Сценарий атаки (коротко)
- Цель: вытянуть пароли сотрудников/студентов через фейковое письмо от руководства.
- Как выглядит: письмо с поддельным отображаемым именем ректора/декана, тема «Срочно — подтвердите доступ», текст требует «немедленно прислать/обновить пароль» или предлагает перейти по ссылке на «корпоративный портал»; ссылка ведёт на фейковую страницу входа; возможен последующий звонок от «ассистента» для давления.
- Этапы злоумышленника: разведка (сбор адресов/ролей), подделка отправителя и домена, рассылка с таргетингом, создание чувства срочности, фишинговая страница + верификация через звонок.
Многоуровневая система защиты (уровней $3$: технический, организационный, образовательный)
Технические меры
- Почта: внедрить SPF/DKIM/DMARC с политикой $p=reject$ (или хотя бы $p=quarantine$); включить отчетность DMARC.
- Фильтрация: корпоративный шлюз антифишинга/антивирус с анализом ссылок и вложений, sandboxing, репутацией отправителя.
- Аутентификация: обязательный MFA для всех учёток; по возможности — фишинг-устойчивые методы (FIDO2/PKI).
- Доступ: SSO с условным доступом (контекст: местоположение, устройство), принцип наименьших привилегий, сегментация сети и разделение прав администратора.
- Пароли/менеджеры: поощрять/обеспечить использование менеджеров паролей, запрет на пересылку паролей по e‑mail.
- Защита приложений: мониторинг логов и SIEM с алертами для аномалий входа (входы из новых стран/часов), блокировка подозрительных URL и доменов (typosquatting detection).
- Быстрое реагирование: автоматические черные списки для обнаруженных фейковых доменов, процедуры удалённого удаления вредоносного ПО с клиентов.
Организационные меры
- Политика: чётко прописать, что руководство НИКОГДА не запрашивает пароли через e‑mail/чат; описать допустимые каналы для служебных запросов.
- Процедуры: утверждённый процесс верификации запросов от руководства (двухфакторная верификация при срочных распоряжениях), единый канал для официальных уведомлений (внутренний портал/интранет).
- Инцидент-менеджмент: назначенный CSIRT (команда реагирования), playbook для фишинга (изоляция, блокировка домена, уведомление затронутых, форс‑сброс паролей при необходимости).
- Доступ и контроль: регулярные ревизии прав, быстрый offboarding при увольнении/переводе, ограничение прав на пересылку корпоративной почты внешним.
- Канал отчёта: простая процедура и контакт (кнопка «сообщить о фишинге», адрес/телефон), SLA на реагирование (например, ответ в пределах рабочего дня — укажите свои SLA в политике).
Образовательные мероприятия
- Обучение: обязательные курсы по безопасности при приёме/каждый год и краткие повторные тренинги не реже чем $4$ раза в год (микро‑обучение/чеклисты).
- Симуляции: регулярные фишинг‑тренировки (имитированные письма) с последующей разборкой ошибок.
- Практика: инструкции «Что делать при подозрительном письме» — не отвечать, не кликать, не вводить данные, переслать в security, позвонить по официальному номеру.
- Коммуникация: плакаты, всплывающие подсказки в почтовом клиенте, рассылки с примерами мошеннических писем и «индикаторов компрометации».
- Специальные тренинги: для секретарей, ассистентов руководства и сотрудников ИТ — распознавание поддельных писем и безопасная верификация устных запросов.
Практические краткие инструкции для сотрудников/студентов при получении такого письма
- Не отвечать и не переходить по ссылкам; не вводить пароль.
- Навести курсор на ссылку — смотреть реальный домен; проверить адрес отправителя (полный e‑mail).
- Позвонить отправителю по официальному номеру из справочника для подтверждения.
- Переслать письмо в службу безопасности; пометить как фишинг в почтовом клиенте.
- При вводе пароля в сомнительной форме — немедленно сменить пароль и сообщить в CSIRT.
Действия ИТ при подтверждённой атаке (кратко)
- Блокировка отправителя/домена, снятие фишинговой страницы (по возможности через провайдера/хостинг).
- Форс‑сброс паролей для затронутых аккаунтов и принудительное MFA.
- Уведомление пострадавших и руководство, сбор логов и начало расследования, сохранение доказательств.
- Обновление правил фильтрации и рассылка рекомендаций всем пользователям.
Короткое резюме: сочетание технических средств (DMARC, антифишинг, MFA), организационных правил (запрет на запрос паролей, CSIRT, каналы верификации) и регулярного обучения (симуляции, микротренинги) существенно снижает риск успешной фишинговой кампании.