Siga ZDNet: Adicione -nos como uma fonte preferida no Google.
As principais toca de Zdnet
- Phishing é uma ameaça importante e crescente para as empresas.
- Mas o treinamento de conscientização em phishing tem uma taxa de sucesso mínima.
- Os pesquisadores pedem às organizações que investem em contramedidas.
Um novo estudo confirmou o que muitos de nós suspeitamos – o treinamento de phishing dos funcionários simplesmente não vale o esforço.
O estudarconduzido pelos pesquisadores da UC San Diego Well being e Censys, descobriram que os programas de treinamento em segurança cibernética relacionados a phishing não tiveram efeito sobre se os funcionários foram enganados ou não por e-mails de phishing.
Depois de analisar os resultados de 10 campanhas de e -mail de phishing diferentes enviadas para mais de 19.500 funcionários da UC San Diego Well being em oito meses, os pesquisadores descobriram “nenhuma relação significativa entre se os usuários haviam concluído recentemente um treinamento anual e exigido por segurança cibernética e a probabilidade de se apaixonar por e -mails de phishing”.
Além disso: este golpe de phishing 2fa fez um desenvolvedor – e bilhões de rating em extinção de npm downloads
A equipe também investigou se o treinamento incorporado de phishing – quando as organizações enviam e -mails simulados de phishing para ver se seus funcionários se caem neles – eram eficazes. Simplificando, não foi, e quase não houve diferença nas taxas de falha para aqueles que concluíram o treinamento em relação àqueles que não o fizeram. Os grupos foram separados por uma probabilidade reduzida de cair em um e -mail de phishing de apenas 2%.
Isso é especialmente preocupante, dado que o phishing foi considerado a principal causa de ransomware este ano, alimentada por InfoSoSealers e o abuso de ferramentas de IA, de acordo com o novo Datamotion Relatório de ameaça de identidade Spycloud. Phishing também foi o vetor de ataque mais relatado por empresas que participam da pesquisa e foi citado por 35% das organizações afetadas – acima de 25% em 2024.
O que é phishing?
Phishing é um flagelo constante e é uma ameaça que afeta os indivíduos, as pequenas e médiasmos e empresas. As campanhas de phishing geralmente assumem a forma de e-mails fraudulentos de pulverização ou mensagens direcionadas projetadas para obter curiosidade, pânico ou medo em seus destinatários.
Ao criar mensagens que inspiram medo ou urgência, os cibercriminosos esperam que suas vítimas não dêem um passo atrás e pensem racionalmente, mas, em vez disso, cliquem em pânico um botão ou entreguem informações sensíveis que podem ser usadas em roubo de identidade, para realizar transações fraudulentas ou para uso em cibercrime mais amplo.
Também: Os golpistas agora estão fingindo o próprio web site do FBI – veja como ficar seguro
Quando a ameaça é tão séria, e uma violação relacionada ao phishing pode levar a consequências graves para uma organização-incluindo roubo de dados, destruição, consequências financeiras, implantação de ransomware e danos reputacionais-empresas, naturalmente, procurarão soluções.
Os programas de treinamento de phishing são uma tática common com o objetivo de reduzir o risco de um ataque de phishing bem -sucedido. Eles podem ser realizados anualmente ou com o tempo e, normalmente, os funcionários serão solicitados a assistir e aprender com materiais instrucionais. Eles também podem receber e -mails falsos de phishing enviados por um parceiro de treinamento ao longo do tempo e, se clicarem em hyperlinks suspeitos dentro deles, essas falhas em identificar um electronic mail de phishing serão gravadas.
Por que o treinamento de phishing não funciona
Os pesquisadores da UC San Diego Well being e Censys disseram que o assunto é importante para o sucesso de um e -mail de phishing em seu estudo. Por exemplo, quase ninguém clicou em um hyperlink para atualizar sua senha do Outlook, enquanto mais de 30% dos participantes clicaram em um hyperlink em um electronic mail fingindo ser uma atualização do empregador para as políticas de férias.
Além disso: Melhores Serviços VPN 2025: As VPNs mais rápidas com as melhores redes, classificadas
Quanto mais um esquema de phishing continuou, maior a probabilidade de um funcionário clicar em um hyperlink fraudulento, subindo de 10% dos participantes do mês um a mais de 50% no oitavo mês.
“Em conjunto, nossos resultados sugerem que é improvável que os programas de treinamento anti-phishing, em seus formulários atuais e comumente implantados, ofereçam valor prático significativo na redução de riscos de phishing”, disseram os pesquisadores.
Segundo os pesquisadores, a falta de envolvimento nos modernos programas de treinamento em segurança cibernética é a culpada, com as taxas de engajamento frequentemente registradas como menos de um minuto ou nenhuma. Quando não há envolvimento com materiais de aprendizagem, não é surpreendente que não haja impacto.
Soluções potenciais
Para combater esse problema, a equipe sugere que, para um melhor retorno do investimento na proteção de phishing, um pivô para ajuda mais técnica poderia funcionar. Por exemplo, impondo autenticação de dois ou multifators (2FA/MFA) nos dispositivos de terminal e aplicando o compartilhamento de credenciais e o uso em apenas domínios confiáveis.
Isso não quer dizer que os programas de phishing não tenham um lugar no mundo corporativo. Também devemos voltar ao básico de envolver os alunos. Como ex-professor, eu sugeriria que discussões de mesa, seminários pessoais e até gamificação pudessem fornecer a ligação que faltava entre treinamento e resultados positivos.
