Изображение: recraft
Компания RED Security, открытая экосистема ИБ-решений и экспертизы для комплексной защиты бизнеса, проанализировала результаты проектов по повышению киберграмотности сотрудников компаний-заказчиков и выявила значимые различия в поведении мужчин и женщин при столкновении с фишинговыми атаками. По данным сервиса RED Security Awareness, сотрудницы компаний на 15% реже переходят по фишинговым ссылкам, чем их коллеги-мужчины.
Исследование охватило почти 2 500 сотрудников организаций, использующих сервис RED Security Awareness для повышения осведомленности корпоративных пользователей в вопросах информационной безопасности. В рамках проверки практических навыков по выявлению фишинга сотрудникам рассылались тестовые письма, которые под различными предлогами побуждали перейти на сторонний ресурс и ввести на нем логин и пароль от рабочей учетной записи.
По результатам тестирования женщины переходили по фишинговым ссылкам в среднем в 30% случаев, тогда как мужчины не замечали признаков фишинга в 35% случаев. Более того, оказавшись на поддельном ресурсе, мужчины оставляли там корпоративные учётные данные почти на четверть чаще, чем женщины.
Аналитики RED Security Awareness подчеркивают, что даже простой переход по ссылке из фишингового письма без ввода каких-либо данных уже несёт серьезные риски для компании. Фишинговый ресурс может содержать вредоносный код, который автоматически загружается на устройство пользователя при открытии страницы. Это позволяет злоумышленникам установить на рабочую станцию сотрудника шпионское программное обеспечение, программу-шифровальщик или получить удаленный доступ к корпоративной сети.
Если же сотрудник вводит на поддельном ресурсе логин и пароль от рабочего аккаунта, последствия могут быть ещё более критичными. Получив корпоративные учетные данные, атакующие способны проникнуть во внутренние системы организации, похитить конфиденциальную информацию, получить доступ к финансовым ресурсам и клиентским базам, а также развить атаку вглубь инфраструктуры, скомпрометировав другие учетные записи и системы. В ряде случаев подобные инциденты приводят к полной остановке бизнес-процессов, многомиллионным убыткам и серьезному репутационному ущербу.
При этом исследование показало, что в части загрузки внешних изображений к письмам гендерных различий практически нет: и мужчины, и женщины загружают их одинаково редко — лишь в 3% случаев. Такой низкий показатель свидетельствует о том, что большинство сотрудников осознают риски, связанные с загрузкой внешнего контента в электронных письмах, либо используют почтовые клиенты с настройками, блокирующими автоматическую загрузку изображений.
Тем не менее, несмотря на то что загрузка изображений в письмах может казаться безобидным действием, она также представляет угрозу для информационной безопасности. Внешние изображения в электронных письмах загружаются с удаленного сервера, контролируемого отправителем. В ряде случаев загрузка внешних изображений может использоваться для эксплуатации уязвимостей в почтовом клиенте или операционной системе, что открывает злоумышленникам возможность для доставки вредоносного кода на устройство сотрудника без каких-либо дополнительных действий с его стороны.
«Фишинг остаётся одним из главных векторов кибератак на компании, и человеческий фактор по-прежнему играет в этом ключевую роль. Наше исследование показало, что женщины в целом более внимательны к деталям при работе с электронной почтой и осторожнее взаимодействуют с подозрительными ресурсами. Однако важно понимать, что и 30% — это по-прежнему высокий показатель. Даже один переход по фишинговой ссылке может стать отправной точкой для масштабной кибератаки на всю организацию. Это говорит о том, что регулярное обучение и тренировка навыков распознавания фишинга необходимы всем сотрудникам без исключения. Именно системный подход к повышению киберграмотности, который реализует сервис RED Security Awareness, позволяет кратно снизить число успешных фишинговых атак и минимизировать риски компрометации корпоративных учетных записей», – отметил Артем Мелехин, руководитель направления повышения киберграмотности корпоративных пользователей RED Security Awareness.
Сервис RED Security Awareness включает в себя комплексную программу повышения осведомленности сотрудников в области кибербезопасности: обучающие курсы, тестовые фишинговые рассылки, а также аналитику и отчетность, позволяющие отслеживать динамику уровня киберграмотности в организации.
Оригинал публикации на сайте CISOCLUB: "RED Security: женщины распознают фишинговые письма лучше мужчин".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: MAX | VK | Rutube | Telegram | Дзен | YouTube.