Треть сотрудников татарстанских компаний сливают рабочие логины и пароли в фишинговых рассылках

МТС RED, дочерняя компания цифровой экосистемы МТС в сфере кибербезопасности, проанализировала результаты тренировочных фишинговых рассылок, проведенных в первом квартале 2024 года в Татарстане и еще в нескольких десятках российских регионов. Около трети сотрудников не распознали фишинг и перешли по ссылкам из мошеннических писем, а 28% ввели на поддельных страницах логины и пароли от рабочих аккаунтов.

Тренировочные фишинговые рассылки были направлены в общей сложности почти тысяче сотрудников крупных компаний в рамках реализации проектов на платформе Security Awareness от МТС RED. Результаты показали, что около трети сотрудников (319 из 1018-ти) не умеют определять фишинг и переходят по ссылкам из мошеннических писем, еще почти столько же вводят на поддельных страницах логины и пароли от рабочих аккаунтов.

Тестирование охватило самый широкий круг специалистов, от стажеров до руководящего состава компаний. Рассылки проводились с февраля по март и были посвящены подаркам сотрудникам к 23 Февраля и 8 Марта, а также новостям внутренних сервисов для персонала компаний.

«30% переходов по фишинговым ссылкам в электронных письмах, замаскированных под рядовую корпоративную переписку, – стандартный показатель для компаний, реализующих базовые меры профилактики фишинга, такие как ежегодное обучение сотрудников киберграмотности, обеспечение персонала соответствующими учебными материалами и т.п. Однако нас удивило, что 28% получателей писем вводят свои рабочие учетные данные на фишинговой странице. Мы ожидали, что этот показатель будет в два раза ниже, поскольку сегодня большинство компаний все же озабочены вопросами кибербезопасности», – подчеркнул руководитель направления Security Awareness МТС RED Илья Одинцов.

Специалисты МТС RED напоминают о базовых правилах киберграмотности, которые позволят существенно сократить количество фишинговых инцидентов:

• обращайте внимание, из какого источника – внешнего или внутреннего – пришло письмо с интересной информацией или привлекательным предложением (акции, подарки, опросы и т.п.) Это можно распознать по адресу отправителя (почтовому домену), наличие в нем ошибок должно насторожить.
• если вы не знакомы с интернет-ресурсом, на который ведет ссылка в письме, не переходите по ней и тем более не вводите какую-либо свою конфиденциальную информацию, будь то ваши паспортные данные или логины и пароли от рабочих аккаунтов. То же правило относится и к прикрепленным к письму файлам.
• регулярно проходите обучение по основам кибербезопасности. Эксперты МТС RED отмечают: после первого обучения по результатам проведенной тренировки процент переходов по фишинговым ссылкам снижается минимум в два раза, однако через некоторое время возвращается к прежним показателям. Поэтому тестирование и обучение сотрудников основам киберграмотности должно быть системным процессом.
• если письмо вызывает сомнения, направьте его в службу информационной безопасности или ответственным сотрудникам, чтобы они проверили сообщение на признаки фишинга.