Czy środki ostrożności i szkolenia w zakresie phishingu mogą wyrządzić szkody? Okazuje się, że może tak być.

Phishing to czynność polegająca na zdobywaniu zaufania ofiary i przekonania jej do wyrządzenia sobie szkód, na przykład doprowadzając do samozhakowania się, rozstania się ze swymi pieniędzmi lub danymi. To samo w odniesieniu do rówieśników, albo pracodawców itp. Jest to forma inżynierii społecznej (social engineering). W przypadku korzystania z komunikacji internetowej, takiej jak komunikatory internetowe lub e-maile, może to być bardzo skuteczne. Phishing jest bardzo często punktem wejścia do organizacji docelowej, np. w celu zainfekowania złośliwym oprogramowaniem. Biorąc pod uwagę, że w przykładowej firmie mogą być setki lub tysiące pracowników, skuteczność może być duża jeśli wystarczy nawet jedna osoba, która wpada w pułapkę.

To atak “poznawczy” (kognitywny) na ludzi. Aby z tym walczyć, niektóre mechanizmy obronne często jednak negatywnie wpływają na stan mentalny użytkownika. „Proste” żądania “by być ostrożnym” lub „nie klikać w podejrzane linki” (użytkownicy i tak zwykle nie klikają w linki podejrzane dla nich), oraz inne podejścia, wszystko to wprowadza dodatkowe tarcia, np. w pracy, która staje się trudniejsza. Faktem jest, że większość skomputeryzowanej pracy obraca się wokół klikania w różne rzeczy. Tak więc powiedzenie, że nie należy klikać, nie jest zbyt pomocne.

Do pomocy w tym procesie walki z phishingiem wiele firm angażuje zewnętrznych szkoleniowców lub wyspecjalizowane firmy. To może pomóc. Może też przynieść mieszane wyniki, w zależności od tego, kto zostaje zaangażowany. Niektóre firmy prowadzą i wbudowują również ćwiczenia phishingowe, np. „audyty pracowników”, podczas których pracownicy są „testowani”. W niektórych przypadkach takie testy mogą dać dość mizerne wyniki. Szczególnie szkodliwe skutki mogą wystąpić, gdy pracownicy są na końcu wyśmiewani za wpadkę. To po prostu nie działa. Może nawet zaszkodzić produktywności firmy.

Teraz okazuje się, że niektóre z „rozwiązań” mogą być nawet bezużyteczne, jak ustalono to bardzo wnikliwych badaniach, przeprowadzonych w realnym środowisku średniej wielkości organizacji, przez długi okres (15 miesięcy). Jest to prawdopodobnie najbardziej kompleksowe dotychczas badanie dotyczące phishingu. Najbardziej obciążające wnioski są tutaj: „…wbudowane szkolenie phishingowe, powszechnie stosowane obecnie w branży, może prowadzić do nieoczekiwanych skutków ubocznych, a nawet być szkodliwe…”. Ale jak to, szkodliwe?

Czy więc wiele standardowych praktyk antyphishingowych dziś stosowanych  jest nie tylko nieskutecznych, ale może nawet zaszkodzić?

Jeśli jeszcze się nie martwisz problemem, to czytaj dalej:

„… nie tylko nie poprawiło odporności pracowników na phishing, ale nawet sprawiło, że pracownicy byli bardziej podatni na phishing. … Zamiast tego taka metoda szkolenia może powodować nieoczekiwane i negatywne skutki uboczne, takie jak zwiększona podatność na phishing. To odkrycie jest istotne, ponieważ przetestowana metoda dostarczania szkolenia w zakresie phishingu jest powszechną praktyką branżową”.

Dlaczego organizacja miałaby chcieć angażować się w zwalczanie phishingu w taki sposób, aby problem był jeszcze gorszy? Istnieje wiele doniesień o nieudanych szkoleniach phishingowych (np tutaj). Brytyjski NCSC docenia problemu przy phishingu swoich własnych pracowników. Być może też niektóre organizacje chcą iść na łatwiznę i „zrobić coś”. Uzyskany wynik to będzie właśnie „coś”. Wszak budżet na cyberbezpieczeństwo trzeba jakoś spożytkować.

No dobra, ale co działa?

Ostrzeżenia e-mailowe: po wykryciu kampanii informowanie pracowników, że coś jest nie tak i że powinni zachować szczególną ostrożność.

Skoordynowane zgłoszenia  oparte na crowdsourcingu: prosta infrastruktura do przesyłania „podejrzanych wiadomości phishingowych” może być bardzo skuteczna. Może to być tak proste, jak posiadanie przycisku w programie pocztowym, którym można łatwo zgłosić „podejrzany phishing”. Takie wiadomości mogą być następnie sprawdzane przez wewnętrzne lub zewnętrzne zespoły obsługi, a następnie odpowiednio działać w odpowiedzi, jeśli jest to faktycznie phishing. Na szczególną uwagę zasługuje fakt, że ta metoda może wykryć też nowe kampanie phishingowe.

Podsumowanie

Phishing to duże ryzyko. Rozwiązanie tego problemu jest trudne, ale powinniśmy ignorować rytualne wezwania by zwiększyć edukację…” lub “zwiększyć świadomość…”. Bo robienie tego w sposób naiwny może zaszkodzić. Nawet jeśli może być to opłacalne dla firm oferujących szkolenia lub budowę takich rozwiązań w firmie.

Najlepszym rozwiązaniem jest przyjęcie faktu, że phishing jest atakiem poznawczym - na użytkownika, człowieka. Jako taki może być bardzo skuteczny. Niektóre „środki ostrożności” mogą przynieść odwrotny skutek i spowodować znaczne obciążenie psychiczne/stres użytkowników. Jednym z możliwych rozwiązań są te aktywne, takie jak analiza crowd-sourcing.

To, co nie działa, to zawstydzanie użytkowników. Zamiast walczyć z phishingiem, można wtedy nieumyślnie zniszczyć zaufanie w organizacji. A wtedy nie tylko phishing nie jest „rozwiązany”, ale pojawiają się również nowe problemy, które ktoś sam sobie spowodował.