Tylko 3% internautów celnie rozpoznaje phishing

Przeczytaj także: Ile będzie kosztował cyberatak na ZUS?

Specjalnie przygotowany quiz posłużył zweryfikowaniu wiedzy internautów oraz ich zdolności rozpoznawania wiadomości phishingowych. Składał się z 10 wiadomości przygotowanych przez specjalistów z Intel Security. Respondenci mieli odróżnić wiadomości phishingowe, których cel stanowiła kradzież danych osobowych, od wiadomości autentycznych.

Rezultaty quizu nie są zadowalające. Okazuje się, że spośród wszystkich uczestników zaledwie 3% podołało rozpoznaniu każdego przykładu fałszywego maila. Znakomita większość (80%) popełniła przynajmniej jeden błąd. A to w zupełności wystarczy, aby stać się potencjalną ofiarą cyberprzestępców.

- To są bardzo niepokojące wyniki, ponieważ wystarczy źle ocenić tylko 1 z 10 wiadomości, żeby stać się ofiarą niebezpiecznego ataku – ostrzega Arkadiusz Krawczyk, Country Manager w McAfee, part of Intel Security Poland.

Cyberprzestępcy wykorzystują wiadomości phishingowe, aby skłonić konsumentów do kliknięcia w odsyłacze do stron utworzonych wyłącznie w celu kradzieży informacji. Oszukany użytkownik podaje swoje imię i nazwisko, adres, login, hasło i/lub dane karty kredytowej w polach wyświetlanych w witrynach, które z pozoru wyglądają jak witryny prawdziwych firm. W niektórych przypadkach samo kliknięcie odsyłacza w wiadomości mailowej powoduje automatyczne pobranie złośliwego oprogramowania na urządzenie użytkownika. Po instalacji oprogramowania hackerzy mogą łatwo uzyskać dostęp do danych użytkownika bez jego wiedzy.

- Edukacja jest niezwykle ważna w kwestiach bezpieczeństwa. Dlatego warto nieustająco uczyć pracowników, jak rozpoznawać ataki cyberprzestępców i jak się przed nimi bronić. Jak widać, problem jest naprawdę duży, a świadomość niebezpieczeństwa niska. Jej podniesienie to pierwszy i jeden z najważniejszych kroków do tego, by ustrzec się przez naprawdę dużymi szkodami w organizacji – mówi Arkadiusz Krawczyk.

Kobiety narażone bardziej?

Z quizem w skali globalnej najlepiej poradziły sobie osoby pomiędzy 35 a 44 rokiem życia, odpowiadając prawidłowo na średnio 68% pytań. Najsłabsze okazały się kobiety w wieku poniżej 18 lat i powyżej 55 lat – średnio wśród 10 fałszywych maili rozpoznały tylko 6. Nie zaobserwowano jednak dużej różnicy w tym zakresie pomiędzy płciami – mężczyźni (67% prawidłowych odpowiedzi) poradzili sobie tylko nieznacznie lepiej od kobiet (63%).

Stany Zjednoczone podatne na phishingową przynętę

Spośród 144 krajów reprezentowanych w quizie Stany Zjednoczone zajęły 27 miejsce pod względem umiejętności rozpoznawania phishingu, przy skuteczności 68%. W czołówce znalazły się Francja (1), Szwecja (2), Węgry (3), Holandia (4) i Hiszpania (5).

Wyniki quizu pokazały też, że nawet autentyczne wiadomości mailowe mogą być zwodnicze. Bardzo często respondenci błędnie rozpoznawali wiadomość autentyczną, w której proszeni byli o podjęcie działania w celu „odebrania darmowych nagród”. Oferty darmowych nagród są zazwyczaj kojarzone z phishingiem lub spamem i zapewne dlatego duża część osób nieprawidłowo zidentyfikowała taką wiadomość.

- Wiadomości phishingowe często sprawiają wrażenie autentycznych, ale ich celem jest wyłudzenie danych osobowych – mówi Gary Davis, główny promotor ds. bezpieczeństwa konsumentów w Intel Security. – Należy dokładnie sprawdzać skrzynkę odbiorczą i zwracać uwagę na takie znaki rozpoznawcze phishingu jak niechlujna grafika i błędy gramatyczne, które mogą wskazywać na oszusta kryjącego się pod maską nadawcy.

Aby lepiej chronić się przed phishingiem, należy kierować się kilkoma zasadami:

Co należy robić:

• Aktualizować oprogramowanie zabezpieczające i przeglądarki
• Umieścić kursor nad odsyłaczem, aby rozpoznać fałszywe witryny; należy upewnić się, że link przeniesie nas do strony, na którą wskazuje
• Z uwagą sprawdzać, czy wiadomość nie zawiera znaków ostrzegawczych: literówek, nieprawidłowych domen URL, nieprofesjonalnych i podejrzanych elementów graficznych czy nierozpoznanych nadawców
• Zamiast klikać link przesłany w mailu, należy najpierw odwiedzić stronę firmy, będącej domniemanym nadawcą, i sprawdzić, czy informacje o proponowanej ofercie znajdują się również na jego WWW

Czego nie należy robić:

• Klikać w odsyłacze w jakiejkolwiek wiadomości mailowej z nieznanego lub podejrzanego źródła
• Wysyłać wiadomości wyglądającej podejrzanie do znajomych lub rodziny, bo w ten sposób możemy narazić bliskie osoby na atak phishingowy
• Pobierać treści, które przeglądarka lub program bezpieczeństwa identyfikuje jako potencjalne złośliwe oprogramowanie
• Podawać danych osobowych, np. numeru karty kredytowej, adresu, numeru ubezpieczenia społecznego, na podejrzany adres e-mail lub na podejrzanej stronie

Metodologia
Odpowiedzi na quiz phishingowy pochodzą z okresu od 11 grudnia 2014 roku do 10 grudnia 2015 roku. Dziesięć pytań zawartych w quizie utworzono w Centrum McAfee Labs na podstawie prawdziwych wiadomości mailowych. W quizie brało udział 19 458 respondentów z 144 krajów (Stany Zjednoczone, Kanada, Europa, Bliski Wschód, Azja, Ameryka Łacińska i inne). Średni wynik globalny wyniósł 65,54.