Дедалі більше академічних досліджень говорять про те, що фішинг-тести не працюють. Навіть більше — вони сіють хаос, плутанину та сором серед працівників, пише The Wall Street Journal у своєму матеріалі.
Фішингові тести існують майже стільки ж часу, скільки шахраї захаращують електронні скриньки листами про «Безкоштовні призи!!!» або схемами заробітку від «нігерійських принців».
Якщо людина переходить за посиланням із такого листа або вводить свої дані, хакери можуть викрасти її особисту інформацію чи отримати доступ до даних підприємства, де вона працює.
Компанії, які проводять фішинг-тести, наполягають на їхній ефективності, адже вони навчають працівників і дають IT-відділам можливість оцінити, наскільки вони вразливі до хакерських атак.
Але проведені дослідження демонструють зворотне.
Наприклад, дослідження Швейцарської вищої технічної школи Цюриха 2021 року показало, що фішингові тести у поєднанні з добровільним навчанням робили працівників ще більш вразливими до такої кібератаки. Можливо, через хибне відчуття безпеки.
А минулого року дослідники з Каліфорнійського університету в Сан-Дієго виявили, що тести призвели до зниження рівня успішності фішингу лише на 2%.
«Ми показуємо, що на практиці фішингові симуляції не дають значних результатів у навчанні з двох причин.
- По-перше, у кожній окремій симуляції лише невелика частка користувачів «провалюється» (у середньому 10%), а отже, переважна більшість користувачів взагалі не отримує навчання. Більше того, уникнення натискання на фішингове посилання не є надійним показником майбутніх результатів, оскільки понад 56% користувачів у нашому дослідженні хоча б раз натиснули на фішингове посилання незалежно від того, проходили вони навчання чи ні.
- По-друге, ті користувачі, які все ж отримують навчання, зазвичай не взаємодіють з навчальними матеріалами. Вимірявши «час на сторінці» для вбудованих навчальних матеріалів, ми встановили, що понад половина навчальних сесій закінчується менш ніж за 10 секунд, а менше як 24% користувачів формально завершують навчання», — йдеться в дослідженні.
Окрім цього, такі тести часто засмучують, дратують чи вводять у паніку працівників. Колись соціологиня Алісія Райлі, яка вивчає інфекційні захворювання, отримала лист про спалах лихоманки Ебола в Каліфорнійському університеті (де вона й працює).
Це схвилювало її, тож вона перейшла за посиланням у листі та натрапила на повідомлення, що провалила фішинг-тест. Проте Райлі була не єдиною, кого занепокоїло це повідомлення: смертність від цієї лихоманки може досягати 90%, а серед її симптомів кривава блювота.
За кілька годин університет уже мав щось робити, аби заспокоїти паніку та запевнити, що ніякого спалаху вірусу немає.
«Метою цього електронного листа було нагадати спільноті кампусу про найкращі практики кібербезпеки», — довелось пояснювати працівникам. А прессекретар навчального закладу заявив, що працюють над тим, аби запобігти повторенню такої ситуації.
На Reddit можна знайти безліч історій, як працівники панікують або розлючуються після фішинг-тестів, а айтівці зловтішаються своїми геніальними хитрощами.
Один зі спеціалістів Метт Лінтон розповів, як одного разу довів до сліз співробітника NASA листом, який обіцяв шанс виграти поїздку до Космічного центру Кеннеді на фінальний запуск Space Shuttle.
«Навчання фішингу — це добре. Але змушувати людей попадатися на фішингову атаку, щоб потім читати їм лекцію про їхню помилку — ось що насправді жахливо», — подумав після цього фахівець.
Деякі компанії вводять жорсткі покарання за провал тестів. Наприклад директор з інформаційних технологій у Lehigh Valley Health Network Луїс Таверас вважає, що тестування не працює, якщо немає наслідків.
- Тому в цій медичній організації у співробітника відключають доступ до зовнішньої електронної пошти на три місяці за перше провалення тесту.
- За друге — на рік.
- Після третього — звільняють.
«Люди кажуть, що це жорстоко. Я відповідаю, що це жорстоко, поки не станеться атака і нам не доведеться вимикати систему електронних медичних записів», — каже Таверас.
Нещодавно українська урядова команда CERT-UA назвала найтиповіші помилки підприємств, які найчастіше стають причиною успішних кібератак.
