70% van de werknemers in de publieke sector maakt wachtwoorden bekend bij interactie met phishing-e-mails
Een grootschalige phishing-simulatie uitgevoerd als test- en beveiligingsexperiment is onlangs afgerond en de resultaten zijn niet erg bemoedigend. De deelnemers waren werknemers uit de publieke sector van over de hele wereld en het onderzoek was gericht op hoe gemakkelijk het is om hen onbewust hun inloggegevens voor het werk vrij te geven aan gesimuleerde pogingen tot diefstal van slechte actoren.
De simulatie concludeerde dat maar liefst 70% van de werknemers in de publieke sector zeer waarschijnlijk hun inloggegevens zullen invullen na het volgen van een link in een phishing-e-mail.
Uit andere cijfers blijkt dat in de nasleep van het experiment, uitgevoerd door Terranova Security, bleek dat een vijfde van de medewerkers heel snel en gretig op links in phishing-e-mails klikt. Het verontrustende hier is dat dit aantal bijna is verdubbeld in vergelijking met de cijfers van 2019, en deze trend was zelfs geldig bij werknemers die eerder hadden deelgenomen aan een andere ronde van phishing-simulaties.
De phishing-sjablonen die in de simulatie werden gebruikt, waren specifiek afgestemd op de huidige door Covid afgedwongen situatie waarin miljoenen mensen thuis werken op een systeem dat doorgaans minder veilig is dan hun computer op kantoor. Een voorbeeld van een sjabloon bevatte een nep-e-mail met tips over hoe u veilig kunt blijven voor Covid-19, zogenaamd verzonden door de Wereldgezondheidsorganisatie, met een kwaadaardige link naar een nep-pdf-document.
Ook in andere bedrijfssectoren is de situatie niet erg mooi. Werknemers die in transportdiensten werkten, noteerden een click-to-submission-ratio van 70%. Het kan enigszins geruststellend zijn dat de financiële sector en het onderwijs het beste presteerden met elk slechts ongeveer 8 procent.
Bedrijven en industrieën moeten uiteraard meer aandacht besteden aan trainingsprogramma's en veel meer bewust maken van de gevaren van phishing. Het lijkt zelfs goed in de nasleep van de wereldwijde bewustmakingsgebeurtenissen op het gebied van cyberbeveiliging die plaatsvonden in oktober, het vermogen van mensen om een phishing-e-mail van een echte te onderscheiden, is nog steeds erg flauw.
Je kunt mensen niet dwingen hun gezond verstand te ontwikkelen, maar meestal is het gewoon gezond verstand dat helpt om het nep-phishing-aas eruit te filteren en veilig te blijven.