درصد وقوع فیشینگ (ppp) چیست

درصد وقوع فیشینگ (Phish-prone Percentage) درصدی از کارکنان یک سازمان است که مستعد کلیک بر روی پیوند فیشینگ هستند. درصد وقوع فیشینگ نحوه دقیق شکست کاربر را ردیابی می‌کند.

ممکن است یک کاربر در یک ایمیل با شکست‌های زیادی مواجه شود و درصد وقوع فیشینگ را بیش از 100 درصد دریافت کند.

فرض کنید یک کارمند ایمیلی از فرستنده ناشناس را باز کرده است. باز کردن ایمیل از منبع ناشناس گرچه اقدامی اشتباه است اما شکست در ایمیل به‌حساب نمی‌آید. در ادامه او روی پیوند موجود در ایمیل کلیک می‌کند و در اینجا دچار یک شکست می‌شود. او در ادامه با کلیک روی پیوند به صفحه‌ای هدایت می‌شود و در آنجا مشخصات خود را نیز وارد می‌کند و یک شکست دیگر را نیز تجربه می‌کند. حالا فرض کنید این کارمند به ایمیل مربوطه پاسخ هم بدهد. پاسخ به ایمیل فیشینگ یک خطای دیگر محسوب می‌شود و اگر او پیوست موجود در ایمیل را نیز باز کند یک خطای دیگر در تعامل مرتکب شده است.

درنتیجه، این کاربر چهار شکست در تعامل با یک ایمیل را تجربه کرده و 400 درصد وقوع فیشینگ شخصی خواهد داشت.

درصد وقوع فیشینگ در یک کمپین فیشینگ از نسبت تعداد کل شکست‌ها بر تعداد کل ایمیل‌های ارسال‌شده در آن کمپین محاسبه می‌شود. به‌طور مثال اگر 100 نفر از کارکنان یک سازمان ایمیلی دریافت و 52 نفر از آن‌ها روی پیوندی در ایمیل کلیک کنند به این معنی است که 52 درصد آن‌ها شکست خورده‌اند. اگر هشت نفر از آن 52 نفر نیز داده‌ها را در صفحه فرود landing page وارد کنند، درصد وقوع فیشینگ برای آن کمپین به 60 درصد افزایش می‌یابد.

چه از طریق باز کردن پیوست یک ایمیل باشد و چه از طریق باز کردن یک صفحه ورود، قربانی شدن یک کارمند به کلاه‌برداری فیشینگ یکی از سناریوهایی است که می‌تواند یک سازمان را درگیر کند.

این تصور که کشف کلاه‌برداری‌های فیشینگ آسان است و تنها افرادی که غیر فنی یا ساده‌لوح هستند قربانی می‌شوند، اشتباه است. همچنین اتکای بیش‌ازحد به فناوری برای جلوگیری از فیشینگ امنیت کاذبی را ایجاد کرده و یا تصور اینکه "بعید است کسب‌وکار ما یک هدف باشد" سهل‌انگاری را به همراه دارد.

حقیقت این است که حملات فیشینگ با ترکیبی از جدیدترین روش‌ها، هنوز هم کار می‌کنند و هرسال بر شیوع و پیچیدگی آن افزوده می‌شوند.

جالب است بدانید تعداد سایت های فیشینگ 75 برابر تعداد سایر سایت های بدافزاری است و 91درصد حملات سایبری با یک ایمیل ساده فیشینگ آغاز می‌شوند. کلاه‌برداری‌های فیشینگ تهدید قابل‌توجهی برای سازمان‌ها در هر اندازه‌ای است. با وجود این، تنها تقریباً 20 درصد از سازمان‌ها آموزش آگاهی از فیشینگ را به کارکنان خود ارائه می‌دهند.

هر چه درصد وقوع فیشینگ شخصی یک کارمند بالاتر باشد به معنای آن است که وی در برابر حمله مهندسی اجتماعی از طریق ایمیل آسیب‌پذیرتر است.

اگر کاربر یک ایمیل فیشینگ شبیه‌سازی‌شده را باز کند و با خطاهای زیادی روبه‌رو شود، در این صورت نمی‌تواند پرچم قرمز red flag را تشخیص دهد. دانستن تعداد و انواع شکست­ها می‌تواند به تعیین اینکه کارکنان به چه نوع آموزشی نیاز دارند کمک کند و امنیت سازمان را در برابر حملات سایبری به شکل قابل‌ملاحظه‌ای افزایش دهد.