Kwart personeel Amerikaanse post klikt op phishinglinks
Een kwart van het personeel van de Amerikaanse post (United States Postal Service - USPS) klikt op links in phishingmails, zo blijkt uit onderzoek (pdf) van de inspecteur-generaal van de USPS. Vorig jaar november wisten aanvallers toegang tot het netwerk van de organisatie te krijgen en maakten daar gegevens van honderdduizenden werknemers buit. De oorzaak was waarschijnlijk een phishingmail.
Dagelijks ontvangt de USPS, dat onderdeel van de Amerikaanse overheid is, meer dan 3,5 miljoen e-mails voor meer dan 200.000 e-mailaccounts. Bij de Amerikaanse post werken meer dan 600.000 mensen. Het organiseren van awareness-trainingen en de resultaten hiervan te testen spelen volgens de inspecteur-generaal een belangrijke rol bij het voorkomen van succesvolle phishingaanvallen. Voor het onderzoek werd er naar 3125 werknemers een phishingmail met link gestuurd.
93% van de werknemers besloot de phishingmail niet te rapporteren, ook al wordt dit wel verplicht gesteld in het bedrijfsbeleid. Verder bleek dat een kwart van de werknemers op de link in de mail klikte. Van deze 789 werknemers bleek dat er 710 (90%) dit niet aan het Computer Incident Response Team van de USPS doorgaven, zoals het bedrijfsbeleid wel verplicht. Verder bleek dat 96% van de werknemers die de phishingmail ontving niet aan de jaarlijkse security awareness-training had deelgenomen. Bij de mensen die op de link in de phishingmail klikten was dit 95%.
"Als management het niet verplicht dat alle werknemers met netwerktoegang de jaarlijkse security-awarenesstraining volgen, dan is de kans kleiner dat gebruikers op de juiste manier op dreigingen zullen reageren", aldus de inspecteur-generaal. Hij wijst naar recent onderzoek waaruit blijkt dat awarenesstrainingen effectief het gedrag van mensen kunnen veranderen en beveiligingsgerelateerde incidenten met wel 70% kunnen laten afnemen. De USPS krijgt dan ook het advies om alle werknemers met netwerktoegang de jaarlijkse awarenesstraining te laten volgen.
Die uitspraak over de Security Awareness training is een pijnlijke. Het geeft aan dat er vanuit hoger management weinig belangstelling voor is. Op zijn best moet de medewerker een verplicht nummertje aanhoren waarmee het vinkenlijstje voor de auditor volstaat.
Dat zie je ook terug aan de meldingspercentage richting dat speciale team. Kennelijk zijn de drempels te hoog gemaakt om het functioneel te laten zijn. Het is posverwerking het moet vooral goedkoop gebeuren de rest is meer bijzaak. Zelfde verhaal andere conclusie. Niet de werknemer maar de opgelegde cultuur en management.
De titel van het verhaal klopt natuurlijk niet. De redactie wil het weer dramatisch groot maken en haalt er dingen bij die niet in de oorspronkelijke test staan. Het onderzoek werd maar met 3125 medewerkers uitgevoerd die niet representatief zijn voor alle medewerkers. Het getal 600.000 kan ik niet eens in het originele artikel terug vinden.
Het lijkt me ook sterk dat al die 600.000 medewerkers regelmatig achter de PC zitten. Sterker, er staat dat er slechts 110.590 medewerkers zijn die een eigen e-mail account hebben. De meerderheid van het personeel zullen bezorgers of sorteerders zijn die nooit de kans krijgen om op dergelijke links te klikken en ook niet in dit onderzoek zijn meegenomen.
In het onderzoek zijn 9 functies gedefinieerd en per functie zijn ca 350 mailtjes verstuurd. Omdat er per functie natuurlijk heel verschillende aantallen mensen werkzaam zijn, kun je zelfs deze test niet als representatief voor de hele groep maken, zonder te corrigeren voor het werkelijke aantal werknemers per groep.
Contractors (inhuur personeel) rapporteren het meest, dat kunnen ze zich misschien beter permitteren omdat ze niet aan het bedrijf gebonden zijn.
De grootste dreiging komt niet van buiten maar van binnen. Als het dan ook nog onopgemerkt langere tijd actief gelaten kan worden (honderden dagen) wat denk je er tegen te doen?
Ids en monitoring wat normaal is zijn de benaderingen voor mitigaties.
@briolet, op basis van de genoemde gegevens is niet te bepalen of eea representatief is. Een steekproef van 3500 is overigens in het algemeen al redelijk representatief voor veel grotere groepen. De kans dat een significant afwijkende waarde voorkomt is dan al relatief klein en valt weg binnen de foutmarge (leve de statistiek).
Als we het dan toch over spelen met getallen hebben, vind ik het opvallend dat het meedoen aan de security awareness training ervoor zorgt dat je eerder een phishingmail opent. Immers 4% van de ontvangers heeft de training gevolgt, maar 5% van de mensen die hebben geklikt op de link hebben dit gedaan. Je kan dus stellen dat het volgen van de training een 25% hogere kans geeft om slachtoffer te worden van phishing. (Overigens zie je dit met name terug bij security specialisten in kader van: ik weet dat het phishing is, maar toch even kijken wat het doet.)
@karma4, 15:59, in kader van assume breach, heb je hier volkomen gelijk. Statistieken wijzen uit dat er een (jaarlijkse) kans van 1 op de 3 (!) Is dat een organisatie een breached is. Combineer dit met het gegeven dat het gemiddeld meer dan 200 dagen duurt voordat dit ontdekt wordt....
Het uitvoeren van onderzoeken als deze is daarom niet alleen relevant, maar ook noodzakelijk in kader van awareness. Het is niet de enige maatregel die een organisatie dient te nemen, maar wel ook nuttig.
Mâugen wè even oveâhrgeven ?
Onbegrijpelijk inmiddels dat dit nog steeds zo'n groot probleem vormt, terwijl de oplossing toch echt zo simpel is
(neem als voorbeeld een bepaald mailprogramma op een bepaald OS bijvoorbeeld als voorbeeld, je komt er wel uit... ;).
Met een kleine wijziging in de about:config van betreffende mailclient en men kan
klikken, rammen, gooien, gillen, drammen, springen, vliegen, vallen, duiken opstaan en weer doorgaan,...
maar dat aangeklikte linkje opent geen browser, laat staan een url.
Echnie.
Niet dat het niet kan, de ontvangen link bekijken..
Maar dan zul je toch even de link zelf handmatig moeten kopiëren en pasten in een url bar van een gelijksoortig fabrikant browserproduct met als resultaat dat altijd de zichtbare tekst als link gekopieerd wordt en niet de eventueel andersoortige onderliggende grappenmakers link.
Geen ultiem heilige graal weliswaar
Maar het houdt een hoop nerveuze vingertjes even tegen en geeft gelegenheid toch nog wat langer na te denken
waarrrrr 'we' %^&*@#! klikklikklikklikklikklik mee bezig zijn en voorkomt ook een deel van de standaard phishing trucs met onderliggende links.
Ohohoh wat is het griezelig basic simpel.
Een 'dergelijke' "niks-klik-ervan" oplossing moet vast implementeerbaar zijn op een gemiddeld kantoor Os met bijbehorende bekende mailclient.
En als niet, dan wordt het (gretverdriedrambam) een keer tijd dat iemand daar ff een stukje aanvullende code voor schrijft zodat het wel kan.
Kanniet, magniet, moetniet met bergen aan wijzijngewendaandieendieregeltjesenwerkwijzeredenen?
Blijvend voer voor nieuw debiteurencrediteuren materiaal en financieel geïnspireerde bur'auw'tjes die hun zakken vullen met nietnooitnever breed aanslaande awarenesstrainingen.
Zou het kunnen dat.. ?
Pavlovreactiegedragingen gaan veel dieper dan awareness en bewustzijn, dat is echt een andere eerdere laag onder die hersenpan.
Daarom vragen sommige dingen andere oplossingen.
Gein gezèk, iedeâhrein rèk!
Het is niet de enige maatregel die een organisatie dient te nemen, maar wel ook nuttig.
Rarsus, je hebt gelijk van de Veel gebruikte 80-20 aanname nam ik de tak die mij het beste uitkwam om het erger over te laten komen. Daarmee maakte ik dezelfde fout als Veel managers doen. Excuses en tevens een frai voorbeeld van cijfer manipulatie.
20% klikt er op en 80 (meer) meldt niets.
Inderdaad de conclusie zoals je stelt blijft staan. Dat soort onderzoeken zijn belangrijk voor de Awareness (wat is werkelijk de belevenis). Waar je vervolgstappen aan zou moeten geven.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
