70% pracowników sektora publicznego ujawnia hasła podczas interakcji z e-mailami phishingowymi
Symulacja phishingu na dużą skalę przeprowadzona w ramach testu i eksperymentu bezpieczeństwa została niedawno zakończona, a wyniki nie są zbyt zachęcające. Uczestnikami byli pracownicy sektora publicznego z całego świata, a badanie skupiało się na tym, jak łatwo jest skłonić ich do nieświadomego ujawnienia swoich danych logowania do pracy, aby symulować próby kradzieży przez złych aktorów.
Symulacja wykazała, że zdumiewające 70% pracowników sektora publicznego z dużym prawdopodobieństwem wypełni swoje dane uwierzytelniające po kliknięciu odsyłacza znalezionego w e-mailu phishingowym.
Inne dane liczbowe ujawnione w następstwie eksperymentu przeprowadzonego przez Terranova Security ujawniły, że jedna piąta pracowników bardzo szybko i chętnie klikała odsyłacze zawarte w wiadomościach phishingowych. Niepokojące jest to, że liczba ta prawie się podwoiła w porównaniu z danymi opublikowanymi w 2019 roku, a trend ten był ważny nawet wśród pracowników, którzy wcześniej uczestniczyli w kolejnej rundzie symulacji phishingu.
Szablony phishingu użyte w symulacji zostały specjalnie dostosowane, aby odzwierciedlić obecną sytuację wymuszoną przez firmę Covid, w której miliony ludzi pracują z domu, w systemie, który jest zwykle mniej bezpieczny niż ich komputer w biurze. Próbka szablonu zawierała fałszywą wiadomość e-mail zawierającą wskazówki, jak zachować bezpieczeństwo przed Covid-19, rzekomo wysłaną przez Światową Organizację Zdrowia, zawierającą złośliwy odsyłacz do fałszywego dokumentu PDF.
Sytuacja nie jest zbyt ładna również w innych sektorach biznesu. Pracownicy usług transportowych odnotowali 70% współczynnik kliknięć do zgłoszeń. Nieco pocieszające może być to, że sektor finansowy i edukacyjny osiągnął najlepsze wyniki, po zaledwie około 8%.
Firmy i branże muszą oczywiście bardziej skoncentrować się na programach szkoleniowych i podnosić znacznie większą świadomość zagrożeń związanych z phishingiem. Wydaje się, że nawet w następstwie globalnych wydarzeń związanych z cyberbezpieczeństwem, które miały miejsce w październiku, zdolność ludzi do odróżnienia wiadomości phishingowej od prawdziwej jest nadal bardzo słaba.
Nie można zmusić ludzi do rozwijania zdrowego rozsądku, ale zwykle zdrowy rozsądek pomaga odfiltrować fałszywą przynętę phishingową i zachować bezpieczeństwo.