Det globale IT-sikkerhetskonsernet KnowBe4 har undersøkt de mest populære e-postemnene som ble klikket på i phishing-tester gjennomført i andre kvartal i 2022. Halvparten av disse hadde emner relatert til HR og informasjon fra personalavdelingen, og handlet for eksempel om oppdaterte ferieretningslinjer eller en planlagt prestasjonsgjennomgang.
– De fleste skjønner nå at hvis du mottar en melding som bekrefter en bestilling du aldri har lagt inn, eller en melding der det står at du nettopp har vunnet noe, så bør du ikke klikke på lenker eller vedlegg. Men hva om avsenderen er personalavdelingen og det handler om en kommende resultatgjennomgang? Da kan det være mye vanskeligere å la være å klikke, sier sikkerhetsekspert Jelle Wieringa i KnowBe4.
80 prosent skyldes menneskelig feil
Phishing-e-poster som tilsynelatende ser ut til å være interne er ofte effektive. Hvis man ikke svarer, kan det potensielt påvirke mottakerens daglige arbeid. Det kan lokke flere til å klikke på vedlegg eller lenker i slike e-poster, før de rekker å tenke seg om.
– Mer enn 80 prosent av organisasjoners datainnbrudd kan spores tilbake til menneskelig feil. Derfor er opplæring i sikkerhetsbevissthet så viktig. Opplæring gjør ansatte i bedre stand til å raskt gjenkjenne en mistenkelig e-post, selv om den ser ut til å komme fra en intern kilde. Det å ta en pause før man klikker, et lite øyeblikk der man stopper opp og vurderer e-posten, er et kritisk og ofte oversett element i sikkerhetskulturen, som kan redusere risiko for svindel betydelig, sier Wieringa.
– Vi vet at svindlere er raske med å utnytte temaer som får mange til å klikke på lenker eller vedlegg. Det må arbeidsgivere være klar over, slik at opplæring i sikkerhetskultur inkluderer aktuelle temaer. Meldinger som tilsynelatende ser ut til å komme fra HR- og personalavdelingen, er noe alle bør trenes i, sier Wieringa.
|