1 av 5 anställda föll offer för e-post med nätfiske som de trodde kom från HR visar en undersökning med över 80 000 deltagare.
Enligt en färsk undersökning från cybersäkerhetsleverantören F-Secure får e-post med nätfiske som ser ut att vara skickade från HR-avdelningen eller som eftersöker hjälp med fakturering flest klick av mottagarna.
Undersökningen To Click or Not to Click: What we Learned from Phishing 80 000 People, med 82 402 deltagare, undersökte hur anställda från fyra olika organisationer reagerade på e-postmeddelanden som simulerade en av fyra vanliga tekniker med nätfiske.
22 % av mottagarna klickade på ett e-postmeddelanden som såg ut att komma från HR-avdelningen gällande semester. Överlag var e-postmeddelanden som efterliknar den typ av kommunikation som HR-avdelningen vanligen skickar de mest klickade i hela undersökningen.
Ett e-postmeddelande som ber mottagaren att hjälpa till med en faktura (hänvisas till som CEO Fraud i rapporten) var den näst mest klickade typen av e-postmeddelande, där 16 % av mottagarna klickade på dessa.
E-postmeddelanden från Document Share (notifikationer från en fildelningstjänst) och Service Issue Notification (meddelanden från en onlinetjänst) klickades på av 7 % respektive 6 % av mottagarna, vilka var de minst klickade e-postmeddelandena i undersökningen.
Däremot var det som stack ut allra mest i undersökningen det faktum att anställda med mer ”tekniska” roller verkade lika eller mer mottagliga till nätfiskeförsök än andra, enligt Matthew Connor, Service Delivery Manager på F-Secure och huvudförfattare för rapporten
”Den priviligierade åtkomst som teknisk personal har till en organisations infrastruktur kan leda till att de aktivt söks upp av cyberkriminella, så en stor eller till och med normal mottaglighet för nätfiske är ett problem”, förklarade Connor. ”Undersökningar som gjorts efter att rapporten tagits fram visar att dessa anställda hade större medvetenhet om tidigare nätfiskeförsök än andra, så vi vet att detta är ett verkligt hot. Det faktum att de klickar lika ofta eller oftare än andra på denna typ av e-postmeddelanden, trots att de har större medvetenhet om problemet, belyser en betydande utmaning i kampen mot nätfiske”.
Av de två organisationer som studerats med personal som arbetar inom IT eller DevOps klickade båda grupperna på test-e-postmeddelanden på nivåer som antingen var lika eller högre än andra avdelningar i respektive organisation: 26 % från DevOps och 24 % från IT jämfört med 25 % för hela den ena organisationen och 30 % från DevOps och 21 % från IT jämfört med 11 % för hela den andra organisationen.
Vidare visade undersökningen att dessa två avdelningar inte heller var bättre på att rapportera nätfiskeförsök än andra. I en av organisationerna kom IT och DevOps på tredje och sjätte plats av nio avdelningar när det kom till rapportering. I den andra organisationen var DevOps den 12:e bästa på att rapportera in nätfiske av 17 avdelningar totalt, medan IT hamnade på 15:e plats.
Värdet av en snabb och lättanvänd rapporteringsprocess belystes också i rapporten. Under den första minuten efter att test-e-postmeddelandet nått inkorgarna hade fler än tre gånger fler personer klickat på e-postmeddelandet jämfört med antalet personer som rapporterat in det som misstänkt.
Medan rapporteringen blev allt mer frekvent ju längre tiden gick så spelade de olika processerna på de olika organisationerna en viktig roll. 47 % av deltagarna från en organisation som erbjöd alla anställda en dedikerad knapp för att flagga misstänkt e-post använde den i samband med undersökningen. Endast 12 % respektive 13 % av deltagarna från två andra organisationer rapporterade sina test-e-postmeddelanden (den sista organisationen erbjöd ingen data kring rapportering).
Enligt Rian Naude, Director of Consulting på F-Secure ger mönstret av rapporterings- och klickmängderna som identifierats i undersökningen en möjlighet för organisationer att mobilisera de anställda i en gemensam ansträngning för att skydda sig själva mot nätfiske.
”Resultatet från undersökningen pekar tydligt på snabba, smärtfria rapporteringsprocesser som den gemensamma nämnaren, där säkerhetspersonal och andra avdelningar tillsammans kan arbeta för att förbättra en organisations motståndskraft mot nätfiske. Får man till detta rätt kan det innebära att en attack upptäcks och kan förebyggas tidigare, då de som arbetar med säkerheten endast har ett fåtal värdefulla minuter på sig att begränsa ett potentiellt intrång”, säger Naude.
