Как бороться со злоумышленниками?

Нужен совет по части информационной безопасности.

Есть организация, в которую с начала года стали регулярно подсылать фейковые письма с вредоносным содержимым. Письма маскируются под запросы крупного заказчика ("реестр с нашими потебностями во вложении/по ссылке"  ), требования из налоговой ("требование по ссылке..." ) и в таком духе.  Приходят в среднем раз в полтора месяца.  Один раз девушка даже успела распаковать rar-архив и начала устанавливать вложенный exe; слава богу, спасло ограничение прав. (После этого пришлось им включить SRP (что заодно избавило и от Амиго, хоть какая-то радость)).
Антивирусом на рабочих станциях установлен Касперский, на корпоративном интернет-шлюзе Dr.Web for Kerio. Напрягает однако, что только в сегодняшнем письме антивирусы сработали, до того момента оба на голубом глазу рапортовали о чистоте ( угроза определялась либо по virustotal, либо ручным просмотром (очевидно, что если в "реестре Газпрома.exe" лежат bat и vbs, то это не случайность)).

Вопрос. Приходилось ли кому сталкиваться с подобными вещами и какие действия вы предпринимали?  
Есть ли смысл обращаться в "Центр реагирования на компьютерные инциденты Российской Федерации" ссылка или "CERT-GIB – центр круглосуточного реагирования на инциденты информационной безопасности" ссылка ?

Потому что эти гаврики уже начали доставать своей настойчивостью. Хочется что-то сделать.

Мне каждый день такие приходят десятками

Сомневаюсь, что именно такие - и десятками.

Vlad_06, Есть вариант их вычеслить или по крайней мере их IP адреса откуда валит спам и заспуфить их что бы не повадно было...

StanGAD, там все проще и сложнее. Регистрируется домен, сходный по написанию, например, с доменом Транснефти, хостинг, размещается файл. Присылается письмо с доменной почты. У меня виден IP сервера, он ничего не дает. Потом я пишу жалобу регистратору и хостеру, образцы Касперскому и Доктору; Касперский отмалчивается, Доктор благодарит за сотрудничество, хостер блокирует аккаунт, домен разделегируют.
Но нельзя же постоянно контролировать бухгалтерию, чтобы они чего не открыли лишнего.  Да и своей работы хватает.

Если мне не изменяет память, то не так сложно запретить выполнение вообще любых исполняемых файлов кроме разрешенных. Придется, конечно, при каждом обновлении все это дело пересматривать, но безопасность будет на высоком уровне

Цитата (Vlad_06):

Один раз девушка даже успела распаковать rar-архив и начала устанавливать вложенный exe; слава богу, спасло ограничение прав

Надо проинструктировать сотрудников. Кроме почты нельзя никак разве общаться с крупными клиентами? Они что сразу шлют письма? Чат к примеру. Менеджер как в Приватбанке. Какая именно почта? Хостинг какой. Защита? От этого многое зависит. Смените почту. Не светите ее на сайте, зашифруйте. На сайте форма и все. Клиентам сообщите куда и как писать... Уточните ситуацию.

frig, это я сделал, если вы имеете в виду Software Restriction Policies. Да, классная штука, только теперь приходится вручную обновлять Firefox и Яндекс-Диск.  А в устоявшемся процессе новые программы появляются редко. Еще добавил EMET. Провел лекцию с объяснением опасностей. Но все равно неспокойно.  Если кто-то подаст еще идеи как улучшить защиту - буду благодарен.

И вообще, если письма приходят так редко, то можно перезвонить отправителю и уточнить писали ли они что-либо.
Мне тоже недавно пришло сообщение погасить кредит с намеками на санкции  и штрафы - и так убедительно, со ссылками и прочим. Беда отправителя в том, что я кредиты не беру, тем более в русских банках) И я никогда не открываю ссылки и тем более .exe А если уж очень надо - то через сервисы.
Или как вариант - сервис, типа этого - ссылка
Т.е за покой надо платить. Иначе никак.

Vlad_06, сомневаюсь, что что-то можно сделать, да и что нужно что-то делать. Разве что прогонять всю почту через свой почтовый сервер и там вычищать приложения и ссылки.

Цитата (AlexsimA):

Надо проинструктировать сотрудников. Кроме почты нельзя никак разве общаться с крупными клиентами? Они что сразу шлют письма? Чат к примеру. Менеджер как в Приватбанке. Какая именно почта? Хостинг какой. Защита? От этого многое зависит. Смените почту. Не светите ее на сайте, зашифруйте. На сайте форма и все. Клиентам сообщите куда и как писать… Уточните ситуацию.

Да, здесь почта и телефон - основное средство общения. Чат не подходит.  В любом случае, даже с чатом, почта ведь останется как дополнительный канал связи, и если на нее напишут злоумышленники, менеджер должен будет обработать письмо. А если так, то пишет один клиент или 100 - уже неважно, дверь открыта.
Сменить почту нельзя, она много где указана и у сотен клиентов в адресных книгах. Тем более - не светить, на нее же клиенты пишут. Потом, раз люди почти год безуспешных попыток не потеряли интереса, они найдут и новую почту: кто мешает позвонить менеджеру и поинтерсоваться "как вам написать?".
Цитата (AlexsimA):

И вообще, если письма приходят так редко, то можно перезвонить отправителю и уточнить писали ли они что-либо.

Да, и так делали.  Но люди разные. Здесь опасность в том, что я читаю и думаю "не ловушка ли это?", а они "о, клиент!" - все же, работа такая, все правильно.  А нормальных писем приходит много, всем перезванивать нереально.
Цитата (frig):

Разве что прогонять всю почту через свой почтовый сервер и там вычищать приложения и ссылки.

Я об этом уже задумался, но никогда не делал такого раньше.  Спасибо за подтверждение.
но и здесь сложность. Большинство писем нормальные, и они тоже содержат ссылки и вложенные файлы. Здесь промышленная продукция для юридических лиц, поэтому сканы сертификатов, согласований, счетов, договоров, экспертные заключения, тонны макулатуры для таможни - все это гоняется через почту.
А если сканировать вложения, то упираемся в первую проблему - антивирусы не видят.

почему и возник вопрос: есть ли смысл связываться с правоохранительными органами?

Цитата (Vlad_06):

А если сканировать вложения, то упираемся в первую проблему - антивирусы не видят.

Централизовано можно сделать больше. Можно и архивы распаковывать, чтобы удалять исполняемые файлы и на тот же virustotal гонять, а отдавать уже почищенные письма. 
Цитата (Vlad_06):

есть ли смысл связываться с правоохранительными органами?

Нет.