Тренинги по фишингу оказались бесполезными, выяснили исследователи.

Обучение сотрудников распознаванию фишинговых атак в текущей практике, по мнению SC World, практически бесполезно. Такой вывод сделан на основе презентации двух исследователей на конференции по безопасности Black Hat.

В научном исследовании, охватившем тысячи испытуемых и включавшем восьмимесячный курс с четырьмя различными видами обучения по борьбе с фишингом, средний процент улучшения способности распознавать фишинговые атаки составил всего 1,7%. "Стоит ли уделять столько внимания обучению, учитывая полученный результат?" – задала вопрос исследовательница Ариана Мириан (Ariana Mirian), старший исследователь безопасности в Censys и недавно закончившая докторантуру в Калифорнийском университете в Сан-Диего, где и проводилось исследование. "Обучение едва ли работает…

Исследователи Кристиан Дамефф (Christian Dameff), содиректор Центра кибербезопасности здравоохранения Калифорнийского университета в Сан-Диего, и Ариана Мириан стремились получить научно обоснованные результаты, применимые к реальным условиям. Они привлекли более 19 000 сотрудников системы здравоохранения UCSD и случайным образом распределили их по пяти группам. Каждому участнику ежемесячно отправлялось фишинговое письмо на рабочий адрес электронной почты, и реакция фиксировалась. Однако в течение восьми месяцев тестирования существенной разницы в улучшении результатов между четырьмя группами, получившими различные виды обучения, выявлено не было. Эти группы показали незначительное улучшение по сравнению с контрольной группой – упомянутые 1,7%.

Около 30% пользователей перешли по ссылке, обещающей информацию об изменениях в политике отпусков организации. Почти столько же попались на уловку с изменением дресс-кода на рабочем месте. Еще одним уроком стало то, что со временем почти каждый человек становится жертвой фишингового письма. В течение восьми месяцев эксперимента чуть более 50% испытуемых хотя бы раз попались на уловку.