Il 70% dei dipendenti del settore pubblico rivela le password quando interagisce con le e-mail di phishing
Recentemente è stata completata una simulazione di phishing su larga scala condotta come test e esperimento di sicurezza ei risultati non sono molto incoraggianti. I partecipanti erano dipendenti del settore pubblico di tutto il mondo e la ricerca si è concentrata su quanto sia facile convincerli a rivelare involontariamente le proprie credenziali di accesso al lavoro a tentativi di furto simulati da malintenzionati.
La simulazione ha concluso che è molto probabile che uno sbalorditivo 70% dei dipendenti del settore pubblico inserisca le proprie credenziali dopo aver seguito un collegamento trovato in un'e-mail di phishing.
Altri dati rivelati sulla scia dell'esperimento, condotto da Terranova Security, hanno rivelato che un quinto dei dipendenti è stato molto veloce e desideroso di cliccare sui link contenuti nelle e-mail di phishing. La cosa preoccupante qui è che questo numero è quasi raddoppiato rispetto ai dati pubblicati nel 2019, e questa tendenza era valida anche tra i dipendenti che avevano precedentemente partecipato ad un altro giro di simulazioni di phishing.
I modelli di phishing utilizzati nella simulazione sono stati specificamente adattati per riflettere l'attuale situazione applicata dal Covid in cui milioni di persone lavorano da casa, su un sistema che di solito è meno sicuro del computer dell'ufficio. Un modello di esempio includeva un'e-mail falsa contenente suggerimenti su come proteggersi dal Covid-19, presumibilmente inviato dall'Organizzazione mondiale della sanità, contenente un collegamento dannoso a un falso documento PDF.
La situazione non è molto bella da guardare anche in altri settori di attività. I dipendenti che lavorano nei servizi di trasporto hanno registrato un rapporto tra clic e invio del 70%. Può essere un po 'confortante che i settori della finanza e dell'istruzione abbiano ottenuto i risultati migliori, con appena l'8% ciascuno.
Ovviamente le aziende e le industrie devono concentrarsi maggiormente sui programmi di formazione e sensibilizzare maggiormente sui pericoli del phishing. Sembra proprio sulla scia degli eventi di sensibilizzazione sulla sicurezza informatica globali che si sono svolti in ottobre, la capacità delle persone di distinguere un'e-mail di phishing da una vera è ancora molto instabile.
Non puoi costringere le persone a sviluppare il loro buon senso, ma di solito è solo il buon senso che aiuta a filtrare le false esche di phishing e rimanere al sicuro.