Rose debug info
---------------

как поведение людей влияет на безопасность

Наши продуктыДайджестыСтатьиСписок постов

Позднее Ctrl + ↑

Антифишинг-дайджест № 322

Обзор новостей информационной безопасности с 5 по 11 мая 2023 года




Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Обнаружена вредоносная кампания наглых киберпреступников, которые довольно примитивно пытаются обмануть неопытных интернет-пользователей.

Схема действий преступников

  1. При посещении фишингового сайта для взрослых потенциальная жертва сталкивается с баннером, требующим подтвердить возраст пользователя.
  2. Когда в предвкушении «клубнички» потенциальная жертва нажимает кнопку «Мне есть 18 лет», в браузере разворачивается полноэкранная поддельная анимация обновления Windows, которая, впрочем, сразу выдаёт себя уведомлением «Нажмите ESC, чтобы выйти из полноэкранного режима».
  3. Если пользователь не придал этому значения, следом выскакивает другое уведомление, требующее вручную установить «критическое обновление безопасности» почему-то имеющее название «ChromeUpdate.exe».
  4. Фальшивое обновление Chrome представляет собой так называемый «полностью необнаруживаемый» (Fully UnDetectable, FUD) загрузчик вредоносного ПО под названием «Invalid Printer».
  5. «Invalid Printer» первым делом после запуска проверяет графическую карту хоста, чтобы определить, запустился вредонос на виртуальной машине или на реальном компьютере. Если программа обнаруживает, что компьютер настоящий, он распаковывает и активирует похититель данных Aurora Infostealer.

Компания F.A.C.C.T. зафиксировала масштабную почтовую рассылку с фальшивыми мобилизационными повестками.

Вредоносные письма были направлены российским компаниям (в том числе HR-специалистам и секретарям) якобы от имени Главного Управления Военного Комиссариата МО РФ с поддельного адреса электронной почты mail@voenkomat-mil[.]ru.

В отправленных письмах говорится о том, что получатели должны явиться 11 мая к 8.00 в военный комиссариат для уточнения данных. Оригинал электронной повестки (мобилизационного предписания) находится якобы в приложении к письму.

На самом деле перехваченные вредоносные письма содержат zip-архивы с именами вида «Мобилизационное предписание №5010421409-ВВК от 10.05.2023.zip» и exe-файлом внутри.

Этот исполняемый файл содержал троян удаленного доступа DarkWatchman RAT. Ранее он был замечен в кампаниях группировки Hive0117 и использовался злоумышленниками в качестве разведывательного инструмента на первоначальной стадии атаки.

Хакерская группировка из Израиля проводит масштабную кампанию по компрометации корпоративной электронной почты, атакуя крупные компании с годовым доходом более 10 млрд долларов США.

Схема действий преступников

  1. Хакеры выдают себя за генерального директора компании, в которой работает жертва. Затем они передают переписку стороннему лицу, обычно адвокату по слияниям и поглощениям, который должен контролировать процесс оплаты.
  2. В некоторых случаях, когда атака переходит на второй этап, хакеры просят перенести разговор с электронной почты на голосовой звонок в WhatsApp. Так мошенники пытаются ускорить атаку и уменьшить вероятность оставления следов.
  3. В дополнение к использованию двух персонажей — генерального директора и внешнего поверенного лица — хакеры подделывали адреса электронной почты, используя настоящие домены. Если в целевой организации применялась политика DMARC, предотвращающая спуфинг электронной почты, группировка обновляла отображаемое имя отправителя, чтобы оно выглядело так, как будто электронные письма исходят от генерального директора.
  4. Группа переводит электронные письма на язык, который в основном используется целевой организацией.

Группировка хакеров Cactus атакует крупные компании с помощью вымогательского вируса-шифровальщика.

Схема действий преступников

  1. Для проникновения в сети жертв используются уязвимости в VPN-оборудовании Fortinet
  2. Файл полезной нагрузки зашифрован, чтобы избежать обнаружения. Злоумышленник использует пакетный скрипт для получения двоичного файла шифровальщика с использованием 7-Zip.
  3. Исходный ZIP-архив затем удаляется, а двоичный файл запускается с определенным параметром командной строки. Выполнение происходит только при наличии этого параметра. Это делается для предотвращения обнаружения шифровальщика-вымогателя.
  4. Имеется три режима запуска файла шифровальщика: установка (-s), чтение конфигурации (-r) и шифрование (-i). Для начала процесса шифрования файлов необходимо предоставить уникальный ключ AES, известный только злоумышленникам, используя параметр -i. Этот ключ необходим для расшифровки конфигурационного файла шифровальщика и публичного ключа RSA, необходимого для шифрования файлов. Он доступен в виде HEX-строки, зашифрованной в исполняемом файле шифровальщика.
  5. Запуск файла шифровальщика с правильным ключом для параметра «-i» позволяет вредоносной программе начать поиск файлов и запустить многопоточный процесс шифрования.

Инциденты

Хакер едва не сорвал выход нового альбома американской рок-группы The Smashing Pumpkins под названием «ATUM: A Rock Opera in Three Acts».

Примерно полгода назад компьютерные системы группы были взломаны, после чего преступник связался с солистом коллектива Билли Корганом и сообщил ему, что девять песен нового альбома попали к нему в руки. Он предложил удалить слитые файлы в обмен на довольно крупную сумму. Корган был вынужден согласиться, оплатив выкуп из своего кармана, чтобы не подвести фанатов и не испортить коммерческий успех предстоящего альбома.

Киберпреступники украли персональные данные более миллиона пациентов компании NextGen Healthcare, одного из крупнейших американских поставщиков программного обеспечения для медучреждений.

В уведомлении о нарушении безопасности данныхкомпания подтвердила, что хакеры получили доступ к персональным данным 1,05 миллиона пациентов. В письме, отправленном пострадавшим, NextGen Healthcare сообщила, что злоумышленники похитили имена пациентов, даты рождения, адреса и номера социального страхования.

«Важно отметить, что наше расследование не выявило никаких доказательств какого-либо доступа или воздействия на ваши медицинские записи или какие-либо медицинские данные», — добавила компания.

В уведомлении также говорится, что взлом произошёл через систему NextGen Office, облачное решение для электронных медицинских записей.

Группировка Medusa похитила данные больных австралийского центра лечения рака имени кронпринцессы Мэри. Хакеры угрожают опубликовать похищенные данные больных, если не получит денежный выкуп.

По данным министерства здравоохранения Нового Южного Уэльса, киберугроза, направленная на вышеупомянутый онкологический центр, который является частью больницы Уэстмид, была обнаружена вечером 4 мая. Представитель министерства здравоохранения заявил, что атака никак не повлияла на базы данных министерства или самого центра.

В случае, если администрация больницы откажется платить выкуп, похищенные данные будут опубликованы 12 мая, и доступ к ним сможет получить любой желающий. Но если больница заплатит выкуп в размере 100 тысяч долларов США, данные можно будет скачать или удалить.

Американский оператор сотовой связи T-Mobile седьмой раз за пять лет стал жертвой утечки данных абонентов. На этот раз пострадали всего 836 абонентов.

По словам представителей компании, в марте они обнаружили несанкционированный доступ к своей сети, который начался ещё в конце февраля. Злоумышленники не смогли получить финансовую информацию или историю звонков, но похитили PIN-коды учётных записей и множество других конфиденциальных данных абонентов.

Похищенная информация различалась от клиента к клиенту, но могла включать полное имя, контактную информацию, номер счёта и связанные с ним номера телефонов, PIN-код учётной записи T-Mobile, номер социального страхования, правительственное удостоверение личности, дату рождения, баланс и внутренние коды, которые T-Mobile использует для обслуживания учётных записей клиентов.

Компания утверждает, что направила письма всем пострадавшим пользователям 28 апреля и автоматически сбросила PIN-коды для их учетных записей.

Вымогатели Avos захватили систему экстренного вещания Университета Блуфилда «RamAlert», чтобы отправлять студентам и сотрудникам SMS-сообщения и оповещения по электронной почте о том, что их данные были украдены и скоро будут опубликованы.

30 апреля университет сообщил студентам и сотрудникам о кибератаке, которая затронула ИТ-системы учреждения, в результате чего все экзамены были отложены на неопределённый срок. Изначально университет утверждал, что расследование не обнаружило доказательств каких-либо случаев финансового мошенничества или кражи личных данных.

1 мая 2023 года выяснилось, что группировка Avos (операторы AvosLocker) все еще имеет доступ к университетской системе RamAlert, системе экстренного оповещения, используемой для предупреждения студентов и сотрудников по электронной почте и СМС о чрезвычайных ситуациях в кампусе.

В последнем сообщении группировка Avos призвала получателей рассказать об инциденте СМИ и пригрозила опубликовать все украденные данные, если университет не заплатит им выкуп.

Позже в тот же день банда вымогателей опубликовала образец украденных данных, включая отчёты о заработной плате и налогах (форма W-2) президента университета и документы, связанные со страховыми полисами.

Компания Dragos, занимающаяся промышленной кибербезопасностью, сообщила, что известная хак-группа попыталась взломать ее защиту и проникнуть во внутреннюю сеть, чтобы развернуть шифровальщика.

Злоумышленникам не удалось проникнуть в сеть компании, но они все же получили доступ к облачному сервису SharePoint и системе управления контрактами компании.

Преступная группа получила доступ, скомпрометировав личный email-адрес нового сотрудника по продажам (еще до даты его начала работы), а затем эту личную информацию использовали, чтобы выдать себя за сотрудника Dragos и от его лица выполнить начальные шаги по введению в должность.

После взлома SharePoint злоумышленники скачали «данные для общего пользования» и получили доступ к 25 отчетам, которые доступны только клиентам.

В течение 16 часов, пока у них сохранялся доступ к учетной записи сотрудника, злоумышленники попытались (но не смогли из-за RBAC-правил) получить доступ к нескольким системам Dragos. В их числе: система обмена сообщениями, служба поддержки, финансовая систему, система запросов предложений, система поощрения сотрудников и маркетинговая система.

Не сумев взломать внутреннюю сеть компании, через 11 после начала атаки злоумышленники отправили руководителям Dragos вымогательское письмо. Это сообщение было прочитано лишь спустя 5 часов, поскольку было отправлено в нерабочее время.

Через пять минут после прочтения вымогательского сообщения Dragos отключила взломанную учетную запись, аннулировала все активные сессии и заблокировала доступ злоумышленников к ресурсам компании.

.lead

 153   21 д   дайджест   фишинг

Антифишинг-дайджест № 321

Обзор новостей информационной безопасности с 28 апреля по 4 мая 2023 года




Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Зафиксирована масштабная вредоносная почтовая рассылка, в которой злоумышленники выдавали себя за крупнейшего в стране поставщика электрооборудования.

Особенности кампании

  1. Для подмены адреса отправителя хакеры использовали технику спуфинга.
  2. В письмах получателей из российских компаний просили прислать коммерческое предложение «с конкурентноспособными ценами для продуктов, перечисленных в приложенный документ заказа на поставку».
  3. В письме, действительно, содержался ZIP-архив, однако при его открытии на компьютер пользователя загружался стилер Loki.
  4. Несмотря на то, что сам текст письма написан довольно «корявым» языком, вероятно, с использованием машинного перевода, сама подпись отправителя и его электронный адрес должны вызвать доверие у получателей
  5. В дальнейшем злоумышленники могли использовать похищенные таким образом данные для получения доступа к почтовым аккаунтам, базам даных, финансового мошенничества, вымогательства или шпионажа.

Умные устройства

Зарубежные автопроизводители ограничили доступ российских владельцев к удалённому управлению купленными автомобилями с помощью приложений.

Владельцы Skoda, Kia, Infiniti, Nissan и Renault не могут дистанционно разблокировать двери автомобиля, запустить двигатель, посмотреть остаток топлива, а также обновить программы, контролирующие работу мотора, ABS и тормозной системы.

Представители отрасли сообщили, что официальные приложения для автомобилей марок Skoda, Kia, Infiniti, Nissan и Renault в России работают с ограничениями — их функциональность существенно урезана.

Атаки и уязвимости

Доверенный платформенный модуль (Trusted Platform Module, TPM) на платформе AMD во время замыкания напряжения позволяет провести атаку faulTPM и получить полный доступ к криптографическим данным устройства. В результате хакер может скомпрометировать любое приложение или технологию шифрования, включая BitLocker, который полагается на TPM.

Для проведения атаки исследователи эксплуатировали уязвимость в Platform Security Processor (PSP) , присутствующую в процессорах AMD Zen 2 и Zen 3. Взлом требует физического доступа к устройству на несколько часов. Оборудование для взлома стоит около 200 долларов США.

Атака faulTPM основана на атаке fTPM , которая включает в себя создание около 45 тыс. handshake-соединений с удаленным VPN-сервером и запись ответов. Наблюдая за временем отклика, злоумышленник может восстановить закрытый ключ, используемый VPN-сервером для подписи и проверки процессов авторизации, и таким образом получить доступ к защищенной сети VPN.

Специалисты использовали ноутбук Lenovo Ideapad 5 Pro и подключили оборудование к блоку питания ноутбука, микросхеме BIOS SPI и шине SVI2 (интерфейс управления питанием). Предметом атаки стал сопроцессор безопасности PSP, присутствующий в процессорах Zen 2 и Zen 3, с целью получения данных хранящиеся в TPM. Успешное извлечение «секретного ключа» из KDF (Key derivation function) даёт полной доступ и контроль над устройством и всеми содержащимися в нем данными.

В медицинских устройствах Illumina обнаружены критические уязвимости, которые позволяют злоумышленнику фальсифицировать диагнозы пациентов.

Проблемы затрагивают программное обеспечение Illumina Universal Copy Service (UCS) в приборах для секвенирования ДНК Illumina MiSeqDx, NextSeq 550Dx, iScan, iSeq 100, MiniSeq, MiSeq, NextSeq 500, NextSeq 550, NextSeq 1000/2000 и NovaSeq 6000.

Самая опасная уязвимость CVE-2023-1968 имеет оценку опасности 10 баллов по CVSS и позволяет удаленному злоумышленнику привязываться к открытым IP-адресам и прослушивать сетевой трафик, а также удаленно передавать произвольные команды.

Вторая проблема CVE-2023-1966 (CVSS: 7.4), связана с неправильной настройкой привилегий, и позволяет удаленному неавторизованному киберпреступнику загружать и выполнять код с повышенными привилегиями.

Успешная эксплуатация уязвимостей даёт злоумышленнику возможность выполнять любые действия на уровне операционной системы. Хакер может повлиять на настройки, конфигурации, ПО или данные уязвимого продукта, а также может взаимодействовать с уязвимым продуктом через подключенную сеть.

Неавторизованный киберпреступник может использовать недостаток для воздействия на результаты геномных данных в инструментах для клинической диагностики, включая удаление, подмену или фальсификацию результатов, а также утечку данных.

Инциденты

В результате кибератаки вымогательской группировки Medusa итальянская компания Alto Calore Servizi, которая обеспечивает питьевой водой почти полмиллиона жителей из двух провинций на юге Италии потеряла доступ к внутренним IT-системам.

Организация пока что не давала комментариев о том, повлиял ли инцидент на клиентов. Но, похоже, напрямую водоснабжение кибератака не затронула.

Вымогатели заявили, что дают водопроводчикам неделю на уплату выкупа. Они предоставила образцы украденных данных и предложилb компании два варианта:

  • заплатить 10 тысяч долларов США за продление срока выкупа на один день;
  • заплатить 100 тысяч долларов США за полное удаление всех похищенных данных.

Группа заявила, что заполучила как личные данные клиентов, так и множество различных внутренних документов компании: контракты, отчёты, протоколы заседаний правления, информацию о разводке труб и многое другое.

Кибервымогатели Cl0p ввзломали поставщика детских психиатрических услуг Brightline и похитили данные 783 606 человек. Для взлома они использовали уязвимость нулевого дня в Fortra GoAnywhere MFT.

Данные, украденные вымогателями, включали следующую личную информацию:

  • Полные имена;
  • Физические адреса;
  • Даты рождения;
  • Идентификационные номера участников;
  • Дата покрытия планом медицинского страхования;
  • Имена работодателей.

После публикации информации о взломе в СМИ группировка Cl0p отправила изданию BleepingComputer электронное письмо, в котором сообщила, что удалила данные компании Brightline со своего сайта утечек.

«Мы удалили данные, мы не знали, что делает эта компания, потому что не всегда анализируем компании, которые взламываем. Мы просим прощения за этот инцидент».

В настоящий момент Brightline больше не значится в числе жертв Cl0p.

Операторы вымогательской малвари BlackCat (она же ALPHV) опубликовали скриншоты внутренних писем и видеоконференций компании Western Digital.

Western Digital подверглась взлому в конце марта 2023 года. Тогда злоумышленники скомпрометировали внутреннюю сеть и похитили данные компании. При этом вымогательскую малварь в сети Western Digital не развертывали, и файлы не были зашифрованы.

В результате этой атаки почти две недели не работали облачные сервисы компании, включая Cloud, My Cloud Home, My Cloud Home Duo, My Cloud OS 5, SanDisk ibi и SanDisk Ixpand Wireless Charger, а также связанные с ними мобильные, десктопные и веб-приложения.

Теперь, стремясь надавить на пострадавшую компанию, хакеры опубликовали 29 скриншотов, содержащие электронные письма, документы и видеоконференции, связанные с реакцией Western Digital на эту атаку. Таким способом злоумышленники намекнули, что сохраняли доступ к некоторым системам Western Digital даже после обнаружения взлома.

Специалисты Data Leakage & Breach Intelligence (DLBI) обнаружили SQL-дамп базы данных сайта bi.zone, работающего под управлением CMS Bitrix.

В дампе содержатся, как данные зарегистрированных пользователей (имена, хешированные пароли, email-адреса), так и лиды (имена, телефоны, email-адреса, места работы).

Представители Bi.Zone сообщили:

«выложенные злоумышленниками данные соответствуют данным, хранящимся на виртуальных серверах, где размещалась часть наших маркетинговых и информационных веб-ресурсов. Серверы не были задействованы в оказании коммерческих услуг».

Анализ SQL-дампов специалистами DLBI показал, что хакеры, вероятно, получили доступ к данным нескольких сайтов (часть из них в данный момент недоступна):

  • 🌵 cyberpolygon.com
  • 🌵 bi.zone
  • 🌵 cyberacademy.bi.zone
  • 🌵 touch.bi.zone
  • 🌵 aftt.bi.zone

Все дампы датируются апрелем этого года и в них, помимо настоящих данных, содержится много тестовых записей.

Компания T-Mobile предупредила о второй утечке данных в 2023 году. Злоумышленники получили доступ к личной информации сотен клиентов и сохраняли доступ к данным больше месяца (начиная с конца февраля 2023 года).

По сравнению с предыдущими утечками данных T-Mobile, последняя из которых затронула 37 миллионов человек, новый инцидент коснулся «всего» 836 клиентов. Тем не менее, объем раскрытой информации велик, и утечка подвергает пользователей риску кражи личности и фишинговых атак.

T-Mobile подчеркивает, что атакующие не имели доступа к записям звонков или информации о финансовых счетах затронутых лиц. Однако «утекшая» информация варьировалась от пользователя к пользователю и могла включать: полное имя, контактную информацию, номер счета и связанные номера телефонов, PIN-код от учетной записи T-Mobile, номер социального страхования, данные документа удостоверяющего личность, дату рождения, сумму к оплате, внутренние коды, которые T-Mobile использует для обслуживания учетных записей (например, тарифный план и коды функций), а также информацию о количестве доступных линий.

Компания Bitmarck, один из крупнейших поставщиков IT-услуг в системе обязательного медицинского страхования Германии, отключил все свои клиентские и внутренние системы из-за кибератаки.

В заявлении на временном веб-сайте компания сообщила, что личные данные не были украдены, а расследование внешними экспертами продолжается.

В Bitmarck подчеркнули, что хранящиеся на серверах компании данные клиентов защищены и не затронуты в результате инцидента. Отключение сервисов Bitmarck влияет на ряд лиц и организаций, связанных с сервисами компании, особенно на тех, кто должен получить от Bitmarck электронные больничные листы.

Bitmarck заявила, что сбои ещё будут продолжаться, поскольку инцидент вынудил компанию отключить ЦОДы, а их перезапуск, вероятно, будет сопровождаться временным сбоем обслуживания. В Bitmarck добавили, что специалисты компании пока не могут идентифицировать киберпреступников

Americold, ведущая американская компания по хранению и логистике, столкнулась с IT-проблемами после взлома её сети.

Согласно служебной записке, разосланной клиентам Americold, системы компании будут отключены как минимум до следующей недели.

«Мы локализовали вторжение и отключили нашу сеть, чтобы гарантировать отсутствие риска для неизолированных областей или клиентов. Сейчас мы всё ещё находимся на пути к восстановлению поврежденных систем», — заявили представители гиганта холодного хранения.

Компания попросила всех клиентов временно отменить входящие поставки продуктов, а также перенести все исходящие, кроме наиболее важных, где есть товары с истекающим сроком годности.

Хакеры из группировки NLB выложили в открытый доступ данные, как они заявляют, клиентов страховой компании «АльфаСтрахование».

По словам хакеров, у них на руках 14 миллионов записей, но в открытый доступ они выкладывают 1 миллион.
В файле с утечкой содержится 1 млн. записей с такими полями как:

  • ⭕️ ФИО;
  • ⭕️ Дата рождения;
  • ⭕️ Пароль в хэше;
  • ⭕️ Эл. почта (907.440 уникальных);
  • ⭕️ Телефон (807.987 уникальных);
  • ⭕️ Техн. информация в виде дат.

Актуальность данных в файле на 19 апреля 2023 года.

 101   28 дн   дайджест   фишинг

Сравнение Антифишинга с другими решениями для Security Awareness

В этой таблице содержится сравнение возможностей решения Антифишинг для сотрудников с другими системами данного класса

Вендор Антифишинг Мегафон/Secure-T Kaspersky ASAP Phishman Gophish / StopPhish
Требования к вендору и экспертизе
Наличие собственной психологической классификации цифровых атак, которая поддерживается вендором, встроена в продукт, обновляется и опубликована в открытом доступе Классификация Антифишинга Нет Нет Нет Нет
Наличие собственных исследований и аналитики по вопросам человеческого фактора в информационной безопасности, регулярные публикации на протяжении последних трех лет Вендор ведет и публикует психологические исследования в области безопасности, с 2017 года выпускает еженедельные дайджесты, поставляет собственную аналитику всем клиентам, которые используют платформу. Нет Вендор проводит собственные опросы и исследования. Основной фокус — на вопросах технической защиты информации. Нет Нет
Наличие собственной методологии обучения, тренировки навыков и оценки эффективности процессов, которая поддерживается вендором и поставляется вместе с системой Да: методология Антифишинга, которая поставляется действующим клиентам Нет Частично: встроенная в систему градация уровня знаний и правила перехода с уровня на уровень Нет Нет
Внедрение и инфрастуктура Антифишинг Мегафон/Secure-T Kaspersky ASAP Phishman Gophish / StopPhish
Управление паролями администраторов и авторизация через LDAPS и LDAP Да, управление парольными политиками и доступом в интерфейс для админстраторов может настраиваться через LDAP и LDAPS Нет Нет Нет Нет
Аутентификация при помощи SSO Да Нет Да Нет Нет
Двухфакторная аутентификация Да Нет Нет Нет Нет
Локализация Антифишинг Мегафон/Secure-T Kaspersky ASAP Phishman Gophish / StopPhish
Языки интерфейса Русский, английский, итальянский Русский, о других языках нет данных 30 языков Русский Английский
Работа с сотрудниками
Первичная загрузка сотрудников 1. Вручную
2. Через файл импорта
3. Через LDAP
4. Через REST API
1. Вручную
2. Через файл импорта
1. Вручную
2. Через файл импорта
1. Вручную
2. Через файл импорта
3. Через LDAP
1. Вручную
2. Через файл импорта
Последующая автоматическая синхронизация (удаление, изменение) сотрудников Да Нет Нет Да Нет
Повторение оргструктуры заказчика Да, автоматически. Неограниченная вложенность по отделам + есть представление по руководителям Нет данных Да, вручную Да Нет
Произвольная группировка сотрудников Да, можно использовать готовые группы или создавать и настраивать их самостоятельно.
Доступна цветовая индикация, приоритеты для произвольных групп сотрудников и различные визуальные отображения для групп.
Нет данных Да, можно использовать готовые группы или создавать и настраивать их самостоятельно. Нет Нет
Работа с сотрудниками в анонимном режиме Да Нет Нет Нет Нет
Обучение
Встроенная система электронного обучения Да Да Частично: только для предустановленых в аккаунте курсов Есть предустановленные курсы в аккаунте Нет
Возможность загрузки произвольного контента Да, SCORM 1.2 Да Нет Да, SCORM 1.2 Нет
Наличие собственных электронных обучающих курсов и тестов, доступных для просмотра и прослушивания без дополнительных плагинов на актуальных версиях браузеров MS Edge, Internet Explorer, Google Chrome, Safari, Mozilla Firefox, Opera, а также в стандартных браузерах операционных систем IOS и Android актуальных версий Да Да Да Да Нет
Кастомизация курсов и тестов под клиента Да, в рамках технической поддержки Да Заявлена возможность адаптации материалов с учетом потребностей любой организации Да, в рамках технической поддержки Нет
Автоматическая выдача сотрудникам сертификатов об окончании обучения Да, формат кастомизируется под клиента Нет данных Да, формат не может меняться Нет Нет
Обновление контента Ежеквартально Нет данных Нет данных Нет данных Нет
Тренировка навыков Антифишинг Мегафон/Secure-T Kaspersky ASAP Phishman Gophish / StopPhish
Возможность проверки навыков сотрудников через выполнение имитированных атак по электронной почте Да Да Да Да Да
Возможность создания шаблонов атак из реальных сообщений электронной почты Да, в систему подключатся почтовые ящики и сообщения в них могут редактироваться и сохраняться как шаблоны для имитированных атак Нет данных Нет Нет Нет
Проверка навыка перехода по ссылкам Да, в том числе ссылки в виде QR Да Да Да Да
Проверка навыка подключения к беспроводным поддельным точкам доступа (Wifi) Да Нет Нет Нет Нет
Проверка навыка ввода данных на имитированном фишинговом сайте Да Да Нет Да Да
Управление паролями администраторов и авторизация через LDAPS и LDAP Да Нет Нет Нет Нет
Разработка сценариев и шаблонов целевых имитированных атак с учетом специфики заказчика Да Нет Нет Нет Нет
Возможность добавления к фишинговым письмам вложенных файлов различных форматов Да: DOCX, XLSX, PPTX, JS, HTML, PDF, ICS, ISO, LNK, а также упаковка в ZIP Да (PDF) Нет Да, DOCX, Excel, PDF Нет
Возможность проверки у сотрудников навыков подключения недоверенных USB-устройств через USB-HID-устройства Да: для проверки от пользователя требуется только подключить устройство Нет Нет Частично: только USB-storage (для проверки от пользователя требуется открытие и запуск файлов с устройства) Нет
Определение и сохранение в платформе имени пользователя, имени компьютера и домена того сотрудника, который подключил имитированное USB-устройство Да Нет Нет Нет Нет
Возможность отправки писем, встраивания ссылок, фишинговых сайтов с произвольных фишинговых доменов и с произвольными URL Да: адреса, домены, URL кастомизируются Частично: только произвольные адреса отправителя Нет Частично: только произвольные адреса отправителя Частично: только произвольные адреса отправителя
Учет всех небезопасных действий в численном значении накопительного рейтинга каждого сотрудника и отдела Да: накопительный рейтинг, изменение, а также статусы сотрудника, отдела, всей организации Частично: статус сотрудника Частично: статус сотрудника Частично: статус сотрудника Частично: статус сотрудника
Плагин Антифишинг Мегафон/Secure-T Kaspersky ASAP Phishman Gophish / StopPhish
Возможность ставить плагин в Outlook Да Нет Нет Нет Нет
Учет обратной связи от сотрудников по реальным и имитированным атакам, включая сбор исходных сообщений и разметку атак Да, через плагин для установки в корпоративный почтовый клиент.
Позволяет собирать обратную связь от сотрудников в зависимости от типа письма, включая исходные сообщения и информацию по векторам и атрибуции атак, а также причины, по которым письмо показалось странным, и комментарии сотрудников в свободной форме
Нет Нет Нет Нет
Возможность создавать типы атак и редактировать внешних вид окна ОС разных типов Да Нет Нет Нет Нет
Отчетность по обратной связи для плагина Отдельный отчет, в который попадает вся информация по обратной связи сотрудников.
Есть возможность выгружать отчет вне системы по специальной ссылке, что позволит предоставлять доступ к отчету любым коллегам
Нет Нет Нет Нет
Веб-плагин, позволяющий репортить угрозы из браузеров Будет доступно в Q2 2023.
Возможность встраивать плагин в Google Chrome и Яндекс Браузер. Можно репортить подозрительные сайты, письма в почте или мессенджере прямо из браузера
Нет Нет Нет Нет
Определение уязвимостей ПО на устройствах Антифишинг Мегафон/Secure-T Kaspersky ASAP Phishman Gophish / StopPhish
Возможность определения версий браузеров, плагинов, офисных программ, операционных систем, включая мобильные версии, у тех сотрудников, которые совершают небезопасные действия Да Нет Нет Частично: только версии браузеров Нет
Возможность определения программных уязвимостей в версиях указанного ПО Да Нет Нет Частично: только версии браузеров Нет
Классификация уязвимостей в соответствии с рейтингом CVSS Да Нет Нет Нет Нет
Привязка уязвимостей к сотрудникам, у кого они были обнаружены Да Нет Нет Да Нет
Учет уязвимостей в статистике небезопасных действий по сотрудникам и в отдельном разделе платформы Да Нет Нет Да Нет
Обновление базы уязвимостей ежемесячно Да Нет Нет Нет данных Нет
Интеграции с внешними системами Антифишинг Мегафон/Secure-T Kaspersky ASAP Phishman Gophish / StopPhish
Интеграция с LDAP Да: MS AD, OpenLDAP, FreeIPA, БОСС—Кадровик Вероятно да 
(Благодаря интеграции платформы с используемой в компании службой каталогов обеспечивается простое назначение пользователей на учебные курсы)
Нет Да, MS AD Нет
Интеграция с СДО (LMS) Да Да (интеграция со сторонними СДО, существующими в компании) Нет WebTutor, Moodle, Mirapolis Нет
Интеграция с системами класса IR (Incident Response) или SGRC (Security Governance, Risk, Compliance) в объеме, который позволит управлять функциями и получать статистику по работе системы из интерфейса IR/SGRC-системы Да. R-Vision, КСУИБ Нет Нет Нет Нет
Наличие собственного программного интерфейса (RESTful API), который позволяет интегрироваться с любой внешней системой, чтобы управлять всеми заявленными функциями и получать всю статистику по работе сервиса Да. Все заявленные функции описаны в документации на соответствующие методы API. Интеграция с 1С Да. Все заявленные функции описаны в документации на соответствующие методы API Нет Нет. Только исходящие коннекторы к отдельным внешним системам Да. Все заявленные функции описаны в документации на соответствующие методы API
Автоматизация Антифишинг Мегафон/Secure-T Kaspersky ASAP Phishman Gophish / StopPhish
Ведение процесса полностью автоматизировано Да, через RESTful API, через встроенный планировщик.
Возможность применения правил по состоянию сотрудников, на определенную группу сотрудников, в точную дату и время наступления события
Да Частично. Возможно один раз отправить сотрудников на курсы на год вперед. Да, через встроенный планировщик Да, через RESTful API
Автоматическая синхронизация списка сотрудников с корпоративным каталогом Да Нет Нет Да Нет
Автоматическое назначение на обучающие курсы сотрудников при наступлении выбранного события и по определенному учебному плану Да Нет данных Да Да Нет
Автоматическое формирование и отправка отчетности руководителям и специалистам службы безопасности за выбранный период Да Нет данных Нет, скачивается вручную Да Нет
Возможность сообщить об атаке с автоматическим учетом безопасного действия в системе и отправкой технических деталей в SOC Да, через плагин для корпоративного почтового клиента Нет данных Нет Нет Нет
Автоматическое добавление в группу риска по данным из корпоративного каталога Автоматическое назначение в группу риска при импоте сотрудников из AD с возможностью выбора атрибута (соответствие полей) Нет данных Частично Нет Нет
Отчетность Антифишинг Мегафон/Secure-T Kaspersky ASAP Phishman Gophish / StopPhish
Отчеты в системе 1. Общий отчет с динамическими и наглядными представлениями данных
2. Отчет по обучению
3. Отчет по атакам
4. История действий по сотрудникам
5. Отчет по уязвимостям
6. Полная статистика
7. Журнал действий
8. Отчет по Планировщику
9. Анонимная статистика
10. Отчет по обратной связи от сотрудников
1. Отчет по курсу
2. Отчет по итогам тестирования
1. Общий отчет по обучению
2. Персональный отчет по пользователю
10 отчетов
1. Отчет по сотрудникам
2. Отчет по атакам
3. Отчет по обучению
4. Отчет по USB накопителям
5. Отчет по уязвимостям браузеров
6. Отчет по динамике уязвимостей пользователей
7. Отчет по динамике обучения пользователей
8. Аналитический отчет в Excel, PDF
1. Отчет по открытым письмам
2. Отчет с информацией о пользователях, которые перешли по ссылке, ввели данные.
Доступ к статистике и отчетности через RESTful API Да Да Нет Нет Да
Доступ к статистике и отчетности в формате Syslog, с возможностью экспорта в SIEM Да Нет Нет Нет Нет
Визуальные представления данных по покрытию и эффективности процессов Главные показатели покрытия и ключевые показатели эффективности представлены в статическом и динамическом представлении.
Все данные можно забирать программно через обращения по REST API.
Нет Частично Частично Нет
 11   1 мес   аналитика
Ранее Ctrl + ↓