Треть сотрудников корпораций сливает рабочие логины и пароли в фишинговых рассылках

28.03.24

Поделиться

Специалисты по информационной безопасности проанализировали результаты тренировочных фишинговых рассылок, которые проводились в рамках проектов по предоставлению компаниям сервиса Security Awareness.

Как сообщает МТС RED (дочерняя компания МТС в сфере кибербезопасности), тренировочные фишинговые рассылки получили почти 1000 сотрудников крупных компаний. Выяснилось, что около трети из них (319 из 1018) не умеет определять вредоносные ссылки и переходит по ним, а 28% вводят на поддельных страницах логины и пароли от рабочих аккаунтов.

Рассылки проводились с февраля по март и были посвящены подаркам сотрудникам к 23 февраля и 8 марта, а также новостям внутренних сервисов для персонала компаний. По данным центра мониторинга и реагирования на кибератаки МТС RED SOC, объем фишинга каждый год возрастает перед праздниками. В этом году основной прирост был отмечен перед Международным женским днем и составил примерно 27%, тогда как перед Днем защитника Отечества средний объем фишинговых атак оставался практически неизменным.

«Порядка 30% переходов по фишинговым ссылкам в электронных письмах, замаскированных под рядовую корпоративную переписку, – стандартный показатель для компаний, реализующих базовые меры профилактики фишинга, такие как ежегодное обучение сотрудников киберграмотности, обеспечение персонала соответствующими учебными материалами и т.п. Однако нас удивило, что 28% получателей писем вводят свои рабочие учетные данные на фишинговой странице. Мы ожидали, что этот показатель будет в два раза ниже, поскольку сегодня большинство компаний все же озабочены вопросами кибербезопасности», – подчеркнул руководитель направления Security Awareness МТС RED Илья Одинцов.

Специалисты отмечают, что после первого обучения по результатам проведенной тренировки процент переходов по фишинговым ссылкам снижается минимум в два раза, однако через некоторое время возвращается к прежним показателям. Поэтому тестирование и обучение сотрудников должно быть системным процессом в компании.

Сотрудникам компаний и организаций следует быть предельно внимательными в корпоративной переписке и соблюдать базовые правила киберграмотности. Обращайте внимание, из какого источника – внешнего или внутреннего – пришло письмо с интересной информацией или привлекательным предложением (акции, подарки, опросы). Это можно распознать по адресу отправителя (почтовому домену), наличие в нем ошибок должно насторожить. Если интернет-ресурсом, на который ведет ссылка в письме, неизвестен, не переходите по ней и тем более не вводите какую-либо свою конфиденциальную информацию, будь то ваши паспортные данные или логины и пароли от рабочих аккаунтов. То же правило относится и к прикрепленным к письму файлам.