Nimblr przeanalizował 1714 scenariuszy phishingowych, które wysłano około 11 mln razy do użytkowników w 10 krajach europejskich. Polska osiągnęła najniższy średni wskaźnik kliknięć (3,4%), podczas gdy najwyższy odnotowano w Estonii (6,1%). 

Największą skuteczność wśród polskich użytkowników miały scenariusze nawiązujące do codziennych sytuacji w pracy, przede wszystkim komunikaty przypominające wiadomości z działu HR, np. dotyczące urlopów. Silnie działały także treści bazujące na ciekawości i pozornie niewielkim ryzyku, jak choćby fałszywe oferty sprzedaży iPhone’ów. 

Co działa w innych krajach? Od benefitów po karty podarunkowe 

W krajach nordyckich i bałtyckich szczególnie wysokie wskaźniki kliknięć osiągały maile z działów HR, podobnie jak miało to miejsce w Polsce. Komunikaty te dotyczyły m.in. wynagrodzeń oraz benefitów pracowniczych. Wskaźnik kliknięć dla tego typu wiadomości często przekraczał 20%, podczas gdy w Polsce było to 12%. Równolegle dużą skuteczność notowały maile naśladujące komunikację systemową, takie jak fałszywe powiadomienia z elektronicznego kalendarza. 

W Wielkiej Brytanii najwyższe wskaźniki kliknięć osiągały natomiast scenariusze bazujące na kontekście sezonowym, np. wiadomości związane z kartami podarunkowymi w okresie świątecznym. W czołówce znalazły się jednak także typowe maile pracownicze, takie jak ankiety z działu HR. 

Klikamy w to, co usypia naszą czujność 

Z raportu Verizon Data Breach Investigations wynika, że phishing odpowiada za 57% incydentów socjotechnicznych, polegających na manipulowaniu zachowaniem użytkownika, a nie na przełamywaniu zabezpieczeń technicznych. Ataki phishingowe projektowane są tak, by wywołać określoną reakcję użytkownika. Wykorzystują silne bodźce emocjonalne, takie jak presja czasu, stres czy ciekawość, a także autorytet nadawcy.  

− Równie dobrze działają wiadomości, które wpisują się w codzienny rytm pracy. Wiarygodnie naśladują procesy w firmie i w ten sposób usypiają czujność odbiorcy. Dodatkowo skuteczności takich prób sprzyja pośpiech, zmęczenie i wielozadaniowość – zwłaszcza gdy wiadomości są odczytywane na urządzeniach mobilnych, gdzie trudniej dokładnie sprawdzić adres nadawcy czy link − tłumaczy Magdalena Baraniewska, Channel Sales Executive w Nimblr.    

Analiza Nimblr zwraca uwagę również na język, za pomocą którego przygotowano fałszywą wiadomość. Użytkownicy stosunkowo rzadko zwracają uwagę na phishing napisany po angielsku, odnotowują one najniższy wskaźnik kliknięć. Zdecydowanie częściej reagują natomiast na fałszywe wiadomości w języku lokalnym.