря на неоднократные заявления о том, что компания "серьезно" относится к кибербезопасности, сотрудники страховой компании подверглись обычной фишинговой атаке.

В заявлении Spirit Super говорится, что широкая фишинговая кампания отправляла сотрудникам по электронной почте подделанные версии официальной страницы компании, заставляя их переходить по вредоносной ссылке. После нажатия сотрудник вводил конфиденциальную информацию, предоставляя злоумышленникам доступ к своему почтовому ящику и связанным с ним данным.

Как и в случае с Uber, злоумышленники обошли протоколы MFA, заставив сотрудника раскрыть ключ аутентификации, иллюстрируя, как некоторые программы обучения безопасности значительно недооценивают атаки социальной инженерии.

Хотя нарушение не было значительным с точки зрения полученных записей, были раскрыты данные клиентов, такие как номера банковских счетов и идентификационная информация.

Фишинг нацелен на западноафриканские банки
Несколько западноафриканских банков стали объектом широкой фишинговой кампании, последствия которой до сих пор неизвестны. Ни один банк официально не признал попытки злоумышленников или не раскрыл, была ли скомпрометирована какая-либо информация о клиентах.

В рамках этой кампании злоумышленники отправляли электронные письма с призывом на работу в почтовые ящики сотрудников банка, предлагая лучшие должности и оплату. Чтобы электронные письма выглядели подлинными, злоумышленники использовали другие подлинные адреса электронной почты в других банках.

Электронные письма побуждали жертв загружать вредоносное ПО на свои компьютеры, потенциально предоставляя злоумышленникам доступ к системным файлам и другим конфиденциальным данным.

HP Wolf Security, фирма, которая раскрыла эти атаки, отметила, что, хотя фишинг не является изощренным методом атаки, сотрудники продолжают попадаться на них. Очевидно, что обучение фишингу нуждается в обновлении.

Тревожная закономерность
Эти атаки показывают, как увеличивается количество утечек данных, а их методы пугающе просты. Электронная почта и социальная инженерия - это все, что, по-видимому, необходимо компании для того, чтобы пострадать от взлома.

Обучение кибербезопасности должно идти в ногу с этими методами, и организации должны переосмыслить, как они проводят учебные программы.