Ved udgangen af 2021 var antallet af ransomware-angreb steget til et forsøg hvert 11. sekund. Databrud fortsætter også i et højt tempo med næsten 19 milliarder data overtrædelser i første halvdel af 2021.
Mange af disse angreb anvender phishing eller phishing-data på et tidspunkt i angrebet, hvilket statistikkerne viser, idet phishing er den vigtigste angrebsvektor og vil stige med 161 % i volumen i 2021.
Hvorfor phish'e dine brugere?
Phishing spiller på menneskers fejlbarlighed og adfærd, hvilket gør taktikken snigende og svær at beskytte sig mod. Ifølge undersøgelser begynder 96 % af databrud med en phishing-e-mail. En phishing-e-mail er mindre som en bombe, der eksploderer, og mere som en langsomt brændende lunte. Phishing resulterer i stjålne loginoplysninger, malware-infektion og kan gøre dit netværk sårbart over for langsomt datatyveri og it-ødelæggelse over mange måneder.
En rapport viste, at 74 % af phishing-e-mails blev brugt til at stjæle de legitimationsoplysninger, som dine medarbejdere bruger til at logge ind på dine virksomhedsapps.
Phishing virker, fordi det narrer folk til at gøre ting, som er til fordel for den cyberkriminelle, der har sendt den ondsindede e-mail. E-mail-phishing bruger f.eks. typisk kneb som at få modtageren til at føle sig bekymret for, at hvis han/hun ikke klikker på et link, kan han/hun ende i problemer på arbejdet. Betingelser, der fremkalder frygt, usikkerhed og tvivl, sammen med hastværk og andre psykologiske kneb gør phishing til den vigtigste metode til at indlede et cyberangreb.
Medarbejderne skal forstå disse snedige phishing-tricks for at have en chance for at modstå trangen til at klikke på et ondsindet link eller downloade en inficeret vedhæftet fil.
For at forhindre, at din virksomhed bliver et nummer i en masse phishing-statistikker, kan du bruge en phishing-simuleringsplatform til at phishe dine brugere. For at få et mere dybdegående kig på, hvordan phishing fungerer, og for at hjælpe dig med at komme i gang, kan du læse MetaCompliance Ultimate Guide to Phishing.
Hvad er phishing-simulering?
Phishing-simuleringer er cloud-baserede tjenester, der genererer simulerede phishing-e-mails. Disse e-mails afspejler igangværende og nye phishing-trusler. De simulerede phishing-e-mails sendes ud til modtagere i hele organisationen som led i en organiseret kampagne af en virksomhed, ofte med hjælp fra en erfaren organisation, der arbejder med sikkerhedsbevidsthed.
De simulerede phishing-e-mails er derefter med til at træne personalet i at opdage phishing-taktik.
Hvordan fungerer phishing-simulering?
Værktøjer til simulering af phishing fungerer som en del af en bredere kampagne for sikkerhedsoplysning. De passer fint ind i en organiseret strategi for uddannelse og bevidstgørelse, der arbejder harmonisk for at forbedre e-mail-sikkerheden og reducere cyberangreb på en organisation.
Phishing-simuleringsværktøjer som MetaPhish er cloud-baserede og kan konfigureres og administreres centralt fra en administrations- og rapporteringskonsol. Phishing-simuleringen begynder med at konfigurere færdige skabeloner til brug for at afspejle et kendt eller nyt phishing-angreb.
Skabelonerne er designet til at anvende kendte mærker, som ofte bruges i rigtige phishing-kampagner. F.eks. er mærker som Microsoft jævnligt de mest brugte falske mærker i phishing-kampagner.
En skabelon til phishing-simulering indeholder phishing-e-mailen og eventuelle relaterede falske landingssider, der er nødvendige for at føre en bruger gennem phishing-livscyklussen. Når en medarbejder modtager en simuleret phishing-e-mail, vil medarbejderen, hvis e-mailen indeholder et ondsindet link, og medarbejderen derefter klikker på linket, blive ført til den tilhørende landingsside.
Det er vigtigt, at phishing-simuleringsværktøjer skal være meget konfigurerbare. Phishing-skabeloner skal kunne ændres, så de passer til det nøjagtige miljø i forskellige industrisektorer.
Nogle phishing-simuleringsværktøjer, såsom MetaPhish, leveres med ekspertbistand fra tredjepart for at sikre, at skabelonernes design nøje svarer til rigtige phishing-kampagner. Dette sikrer, at de er så tæt på en rigtig phish som muligt. På den måde bliver resultaterne af simulerede phishingøvelser mere præcise.
Gør phishing-simulering til en lærerig oplevelse
Det er én ting at phishe dine brugere, men det kan være kompliceret at sikre, at de lærer af oplevelsen. Derfor skal phishing-simuleringsværktøjer bruge aktiv læring. Hvis en medarbejder falder for tricksene i den simulerede phishing-e-mail, skal begivenheden vendes til noget positivt.
Point-of-need learning trækker brugeren ud af phishing-livscyklussen for at fremhæve, hvor de gik galt og deres sårbarheder. Dette sker typisk på et tidspunkt, f.eks. når en medarbejder klikker på et phishing-link eller indtaster loginoplysninger til et phishing-websted.
Når en phishing-svindel opstår, får medarbejderen en advarsel, en infografik eller en undersøgelse på skærmen, som forklarer brugeren, hvad der er sket, hvad der kunne ske, hvis det var en rigtig phishing-e-mail, og hvordan han/hun sikrer sig, at han/hun ikke falder for det trick igen.
Registrering af resultaterne af phishing-simuleringen
Målinger er et vigtigt aspekt af træning i sikkerhedsoplysning og phishing-simulering. Ved at måle succesen af et program til træning i sikkerhedsoplysning kan en organisation finjustere leveringen af materialet for at forbedre resultaterne.
Phishing-simuleringsplatforme som MetaPhish tilbyder et dashboard til rapportering, der viser dataresultater fra phishing-simuleringer: f.eks. hvor mange af dine medarbejdere der klikkede på et link i en simuleret phishing-e-mail.
De rapporter, der genereres, kan gøres granulære til niveauet for den enhed, der blev brugt til at få adgang til phishing-e-mailen, hvilket giver mulighed for yderligere fokus, når der oprettes opfølgende phishing-simulationskampagner. Individuelle afdelinger eller brugergrupper kan også have et træningsfokus, så din organisation kan gå ned på specifikke områder af virksomheden, der arbejder med følsomme eller finansielle data, f.eks. kreditor- eller HR-afdelinger.
Phishing-simulering er en praktisk måde at uddanne din arbejdsstyrke om farerne ved phishing og de smarte sociale teknikker, som cyberkriminelle bruger. Teknikken til uddannelse af medarbejdere i sikkerhedsbevidsthed er også anerkendt af standarder for informationssikkerhed som f.eks. ISO 27001.
Ved at anvende en cloud-baseret phishing-simuleringsplatform har du mulighed for at spille mod cyberkriminelle i deres eget spil og vinde.