Amerikanske KnowBe4, en af verdens største udbydere af it-sikkerhedstræning og simuleret phishing, har annonceret resultaterne af sin seneste kvartalsrapport over de mest klikkede phishing-tests. Resultaterne inkluderer de mest almindelige e-mail emner, der klikkes på i phishing tests, hvilket afspejler den vedvarende brug af HR- eller IT-relaterede forretnings-e-mails, der fanger medarbejdernes interesse.

Phishing e-mails er fortsat en af de mest almindelige metoder til at udføre cyberangreb på organisationer verden over. KnowBe4's 2023 Phishing by Industry Benchmarking Report afslører, at næsten en tredjedel af brugerne er modtagelige for at klikke på ondsindede links eller endda efterleve falske anmodninger. Som et resultat udnytter cyberkriminelle den type sårbarheder og bruger de innovative værktøjer, der er til rådighed for dem, såsom AI, til at udtænke stadig mere sofistikerede beskeder for at overrumple brugerne. De it-kriminelle tilpasser deres phishing e-mail strategier til at fremstå mere legitime i deres anmodninger og narre medarbejdere ved at fremkalde en følelsesmæssig reaktion og udnytter de ansattes travle hverdag. På den måde får de dem til at klikke på et ondsindet link eller downloade en inficeret vedhæftning.

HR-relaterede phishing-angreb indtager førstepladsen med 42 procent, en tendens der har været vedvarende de sidste tre kvartaler, efterfulgt af IT-relaterede phishing e-mails med 30 procent.

- Phishing e-mails fra HR- eller IT-afdelinger, der anmoder om ændringer i dress code, skatte- og sundhedsopdateringer, træningsmeddelelser og andre lignende handlinger, er effektive til at narre medarbejdere, da de kan påvirke en brugers arbejde, fremkalde en øjeblikkelig reaktion og få en person til at reagere, før de tænker over e-mailens ægthed, siger Martin Kramer, it-sikkerhedsspecialist hos KnowBe4.

Den seneste kvartalsrapport fra KnowBe4 noterede også flere personlige phishing angreb via instanser som skat, sundhedsvæsen og ApplePay, der kunne påvirke brugernes følsomme oplysninger. Den type angreb er effektive, fordi de får en person til at reagere på et potentielt alarmerende emne og engagere sig for at beskytte deres private oplysninger, før de tænker logisk over e-mailens troværdighed.

- KnowBe4's rapport viser, at cyberkriminelle bliver stadig mere taktiske i forhold til at udnytte medarbejdernes tillid ved brug af HR-relaterede phishing mails, fordi de ved første øjekast ser legitime ud, siger Stu Sjouwerman, CEO for KnowBe4, og tilføjer:

- Falske e-mails fra en intern afdeling, som HR eller IT, er særligt farlige for organisationer, da de ser ud til at komme fra en pålidelig kilde og derfor kan overbevise medarbejdere om at engagere sig hurtigt uden at bekræfte deres legitimitet, hvilket gør virksomheden sårbar. En veluddannet arbejdsstyrke er derfor afgørende for at opbygge en stærk sikkerhedskultur og fungerer som det bedste forsvar i kampen om at beskytte organisationer mod cyberangreb.