Lærer man noget af at sende tusindvis af phishing-mails?
JA, det gør man, og vi vil gerne dele det med dig.
Alt, hvad vi har lært kan hjælpe dig med at få en stærkere sikkerhed i din virksomhed.
Vores data viser, hvornår, hvad og hvordan virksomheder falder for phishing-svindel, og vi deler det hele. Du kan f.eks. læse om, hvilke type angreb dine kollegaer er mest tilbøjelige til at falde for svindel. (psst: det inkluderer belønninger og urgency).
Er du nysgerrig? Så lad os komme i gang.
Intro
Vi har sendt en masse phishing-mails på forskellige tidspunkter af dagen med forskelligt indhold og forskellige teknikker for at få folk til at klikke og indsende data.
Alt data herfra giver os en masse viden.
Nu vil vi gerne dele det med dig, så du kan lære af det.
Før vi går i gang, skal vi lige have styr på 2 definitioner først:
Klikrate = folk der klikker på linket i phishing-mailen
Data Submit Rate = folk der forsøgte at logge ind ved at indtaste deres brugernavn og adgangskode på den følgende side, efter at have klikket på linket i e-mailen.
Det var bare det. Så er vi klar til at dykke ned i det. Her er en indholdsfortegnelse over alle de godbidder, du har i vente.
INSERT TABLE OF CONTENT
- Hvad er phishing?
- Dataen bag vores læringer
- Typer af tegn, og hvordan de performer
- Belønninger og urgency er de sværeste at spotte
- De andre tegn får også kliks
- Hvornår på dagen er de mest tilbøjelige til at klikke?
- Spear phishing vs. automated phishing
- De gode nyheder: Folk lærer at spotte phishing
Hvad er phishing?
Phishing er ondsindede emails. De prøver at få dig til at klikke på links, give data væk, eller downloade malware.
Hackere og kriminelle bruger dem til at stjæle data og hacke virksomheder. De udgiver sig ofte for at være nogen du kender eller fra en anerkendt virksomhed med autoritet.
Konsekvenserne ved at phishing-angreb
Konsekvenserne ved, at din virksomhed bliver ramt af et phishing-angreb kan være enorme.
Derfor er det vigtigt, at din virksomhed gør noget for at undgå det.
Det kan være alt fra et teknisk setup til uddannelse af medarbejderne.
Her er et par eksempler på potentielle konsekvenser:
Okay, det var lige en kort intro til phishing, og hvorfor det er vigtigt at gøre noget.
Men du kom efter data, så lad os hoppe ned i dataen.
Dataen bag vores læringer
Før vi går amok med indsigter, så er her, hvad vi baserer vores læringer på.
Vi har sendt +200.000 phishing emails - og alt data vi præsenterer her kommer fra disse mails.
Mails'ene er sendt til vores kunder. Det er altså simulerede phishing-angreb, hvilket betyder at ingen virksomheder er kommet noget til.
Vi har sendt både automatiserede phishing-mails og spear phishing, hvor vi målretter dem specifikke virksomheder. Alt data kommer fra begge typer angreb. Vi bruger begge slags, da vi ser kriminelle gøre brug af begge dele.
I dataen er der kun "klassisk" phishing. Vi har ikke gjort brug af metoder såsom smishing, vishing, whaling eller andre mere komplekse phishing-typer. Kun "normal" phishing og spear phishing.
Typer af tegn, og hvordan de performer
Vores mails indeholder 8 tegn på, at de er phishingmails. Det er de tegn, vi oftest ser i rigtige phishingmails ude i verden. Vi træner virksomheder i at spotte lige præcis dem.
En email kan godt indeholde mere end et tegn.
De 8 tegn er:
- Belønninger
- Nysgerrighed
- Kontekst
- Medier
- Urgency
- At-gøre-det-rette
- Frygt
- Tillid og autoritet
Du kan læse mere om de 8 tegn her.
Vi har lært fra vores data, at ikke alle tegn er lige.
Folk har sværere ved at spotte nogle end andre.
Belønninger og urgency er de sværeste at spotte
Af alle 8 tegn, er det disse, der skiller sig mest ud.
Belønninger og urgency.
Belønninger er emails, hvor læseren får tilbudt en form for belønning for at gøre et eller andet. Her er et eksempel:
Urgency, er emails, hvor der er tidspres om at gøre et eller andet. F.eks., kan det være, at du kun har 24 timer til at opdatere dit password:
De her 2 metoder får allerflest til at klikke.
Klikrate:
Belønninger: 16,4%
Urgency: 16,9%
Hvis vi kigger på data submit rates, så er det pludselig urgency, der får folk til at give deres data væk oftest. Måske, fordi de ikke når at stoppe og genoverveje efter de har klikket, da de har travlt.
Data submit rates:
Belønninger: 8,3%
Urgency: 10,8%
Det viser, at du skal træne dine kollega i at være opmærksom på disse metoder og tegn. Hvis en email på den ene eller anden måde indikerer, at du bliver belønnet eller, at der er en form for urgency, så skal dette være et rødt flag for dem.
Hver evig eneste gang.
De andre tegn får også kliks
Desværre, er det ikke kun de to tegn, der får folk til at klikke. Medarbejdere skal lære at spotte alle tegn.
Her er klikraten for alle tegn:
| Tegn | Klikrate |
| Urgency | 16,9% |
| Belønninger | 16,4% |
| Nysgerrighed | 14,3% |
| Kontekst | 11,8% |
| Frygt | 10,9% |
| Medier | 9,9% |
| Tillid og autoritet | 9,8% |
| At gøre det rette | 3,7% |
Og submit rates:
| Tegn | Data Submit Rate |
| Urgency | 10,8% |
| Belønninger | 8,3% |
| Nysgerrighed | 7,1% |
| Kontekst | 6,6% |
| Frygt | 4,6% |
| Medier | 3,9% |
| Tillid og autoritet | 6,2% |
| At gøre det rette | 1,9% |
Det er værd at bemærke, at "Tillid og autoritet" kun er det syvende mest klikkede tegn, men nummer 5, når det kommer til data submission rates.
Det kan skyldes, at hvis man stoler på en afsender, så stiller man ikke spørgsmålstegn ved den næste landningsside.
Alle tegn får kliks og submissions. Det viser, at det er vigtig, at din virksomhed træner dem alle. Du bliver måske god til at spotte en type af phishingmail, men vi ser alle typer i virkeligheden. Dine medarbejdere skal kunne spotte dem alle.
Hvornår på dagen er folk mest tilbøjelige til at klikke?
Okay, men hvad betyder tid? Gør det en forskel, hvilken dag på ugen, I modtager phishingmails?
Det ser sådan ud. Her er, hvad vi kan se.
Mandag og tirsdage er de værste dage
Mange hader mandage. IT-chefer bør frygte dem. For ifølge vores data er mandag og tirsdage de dage, hvor folk er mest tilbøjelige til at klikke på phishing-mails.
Mandag klikrate: 12,66%
Tirsdag klikrate: 13,43%
Den nærmeste anden dag er fredag, som kun hedder 10,8% til sammenligning.
Men hvorfor klikker folk mest i begyndelsen af ugen?
Vi tror, at det skyldes, at mandag og tirsdag ofte er de travleste dage. Der er studier, der viser, at det er her, at folk laver allermest.
Og desto mere travlt du har, desto mindre tid har du til at overveje en email.
Sååååh, om ikke andet, så handler det om, at I skal være ekstra opmærksomme disse dage ;)
Oh, vi har også testet lørdag og søndag.
Heldigvis chiller folk i weekenden, og klikraterne er meget lave her.
Hvornår på dagen klikker folk?
Nu til noget, der overraskede os en del.
Hvornår på dagen, folk er mest tilbøjelige til at klikke og submitte.
Vi troede, at det ville være om morgenen, hvor folk ofte har travlt med at komme igang med dagen. Derfor har vi sendt rigtig mange mails i arbejdsdagens første timer.
Men, vores data siger noget andet.
De fleste klikker og submitter data mellem 12.00 og 13.00, Midt i frokosttiden. Her er klikraten 19.2%, og submit raten 11.6%.
Vi ved ikke hvorfor, men tallene taler for sig selv. Klikraten er meget højere i dette tidsrum, og I skal altså være ekstra opmærksomme, imens i spiser jeres avocado-madder.
Spear phishing vs. Automated phishing
Vi differentiere mellem to typer a mail.
Spear og auto-phishing.
Spear phishing
Her målretter vi mails imod specifikke virksomheder ved at bruge deres logo og informationer fra deres hjemmeside. Kriminelle gør dette, når de prøver at ramme en specifik person.
Her er et eksempel: Hvis en virksomhed skriver, at de holder et event, eller en fest på deres hjemmeside - så laver vi en phishingmail om dette event for at få folk til at klikke.
Automated phishing
Auto phishing er "Masse-udsendelse" af phishingmails.
Det betyder egentlig bare, at en mail kan ramme alle virksomheder og mennesker, da den er mere generisk.
Vi bruger her ikke specifikke oplysninger om modtageren, men gør stadig brug af psykologiske tricks til at manipulere dem til at klikke.
Det er den type mails, de fleste virksomheder møder hver dag.
Forskellen på de to er ligeså nem at spotte som en kat i et hundeshow
Spørgsmålet er:
Er risikoen for at falde for en spear phishing mail rent faktisk større end en auto-phishing mail?
Det korte svar er JA.
Vi kan se, at klikraten gennemsnitligt ligger på 12,76% i vores spear phishing angreb.
Vores auto-phishing ligger "kun" på 7,8%
Klikraten er altså 50% højere i spear phishing angreb.
Forskellen mindre tydelig ved submit rate
Forskellen på submit rate er tilgængeld ikke ligeså stor.
Her er submit raten 6,32% på spear og 5,06% på auto.
Det tyder på, at folk stopper op og tænker sig om en ekstra gang, når de lander på hjemmesiden efter, at de har klikket på mailen. Det er også væsentligt sværere at spoofe en landingsside godt, når vi laver spear-phishing, hvilket kan forklare, hvorfor forskellen er mindre her.
De gode nyheder: Folk lærer at spotte phishing
Alle disse stats kan godt tage pusten fra en. Alt bliver klikket = alle bliver hacket.
Men bare rolig. Der er lys i mørket.
Folk lærer rent faktisk at spotte de phishy sataner.
Vi kan se, at vores kunder bliver bedre og bedre til at spotte phishing emails = færre og færre klikker og submitter for hver kampagne de får.
Det samme gør sig gældende, når vi sender spear phishing.
Det viser, hvor vigtigt det er at træne dine medarbejdere i at genkende og være opmærksomme på phishing-angreb. Hvis det bliver en vane at scanne en mail, kigge efter phishing-tegn, advare sine kollegaer og rapportere til IT, så er din virksomhed MEGET MERE SIKKER.
Jeg håber, at du fik noget ud af indlægget og alt vores data.
Hvis du kunne tænke dig at teste jeres virksomhed og sammenligne jer med dataen over - så kan du læse meget mere lige her.
