Wyniki testu przeprowadzonego przez Intel Security na 19 tysiącach użytkowników ze 144 krajów pokazały, że niemal nikt z nas nie potrafi prawidłowo zidentyfikować wszystkich wiadomości typu phishing. To oznacza, że jesteśmy na co dzień narażeni na atak ze strony cyberprzestępców.
Za pomocą specjalnie przygotowanego quizu sprawdzano wiedzę konsumentów oraz ich zdolność rozpoznawania mailowych wiadomości phishingowych. Quiz zawierał dziesięć wiadomości przygotowanych przez Intel Security. Zadaniem respondentów było odróżnienie wiadomości phishingowych, których cel stanowiła kradzież danych osobowych, od wiadomości autentycznych.
Spośród około 19 tysięcy uczestników z 144 krajów tylko 3% było w stanie prawidłowo rozpoznać każdy przykład fałszywego maila. 80% wszystkich respondentów błędnie zidentyfikowało przynajmniej jedną z dziesięciu wiadomości phishingowych.
– To są bardzo niepokojące wyniki, ponieważ wystarczy źle ocenić tylko 1 z 10 wiadomości, żeby stać się ofiarą niebezpiecznego ataku – ostrzega Arkadiusz Krawczyk, Country Manager w McAfee, part of Intel Security Poland.
Cyberprzestępcy wykorzystują wiadomości phishingowe, aby skłonić konsumentów do kliknięcia w odsyłacze do stron utworzonych wyłącznie w celu kradzieży informacji. Oszukany użytkownik podaje swoje imię i nazwisko, adres, login, hasło i/lub dane karty kredytowej w polach wyświetlanych w witrynach, które z pozoru wyglądają jak witryny prawdziwych firm. W niektórych przypadkach samo kliknięcie odsyłacza w wiadomości mailowej powoduje automatyczne pobranie złośliwego oprogramowania na urządzenie użytkownika. Po instalacji oprogramowania hackerzy mogą łatwo uzyskać dostęp do danych użytkownika bez jego wiedzy.
– Edukacja jest niezwykle ważna w kwestiach bezpieczeństwa. Dlatego warto nieustająco uczyć pracowników, jak rozpoznawać ataki cyberprzestępców i jak się przed nimi bronić. Jak widać, problem jest naprawdę duży, a świadomość niebezpieczeństwa niska. Jej podniesienie to pierwszy i jeden z najważniejszych kroków do tego, by ustrzec się przez naprawdę dużymi szkodami w organizacji – mówi Arkadiusz Krawczyk.
Kobiety narażone bardziej?
Z quizem w skali globalnej najlepiej poradziły sobie osoby pomiędzy 35 a 44 rokiem życia, odpowiadając prawidłowo na średnio 68% pytań. Najsłabsze okazały się kobiety w wieku poniżej 18 lat i powyżej 55 lat – średnio wśród 10 fałszywych maili rozpoznały tylko 6. Nie zaobserwowano jednak dużej różnicy w tym zakresie pomiędzy płciami – mężczyźni (67% prawidłowych odpowiedzi) poradzili sobie tylko nieznacznie lepiej od kobiet (63%).
Stany Zjednoczone podatne na phishingową przynętę
Spośród 144 krajów reprezentowanych w quizie Stany Zjednoczone zajęły 27 miejsce pod względem umiejętności rozpoznawania phishingu, przy skuteczności 68%. W czołówce znalazły się Francja (1), Szwecja (2), Węgry (3), Holandia (4) i Hiszpania (5).
Wyniki quizu pokazały też, że nawet autentyczne wiadomości mailowe mogą być zwodnicze. Bardzo często respondenci błędnie rozpoznawali wiadomość autentyczną, w której proszeni byli o podjęcie działania w celu „odebrania darmowych nagród”. Oferty darmowych nagród są zazwyczaj kojarzone z phishingiem lub spamem i zapewne dlatego duża część osób nieprawidłowo zidentyfikowała taką wiadomość.
– Wiadomości phishingowe często sprawiają wrażenie autentycznych, ale ich celem jest wyłudzenie danych osobowych – mówi Gary Davis, główny promotor ds. bezpieczeństwa konsumentów w Intel Security. – Należy dokładnie sprawdzać skrzynkę odbiorczą i zwracać uwagę na takie znaki rozpoznawcze phishingu jak niechlujna grafika i błędy gramatyczne, które mogą wskazywać na oszusta kryjącego się pod maską nadawcy.
Aby lepiej chronić się przed phishingiem, należy kierować się kilkoma zasadami:
Co należy robić:
- Aktualizować oprogramowanie zabezpieczające i przeglądarki
- Umieścić kursor nad odsyłaczem, aby rozpoznać fałszywe witryny; należy upewnić się, że link przeniesie nas do strony, na którą wskazuje
- Z uwagą sprawdzać, czy wiadomość nie zawiera znaków ostrzegawczych: literówek, nieprawidłowych domen URL, nieprofesjonalnych i podejrzanych elementów graficznych czy nierozpoznanych nadawców
- Zamiast klikać link przesłany w mailu, należy najpierw odwiedzić stronę firmy, będącej domniemanym nadawcą, i sprawdzić, czy informacje o proponowanej ofercie znajdują się również na jego WWW
Czego nie należy robić:
- Klikać w odsyłacze w jakiejkolwiek wiadomości mailowej z nieznanego lub podejrzanego źródła
- Wysyłać wiadomości wyglądającej podejrzanie do znajomych lub rodziny, bo w ten sposób możemy narazić bliskie osoby na atak phishingowy
- Pobierać treści, które przeglądarka lub program bezpieczeństwa identyfikuje jako potencjalne złośliwe oprogramowanie
- Podawać danych osobowych, np. numeru karty kredytowej, adresu, numeru ubezpieczeniaspołecznego, na podejrzany adres e-mail lub na podejrzanej stronie
METODOLOGIA QUIZU
Odpowiedzi na quiz phishingowy pochodzą z okresu od 11 grudnia 2014 roku do 10 grudnia 2015 roku. Dziesięć pytań zawartych w quizie utworzono w Centrum McAfee Labs na podstawie prawdziwych wiadomości mailowych. W quizie brało udział 19 458 respondentów z 144 krajów (Stany Zjednoczone, Kanada, Europa, Bliski Wschód, Azja, Ameryka Łacińska i inne). Średni wynik globalny wyniósł 65,54.
/ Intel Security