Фишинг — один из самых распространённых инструментов мошенников. Он используется для кражи паролей, доступа к почте и заражения инфраструктуры.

«‍Чтобы проверить, насколько сотрудники умеют распознавать подобные угрозы, было проведено имитационное фишинговое тестирование. Его цель — выявление уязвимых мест и обучение», - сообщили на ульяновском предприятии.

Сотрудники УКБП получили письмо с предупреждением о «подозрительном входе в почту» и кнопкой «Проверить данные». Кнопка вела на фальшивую страницу входа, выполненную в стиле, напоминающем корпоративный, но не имевшую отношения к реальному ресурсу. На предприятии вообще не существует такой страницы — ни по внешнему виду, ни по функциональности, и служба поддержки никогда не рассылает писем. Тем не менее, многих сотрудников это не смутило.

Что показало тестирование? 13% сотрудников нажали на кнопку «Проверить данные» (68 человек), 8% ввели свои данные на фишинговом сайте (42), а 7% распознали фишинг и сообщили о нём службе информационной безопасности (37 сотрудников).

«Несмотря на заранее размещённые предупреждения, многие доверились письму и выполнили действия, которые при реальной атаке привели бы к утечке паролей и потенциальному взлому систем. Одна такая ошибка может поставить под угрозу работу всего предприятия: от почты и файлов до производства, снабжения и отчётности», - рассказали в УКБП.

Тест показал, что даже при наличии предупреждений визуально правдоподобное письмо вызывает высокий уровень доверия. Это подтверждает, что риск фишинга в реальной ситуации остаётся высоким.

В КБ отметили, что никаких санкций к сотрудникам по результатам первого теста не предусмотрено. Тем, кто ввёл свои данные, направлено персональное разъяснение с напоминанием ключевых правил. В ближайшие месяцы запланированы повторные тесты, но с другими сценариями.

Фото: Media73