Треть сотрудников калужских компаний сливают рабочие логины и пароли в фишинговых рассылках

Калуга – МТС RED, дочерняя компания МТС в сфере кибербезопасности проанализировала результаты тренировочных фишинговых рассылок, проведенных в первом квартале 2024 года в рамках проектов по предоставлению компаниям сервиса Security Awareness. Тренировочные фишинговые рассылки были направлены в общей сложности почти тысяче сотрудников крупных компаний в 20 городах, в том числе и в Калуге.

Результаты показали, что около трети сотрудников не умеют определять фишинг и переходят по ссылкам из мошеннических писем, а 28% вводят на поддельных страницах логины и пароли от рабочих аккаунтов.

Рассылки проводились с февраля по март и были посвящены подаркам сотрудникам к 23 Февраля и 8 Марта, а также новостям внутренних сервисов для персонала компаний. Напомним: по данным центра мониторинга и реагирования на кибератаки, объем фишинга ежегодно возрастает перед праздниками. В этом году основной прирост был отмечен перед 8 Марта — он составил примерно 27%, тогда как перед 23 Февраля средний объем фишинговых атак оставался практически неизменным.

Помимо Калужской области, проверка навыков реагирования сотрудников на фишинговые рассылки проводилась среди персонала представительств компаний в Москве, Приморье, Пензе, Татарстане, Самаре, Башкирии, Чувашии, Нижнем Новгороде, Калининграде, Новосибирске, Рязани, Екатеринбурге, Орле, Смоленске, Ростове-на-Дону, Ярославле, Краснодаре, Карачаево-Черкессии, Ставрополе. Тестирование охватило самый широкий круг специалистов, от стажеров до руководящего состава компаний.

«Порядка 30% переходов по фишинговым ссылкам в электронных письмах, замаскированных под рядовую корпоративную переписку, — стандартный показатель для компаний, реализующих базовые меры профилактики фишинга, такие как ежегодное обучение сотрудников киберграмотности, обеспечение персонала соответствующими учебными материалами и т.п. Однако нас удивило, что 28% получателей писем вводят свои рабочие учетные данные на фишинговой странице. Мы ожидали, что этот показатель будет в два раза ниже, поскольку сегодня большинство компаний все же озабочены вопросами кибербезопасности», — подчеркнул руководитель направления Security Awareness МТС RED Илья Одинцов.

Специалисты компании отмечают: после первого обучения по результатам проведенной тренировки процент переходов по фишинговым ссылкам снижается минимум в два раза, однако через некоторое время возвращается к прежним показателям. Поэтому тестирование и обучение сотрудников основам киберграмотности должно быть системным процессом в компании.

«Хочу напомнить несколько простых, но эффективных правил киберграмотности, которые помогут существенно сократить количество фишинговых неприятностей в компании. Во-первых, ни в коем случае не переходите из корпоративной почты по внешним ссылкам, не имеющих ничего общего с профессиональной деятельностью.  Во-вторых, обращайте внимание, из какого источника – внешнего или внутреннего – пришло письмо с интересной информацией или привлекательными акциями, подарками, опросами и т.п. Если вы не знакомы с сайтом, на который ведет ссылка в письме, не переходите по ней и тем более не вводите какую-либо свою конфиденциальную информацию - паспортные данные или логины и пароли от рабочих аккаунтов. То же относится и к прикрепленным к письму файлам. Третий шаг - если письмо вызывает сомнения, направьте его в службу информационной безопасности или ответственным за ИБ сотрудникам, чтобы они проверили сообщение на признаки фишинга и в случае необходимости смогли обезвредить вредоносную рассылку», — отметила директор МТС в Калужской области Александра Хахинова.