Сотрудники российских компаний склонны верить фишинговым письмам от "службы безопасности"

Фишинговые письма, посвящённые выполнению различных требований политики сетевой безопасности компании, вызывают наибольшее доверие у сотрудников российских корпораций. Это выяснила "Лаборатория Касперского", проанализировав данные, собранные Kaspersky Automated Security Awareness Platform.

Сотрудники получали тренировочные фишинговые письма в рамках тестирования по информационной безопасности, и по вредоносной ссылке из сообщений якобы от службы безопасности компании перешли почти 30% получивших их пользователей, а 28% сочли убедительными письма про нарушение корпоративной политики использования веб-сервисов.

Ещё одна распространённая фишинговая ловушка связана с финансовыми вопросами: почти каждый четвёртый (24%) открыл письмо, посвящённое изменениям в заработной плате, а 23% поверили в сообщения про налоговые задолженности.

"Мы увидели, что сотрудники склонны не ставить под сомнение письма, полученные якобы от существующих департаментов компании, а также описывающие организационные процессы — например, политику безопасности или вопросы финансирования, — говорит Татьяна Шумайлова, эксперт направления повышения цифровой грамотности Kaspersky Security Awareness. — А ведь чаще всего атаки на компанию начинаются именно с фишинга. В связи с этим важно научить сотрудников распознавать такие письма. Основные их признаки — эмоциональные и вовлекающие темы, ошибки и опечатки, странности в адресах отправителей и ссылках, а также давление на срочность — злоумышленники побуждают быстро перейти по ссылке или скачать файл. При этом, если фишинговое сообщение, например, про деньги, пришло во время пересмотра в компании зарплат, риски, что получатели перейдут по ссылке из него, повышаются".