Một số công ty rình bắt quả tang những nhân viên thiếu thận trọng bằng cách cài email lừa đảo giả mạo để xem họ có mở không. Phương pháp này có thể gây căng thẳng, mất niềm tin giữa các nhân viên, nhưng tệ hơn là không hề cải thiện đáng kể khả năng phòng vệ của công ty.
Dĩ độc trị độc…
Có lẽ tất cả chúng ta đều từng thấy những email không biết từ đâu bỗng xuất hiện trong hộp thư có tệp đính kèm hoặc liên kết đến nội dung nào đó mà nếu nhấp chuột vào hậu quả sẽ khó lường. Trong trường hợp giả lừa đảo cũng thế, ngoại trừ việc email không đến từ kẻ lạ thực sự mà đến từ bộ phận công nghệ thông tin (IT) của công ty, giả kẻ lạ để gửi một tin nhắn lừa đảo giả để xem liệu nhân viên có nhấp vào nó hay không. Lý do, việc tin nhắn lừa đảo gây thiệt hại cho các công ty là điều ai cũng biết, dẫn đến tổn thất và thiệt hại hàng triệu đôla.
Được bọn lừa đảo thiết kế để lừa người nhận tải xuống phần mềm độc hại (malware) hoặc để lộ thông tin nhạy cảm, những trò lừa đảo này đang gia tăng. Năm 2021, FBI đã nhận được hơn 300,000 đơn khiếu nại về các cuộc tấn công lừa đảo (phishing attack), tăng hơn 30% so với năm trước.
Để giải quyết vấn đề này, nhiều công ty nghĩ ra cách kiểm tra kỹ các nhân viên thiếu ý thức an ninh, vi phạm các quy định nội bộ. Bộ phận bảo mật IT của công ty được giao tiến hành các “chiến dịch lừa đảo giả” (mock phishing campaign), hay “mô phỏng lừa đảo” (phishing simulations), trong đó các email lừa đảo giả được gửi vào hộp thư nhân viên để đánh giá xem có bao nhiêu người bị mắc bẫy, theo kiểu “bắt tận tay, day tận mặt”! Mục tiêu cũng là nhằm giáo dục và đào tạo nhân viên cách chống lừa đảo sau khi họ lỡ nhấp chuột vào link lừa đảo và giúp các nhóm bảo mật IT đo lường mức độ dễ bị tổn thương của công ty trước các cuộc tấn công tương tự – Wall Street Journal cho biết.
Nhưng các nghiên cứu gần đây cho thấy những mô phỏng lừa đảo này có thể gây hại nhiều hơn là có lợi, không chỉ làm nhân viên tức giận mà cũng không cải thiện đáng kể khả năng phòng vệ của công ty. Một lý do mà bộ phận IT tiến hành chiến dịch lừa đảo giả là để “giáo dục” nhân viên. Khi nhân viên làm điều gì đó lẽ ra không nên làm, công ty xem đây là cơ hội để giúp họ hiểu rõ nguy cơ và tránh mắc sai lầm tương tự trong tương lai.
Nghiên cứu phát hiện ra nhân viên sẽ dành nhiều thời gian hơn để đọc các hướng dẫn tránh tái phạm được hiển thị ngay sau khi họ nhấp chuột vào một đường link lừa đảo giả. Nhưng khi nói đến việc nhân viên có thực sự tránh được hoàn toàn các cuộc tấn công lừa đảo trong tương lai không, thì các nghiên cứu cho thấy phương pháp này không hiệu quả như mong đợi. Dù nghiên cứu ban đầu tin rằng các mô phỏng lừa đảo có thể giúp giảm khoảng 50% tỷ lệ nhấp chuột vào các email lừa đảo giả ở những lần sau, các nghiên cứu gần đây lại cho thấy có rất ít hoặc không có sự cải thiện nào về tỷ lệ “nhấp chuột bất cẩn” sau khi các chiến dịch mô phỏng lừa đảo được tiến hành.
… Bị trúng độc!
Một chiến dịch lừa đảo giả có sự tham gia của gần 2,000 nhân viên mang lại kết quả đáng buồn, tỷ lệ nhấp chuột bất cẩn chỉ giảm từ 1 đến 2%! Các nghiên cứu khác cũng cho ra con số tương tự. Chẳng hạn, một nhóm các nhà nghiên cứu làm việc với ngành y tế không tìm thấy sự khác biệt nào về ý thức nhấp chuột giữa những người được chuyển cho email lừa đảo giả và những người không được chuyển.
Gần đây nhất, một nhóm nghiên cứu từ Đức đã “kết án tử” chiến dịch này khi kết luận “mọi cải tiến về tỷ lệ nhấp chuột đều biến mất sau bốn đến sáu tháng!”. Nhiều giám đốc an ninh và bảo mật IT đã tiến hành các chiến dịch lừa đảo giả để đo lường mức độ dễ bị tổn thương của nhân viên khi bị lừa đảo thực sự, nhưng dữ liệu được thu thập được không phải lúc nào cũng đáng tin cậy. Nhiều người sau khi nhấp vào liên kết lừa đảo giả và đọc được hướng dẫn để không tái phạm vẫn tiếp tục nhấp chuột vào các email này vì tò mò, thậm chí nhấp nhiều hơn. Cách thiết kế email lừa đảo giả cũng có thể làm sai lệch kết quả của một chiến dịch.
Các nhà nghiên cứu phát hiện ra quyết định nhấp chuột hay không phụ thuộc nhiều vào cách viết email và ngữ cảnh của nó hơn là vào “bài học” nhân viên đã được “học” trước đây. Vì vậy, nếu chọn thử nghiệm bằng một email dễ hiểu, tỷ lệ nhấp sẽ ít còn nếu chọn sự phức tạp hoặc khó hiểu, tỷ lệ nhấp sẽ rất tệ, vì tò mò.
Hiệu quả đâu không thấy, các chiến dịch chống lừa đảo bằng email giả lừa đảo chỉ tạo ra căng thẳng và mất lòng tin trong công ty. Nhiều nhân viên khẳng định họ ghét nhận email lừa đảo giả và bực bội khi biết mình bị lừa.
Một người nói: “Gài bẫy như thế là công bằng và xúc phạm”. Khi biết được email họ vừa mở chỉ là mô phỏng để đánh giá sự thận trọng của người nhận họ rất bất mãn. Một nữ nhân viên khẳng định: “Tôi không thích cảm giác mình đang bị kiểm tra!” Một số nhân viên cho biết lời khuyên công ty cung cấp về cách chống lừa đảo (chẳng hạn như kiểm tra mọi liên kết trước khi nhấp vào hoặc không bao giờ mở tệp đính kèm) là “không thực tế và rất khó tuân thủ”. Ngay cả nhân viên an ninh IT đôi khi cũng phải vật lộn với nó. Một nhân viên IT thú nhận anh thường xuyên bỏ lỡ các email quan trọng vì tưởng là lừa đảo giả và xóa chúng trước khi thấy đường link.
Tóm lại, toàn bộ mục đích của chiến dịch lừa đảo giả là phát hiện những nhân viên nào dễ bị lừa với hy vọng họ sẽ cẩn thận hơn trong tương lai. Nhưng các nghiên cứu chứng minh, việc tạo ra nỗi sợ hãi không thực sự giúp mọi người cảnh giác hơn về an ninh mạng hoặc giúp họ dễ dàng phân biệt email tốt với email xấu mà chỉ làm cho họ thêm lo lắng. Dù không có phương pháp hoàn hảo nào để dạy nhân viên cách phát hiện và ngăn chặn các hành vi lừa đảo, nhưng vẫn có những cách tiếp cận khác không dẫn đến mất lòng tin và bực bội.
