Почему фишинг до сих пор работает? 🎣
Коллега как-то сказал: «7% людей всегда кликают на фишинговые ссылки — что бы ты ни делал». То есть каждый четырнадцатый попадается даже после тренингов и предупреждений.
Я поспорю: 7% — не предел. Хорошие программы awareness реально снижают риск. Но правда в том, что "ноль" почти недостижим, потому что фишинг бьёт не в знания — а в нашу психологию.
Даниэль Канеман в книге «Думай медленно… решай быстро» описал две системы мышления:
🐒 Система 1 — наш автопилот, который работает
• быстро, автоматически, на эмоциях
• реагирует, а не проверяет
• включена большую часть дня
🧠 Система 2 — наша логика
• медленно, вдумчиво, требует усилий
• замечает несоответствия
• включается, когда мы останавливаемся
Ловушка социальной инженерии
Мошенники специально удерживают вас в режиме Системы 1:
⏰ Срочность: «Карту заблокировали!»
😨 Страх: «Возбуждено дело»
🎁 Выгода: «Возврат 45 000 ₽»
👔 Авторитет: «Пишет гендир / бухгалтерия / служба безопасности»
Идея простая: не дать Системе 2 включиться.
Что делать: 2 правила, которые реально работают
1️⃣ Видим триггер - включаем "СТОП"
Видите срочность / необычный канал / просьбу "сделай прямо сейчас" → пауза 10 секунд. Задача — переключиться в Систему 2.
2️⃣ Узнали по одному каналу - проверяем по второму
Проверяйте всегда другим способом:
• Письмо "от банка" → зайдите в банк вручную (приложение/сайт), не по ссылке
• Сообщение "от руководителя" → перезвоните по рабочему номеру
• SMS "о посылке" → откройте сайт/приложение сами, а не из сообщения
Фишинг побеждают не моралью "будь внимательнее", а привычкой: остановился → проверил альтернативным каналом.
📚 Моё полное руководство по awareness (можно дать сотрудникам и семье)
Моя статья "Отличате ли вы ph от f". Она написана 20 лет назад в 2005 году. И до сих пор актуальна.
🌟А как у вас в компании? Наказывают за клик или поощряют за сообщение о подозрительном письме?
#кибербезопасность #фишинг #психология @SafeBDV
