At gennemføre simulerede phishing-kampagner ved hjælp af specialiseret phishing-simuleringssoftware er en effektiv metode til at uddanne medarbejdere i at genkende bedrageriske beskeder og bidrage til kampen mod phishing. E-mailbaseret phishing er fortsat en primær årsag til stjålne loginoplysninger og en effektiv metode til at infiltrere it-netværk med ransomware. En vellykket udførelse af disse phishing-simuleringskampagner involverer strategisk planlægning, klar kommunikation og grundig analyse. Phishing er blandt de to mest populære og effektive teknikker, som cyberkriminelle bruger til at infiltrere virksomhedsnetværk. Dens succes skyldes de cyberkriminelles evne til at skjule ondsindet indhold for at undgå sikkerhedsværktøjer samt dens manipulation af medarbejdere, så de bliver til utilsigtede insidere. Her er nogle retningslinjer for at starte og sikre, at din phishing-simuleringskampagne fungerer.
Skridt til en vellykket simuleret phishing-kampagne
Simulerede phishing-angreb er designet til at automatisere phishing-træning og levere læringsoplevelser direkte til medarbejderne. Disse simulerede phishing-træningspakker leverer realistisk udseende phishing-e-mails, der følger phishing-kampagner fra den virkelige verden.
Men for at få mest muligt ud af en phishing-simuleringskampagne skal du planlægge, være opmærksom på phishing-trusselslandskabet, kommunikere med medarbejderne og forstå, hvordan dine forretningsmål passer til dine cybersikkerhedsbehov.
For at få mest muligt ud af en phishing-test bør du følge disse trin:
Planlæg din strategi for en Phishing-simuleringskampagne
Alle gode phishing-tests er baseret på et solidt forberedelsesarbejde. Forberedelsen bør omfatte følgende områder:
- Undersøg aktuelle tendenser inden for phishing-e-mails for at levere mere realistiske simulerede phishing-meddelelser: Spørg dit team eller dine rådgivere, hvilken type e-mails der bruges til at ramme din branche eller sektor? Er specifikke apps og brands, f.eks. Microsoft 365, populære som falske mål i phishing-kampagner? Indsaml disse data til brug under "build"-delen af din kampagne.
- Hvor ofte vil de simulerede phishing-mails blive leveret? Det kan være ugentligt, månedligt, kvartalsvis osv. Kampagnernes hyppighed bør være i overensstemmelse med din overordnede strategi for cybersikkerhedsrisici.
- Kommuniker med medarbejderne. Udarbejd et sæt klare instruktioner til medarbejderne om, hvordan de skal rapportere identificerede phishing-mails og/eller tilknyttede social engineering-angreb. Dette bør omfatte oplysninger om, hvordan man registrerer detaljerne om truslen.
- Beslut, hvordan man videreuddanner medarbejdere, der ikke opdager phishing-mails. Her bør man undersøge brugen af "point-of-need"-uddannelse for at fokusere på forbedret træning.
- Vær forberedt på at justere din strategi og det tilhørende forberedelsesarbejde i takt med, at phishing-landskabet ændrer sig.
Byg din simulerede phishing kampagne
En automatiseret phishing-simulering software giver dig mulighed for at generere de elementer, der er nødvendige for at levere kampagnen; dette inkluderer oprettelse af phishing skabeloner. En automatiseringsplatform til simuleret phishing vil tilbyde skabeloner, der er baseret på phishing-trusler fra den virkelige verden med de mest almindelige falske brands. Da visse sektorer har specifikke trusler, bør disse skabeloner kunne ændres, så de afspejler disse særlige forhold.
Det er vigtigt at bemærke, at skabeloner skal være nemme at justere og konfigurere for kampagneadministratoren ved hjælp af en centraliseret administrationskonsol.
Skab læringsoplevelser, der gør, at træningen bliver husket
Målet med phishing-simuleringskampagner er at uddanne medarbejderne i, hvordan man spotter et phishing-svindelforsøg, og at ændre den "trang til at klikke"-adfærd, som svindlere er afhængige af. For at sikre en mindeværdig og effektiv læringsoplevelse bør en phishing-simuleringsplatform give en "point-of-need"-læringsoplevelse.
Typiske elementer i denne type interaktiv læring er præsentation af en advarselsmeddelelse, relevant infografik, en undersøgelse for at indsamle data med henblik på yderligere skræddersyet uddannelse osv. til enhver medarbejder, der ikke opdager en phishing-e-mail.
Dette punkt vil forklare, hvad der er sket, og hvilke farer der er forbundet med phishing-svindel. Nogle avancerede systemer tager dette et skridt videre og underviser medarbejderen i strategier til at undgå phishingforsøg i fremtiden.
Indsamling og analyse af målinger
Efterhånden som den simulerede phishing-kampagne skrider frem, bør medarbejderne opfordres til at rapportere observerede phishing-e-mails. Det sæt instruktioner, som du udvikler i planlægningsfasen, er grundlaget for medarbejdernes indberetning af phishingforsøg.
Nogle automatiserede phishing-simuleringsplatforme tilbyder et instrumentbræt med målinger, der bruger data fra simulerede phishing-kampagner til at analysere kampagnens succesrate.
Disse målinger er en vigtig del af at sikre, at træningen er optimeret. Målingerne giver dig også den nødvendige ammunition til at vise ledelsen og bestyrelsen, at træningen i sikkerhedsbevidsthed er effektiv.
Nogle simuleringsplatforme giver data om procentdelen af brugere, der er sårbare over for angreb, og hvilken type enhed der anvendes til at få adgang til phishing-e-mailen. En større granularitet af metriske data gør det nemmere at skræddersy kampagnerne mere præcist. Disse metrikker giver dig også mulighed for løbende at forbedre effektiviteten af en simuleret phishingkampagne for at fokusere på stadig mere sofistikeret phishing-e-mailindhold.
Skyl og gentag den simulerede phishing kampagne
Phishing-landskabet ændrer sig hele tiden, efterhånden som svindlere forsøger at undgå at blive opdaget. For at tilpasse sig disse ændringer skal simulerede phishing-kampagner også opdateres i takt med disse ændringer. Det betyder, at din phishing-simuleringskampagne sandsynligvis vil ændre sig regelmæssigt og over tid for at afspejle phishing-landskabet.
Hvor ofte du gør det, afhænger af din overordnede sikkerhedsrisikoanalyse. Anbefalingerne om perioder mellem kampagnerne varierer, men hver 4-6 uge er en god tommelfingerregel. Tidspunkterne for levering af kampagner bør dog også justeres, hvis der sker væsentlige ændringer i phishing-landskabet, som det var tilfældet under Covid-19-pandemien.
Tid til at starte phishing-simuleringen
En litteraturgennemgang foretaget af forskere fra det svenske forsvarsforskningsagentur viste, at 24 % af modtagerne af phishing-e-mails klikker på et link, og 21 % indtaster deres adgangskoder på falske websteder. Dette alarmerende tal viser, hvor vigtigt det er at bruge relevant og målrettet phishinguddannelse til medarbejderne.
Men hvis denne uddannelse skal være virkelig effektiv, kræver det en strategisk tilgang. Ved at følge MetaCompliance's ekspertanbefalinger kan du sikre, at din phishing-simuleringskampagne bliver en succes - og hjælpe med at forhindre rigtige, ondsindede phishing-angreb, før de kompromitterer din organisation.
Læs disse artikler for at få mere at vide:
- Phishing training for medarbejdere: Hvordan det fungerer
- Gode råd til at gennemføre en vellykket phishing-test i din organisation
- Hvad er anti-phishing, og hvorfor er det vigtigt for medarbejderne?
Eller kontakt os for at få en gratis demo af vores phishing-simuleringssoftware.
