CaseStudySåMangeKlikkede
CaseStudySåMangeKlikkede

Case-study: Så mange klikkede i vores top 3 phishing-mails

ABT

Phishing-simulationer er en måde at træne medarbejdere i at spotte farlige phishing-mails. Men hvordan ser en phishing-simulation ud, og hvor effektive er de? I dette blogpost vil jeg gennemgå vores 3 mest effektive phishing-mails med tal på, hvordan de har perfomet.

Measuring the effect of awareness training

Phishing-simulationer træner medarbejdere

Inden jeg tager et elegant hovedspring og dykker ned i de 3 kampagner, vil jeg fortælle, hvad phishing-træning er for en fisk.

Der findes utallige typer af phishing. Der er spear phishing, CEO fraud og mange flere. Fælles for dem alle er, at de er en form for social engineering angreb, der har til formål at snyde dine medarbejdere til at klikke på et link og afgive værdifulde informationer som f.eks. kreditkortoplysninger, passwords eller andre personfølsomme oplysninger.

Phishing er en af de største trusler overhovedet, viser en trusselvurdering fra Center for CyberSikkerhed.

Men hvad kan man gøre ved det?

Phishing-træning går ud på at træne ens medarbejdere i at spotte og håndtere phishing-angreb. Det kan gøres gennem phishing-simulationer, hvor I som organisation udsender falske phishing-mails til jeres medarbejdere. Disse simulationer skal ses som træning, hvor I kan få feedback på, hvor mange af jeres medarbejdere, der åbner mailen, klikker på links og indsender data. Samtidig hjælper det medarbejdere med at genkende faresignaler og gennemskue angreb.

Top 3 phishing-kampagner

I CyberPilot tilbyder vi phishing-træning, hvor vi sender falske phishing-mails til virksomheders medarbejdere. Det betyder, at vi er blevet ret gode til at lave phishing-mails i forskellige sværhedsgrader, der passer til forskellige organisationers behov og niveau. Jeg vil nu præsentere dig for 3 af vores bedste phishing-mails:

De tre mails er alle eksempler på, hvordan IT-kriminelle troværdigt kan forsøge at snyde jeres medarbejdere.

Kampagnerne er både brugt som første kampagne til organisationer, men også som del af længere træning, hvor organisationerne har modtaget andre phishing-mails først. Dette spiller ind på, hvordan de forskellige mails har klaret sig. Det skyldes, at den første phishing-kampagne hos organisationer ofte får flere medarbejdere i fælden end senere. Tallene I bliver præsenteret for herunder er en altså en blanding af kampagner, som er blevet brugt på forskellige tidspunkter i organisationers phishing-træning.

Sådan har vi gjort

Alt i alt har vi med de 3 phishing-kampagner sendt tusindvis af phishing-mails til medarbejdere hos forskellige kunder. Da vores mail-domæne på forhånd er blevet whitelistet af vores kunder, kan vi gå ud fra at samtlige mails er endt i medarbejdernes indbakke. Disse medarbejdere er til gengæld også forberedt på, at de er deltagere i phishing-træningen og vil modtage phishing-mails løbende.

En phishing-mail består af:

  1. En mail med et link i, som vi forsøger at få medarbejderen til at klikke på
  2. En landingsside, som medarbejderen bliver ført hen til, hvis de klikker
  3. En login-formular på landingssiden, hvor medarbejderen bliver bedt om at indtaste brugernavn/arbejdsmail og password
  4. En ny 404-side med en meddelelse om, at der er sket en fejl

Når vi har sendt en mail, får vi statistik på:

  1. Hvor mange der åbner mailen
  2. Hvor mange der klikker på linket i mailen
  3. Hvor mange der indtaster brugernavn og password og forsøger at logge ind gennem formularen på landingssiden

I denne case vil vi dog ikke fokusere på åbningsraten, da kliks og indsendt brugernavn og password er mere relevante at kigge på.

Sådan gik det

Som nævnt, er undersøgelsen baseret på flere tusinde phishing-mails på tværs af de tre kampagner. Det gik sådan her:

Sendte emails
100%
Links klikket
0%
Indsendt data
0%

Det betyder, at der alt i alt blev klikket på links i 34% af alle mails og indsendt brugernavne og passwords 24% af gangene. Næsten hver fjerde person har altså indsendt brugernavn og password. Inden vi analyserer videre på dette, vil jeg gå i dybden med hver af de tre kampagner, så du kan se, hvorfor så mange falder i fælden.

Evakueringsplan ved brand

Kampagnen kort fortalt

Kampagnen handler om, at ens organisation har lavet en ny evakueringsplan i tilfælde af brand. Den skal alle medarbejdere selvfølgelig læse, da det ikke dur, at folk løber mod vest, når nødudgangen er mod øst. Phishing-mailen ser således ud:

evakueringsplan mail
Klik for at forstørre

For at sikre at medarbejderne får læst den nye plan, har organisationen sat nogle flasker vin på højkant til de hurtigste og flittigste mail-læsere. Rødvinen forsøger altså at stresse læseren til at klikke hurtigt uden videre betænkningstid. Derudover er mailen gjort ekstra troværdigt ved, at vi har kopieret organisationens logo ind i mailen.

Hvis læseren klikker på linket, bliver de sendt videre til følgende landingsside, hvor de bliver bedt om at indtaste deres arbejdslogin-informationer.

arbejdslogin informationer
Klik for at forstørre

Målet med kampagnen er altså at skaffe passwords og brugernavne. Hvis medarbejderen forsøger at logge ind, så lander de på en side med en meddelelse om, at der er sket en fejl.

Note: Vi indsamler ingen passwords i CyberPilots phishing-træning.

Sådan klarede den sig

Sendte emails
100%
Links klikket
0%
Indsendt data
0%

Næsten 30% af alle, der har modtaget denne e-mail, klikker ind for at læse evakueringsplanen. Derudover kan man se, at den simple login-formular er yderst effektiv, da næsten alle der klikker på linket også forsøger at logge ind. Med denne evakueringsplan er det lykkes os at få en fjerdedel af alle medarbejdere til at indgive brugernavne og passwords.

Bestil julegave

Kampagnen kort fortalt

Mange phishing-mails forsøger at være tidspecifikke for at gøre dem ekstra troværdige. Vi så f.eks. en masse phishing-mails prøve at udnytte COVID-19 i starten, da der var stor panik og mange ledte efter informationer rundt på internettet.

Vi har forsøgt at gøre lidt af det samme ved at udvikle en phishing-mail, der bliver sendt omkring oktober-november med en meddelelse om, at det er tid til at bestille sin firma-julegave:

julegave phishing
Klik for at forstørre

Mailen spiller ind i medarbejdernes forventning om en julegave og deres nysgerrighed om, hvilke ting de kan vælge imellem i år.

Ligesom ved Evakueringsplanen bliver medarbejderen sendt videre til en side, hvor de bliver bedt om loginoplysninger.

julegave_LP
Klik for at forstørre

Sådan klarede den sig

Sendte emails
100%
Links klikket
0%
Indsendt data
0%

Julegavemailen får altså en højere procentsats til at klikke på linket end evakuerings-mailen. Det er dog interessant, at flere tilsyneladende bliver mistænkelige af landingssiden, da antallet af personer, der forsøger at logge ind, ikke er højere end evakueringsplanen. I sidste ende er det stadig cirka hver fjerde medarbejdere, der kommer til at give sin e-mail og password væk til IT-kriminelle.

Det høje antal af folk, der klikker på linket ved denne mail kan skyldes, at mange forventer en mail vedrørende julegaver, når man nærmer sig juletiden. Derfor har man muligvis paraderne nede, når netop sådan en e-mail lander i ens indbakke.

Ny password-politik

Kampagnen kort fortalt

Denne mail meddeler medarbejderne om, at der er kommet en ny password-politik internt i organisationen. Denne skal medarbejderne læse, så de kan sikre, at deres passwords er stærke nok.

ny password politik
Klik for at forstørre

Kampagnen spiller altså på, at organisationen prøver at skabe mere sikkerhed gennem en ny password-politik. Mailen stiller også krav til læseren, da det skal bekræftes, at man har læst mailen. Logoet i bunden bliver udskiftet med den organisation, som vi laver phishing-simulationen til.

Sådan klarede den sig

Sendte emails
100%
Links klikket
0%
Indsendt data
0%

Den sidste kampagnes tal ligger sig midt imellem de to andre, når det kommer til antallet af kliks på links. Her har vi dog det mindste procentmæssige antal af personer, der afgiver deres passwords og brugernavne. Dog uden at det afviger meget fra de andre kampagner.

Phishing er en reel trussel

Casen viser, at phishing-truslen er reel. Næsten hver fjerde medarbejder ender med at klikke på et link og indsende brugernavn og password, hvis de modtager phishing-mails, a la de tre kampagner, vi har præsenteret jer for her. Det er på trods af, at der er blevet kommunikeret til medarbejdere, at de er en del af phishing-træningen og kan forvente phishing-mails i deres indbakke. Det er klart, at vores domæne er blevet whitelistet af vores kunder, så i virkeligheden vil de fleste phishing-mails ende i et spamfilter. Tallene viser dog, at der ikke skal slippe mange phishing-mails igennem sprækkerne, før man som organisation kan ende i problemer.

Det er derfor vigtigt, at man som organisation taler højt om disse risici og skaber en kultur, hvor medarbejdere også tør komme og sige, hvis de har mistanke om, at de i kampens hede har bidt på krogen og er kommet til at klikke på et link. Det kan ske for hvem som helst i en travl hverdag.

Jeres medarbejdere kan blive jeres vigtigste beredskab. Medarbejdere er den hurtigste vej til at spotte farlige mails, rapportere og kommunikere om farlige mails, samt ofte de første der kan spotte et sikkerhedsbrud, da tvivlen og mistanken ofte vil opstå på et eller andet tidspunkt i forløbet.

Phishing-træning virker

Vores træning viser, at desto flere phishing-mails medarbejdere modtager desto bedre bliver de til at gennemskue angreb. Det kan du læse mere om i vores phishing-case, der kan dowloades på denne side. Det viser at træning af medarbejdere virker. Ved løbende at have opmærksomhed på trusler gennem awareness-træning og phishing-træning sikrer man, at medarbejdere er på dupperne, når de modtager en mail.

Vi bliver løbende bedre til at udvikle og træne medarbejdere gennem phishing-simulationer. Vi sender hver måned flere og flere mails og i skrivende stund har vi trænet medarbejdere med over 10.000 phishing-mails. Hvordan ville jeres medarbejdere klare det?

FAQ: Hvad er en phishing simulation?

Hvad er et eksempel på phishing?

Phishing er en type angreb, der typisk udføres gennem e-mails, hvor IT-kriminelle giver sig ud for at være noget, de ikke er. Målet med disse phishing e-mails er at få folk til at give værdifulde informationer væk f.eks. kreditkortoplysninger, passwords eller personfølsomme oplysninger.

Hvad er phishing-simulationer?

Phishing-simulationer er, når virksomheder selv sender ”phishings e-mails” til deres medarbejdere for at træne dem i at spotte og håndtere phishing e-mails. Målet er at skabe awareness omkring phishing-mails. Ofte laves phishing-simulationer i samspil med awareness-træning, hvor medarbejdere lærer om risikoen ved phishing-mails.

Hvorfor bruge phishing-simulationer?

Phishing-simulationer hjælper medarbejdere med at kunne spotte rigtige phishing-mails i fremtiden. Derudover giver det også mulighed for at træne, hvordan man skal håndtere phishing-mails internt, når de først er spottet.

Tilmeld dig vores nyhedsbrev

Modtag nyheder om gratis skabeloner, værktøjer og blogindlæg fra CyberPilot

Gør som 2000+ andre og tilmeld dig vores nyhedsbrev. Her modtager du løbende inspiration, værktøjer og historier om god IT-sikkerhed – direkte i din indbakke. Vi sender ca. én gang om måneden.

Top

Kontakt os

Du er altid velkommen til at kontakte os
for en uformel snak om IT-sikkerhedsudfordringer..

Kontakt os

Du er altid velkommen til at kontakte os
for en uformel snak om IT-sikkerhedsudfordringer..