Hver påske kører vi en påske-relateret phishing-simulering for nogle af vores kunder.
Hvert år lærer vi noget nyt om menneskelig adfærd under pres.
Denne påske beviste det endnu en gang: gratis chokolade er stadig det eneste, der skal til for at få adgang.
Her er, hvad vi bliver ved med at se, og hvorfor det stadig overrasker os.
Hvordan e-mailen så ud
Vi kørte en phishing e-mail kampagne på tværs af flere organisationer i løbet af påsken.
Præmissen var simpel: Medarbejdere modtog en personlig e-mail om, at deres virksomhed havde indgået et samarbejde med en fordelsportal, hvor de kunne logge ind og vælge et gratis chokoladepåskeæg.
Begrænset antal. Først til mølle.
E-mailen var gennemarbejdet. Branding så legitimt ud. Tilbuddet virkede plausibelt. Og vigtigst af alt ramte den på det helt rigtige tidspunkt, lige når folk allerede tænker på påske og er lidt i pre-ferie-mode.
Det var, med andre ord, en meget god phish.
Tallene
På tværs af organisationerne toppede klikraten på phishing-mailen med 21,7%, med et koncentreret spænd i området 8–15%.
Men klikraten er faktisk ikke det mest overraskende tal.
Submit raten toppede på 23,8%.
Med andre ord: 23,8% af medarbejderne klikkede ikke kun. De gik hele vejen og indtastede deres oplysninger på en falsk login-side for at få et chokoladepåskeæg.
Og her er den detalje, der bør få enhver sikkerhedsansvarlig til at spidse ører:
Rapporteringsraten i kampagnen var der. Men den var langt fra tilstrækkelig. De fleste organisationer lå på 1–7%.
Så for hver person, der rapporterede mailen, havde flere andre allerede klikket og indtastet deres oplysninger.
Sikkerhedsnettet eksisterede, men det havde store huller.
Hvorfor det virkede
Det var ikke et teknisk avanceret angreb.
Det virkede, fordi det var psykologisk godt konstrueret. Vi identificerede seks årsager til, at medarbejdere faldt for det:
- Der var en belønning. Folk reagerer på gaver. Tilbuddet om noget gratis sænker kritisk tænkning med det samme. Især når det handler om chokolade.
- Det føltes nemt. “Der skulle meget lidt til: log ind og vælg dit æg. Lav friktion = høj konvertering.
- Der var indbygget hastværk. “Begrænset antal” er en klassiker, der stadig virker. Frygten for at gå glip af noget vinder ofte over behovet for at stoppe op og tjekke.
- Mailen så legit ud. Næsten fejlfri grammatik, troværdig partnerskabshistorik og en personlig hilsen. Ingen tydelige red flags.
- Timingen var perfekt. Påsken fylder allerede i hovedet. En påske-mail lige op til ferien føles relevant. Ikke mistænkelig.
- Tillid var etableret på forhånd. Mailen refererede til et virksomhedssamarbejde, hvilket antyder intern godkendelse. Hvis nogen internt har godkendt det, må det vel være sikkert?
Hver faktor kan alene få nogle til at klikke. Men sammen skaber de en næsten uimodståelig pakke.
Forskellen mellem organisationer
En af de mest interessante ting i dataen er faktisk ikke toppene, men i, hvor spredt det hele er.
Nogle organisationer landede på en 0% klikrate og en 0% submitrate. Andre ramte over 20% på begge.
Den forskel er markant, og den er ikke tilfældig.
De organisationer, der performer bedst, er typisk dem, der arbejder med løbende, kontinuerlig awareness-træning. Ikke én årlig session, men en fast, gentagen indsats, der holder genkendelsen af phishing e-mails skarpt.
Det, der gør lidt ondt at erkende
Vi ville gerne have fortalt dig, at løsningen bare er at træne medarbejdere i aldrig at klikke på uventede links. Men virkeligheden er langt mere nuanceret end det.
De bedste phishing-mails er designet til at ramme os i øjeblikke, hvor hjernen ikke er i sikkerhedstilstand. Et gratis tilbud, på et kulturelt relevant tidspunkt, fra en tilsyneladende troværdig afsender, vil få mange til at handle på autopilot.
Det er ikke et intelligensproblem. Det er et menneskeligt vilkår.
Det træning gør, er at forkorte reaktionstiden. At skabe et “vent lige”-øjeblik, før man handler.
De organisationer i datasættet med næsten nul niveauer er ikke bedre, fordi deres medarbejdere er klogere.
De er bedre, fordi de er trænet til at genkende følelsen af mistanke og bruge den som signal til at stoppe op.
Hvad kan man gøre?
Hvis du tænker “det kunne også ske hos os”, kan du starte her:
Kør simuleringer løbende. Én gang om året siger næsten intet. Månedlige eller kvartalsvise tests holder awareness’en i live i hverdagen i stedet for at blive ren teori.
Brug sæson- og kontekstbaserede lokkemidler. Det gør angribere allerede. Påskeæg, sommerferier, Black Friday-tilbud. Hvis din træning kun dækker den generiske phishing, er dine medarbejdere ikke ordentligt forberedt på virkeligheden.
Mål submit rate, ikke kun klikrate. At afgive oplysninger er langt mere kritisk end at klikke. Hold øje med begge rates, og brug submit rate som din primære risikomarkør.
Gør rapportering nemt og anerkendende. Der blev godt nok rapporteret, men i de fleste organisationer blev det overset af de 3 til 4 gange af dem, der klikkede eller indtastede oplysninger. Den her ratio betyder noget. Hvis kun en lille del af dine medarbejdere markerer en phishing-mail, arbejder dit sikkerhedsteam med et ufuldstændigt billede. Rapportering skal føles let og lavrisiko, ikke pinligt.
Fejr dem, der rapporterer. Gør det tydeligt, at det at markere en phishing-mail er præcis den rigtige adfærd. Også selvom det viser sig at være en falsk alarm.
Undgå at udskamme dem, der klikker. Straf gør folk mindre tilbøjelige til at rapportere næste gang. Målet er adfærdsændring, ikke bebrejdelse.
En sidste note
Vi deler ikke den her data for at udstille nogen. Chokolade er ærligt talt svært at modstå. Men tallene viser tydeligt, hvorfor security awareness skal være en løbende disciplin og ikke en engangsøvelse.
De angribere, der laver rigtige kampagner i påsken, bruger præcis de samme teknikker. Den eneste forskel er bare, at vi fortalte jer det bagefter.
Det vil en rigtig hacker ikke.
