🪝 Недавняя произошла фишинговая кампания, использующая поддельные PDF-документы на платформе Webflow CDN. Злоумышленники не просто создают поддельные страницы, но и внедряют элементы, которые придают процессу видимость легитимности. В данном случае это CAPTCHA от Cloudflare Turnstile, которая заставляет жертв поверить, что они взаимодействуют с настоящей системой безопасности.

Webflow CDN — это легитимный сервис, который редко вызывает подозрения у пользователей. Это позволяет злоумышленникам обходить базовые фильтры безопасности.

Подробнее: https://extrim-security.ru/news-ib/tpost/0cjonaupi1-fishing-cherez-poddelnie-pdf-dokumenti-i

Киберграмотность сотрудников: почему обучение важнее запретов? Опыт Phishman

Зачем обучать сотрудников в принципе?

Можно пойти от обратного и представить, что мы выбрали этого не делать. Например, мы ограничили сотруднику доступ к интернету. Он, конечно, перестанет совершать ошибки, но при этом и не научится их избегать.

Обучение даёт другой результат: вместо "запретов" вы получаете команду, не только устойчивую к кибератакам, но и активно участвующую в их предотвращении.

А ещё - сотрудники начинают лучше относиться к мерам ИБ, понимая их необходимость. Сейчас многие воспринимают специалистов по ИБ как строгих надзирателей.

Мы рекомендуем начинать с оценки текущей киберграмотности сотрудников.

Универсальный подход может вызвать отторжение. Сотрудник может не понимать, зачем ему новые знания об ИБ, считая себя достаточно осведомленным.

‼️ К тому же, если сотрудник действительно компетентен, обучение станет пустой тратой времени и денег компании.

Успешное прохождение теста избавит от необходимости обучения. Неудача же послужит стимулом к обучению. В этом случае у сотрудника появится объективная причина для учебы, и он это поймет. Это снижает сопротивление.

Как реализовать обучение на практике?

Phishman предлагает два варианта: простой и продвинутый.

1️⃣ В простом варианте мы регулярно тестируем сотрудников на устойчивость к фишингу и обучаем только тех, кто не прошел тест. Процесс автоматизирован и адаптируется под нужды компании.

2️⃣ Продвинутый вариант предполагает интеграцию с другими системами, например, DLP. Анализируя ошибки сотрудников, мы предлагаем обучение по соответствующим темам.

Так или иначе, пользователя необходимо вовлечь в процесс, ни в коем случае не навязывая ИБ-обучение. Сделать это можно только через практику. Депремирование и обычное подписание регламентов, увы, не помогут.