Фішинг, який полягає у надсиланні шахрайських електронних листів для викрадення конфіденційної інформації, залишається значною загрозою кібербезпеці. На нього припадає до 14% кібератак у 2024 році, за даними Verizon.
Тести на фішинг часто використовують обманні електронні листи, щоб переконати співробітників натиснути на шкідливі посилання, імітуючи реальні атаки. Однак деякі з цих тестів досягли крайнощів, викликаючи зайву паніку та роздратування серед працівників.
В Університеті Каліфорнії в Санта-Крузі соціолог Алісія Райлі стала жертвою тесту на фішинг, замаскованого під сповіщення про спалах Еболи на кампусі. Після натискання на посилання Райлі дізналася, що це був тест, організований IT-відділом університету для підвищення обізнаності про кібербезпеку. Обурена, вона подала скаргу, стверджуючи, що тест підірвав довіру до системи оповіщення університету.
Схожі інциденти викликали обговорення в багатьох організаціях. На Reddit IT-спеціалісти часто діляться історіями про вигадливі тести на фішинг, зокрема підроблені електронні листи про загублених тварин або зміну пароля, і багато хто вихваляється кількістю обманутих працівників.
“Обманювати людей, щоб вони провалили тест, а потім повчати їх, що вони помилилися, — це жахливо,” каже Метт Лінтон, менеджер з інженерії безпеки Google. Він наголосив, що навчання з фішингу працює найкраще, коли воно не принижує працівників, додавши: “Вони краще сприймають навчання, якщо не почуваються дурнями.”
Попри широке використання тестів на фішинг, академічні дослідження свідчать, що вони можуть бути менш ефективними, ніж очікувалося. Дослідження 2021 року, проведене ETH Zurich, показало, що тести на фішинг у поєднанні з добровільним навчанням іноді підвищували вразливість працівників до атак. Подальше дослідження Каліфорнійського університету в Сан-Дієго підтвердило ці висновки, продемонструвавши лише незначне поліпшення на 2%.
“Це неефективний і нераціональний спосіб навчати користувачів,” зазначив Грант Хо, співавтор дослідження.
Деякі організації впроваджують суворі наслідки для співробітників, які провалюють тести на фішинг. У Lehigh Valley Health Network співробітники втрачають доступ до зовнішньої електронної пошти на три місяці після першого провалу, на рік після другого і можуть бути звільнені після третього. Керівник інформаційної безпеки організації Луїс Таверас захищає цей підхід, зазначаючи: “Це суворо, поки не відбудеться атака, і нам не доведеться відключати наші медичні системи.”
Одним із найуспішніших тестів Тавераса був фальшивий електронний лист із пропозицією безплатних квитків на матч Philadelphia Eagles, який отримав 4% кліків.
На тлі критики організації переглядають свої стратегії тестування на фішинг. В Університеті Каліфорнії в Санта-Крузі, наприклад, пообіцяли уникати повторення інциденту з листом про Еболу. Експерти, такі як Лінтон, виступають за конструктивніші підходи, які наголошують на навчанні без приниження співробітників.
Попри це, тести на фішинг залишаються стандартним інструментом у навчанні кібербезпеці, однак їхня обмежена ефективність та потенційна негативна реакція підкреслюють необхідність пошуку інноваційних та дружніх до працівників рішень для протидії зростаючій загрозі кібератак.