Een kwart van het personeel van de Amerikaanse post (United States Postal Service - USPS) klikt op links in phishingmails, zo blijkt uit onderzoek (pdf) van de inspecteur-generaal van de USPS. Vorig jaar november wisten aanvallers toegang tot het netwerk van de organisatie te krijgen en maakten daar gegevens van honderdduizenden werknemers buit. De oorzaak was waarschijnlijk een phishingmail.
Dagelijks ontvangt de USPS, dat onderdeel van de Amerikaanse overheid is, meer dan 3,5 miljoen e-mails voor meer dan 200.000 e-mailaccounts. Bij de Amerikaanse post werken meer dan 600.000 mensen. Het organiseren van awareness-trainingen en de resultaten hiervan te testen spelen volgens de inspecteur-generaal een belangrijke rol bij het voorkomen van succesvolle phishingaanvallen. Voor het onderzoek werd er naar 3125 werknemers een phishingmail met link gestuurd.
93% van de werknemers besloot de phishingmail niet te rapporteren, ook al wordt dit wel verplicht gesteld in het bedrijfsbeleid. Verder bleek dat een kwart van de werknemers op de link in de mail klikte. Van deze 789 werknemers bleek dat er 710 (90%) dit niet aan het Computer Incident Response Team van de USPS doorgaven, zoals het bedrijfsbeleid wel verplicht. Verder bleek dat 96% van de werknemers die de phishingmail ontving niet aan de jaarlijkse security awareness-training had deelgenomen. Bij de mensen die op de link in de phishingmail klikten was dit 95%.
"Als management het niet verplicht dat alle werknemers met netwerktoegang de jaarlijkse security-awarenesstraining volgen, dan is de kans kleiner dat gebruikers op de juiste manier op dreigingen zullen reageren", aldus de inspecteur-generaal. Hij wijst naar recent onderzoek waaruit blijkt dat awarenesstrainingen effectief het gedrag van mensen kunnen veranderen en beveiligingsgerelateerde incidenten met wel 70% kunnen laten afnemen. De USPS krijgt dan ook het advies om alle werknemers met netwerktoegang de jaarlijkse awarenesstraining te laten volgen.
Deze posting is gelocked. Reageren is niet meer mogelijk.