Contact us: +47 35 68 88 99
Norsk
Tilbake til bloggen
3 min read

Ingen kan motstå sjokolade: Det viser våre nyeste påske-phishingdata

Sandie Thieu Bui
By: Sandie Thieu Bui Cybersikkerhet | 29 april

Hver påske kjører vi en påskerelatert phishing-simulering for noen av kundene våre.

Hvert år lærer vi noe nytt om menneskelig atferd under press.

Denne påsken beviste det nok en gang: gratis sjokolade er fortsatt det eneste som skal til for å få tilgang.

Her er hva vi fortsetter å se, og hvorfor det fortsatt overrasker oss.

Hvordan e-posten så ut

Vi kjørte en phishing-e-postkampanje på tvers av flere organisasjoner i løpet av påsken.

Premisset var enkelt: Ansatte mottok en personlig e-post om at virksomheten deres hadde inngått et samarbeid med en fordelsportal, hvor de kunne logge inn og velge et gratis sjokoladepåskeegg.

Begrenset antall. Førstemann til mølla.

E-posten var gjennomarbeidet. Branding så legitimt ut. Tilbudet virket plausibelt. Og viktigst av alt traff den på helt riktig tidspunkt, akkurat når folk allerede tenker på påske og er litt i førferiemodus.

Det var med andre ord en veldig god phish.

Easter campagin

Tallene

På tvers av organisasjonene toppet klikkraten på phishing-e-posten seg på 21,7%, med et konsentrert spenn i området 8–15%.

Men klikkraten er faktisk ikke det mest overraskende tallet.

Submitraten toppet på 23,8%.

Med andre ord: 23,8% av de ansatte klikket ikke bare. De gikk hele veien og tastet inn informasjonen sin på en falsk innloggingsside for å få et sjokoladepåskeegg.

Og her er detaljen som bør få enhver sikkerhetsansvarlig til å spisse ørene:

Rapporteringsraten i kampanjen var der. Men den var langt fra tilstrekkelig. De fleste organisasjoner lå på 1–7%.

Så for hver person som rapporterte e-posten, hadde flere andre allerede klikket og skrevet inn informasjonen sin.

Sikkerhetsnettet eksisterte, men det hadde store hull.

Hvorfor det fungerte

Dette var ikke et teknisk avansert angrep.

Det fungerte fordi det var psykologisk godt konstruert. Vi identifiserte seks grunner til at ansatte falt for det:

  1. Det var en belønning. Folk reagerer på gaver. Tilbud om noe gratis senker kritisk tenkning umiddelbart. Spesielt når det handler om sjokolade.
  2. Det føltes enkelt. “Det kreves lite: logg inn og velg egg.” Lav friksjon gir høy konvertering.
  3. Det var innebygd hastverk. “Begrenset antall” er en klassiker som fortsatt fungerer. Frykten for å gå glipp av noe vinner ofte over behovet for å stoppe opp og sjekke.
  4. E-posten så legitim ut. Nesten feilfri grammatikk, troverdig partnerskapshistorikk og en personlig hilsen. Ingen tydelige røde flagg.
  5. Timingen var perfekt. Påsken fyller allerede hodet. En påske-e-post rett før ferien føles relevant, ikke mistenkelig.
  6. Tillit var etablert på forhånd. E-posten refererte til et virksomhetssamarbeid, noe som antyder intern godkjenning. Hvis noen internt har godkjent det, må det jo være trygt?

Hver faktor alene kan få noen til å klikke. Men sammen skaper de en nesten uimotståelig pakke.

Forskjellen mellom organisasjonene

En av de mest interessante tingene i dataene er faktisk ikke toppene, men hvor spredt alt er.

Noen organisasjoner endte på 0% klikkrate og 0% submitrate. Andre lå over 20% på begge.

Den forskjellen er betydelig, og den er ikke tilfeldig.

Organisasjonene som presterer best er typisk de som jobber med løpende, kontinuerlig awareness-trening. Ikke én årlig økt, men en fast, gjentatt innsats som holder gjenkjennelsen av phishing-e-poster skarp.

 

Det som gjør litt vondt å erkjenne  

Vi skulle gjerne sagt at løsningen bare er å trene ansatte til aldri å klikke på uventede lenker. Men virkeligheten er langt mer nyansert enn det.

De beste phishing-e-postene er designet for å treffe oss i øyeblikk der hjernen ikke er i sikkerhetsmodus. Et gratis tilbud, på et kulturelt relevant tidspunkt, fra en tilsynelatende troverdig avsender, vil få mange til å handle på autopilot.

Det er ikke et intelligensproblem. Det er et menneskelig vilkår.

Det trening gjør, er å forkorte reaksjonstiden. Å skape et “vent litt”-øyeblikk før man handler.

Organisasjonene i datasettet med nesten null nivåer er ikke bedre fordi de ansatte er klokere.

De er bedre fordi de er trent til å kjenne igjen følelsen av mistanke og bruke den som signal til å stoppe opp.

Hvad kan man gjøre?

Hvis du tenker “det kunne skjedd hos oss”, kan du starte her:

Kjør simuleringer løpende. Én gang i året sier nesten ingenting. Månedlige eller kvartalsvise tester holder awareness levende i hverdagen i stedet for å bli ren teori.

Bruk sesong- og kontekstbaserte lokkemidler. Angripere gjør allerede det. Påskeegg, sommerferier, Black Friday-tilbud. Hvis treningen din kun dekker generisk phishing, er ansatte ikke godt nok forberedt på virkeligheten.

Mål submitrate, ikke bare klikkrate. Å gi fra seg informasjon er langt mer kritisk enn å klikke. Følg begge, og bruk submitrate som din primære risikomarkør.

Gjør rapportering enkelt og anerkjennende. Det ble riktignok rapportert, men i de fleste organisasjoner ble det overgått 3 til 4 ganger av dem som klikket eller sendte inn informasjon. Dette forholdet betyr noe. Hvis bare en liten del av de ansatte markerer en phishing-e-post, jobber sikkerhetsteamet med et ufullstendig bilde. Rapportering skal føles enkelt og lavterskel, ikke pinlig.

Feir dem som rapporterer. Gjør det tydelig at det å markere en phishing-e-post er akkurat riktig adferd. Også selv om det viser seg å være en falsk alarm.

Unngå å skambelegge dem som klikker. Straff gjør folk mindre tilbøyelige til å rapportere neste gang. Målet er atferdsendring, ikke skyldplassering.

 

En siste note

Vi deler ikke disse dataene for å henge ut noen. Sjokolade er ærlig talt vanskelig å motstå. Men tallene viser tydelig hvorfor security awareness må være en løpende disiplin, ikke en engangsøvelse.

Angriperne som kjører reelle kampanjer i påsken bruker nøyaktig de samme teknikkene. Den eneste forskjellen er at vi fortalte dere det etterpå.

Det vil ikke en ekte hacker gjøre.

Free phishing campaign Your first one is on us!    Book 15 minutes with Benjamin, our product owner, and we’ll create a custom campaign to give you clear insights into your security level.   We’ll run the campaign and send you a detailed report. All it takes is a quick chat and a little bit of your time.  

 
Back to blog
Recent articles
Bevissthetstrening Vår anbefalte plan for awareness trening - og hvordan du kan endre den

Vi anbefaler innhold for det første året med opplæring i sikkerhetsbevissthet, og hvordan du kan tilpasse en plan for din organisasjon.

Sarah Hofmann 11 min read - By Sarah Hofmann
Cybersikkerhet Når nysgjerrighet slår tidspress: Innsikt fra våre nyeste phishingdata

We've sent more than 200.000 phishing emails. Here's what we've learned from them and what you can do to avoid becoming a victim of them.

Sandie Thieu Bui 4 min read - By Sandie Thieu Bui
GDPR, Cybersikkerhet Personopplysninger og e-post: Den viktigste årsaken til sikkerhetsbrudd

E-post er den største årsaken til sikkerhetsbrudd. Vi legger ved feil filer. Vi sender den til feil kontaktperson. Her er alt du bør vite

Sajerathan Vincent 3 min read - By Sajerathan Vincent