Rollebaseret sikkerhedsbevidsthedstræning skræddersyr træningsmaterialer og leveringsmekanismer til at passe til en medarbejders rolle og reducerer den cyberrisiko, der er forbundet med den pågældende rolle.
Verden er et komplekst og mangfoldigt sted, og menneskene i den er en smeltedigel af evner, færdigheder og holdninger. I en virksomhed udnyttes denne mangfoldighed ofte ved at skabe specifikke roller, der udnytter disse forskellige evner og færdigheder.
Cyberkriminelle er ikke uvidende om, at folk arbejder i bestemte roller i en organisation. Svindlere skræddersyer ofte deres angreb på grundlag af målet. F.eks. er der ved BEC-angreb (Business Email Compromise) typisk fokus på medarbejdere i ledende stillinger og i rollen som kreditor. Svindlere skræddersyer phishing-kampagner eller andre social engineering-angreb til at afspejle en persons stillingsbetegnelse, og på den måde udnytter de iboende menneskelige egenskaber som f.eks. tillid for at sikre succes.
Men hvis svindlere bruger rollebaseret social engineering og phishing til at forbedre succesen af deres cyberangreb, kan to af dem spille med i det spil.
Rollebaseret sikkerhedsuddannelse for at stoppe rollebaseret phishing
Cyberkriminelle vil gerne sikre sig, at enhver kampagne, de udformer, bliver en succes: De ved, at jo mere skræddersyet en phishing-e-mail er, jo større er sandsynligheden for, at målet tror, at e-mailen er ægte, og derefter klikker på et ondsindet link eller reagerer på e-mailens anmodning om at skifte bank og sende penge hurtigst muligt osv.
Spear-phishing er ofte det foretrukne våben, når en cyberkriminel er rettet mod en specifik rolle i en organisation. Denne form for phishing indeholder meget skræddersyede beskeder for at manipulere bestemte typer medarbejdere. Typiske roller, der er genstand for spear-phishing-angreb, er:
- chefer på C-niveau og ledelsesassistenter
- Lønningsliste
- HR
- Finansiering og kreditorforpligtelser
- Privilegerede brugere
Chefer på C-niveau og ledelsesassistenter: "Whaling" og BEC-svindel(Business Email Compromise) fokuserer på ledende medarbejdere på C-niveau i en målorganisation. Svindlerne kan også være rettet mod ledelsesassistenterne ved hjælp af social engineering og spear-phishing for at få adgang til den administrerende direktørs e-mailkonto eller andre personlige oplysninger. Kompromitterede eller falske CXO-e-mails bruges til at iværksætte BEC-svindel.
Lønafdeling: Svindlere er rettet mod lønmedarbejdere, der administrerer lønudbetalinger, for at omdirigere penge til en svindlers bankkonto. Svindleren kan f.eks. forfalske en e-mail fra en medarbejder, hvor han beder om, at lønadministrationen ændrer deres bankkontooplysninger.
Personaleadministration (HR): HR er ansvarlig for yderst fortrolige og personlige oplysninger. Det gør denne rolle udsat for spear-phishing-kampagner, der forsøger at få adgang til data, som derefter kan udnyttes i yderligere angreb. HR bliver så en del af et mere komplekst bedrageriforsøg i flere trin, f.eks. BEC- og lønsumsbedrageri; en HR-medarbejder kan blive narret til at afsløre oplysninger om en topchef eller en anden medarbejder for at få de oplysninger, der er nødvendige for at gennemføre bedrageriet.
Finans og kreditor: Den afdeling, der holder pengepungen i hånden, er et oplagt mål for cyberkriminelle. BEC-svindel ender f.eks. ofte ved døren til kreditorafdelingen. Men der er mange former for svindel, der fokuserer på denne rolle. Svindel med kreditorbetalinger er meget udbredt, og en rapport viste, at 50 % af de små virksomheder i Det Forenede Kongerige var udsat for denne type svindel, enten fra interne eller eksterne trusler.
Privilegerede brugere: Cyberkriminelle er rettet mod privilegerede brugere, da de har "nøglerne til virksomhedens slot". Privilegerede brugere har adgangsrettigheder til følsomme områder af et netværk, og som sådan er de en direkte vej ind i netværket for enhver cyberkriminel, der kan narre dem til at udlevere deres legitimationsoplysninger eller downloade malware. En rapport viste, at 63 % af organisationerne mener, at privilegerede brugere udgør den største risiko for insidertrusler.
Simuleret phishing i rollebaserede træningsprogrammer for sikkerhedsoplysning
Simuleret phishing er en god måde at uddanne medarbejdere om phishing og cybertrusler på. Ved at skræddersy de simulerede phishing-beskeder til roller i din arbejdsstyrke kan du simulere de samme taktikker, som cyberkriminelle bruger, når de er rettet mod en bestemt gruppe i organisationen. Dette gør phishing-simuleringen mere reel og specifik for den pågældende persons rolle.
For at udføre rollebaserede phishing-simuleringer skal en platform understøtte phishing-skabeloner, der kan skræddersys pr. rolle. F.eks. afspejler rollebaserede phishing-titler de typer roller, der ofte er mål for spear-phishing.
Eksempler på rollebaserede phishingangreb
Mål for privilegeret bruger: Lazarus-hackinggruppen er berygtet for WannaCry-ransomwareangrebet i 2017. På det seneste har gruppen brugt målrettede phishing-kampagner baseret på falske jobtilbud, der fokuserer på privilegerede brugere. En af de seneste var rettet mod en systemadministrator på en kryptovalutaplatform. Systemadministratoren modtog et phishing-dokument i skikkelse af et jobtilbud via sin personlige LinkedIn-konto.
Skyldige kreditter: Facebook og Google blev snydt for over 100 millioner dollars af en svindler, der målrettede medarbejdere hos de to teknologigiganter ved hjælp af spear-phishing-e-mails rettet mod bestemte brugerroller.
Svindel med lønmandat: phishing-kampagner, der involverer tyveri af lønsedler fra ansatte, er et ideelt sted for økonomisk motiverede svindlere. Ofte sender svindlere e-mails til HR- eller lønpersonale med en anmodning om ændring af bankkonto. Phishing-e-mailen forfalsker ofte en rigtig medarbejder og indeholder dennes e-mail-signatur og ser ud til at være fra et internt virksomhedsdomæne. Hvis ændringen foretages, bliver medarbejderens løn udbetalt til svindlerens bankkonto.
Årsager til at skræddersy uddannelse i sikkerhedsbevidsthed
Spear-phishing er en favorit blandt de rollefokuserede svindlere og er meget vellykket på grund af denne form for phishing, der er målrettet. Ifølge en rapport fra Symantec anvendes spear-phishing som hovedvektor i 65 % af cyberangreb. Ved at målrette sig mod specifikke medarbejderroller kan cyberkriminelle skabe komplekse svindelnumre i flere trin, som virker.
Rollebaserede træningsprogrammer og tilhørende rollebaserede simuleret phishing giver et skræddersyet program til uddannelse, der slår cyberkriminelle i deres eget spil. Ved at undervise medarbejderne i den nøjagtige karakter af phishing og social engineering-svindel, der specifikt er rettet mod deres rolle, får medarbejderne viden til nøje at undersøge e-mails og anden kommunikation.
