В среднем треть сотрудников российских компаний доверяют фишинговым письмам, особенно если они предполагают введение дресс-кода или просьбу показать фотографии с корпоративных мероприятий. К таким выводам пришли аналитики «Мегафона» и «Лаборатории Касперского». Исследование проводилось посредством обучающих электронных писем.
По оценкам аналитиков, около половины сотрудников откроют фальшивое электронное письмо и более трети перейдут по ссылке. Кроме того, каждый третий перешедший по ссылке ввел персональные данные на стороннем ресурсе. Если письмо содержит вложение, его откроют 8,3% получателей.
Одно электронное письмо привело к самому высокому уровню утечки информации — 33% — по просьбе авторов эксперимента треть сотрудников ввела собственные данные. Однако среди компаний, которые проводят обучение сотрудников, эти цифры значительно ниже: 9% сотрудников открывали вредоносные электронные письма, 2% нажимали на ссылки и 0,2% предоставляли данные.
Авторы отчета отмечают, что количество компаний, организующих обучение и тестирование на фишинговые письма, за последний год выросло в 2,5 раза. Большинство из них – представители малого бизнеса.
Фишинговые ссылки привлекают сотрудников не только сообщениями о дресс-коде и фотографиями мероприятий. Почти четверть пользователей также ответили на тему «Нарушение учетной политики компании». Письма якобы от сотрудников отдела кадров с просьбой пройти онлайн-опрос привлекли 14% пользователей.
Татьяна Шумайлова, эксперт по безопасности и цифровой грамотности «Лаборатории Касперского:
Фишинг остается одной из наиболее актуальных киберугроз. Основные признаки фейковых новостей эмоциональны и включают странности в теме, ошибках и опечатках, оформлении письма, адресах отправителей и ссылках. Для организаций крайне важно улучшить кибергигиену во всей компании и вооружить сотрудников необходимыми навыками цифровой безопасности.
Далее следует информация о том, что владельцы соцсетей, маркетплейсов и разработчики мобильных приложений могут присоединиться к национальной платформе по борьбе с кибератаками, создание которой Минцифры обсуждает с весны прошлого года.
