Nye data fra CyberPilot afslører, at nysgerrighed i stigende grad får medarbejdere til at klikke på phishing-mails, mens greb som frygt og tidspres spiller en mindre rolle – en bemærkelsesværdig udvikling for virksomheder der vil starte året sikkert.
I takt med at forskellen på ægte og falske mails bliver sværere at skelne, er det ikke længere frygt eller pres, der får medarbejdere til at klikke, men menneskelig nysgerrighed.
Nye indsigter fra CyberPilot peger på et skifte i phishing-metoder, hvor denne menneskelige impuls skiller sig ud som den mest effektive trigger målt på klikrate.
– Det overrasker os faktisk. Historisk har andre greb som tidspres og belønninger været de stærkeste triggers, men i dag ser vi, at åbne formuleringer vækker mere nysgerrighed, og får flere til at klikke, fortæller Rasmus Vinge, administrerende direktør i CyberPilot.
“En person har anmodet om at connecte med dig”
Rasmus Vinge, administrerende direktør i CyberPilot
CyberPilot laver awareness-træning og phishing-simuleringer for virksomheder i hele Europa og tester løbende forskellige psykologiske triggers i deres simuleringer, herunder variabler som nysgerrighed, autoritet, frygt, belønning og tidspres.
Ifølge data klikker medarbejdere oftere på mails, der lover indsigt, opdateringer eller information, de “bør se”, end på mails med direkte krav eller deadlines.
– Det er ikke nødvendigvis de mest aggressive mails, der virker bedst. Det er dem, der efterlader et åbent spørgsmål og spiller på vores naturlige trang til at få lukket et videnshul, forklarer Rasmus Vinge og uddyber, at et angreb for eksempel kan forklæde sig under formuleringer som: “Denne person har anmodet om at connecte med dig på LinkedIn.”
Medarbejderne er fortsat det vigtigste forsvar
Selvom nysgerrighed har vist sig at være den stærkeste faktor bag klik, viser CyberPilots data, at det fortsat er mails med belønninger eller tidspres, der får flest medarbejdere til at opgive data, når først der er klikket.
Udviklingen ændrer dog ikke på en central pointe: medarbejderne er fortsat det vigtigste forsvar mod phishing.
– Når phishing-mails bliver mere subtile og psykologisk raffinerede, stiller det større krav til opmærksomhed. Awareness-træning er afgørende for, at medarbejdere lærer at genkende også de mere uskyldige og nysgerrighedsdrevne angreb, siger Rasmus Vinge.
