Исследователи Калифорнийского университета в Сан-Диего выяснили, что фишинг-тесты в компаниях снижают эффективность реальных атак всего на 2%. Кроме того, сотрудники после таких проверок теряют доверие к работодателю.
Помимо низкой эффективности и подорванного доверия, компании могут спровоцировать панику среди работников. Такой случай произошёл в 2024 году, когда руководство университета в Санта-Крузе разослало сотрудника письма с предупреждением о том, что в учебном заведении выявили вспышку Эболы. Также в письме была ссылка на портал с дополнительной информацией.
Многие преподаватели были так сильно напуганы, что перешли по ссылке и узнали, что только что провалили фишинг-тест. Также отмечается, что сотрудники начали пересылать письма близким и друзьям, чтобы поделиться шокирующей новостью. Паника вышла за пределы кампуса, и руководству пришлось публично заявлять, что историю про эпидемию выдумали специально для фишинг-теста.
Сотрудники считают, что компании должны предупреждать об опасных последствиях фишинга, но для этого не надо использовать фейковые новости. Некоторые руководители уверены, что тесты не работают из-за того, что работники не несут реальную ответственность за свои действия. Если сотрудник провалит проверку, то с ним просто поговорят и попросят быть внимательнее в следующий раз. Если за первый провал работнику ограничат доступ к внешней электронной почте на три месяца, за второй время ограничения увеличат до года, а на третий — уволят, то сотрудники будут внимательно относиться ко всем письмам.
Ещё одно исследование эффективности фишинг-тестов провели социологи и эксперты информационной безопасности из Швейцарской высшей технической школы Цюриха. В 2021 году они разослали письма 14 тыс. работникам и провели семинары по инфобезу. Во время повторного теста выяснилось, что сотрудники стали более восприимчивыми к фишингу. Исследователи считают, что причиной стала излишняя самоуверенность работников в том, что теперь они точно могут определять фишинговые письма от настоящих.
