Μια νέα μελέτη σχετικά με τις phishing επιθέσεις φέρνει στο φως κάποια πολύ ενδιαφέροντα ευρήματα, διαφορετικά από αυτά προηγουμένων ερευνών. Στην έρευνα διάρκειας 15 μηνών, συμμετείχαν 14.733 άτομα.
Η μελέτη διεξήχθη από ερευνητές του ETH Zurich σε συνεργασία με μια εταιρεία που δεν ενημέρωσε τους συμμετέχοντες σχετικά με το πρόγραμμα προσομοίωσης phishing επιθέσεων.
Δείτε επίσης: Phishing emails διανέμουν το Agent Tesla malware μέσω κακόβουλων PowerPoint
Για τη διεξαγωγή της έρευνας, οι ερευνητές έστειλαν ψεύτικα phishing emails στο email εργασίας των συμμετεχόντων και ανέπτυξαν ένα email client button, που τους επέτρεπε να αναφέρουν εύκολα τα ύποπτα emails.
Οι τέσσερις στόχοι της μελέτης ήταν ο καθορισμός των παρακάτω:
- Ποιοι υπάλληλοι πέφτουν στην παγίδα των phishers πιο συχνά
- Πώς εξελίσσεται η ευπάθεια με την πάροδο του χρόνου
- Πόσο αποτελεσματική είναι η εκπαίδευση και οι προειδοποιήσεις
- Εάν οι εργαζόμενοι μπορούν να κάνουν οτιδήποτε για να βοηθήσουν στον εντοπισμό του phishing
Το φύλο δεν παίζει ρόλο
Οι ερευνητές έλαβαν υπόψη τους και μερικά δημογραφικά στοιχεία. Ένα εύρημα που έρχεται σε αντίθεση με υπάρχουσες μελέτες, είναι ότι το φύλο δεν συσχετίζεται με την “ευαισθησία” στο phishing. Δηλαδή τόσο οι άνδρες όσο και οι γυναίκες έχουν τις ίδιες πιθανότητες να πέσουν θύματα phishing.
Ωστόσο, η μελέτη διαπίστωσε ότι η ηλικία είναι πιο καθοριστικός παράγοντας. Οι νέοι και οι ηλικιωμένοι φαίνεται να είναι πιο επιρρεπείς στο να κάνουν κλικ σε συνδέσμους phishing.
Επιπλέον, όσοι χρησιμοποιούν εξειδικευμένο λογισμικό συνεχώς είναι πιο πιθανό να πέσουν σε παγίδες phishing, σε σύγκριση με εκείνους που δεν χρειάζονται υπολογιστές για τις καθημερινές τους εργασίες.
Repeated clickers
Οι λεγόμενοι “repeated clickers” αποτελούν και σε αυτή την έρευνα (όπως και σε προηγούμενες) έναν μεγάλο κίνδυνο για τους οργανισμούς, αφού αυτά τα άτομα πέφτουν συχνά θύματα phishing επιθέσεων. Επιπλέον, το 23,91% όσων εκτελούσαν μια επικίνδυνη ενέργεια (ενεργοποίηση μακροεντολών, υποβολή credentials σε σελίδες σύνδεσης κλπ), το έκαναν περισσότερες από μία φορές.
Δείτε επίσης: Επιθέσεις phishing χρησιμοποιούν QR codes για την κλοπή banking credentials
Ένα ενδιαφέρον εύρημα στη μελέτη του ETH, είναι ότι οι εργαζόμενοι που εκτίθενται συνεχώς σε phishing emails, τελικά εξαπατώνται. Σύμφωνα με την έρευνα, το 32,1% των συμμετεχόντων στη μελέτη, έκανε κλικ σε τουλάχιστον έναν επικίνδυνο σύνδεσμο ή συνημμένο.
Αυτό το εύρημα υπογραμμίζει τη σημασία της ύπαρξης αποτελεσματικής ασφάλειας email και φίλτρων κατά του phishing, καθώς η συνεχής έκθεση οδηγεί σε επικίνδυνες ενέργειες ακόμη και τους πιο “ανθεκτικούς” υπαλλήλους.
Η εκπαίδευση δεν είναι πάντα αποτελεσματική
Οι προειδοποιήσεις για ύποπτα emails βρέθηκαν να είναι αποτελεσματικές, αλλά η αποτελεσματικότητα δεν αυξήθηκε όταν υπήρχαν περισσότερες λεπτομέρειες σε αυτές τις προειδοποιήσεις. Αυτό είναι ένα νέο εύρημα.
Ένα άλλο εύρημα, που έρχεται σε αντίθεση με τις προτεινόμενες πρακτικές ασφάλειας, είναι ότι η εθελοντική εκπαίδευση των υπαλλήλων για την αναγνώριση phishing επιθέσεων μέσω προγραμμάτων προσομοίωσης, δεν είναι αποτελεσματική.
Οι υπάλληλοι της εταιρείας που συμμετείχαν στην έρευνα, είχαν τη δυνατότητα να χρησιμοποιούν ένα ‘Report Phishing’ button στο email τους για να αναφέρουν ύποπτα μηνύματα.
Δείτε επίσης: Phishing επιθέσεις στοχεύουν Πανεπιστήμια των ΗΠΑ
Η μελέτη διαπίστωσε ότι το 90% των εργαζομένων ανέφερε έξι ή λιγότερα ύποπτα email, αλλά κάποιοι παρέμειναν πολύ ενεργοί καθ’ όλη τη διάρκεια του πειράματος.
Οι αναφορές ήταν ακριβείς σε ποσοστό 68% για το phishing και 79% εάν ληφθούν υπόψη και τα spam.
Το 10% των χρηστών ανέφερε τα ύποπτα email στα πρώτα 5 λεπτά με τη λήψη τους, ενώ το 35% το ανέφερε μισή ώρα μετά τη λήψη.
Το phishing είναι ένα περίπλοκο θέμα που περιλαμβάνει πολλούς κρίσιμους παράγοντες πέρα από το πεδίο μελέτης αυτής της έρευνας, επομένως αυτά τα ευρήματα δεν είναι αρκετά για να κρίνουν αν οι πρακτικές ασφαλείας που προτείνονται ήδη (εκπαίδευση κλπ) είναι αποτελεσματικές ή όχι.
Ωστόσο, λαμβάνοντας υπόψη τον κεντρικό ρόλο του phishing στο τοπίο απειλών, οφείλουμε να λαμβάνουμε υπόψη κάθε νέο δεδομένο, ώστε να μάθουμε πώς μπορούμε τελικά να το αντιμετωπίσουμε.
Πηγή: Bleeping Computer