サイバー攻撃の91%はフィッシングメールで始まり、フィッシング詐欺は情報漏えいの32%に関与していると言われています。
最近のフィッシング・シミュレーション・キャンペーンによると、効果的なフィッシング・メールは5種類あります。
- 荷物の配達に関するフィッシングメール(配達に失敗しました系)
クリック率:18.5%。 - 電子メール配信に関するフィッシングメール(メール配信失敗系)
クリック率: 18%。 - 人事からのアンケート調査を装ったフィッシングメール(オンライン従業員アンケート等)
クリック率: 18%。 - リマインダーを装ったフィッシングメール(服装規定の通知、予約確認、注文確認、etc)
クリック率:17.5%。 - 全社員へのメールを装ったフィッシングメール(新しい建物の避難計画、etc)
クリック率:16%。
受信者を脅すようなメールや、即効性のある特典を提供するメールは、あまり「成功」していないようです。あなたのコンピュータをハッキングして検索履歴を知った」という件名のテンプレートはクリック率2%、リンクをクリックするとNetflixが無料になる、1,000ドルがもらえるというオファーでは、わずか1%の従業員しか騙されませんでした。
カスペルスキーは、フィッシング攻撃による情報漏えいやそれに伴う金銭的・風評的損失を防ぐために、企業に対して以下のことを推奨しています。
- フィッシングメールの基本的な兆候についての従業員に対する注意喚起の実施。
ドラマチックな件名、間違いやタイプミス、一貫性のない送信者アドレス、疑わしいリンクなど。 - 受信したメールに疑問がある場合は、添付ファイルを開く前にその形式を確認し、クリックする前にリンクの正確さをチェックする。
これらの要素にカーソルを合わせることで実現できます。アドレスが本物らしく、添付ファイルが実行可能な形式でないことを確認します。 - フィッシング攻撃は必ず報告する。
フィッシング攻撃を発見したら、ITセキュリティ部門に報告し、可能であれば、悪意のあるメールを開かないようにしてください。そうすることで、サイバーセキュリティチームがスパム対策ポリシーを再設定し、インシデントを防ぐことができます。 - 従業員にサイバーセキュリティの基本的な知識を提供する。
教育は、学習者の行動を変えます。脅威に対処する方法を教える必要があります。 - 技術的対策の導入
フィッシングの手口は巧妙で、誤クリックを防ぐ保証はないため、信頼できるセキュリティで作業端末を保護する必要があります。アンチスパム機能、不審な行動の追跡、ランサムウェア攻撃に備えたファイルのバックアップコピーの作成などを提供するソリューションを導入しましょう。
出典②:Kaspersky reveals phishing emails that employees find most confusing