Согласно исследованию, проведенному специалистами «МегаФона» совместно с «Лабораторией Касперского», около 40% сотрудников российских компаний легко становятся жертвами фишинга, переходя по подозрительным ссылкам и доверяя злоумышленникам свою личную информацию.
Эксперты провели серию тренировочных фишинговых атак, отправив сотрудникам российских организаций специальные письма, имитирующие реальные угрозы. По итогам теста выяснилось, что каждый четвёртый сотрудник открывает вложенные файлы и вводит конфиденциальные данные. А ещё больше — примерно треть респондентов — кликает по мошенническим ссылкам, рискуя заразить рабочие устройства вирусами и утратить важные персональные данные.
Наиболее распространённые сценарии успешных попыток мошенничества включают письма, замаскированные под уведомления от HR-отдела («Расчет премии»), финансовых служб («Изменение пароля») и технической поддержки («Нарушение корпоративных норм»). К примеру, письмо с темой «Расчёт премий» привлекло внимание 66,5% адресатов, тогда как сообщение о смене пароля вызвало интерес почти четверти опрошенных.
Среди наиболее популярных тем писем также оказались фальшивые уведомления страховых компаний и налоговые извещения, которым поверила каждая шестая жертва эксперимента.
Cпециалисты отмечают важность регулярного обучения сотрудников основам информационной безопасности. Согласно данным исследования, сотрудники, прошедшие специальное обучение, значительно реже подвергаются риску стать жертвой киберугроз: только 7% переходят по ссылкам к ложному контенту, и менее 0,2% компрометируют персональные данные.
Эти цифры подтверждают необходимость комплексного подхода к защите корпоративных сетей и регулярной осведомленности сотрудников относительно современных методов защиты от киберпреступников.
«Сегодня фишинг остаётся главным инструментом компрометации даже самых защищённых компаний: большинство крупных резонансных атак реализуется через фишинговые схемы и компрометацию данных. Компании начинают осознавать ценность обучающих программ и регулярных тренировок — 95 % корпоративных клиентов ежегодно повторяют мероприятия. При этом спрос на такое социотехническое тестирование растёт незначительно — всего на 3,5 % в год», — отметил Демид Балашов, руководитель направления по развитию продуктов кибербезопасности МегаФона.
«Задача обучения в области цифровой грамотности — не просто давать знания, а менять отношение сотрудников к информационной безопасности. Это длительный процесс: чтобы быть эффективным, он должен вестись на регулярной основе. К тому же программу и список необходимых тем нужно выбирать в зависимости от профиля риска работника. Необходимо проводить проверки, например, в виде тестовых фишинговых рассылок. Именно такой комплексный подход даст максимальный эффект, — рассказала Марианна Нечетова, эксперт направления повышения цифровой грамотности Kaspersky Security Awareness. — При этом важно помнить, что кибератаки эволюционируют, становятся всё более сложными. Чтобы успешно противостоять им, организациям важно сочетать технические и нетехнические меры: не только использовать надёжные защитные решения, но и повышать уровень киберграмотности в коллективе. Обучение сотрудников должно быть систематическим и основываться на реальных примерах от практикующих экспертов, которые анализируют современные тактики и методы злоумышленников».