En ny undersøgelse fra F-Secure med over 80.000 respondenter viser, at 20 pct. af medarbejderne bider på krogen ved phishingangreb med HR-relateret indhold.
Det fremgår også, at medarbejderne i it- og softwareudviklingsafdelingerne er blandt de letteste ofre, trods deres tekniske viden.
Phishingmails, der efterligner interne HR-meddelelser eller beder modtageren om hjælp til fakturering, er de mest effektive. Det viser resultaterne fra en ny F-Secure-undersøgelse To Click or Not to Click: What we Learned from Phishing 80,000 People, der inkluderer 82,402 besvarelser fra internationale respondenter, og som kortlægger, hvordan medarbejdere fra fire store virksomheder reagerede på phishingmails, der simulerede de fire mest almindeligt anvendte phishingmetoder.
Eksperterne er ikke bedre end gennemsnittet
I undersøgelsen fremgår det, at medarbejdere i it- og softwareudviklingsafdelingerne (DevOps) trods deres specialiserede tekniske viden og erfaring, ikke er bedre end gennemsnittet til at identificere phishingmails. De klarer sig i nogle tilfælde endda værre. I en af de undersøgte virksomheder klikkede 30 pct. af medarbejderne inden for softwareudvikling og 21 pct. inden for it på linket i phishingmails, sammenlignet med 11 pct. i gennemsnit.
Desuden viser undersøgelsen, at disse tekniske afdelinger heller ikke er bedre til at rapportere phishingforsøg end resten af virksomheden. I en af virksomhederne havnede softwareudviklingsafdelingen som nr. 12 ud af 16 afdelinger, mens it indtog 15.-pladsen og var dermed den næstdårligste til at rapportere phishingforsøg. Samme tendens var gældende hos en anden virksomhed, hvor it-afdelingen endte som nummer tre, mens softwareudvikling tog en sjetteplads ud af ni afdelinger.
Det vækker bekymring, da disse medarbejdere typisk er tildelt privilegerede brugeradgange, som er særdeles attraktive for cyberkriminelle at få kontrol over.
“Medarbejderne inden for it og it-udvikling er blandt dem, der har mest viden om lige præcis phishingangreb. Derfor tyder resultaterne på, at viden alene ikke er tilstrækkeligt for at forhindre den type angreb. Ovenikøbet ser vi flere angreb, der er direkte målrettet netop disse medarbejdergrupper på grund af deres udvidede brugerrettigheder. Det er selvsagt bekymrende, når vi kigger på resultaterne i undersøgelsen. Af den årsag er det vigtigt, at virksomheder etablerer ekstra sikkerhedsforanstaltninger omkring disse medarbejdere for at minimere problemet,” påpeger Principal Security Consultant hos F-Secure Danmark, Tom Van de Wiele, der samtidig understreger, at teknologi blot er en del af løsningen, når det handler om menneskers adfærd.
Finansielle virksomheder har højest klikrate
Testen viste også, at medarbejderne fra den finansielle virksomhed gik oftere i phishing-fælden end de andre undersøgte sektorer. Her var den generelle klikrate på 25 pct. mod et gennemsnit på 13,6 pct. Særligt phishingmails med HR-relateret indhold ser ud til at lokke medarbejdere i denne sektor til at aktivere ondsindede links med en klikrate på 57 pct.
“Det er tankevækkende, at virksomheder i den finansielle sektor ser ud til ikke at være dårligere til at identificere phishingmails og uddanne deres medarbejdere ift. andre brancher. Lige præcis denne sektor er mål for tusinder af angreb til dagligt, og vi har i løbet af de seneste år set en voldsom stigning i angreb mod banker og andre finansielle institutioner. Bl.a. på baggrund af tal som disse, burde de tage truslen ganske alvorligt og afsætte de fornødne ressourcer for at minimere risici”, fortæller Tom Van de Wiele.
Rapporteringsprocessen er afgørende
I undersøgelsen fremgår det også, at en brugervenlig rapporteringsproces medfører flere rapporteringer. 47 pct. af medarbejderne i den virksomhed, hvor der var implementeret et plug-in i mailprogrammet til automatisk rapportering af mistænkelige e-mails, rapporterede om phishingangreb. Til sammenligning var dette kun gældende for 12 pct. af medarbejderne fra undersøgelsens resterende virksomheder uden en plug-in-løsning.
Brugervenlige rapporteringsløsninger, hvor virksomheder mobiliserer egne medarbejderne, er en oplagt mulighed for at skabe et ekstra sikkerhedslag. For det betyder, at de it-sikkerhedsansvarlige får mulighed for at opdage, forhindre og inddæmme angreb tidligere, og dermed vinder dyrebare minutter i kampen mod de cyberkriminelle.