70% af medarbejderne i den offentlige sektor afslører adgangskoder, når de interagerer med phishing-e-mails

En storstilet phishing-simulering udført som et test- og sikkerhedseksperiment blev for nylig afsluttet, og resultaterne er ikke særlig opmuntrende. Deltagerne var medarbejdere fra den offentlige sektor fra hele verden, og forskningen var fokuseret på, hvor let det er at få dem til uforvarende at videregive deres loginoplysninger til simulerede dårlige forsøg på tyveri.

Simuleringen konkluderede, at svimlende 70% af de ansatte i den offentlige sektor meget sandsynligt vil udfylde deres legitimationsoplysninger efter at have fulgt et link, der findes i en phishing-e-mail.

Andre tal afslører i kølvandet på eksperimentet, udført af Terranova Security, afslørede, at en femtedel af medarbejderne var meget hurtige og ivrige efter at klikke på links indeholdt i phishing-e-mails. Den bekymrende ting her er, at dette antal næsten er fordoblet i forhold til tallene, der blev offentliggjort i 2019, og denne tendens var gældende selv blandt medarbejdere, der tidligere havde deltaget i en anden runde phishing-simuleringer.

De phishing-skabeloner, der blev brugt i simuleringen, blev specifikt skræddersyet til at afspejle den nuværende Covid-håndhævede situation, hvor millioner af mennesker arbejder hjemmefra på et system, der normalt er mindre sikkert end deres kontorcomputer. En skabelonprøve indeholdt en falsk e-mail indeholdende tip til, hvordan man holder sig sikker fra Covid-19, angiveligt sendt fra Verdenssundhedsorganisationen, der indeholder et ondsindet link til et falsk PDF-dokument.

Situationen er ikke særlig smuk at se på også i andre forretningssektorer. Medarbejdere, der arbejder inden for transporttjenester, registrerede et 70% klik-til-indsendelsesforhold. Det kan være noget trøstende, at finans- og uddannelsessektoren klarer sig bedst med lige omkring 8 procent hver.

Virksomheder og industrier er åbenbart nødt til at fokusere mere på træningsprogrammer og øge langt større opmærksomhed om farerne ved phishing. Det ser ud til at være lige i kølvandet på de globale begivenheder om cybersikkerhed, der fandt sted i oktober, og folks evne til at fortælle en phishing-e-mail fra en rigtig er stadig meget flaky.

Du kan ikke tvinge folk til at udvikle deres sunde fornuft, men normalt er det bare sund fornuft, der hjælper med at filtrere den falske phishing-lokkemad ud og forblive sikker.