Laut den Ergebnissen eines weltweiten Tests eines in Kanada ansässigen Unternehmens fällt immer noch eine beträchtliche Anzahl von Mitarbeitern auf Phishing-Betrug herein.
Sieben Prozent aller Endnutzer, die am Gone-Phishing-Turnier 2022 von Terranova Security aus Quebec teilgenommen haben, haben auf den Link in der Phishing-E-Mail geklickt. Drei Prozent von ihnen – 44 Prozent der Clicker – erkannten die Warnzeichen auf der Webseite der Simulation nicht und fuhren fort, ihre Zugangsdaten auf der bösartigen Website einzugeben.
„Um diese Zahlen ins rechte Licht zu rücken“, sagte Theo Zafirakos, Chief Information Security Officer (CISO) des Unternehmens, „wenn eine Organisation auf Unternehmensebene mit 10.000 Mitarbeitern Ziel eines Phishing-Betrugs wie der in der Simulation dargestellten gewesen wäre, wären es 700 Mitarbeiter gewesen auf den Phishing-Link geklickt und über 300 dieser Klicker hätten ihr Passwort eingegeben, das dazu verwendet werden kann, Systeme und sensible Informationen zu kompromittieren. Angesichts unserer Abhängigkeit von Online-Systemen und -Daten zur Durchführung vieler Geschäftstransaktionen und Dienstleistungen ist diese Realität besorgniserregend.“
Terranova Security ist Teil von Fortra LLC aus Minneapolis. Die Simulation, die im Oktober durchgeführt wurde, wurde von Microsoft mitgesponsert. Bei dem jährlichen Test, der jedes Jahr ein anderes Format hat, stimmten über 250 Organisationen in mehreren Ländern zu, dass ihre Mitarbeiter Phishing-E-Mails senden. Insgesamt wurden 1,2 Millionen Nachrichten in 21 Sprachen verschickt.
Der Bericht mit den vollständigen Ergebnissen des Tests ist hier verfügbar. Eine Registrierung ist erforderlich.
Obwohl die Simulation des Gone-Phishing-Turniers 2022 als einfacher als in den Vorjahren angesehen wurde, sagte Terranova in einer Pressemitteilung, sollten die Klickrate und die Übermittlungsrate von Webformularen daher immer noch als hoch angesehen werden.
Die Ausfallrate von drei Prozent war eine deutliche Verbesserung im Vergleich zu den Ergebnissen von 2021 und 2020, wo 14,4 Prozent bzw. 13,4 Prozent der Endbenutzer eine Aktion durchgeführt hätten, die sensible Informationen in der Simulation gefährdet hätte.
„Diese Ergebnisse unterstreichen, warum wir ein ansprechendes Schulungsprogramm für das Sicherheitsbewusstsein aufbauen sollten
das praktische Übungen wie Phishing-Simulationen nutzt, ist unerlässlich“, heißt es in dem Bericht. „Technische Infrastruktur wie Firewalls, Endgerätesicherheit und sogar Schaltflächen für Phishing-Berichte in einem Unternehmens-E-Mail-Client können die Informationssicherheit nicht garantieren.“
Microsoft hat die diesjährigen E-Mail- und Webseitenvorlagen bereitgestellt, die ein reales Szenario nachahmen sollen, das viele Mitarbeiter erleben: einen Geschenkkartenbetrug. Das vom Terranova Security-Führungsteam ausgewählte Szenario misst verschiedene Verhaltensweisen von Endbenutzern, wie z. B. das Klicken auf einen Link im Text einer Phishing-E-Mail und die Eingabe von Anmeldeinformationen in ein Formular auf einer Phishing-Webseite.
Wenn Benutzer auf den Link in der E-Mail der Phishing-Simulation klickten, wurden sie auf eine Zielseite umgeleitet, die sie aufforderte, Anmeldeinformationen einzugeben, die kompromittiert worden wären, wenn es sich bei der Simulation um einen tatsächlichen Angriff gehandelt hätte. Wenn Benutzer diesen zweiten Schritt abgeschlossen haben, wurden sie auf eine Feedback-Seite zur Phishing-Simulation weitergeleitet, auf der die Warnsignale, die sie übersehen haben, und die Best Practices, die sie befolgen sollten, hervorgehoben werden.
