【抗毒疲勞】釣魚電郵調查報告 約3成員工會中招兼重複犯錯
研究顯示九成網絡攻擊源自釣魚電郵,員工能否正確分辨,便成為企業防避入侵的重要因素。研究機構 ETH Zurich 一項跨 15 個月的調查發現,即使企業為員工提供安全意識培訓,如員工經常接觸到釣魚電郵,也有可能重複犯錯。要提高員工的辨識率,必須讓他們養成舉報的習慣。
該項調查的結果共收集了 14,733 個企業員工的數據,而且歷時長達15個月,目的是顯示哪類員工最易上當、企業在受測試過程中被入侵的風險有否改變、員工安全培訓的作用,以及員工的參與能否有助偵測釣魚電郵。研究員只向答應參與的企業發出模擬釣魚電郵,而該公司的員工全不知情。而在虛假的釣魚電郵內,研究員同時設置了一個按鈕,讓員工可以輕易向 IT 部門舉報懷疑收到釣魚或垃圾電郵,從而觀察員工會如何處置這類信件。
在過往一些同類調查中,結果曾顯示女性會較易打開釣魚電郵,但在這次測試中,研究員指未有發現性別的中招率存在差異,相反年輕或年長的員工,較傾向會點擊打開電郵內的惡意檔案或連結。而屬於重複犯錯的「repeated clickers」,佔整體調查對象的 30.62%,會授權啟動文件內的 Macros 或於釣魚網站輸入帳戶登入資料的亦 23.91%,另外,對於工作上需要經常接收電郵的員工來說,就算擁有較高安全意識,但有 32.1% 最終也會出現抗毒疲勞,至少墮入陷阱一次。安全意識培訓問題上,調查結果顯示模擬釣魚電郵測試及自發性參與安全培訓,未能有效減少員工的中招率;無論電郵系統內顯示的威脅資訊如何詳細,似乎亦無助降低員工的打開機會。結果顯示企業如想靠員工自行阻止釣魚攻擊,實在未許樂觀,管理者應該認為採購有效的電郵防護服務及安裝反釣魚電郵過濾器。
有趣的是,研究員發現如電郵內提供一鍵舉報按鈕,反而有助企業及早標籤釣魚電郵攻擊。從調查報告中可見,員工的整體舉報釣魚電郵的準確度達 68%,垃圾電郵亦達 79%。約有一成員工在收到電郵後五分鐘內已會作出舉報,35% 會在半小時內舉報。研究員說一間千人公司來說,約有 100 人會受到釣魚電郵攻擊,如當中有 35 人能在半小時內舉報,當相關數據加進電郵攔截系統內,便可阻止其他九百多人接收這封釣魚電郵,這樣便可集眾人之力阻止入侵,企業應考慮引入舉報系統,並鼓勵員工使用,相信對阻止釣魚電郵有一定的成效。
