Как не стать жертвой фишинга

За последние десять лет Райан Райт и Мэттью Дженсен смогли завладеть данными тысяч людей с помощью фишинга. И они не собираются останавливаться.

Эти двое не хакеры и не охотники за ценной информацией или деньгами. Они исследователи, которые работают с компаниями, университетами и правительствами по всему миру. Их цель — понять, почему мы так часто попадаемся на крючок фишеров и что могут сделать организации, чтобы снизить угрозу. Отделы корпоративной безопасности информируют сотрудников о фишинге — причине 90% утечек данных, но примерно треть вредоносных писем все равно оказываются прочитанными.

Это недопустимо много, если учесть, что средний ущерб от успешной хакерской атаки против компании составляет $3,8 млн. В эпоху пандемии из-за неразберихи и работы из дома, где так много отвлекающих факторов, бдительность снижается, и таких писем открывают еще больше, что на руку хакерам. Опираясь на свои исследования, Райт (профессор кафедры коммерции Университета Вирджинии) и Дженсен (доцент кафедры автоматизированных систем управления Университета Оклахомы) нашли способы сделать тренинги по вопросам безопасности эффективнее.

Добавьте осознанности. Во многих компаниях сотрудникам приходится раз или два в год проходить типовые тренинги. По словам исследователей, на этих занятиях неплохо преподносят основную информацию: каковы общие угрозы и как оценивать входящие сообщения. И все же однотипные инструкции не гарантируют результата, предупреждают авторы. Напротив, спустя какое-то время они могут вызвать обратный эффект: информация станет хуже усваиваться, а во время занятий может появиться ложное чувство компетентности.

Частично проблема в том, что теоретические тренинги приводят в действие тип мышления, который лауреат Нобелевской премии психолог Даниэль Канеман называет Системой 1. Человек начинает обрабатывать информацию автоматически и очень быстро, и это экономит его усилия, но чревато необдуманными решениями и делает сотрудника уязвимым перед нетипичными атаками. «Вместо того, чтобы заставлять людей заучивать длинные списки постоянно меняющихся указаний, — говорит Райт, — нужно обратиться к более целостному методу». Он предлагает тренировать осознанность. Цель — стимулировать Систему 2 — внимательное и аналитическое мышление.

Был проведен эксперимент, в котором приняли участие 355 студентов, преподавателей и сотрудников университета. Исследователи сравнивали три группы, каждая из которых принимала участие в стандартном тренинге по вопросам безопасности. Первой группе выдали дополнительные теоретические инструкции. Вторую группу учили применять простые техники осознанного наблюдения: сделать паузу, если письмо призывает к действию; помнить о характере, времени, цели и уместности запроса; посоветоваться с другими, если письмо кажется подозрительным. Третьей группе не выдавали никаких дополнительных инструкций. Спустя десять дней исследователи симулировали фишинговую атаку и получили такие результаты: на провокацию попались 13% участников первой группы, 23% участников третьей группы и только 7% из тех, кого учили осознанности. Более поздняя работа Кристофера Нгуена показала похожие результаты. Он также выяснил, что повышенная бдительность сохранялась на протяжении месяцев.