Треть сотрудников российских компаний переходит по ссылкам в сомнительных электронных письмах.
Особенно если послания касаются введения дресс-кода или просмотра фотографий с корпоративных мероприятий. Эксперты по кибербезопасности подчёркивают, что излишняя доверчивость может представлять значительные риски для организаций.
Анализ провели на основе данных, полученных с помощью решений «МегаФон Security Awareness» и Kaspersky Automated Security Awareness Platform, предназначенных для повышения уровня киберграмотности сотрудников. Оценены тренировочные фишинговые рассылки, проведённые в интересах корпоративных клиентов мобильного оператора и разработчика решений в области кибербезопасности. Тестирование на восприимчивость к фишинговым атакам проводилось в период с января по август текущего года, в соответствии с принципами белого хакинга. (Для рассылки могут создаваться специальные сайты-имитаторы, использоваться брендинг, похожий на оригинальный, а также применяться методы социальной инженерии). Организаторы не хранят и не собирают данные пользователей, а подсчитывают количество ошибок, допущенных персоналом заказчика, и предоставляют отчёт.
В среднем половина сотрудников российского бизнеса открывает письма из сымитированных рассылок, 35% переходят по ссылке (каждый третий из них вводит свои персональные данные). Если сообщение содержит вложение, то 8,3% адресатов открывают его. Наибольшее доверие среди сотрудников российских компаний вызывают поддельные обращения от HR- и ИТ-отделов. Например, из рассылки о введении дресс-кода по ссылке перешло три четверти получивших её (77%). Письмо с темой «Фото с корпоратива» заинтересовало 32%. Сработала тема «Нарушение корпоративной политики использования учётных записей» (23%). На письмо якобы от специалистов HR-отделов с просьбой пройти онлайн-опрос попались 14% пользователей. Остаётся актуальной и тема денег. Письмам с сообщениями о перемещении средств в частный инвестиционный фонд и об отклонении заявления страховой поверили по 14% получателей.
Неудивительно, что количество компаний, проводящих обучение и тестовые фишинговые рассылки, за последний год увеличилось в 2,5 раза. Большинство из них — представители малого бизнеса. После обучения только 9% сотрудников открывает вредоносные письма, 2% переходит по ссылке и 0,2% компрометируют свои сведения.
ИА “Орелград”