Phishing-angrep, som i grove trekk innebærer å lure folk til å oppgi sensitiv informasjon ved å forkle seg som legitime kilder, er blant de mest utbredte farene på nettet. Til tross for endeløse advarsler fortsette folk i stor grad å la seg lure av angrepene, viser det seg.
ZDNet melder om en omfattende undersøkelse utført at sikkerhetsselskapet Coalfire hvor det kommer frem at bedrifter fremdeles er høyst sårbare for phishing-angrep.
Testet 525 bedrifter
Coalfire testet 525 bedrifter i både Europa og USA for å finne ut hvor mottakelige bedriftene var for ulike typer hacke- og angrepsteknikker. Sikkerhetsselskapet gjennomførte 623 såkalte penetrasjonstester av bedriftene.
To pentestere arrestert for innbrudd i domstol. Var på oppdrag for å sjekke sikkerheten
Det Coalfire kom frem til var at ansatte ved 71 prosent av bedriftene ga fra seg sensitiv informasjon via phishing-angrep utført av sikkerhetsforskerne, noe som skal være en markant oppgang fra i fjor da tallet lå på 63 prosent.
I 20 prosent av tilfellene ble innloggingsdata delt av mer enn halvparten av de ansatte, som skal være intet mindre enn en dobling sammenlignet med resultatet i fjorårets undersøkelse.
Dårlige prosedyrer
Ifølge Coalfire skal det være svake passord og mangelfulle interne prosedyrer som er de vanligste sårbarhetene avdekket i undersøkelsen. Eksempler på mangelfulle prosedyrer er upassende restriksjoner på filtilgang og dårlig opplæring blant de ansatte.
I tillegg var også utdatert programvare en viktig bidragsyter til at en stor andel av selskapene var sårbare for angrepene.
Google: Phishing-angrep er fremdeles svært effektive – dette er grunnene
Den «gode» nyheten var imidlertid at bedriftene hadde færre høyrisiko-sårbarheter totalt sett sammenlignet med i fjor. Ifølge Coalfire har dette trolig sammenheng med større satsing på nettskyen, som reduserer behovet for vedlikehold av den lokale sikkerhetsinfrastrukturen.
Digi.no omtalte for øvrig Coalfire i september i år, etter at to av selskapets sikkerhetsforskere ble arrestert mens de utførte penetrasjonstesting av elektroniske domstolsystemer på oppdrag fra domstoladministrasjonen.
