Ένας στους τέσσερις εργαζομένους της US Postal Service (USPS) έκανε click σε ‘phishing email’ που σχεδιάσθηκε ειδικά για να τεστάρει την επαγρύπνησή τους όσον αφορά την ασφάλεια, υπογραμμίζοντας έτσι την συνεχόμενη ‘πρόκληση’ που αντιμετωπίζουν οι εταιρείες για την εκπαίδευση του προσωπικού τους, ούτως ώστε να είναι έτοιμοι να εντοπίσουν πιθανά cyber attacks.
Το Office of Inspector General διεξήγαγε αυτό το δοκιμαστικό των εργαζομένων τον Μάϊο και τα αποτελέσματα ανακοινώθηκαν την περασμένη εβδομάδα.
Ισχυρίζεται πως η Postal Service τρέχει ένα από τα μεγαλύτερα συστήματα εταιρικών email των ΗΠΑ, με πάνω από 3.5 εκατομμύρια emails να αποστέλλονται σε περισσότερους από 200,000 λογαριασμούς την ημέρα.
Παρόλο αυτά, ιδιαίτερα απογοητευτικά ήταν τα αποτελέσματα, αφού 789 από τους 3,125 εργαζόμενους που έλαβαν μέρος στο δοκιμαστικό ‘τσίμπησε’ το δόλωμα κι έκανε click στο link που περιεχόταν στο phishing email.
Και σαν να μην έφθανε αυτό, το 93% όσων έλαβαν το εν λόγω email δεν το ανέφερε καν στο τμήμα Computer Incident Response Team της εταιρείας, όπως προστάζει η πολιτική της.
Το δοκιμαστικό αποκάλυψε πως το 95% όσων έκαναν click στο phishing link και το 96% όσων έλαβαν μέρος στην δοκιμασία δεν ολοκλήρωσε το ετήσιο information security awareness training που διεξάγει η Postal Service.
Να σημειώσουμε δε πως ο ίδιος έλεγχος διεξήχθη και τον Νοέμβριο του 2014 ύστερα από ένα μεγάλο cyber attack που έπληξε την εταιρεία, και το οποίο θεωρείται πως ξεκίνησε από ένα απλό phishing email.
Τα προσωπικά δεδομένα των εργαζομένων και των πελατών που τηλεφώνησαν στο call center της USPS στο χρονικό διάστημα μεταξύ Ιανουαρίου και Αυγούστου, εικάζεται πως εκτέθηκαν στα πλαίσια αυτής της επίθεσης.
Ο Media relations manager της εταιρείας, κύριος David Partenheimer, εξηγεί πως οι εκτεθειμένες πληροφορίες που σχετίζονται με τους εργαζομένους ίσως περιλάμβαναν στοιχεία όπως ονόματα, ημερομηνίες γεννήσεως, Social Security numbers, διευθύνσεις, στοιχεία επικοινωνίας έκτακτης ανάγκης, και λοιπά.
Ωστόσο, ο ίδιος διαβεβαιώνει τους πελάτες της USPS πως δεν υπεκλάπη καμία πληροφορία που να αφορά τις πιστωτικές τους κάρτες ή άλλα οικονομικά στοιχεία.
