電子メールを受信するとき、従業員は十分に警戒していません。 Kaspersky による企業のフィッシング シミュレーションの現在の分析 [1] によると、通常、多くの従業員は、会社の問題に隠れた落とし穴や、電子メールの配信問題に関する通知に気付かないことが示されています。
ほぼ XNUMX 人に XNUMX 人が、このタイプのフィッシング攻撃を模倣した電子メール テンプレートのリンクをクリックしました。 自分のコンピュータがハッキングされたことを発表したり、利益を約束したりする他の一般的なフィッシング メールは、XNUMX ~ XNUMX% のクリック コンバージョンで成功することはほとんどありません。
攻撃の 9 分の 10 はフィッシング経由で開始されます
サイバー攻撃の 91 分の 32 (2%) は、フィッシング メールから始まると推定されています。 フィッシング技術は、成功したすべてのデータ侵害の XNUMX 分の XNUMX (XNUMX%) に関与しています [XNUMX]。
この脅威についてさらに詳しい情報を得るために、カスペルスキーの専門家は、ユーザーが自発的に提供したフィッシング シミュレーターからデータを収集して分析しました。 このツールは、Kaspersky Security Awareness Platform [3] に統合されており、従業員が企業データを危険にさらすことなくフィッシング メールを見つけられるかどうかを組織が確認するのに役立ちます。 管理者は、一般的なフィッシング シナリオを模倣する一連のテンプレートから選択するか、カスタム テンプレートを作成し、選択した従業員グループに警告なしで送信し、結果を追跡します。 リンクをクリックする多数のユーザーは、追加のサイバーセキュリティトレーニングが必要であることを示しています.
フィッシング メールで最も効果的な XNUMX つの件名
- 「配送に失敗しました - 残念ながら、配送業者は商品を配送できませんでした」 おそらく郵便配達サービスから: 18,5% のクリック コンバージョン
- 「メールサーバーが過負荷のため、メールが配信されませんでした」 おそらく Google サポート チームから: 18% のクリック コンバージョン
- 「オンライン従業員アンケート: 会社で働く上で改善点は何ですか?」 おそらく人事部から: 18% のクリック コンバージョン
- 「リマインダー:新しい全社ドレスコード」 おそらく人事部から: 17,5% のクリック コンバージョン
- 「全従業員への注意:新社屋の避難計画について」 おそらくセキュリティ部門から: 16% のクリック コンバージョン
フィッシングメールのより効果的なフック
- 予約サービスからの予約確認 (11%)
- 発注通知 (11%)
- IKEA コンテストの発表 (10%)
受信者を脅迫したり、すぐに利益を得ると約束したりする電子メールは、あまり「成功」していないようです。 「私はあなたのコンピューターをハッキングしましたが、あなたの検索履歴を知っています」という件名のテンプレートは、ユーザーの 1.000% しかクリックせず、無料の Netflix と $XNUMX のオファーはわずか XNUMX% でした。
「フィッシング シミュレーションは、従業員のサイバー レジリエンスをチェックし、サイバーセキュリティ トレーニングの効果を評価する最も簡単な方法の XNUMX つです。 ただし、実際に効果を発揮させるためには、実装時に考慮しなければならない重要な側面があります」と、Kaspersky の中欧担当マネージング ディレクター、Christian Milde 氏は説明します。 「サイバー犯罪者は常にその方法を適応させているため、シミュレーションは、一般的なサイバー犯罪のシナリオに加えて、現在のソーシャル エンジニアリングの傾向を反映する必要があります。 シミュレートされた攻撃を定期的に実行し、適切なトレーニングで補うことが重要です。 このようにして、ユーザーは、標的型攻撃やスピア フィッシングに巻き込まれないようにするための強い意識を育むことができます。」
フィッシング攻撃に対する保護のためのカスペルスキーの推奨事項
- フィッシング メールの基本的な特徴 [4] について従業員に定期的に通知します。たとえば、警告の件名、エラーやタイプミス、競合する送信者アドレス、疑わしいリンクなどです。
- 受信した電子メールに疑問がある場合は、クリックする前に、添付ファイルの形式とリンクの正確性を確認する必要があります。 これらの項目にマウス カーソルを合わせると、アドレスが本物であるように見え、添付ファイルが実行形式ではないことを確認できます。
- フィッシング攻撃は、常に IT セキュリティ部門に報告する必要があります。 これにより、サイバーセキュリティ チームはスパム対策ポリシーを再構成し、インシデントを防ぐことができます。
- 従業員は定期的にサイバーセキュリティのトレーニングを受ける必要があります。 Kaspersky Security Awareness Training [5] などのトレーニングは、学習者の行動を変え、脅威に対処する方法を教えることを目的としています。
- フィッシングの試みは混乱を招く可能性があり、意図しないクリックをすべて回避できる保証はないため、すべてのデバイスを Kaspersky Small Office Security [6] のような信頼できるソリューションで保護する必要があります。 対応するソリューションは、スパム対策機能を提供し、疑わしい動作を追跡し、ランサムウェア攻撃の場合にバックアップを作成します.
【2] https://www2.deloitte.com/my/en/pages/risk/articles/91-percent-of-all-cyber-attacks-begin-with-a-phishing-email-to-an-unexpected-victim.html
【3] https://www.kaspersky.de/small-to-medium-business-security/security-awareness-platform
【4] https://www.kaspersky.de/blog/how-to-protect-yourself-from-phishing/42317/
【5] https://www.kaspersky.de/enterprise-security/security-awareness
【6] https://www.kaspersky.de/small-business-security/small-office-security
詳細は Kaspersky.com をご覧ください