MetaBlog

Bliv informeret om emner inden for cybersikkerheds-awareness-træning og begræns risikoen i din organisation.

Sådan gennemfører du en vellykket phishing-simuleringskampagne

Simulering af phishing

om forfatteren

Del på linkedin
Del på twitter
Del på facebook

Phishing-simulationskampagner er en effektiv måde at lære medarbejderne at opdage vildledende beskeder og hjælpe med at bekæmpe phishing. For at gøre disse kampagner vellykkede kræver det planlægning, kommunikation og analyse.

Phishing via e-mail er en af de mest hyppige årsager til stjålne loginoplysninger, og det er en succesfuld metode til at inficere it-netværk med ransomware. I andet kvartal af 2021 var phishing en af de to mest populære og effektive teknikker, som cyberkriminelle anvendte til at hacke sig ind i organisationsnetværk.

Phishing er en populær metode, fordi cyberkriminelle kan skjule skadeligt indhold for at undgå at blive opdaget af sikkerhedsværktøjer. Det er også populært, fordi det bedrager og manipulerer medarbejderne og gør dem til utilsigtede insidere.

Her er nogle retningslinjer, der sikrer, at din phishing-simuleringskampagne virker.

Trin til en vellykket phishing-simuleringskampagne

Simulerede phishing-kampagner er designet til at automatisere sikkerhedsuddannelse og levere læringsoplevelser direkte til medarbejderne. Disse simulerede phishing-træningspakker leverer realistisk udseende phishing-e-mails, der følger phishing-kampagner fra den virkelige verden.

Men for at få mest muligt ud af en phishing-simuleringskampagne skal du planlægge, være opmærksom på phishing-trusselslandskabet, kommunikere med medarbejderne og forstå, hvordan dine forretningsmål passer til dine cybersikkerhedsbehov.

For at få mest muligt ud af en kampagne bør du følge disse trin:

Planlæg din strategi for en phishing-simuleringskampagne

Alle gode kampagner er baseret på et solidt forberedelsesarbejde. Forberedelsen bør omfatte følgende områder:

  1. Undersøg aktuelle tendenser inden for phishing-e-mails for at levere mere realistiske simulerede phishing-meddelelser: Spørg dit team eller dine rådgivere, hvilke typer e-mails der bruges til at ramme din branche eller sektor? Er specifikke apps og mærker, f.eks. Microsoft 365, populære som falske mål i phishing-kampagner? Indsaml disse data til brug under "opbygningsdelen" af din kampagne.
  1. Hvor ofte vil de simulerede phishing-e-mails blive leveret? Det kan være ugentligt, månedligt, kvartalsvis osv. Frekvensen af kampagnerne bør være i overensstemmelse med din overordnede strategi for cybersikkerhedsrisici.
  1. Kommunikér med medarbejderne. Udarbejd et sæt klare instruktioner til medarbejderne om, hvordan de skal rapportere identificerede phishing-e-mails og/eller tilhørende social engineering-angreb. Dette bør omfatte oplysninger om, hvordan man registrerer detaljerne om truslen.
  1. Beslut, hvordan du skal videreuddanne medarbejdere, der ikke kan opdage phishing-e-mails. Her bør man undersøge brugen af "point of need"-uddannelse med henblik på at fokusere på øget uddannelse.
  1. Vær forberedt på at justere din strategi og det tilhørende forberedelsesarbejde, efterhånden som phishing-landskabet ændrer sig.

Opbyg din phishing-kampagne

En automatiseringsplatform til phishing-simuleringskampagner giver dig mulighed for at generere de elementer, der er nødvendige for at levere kampagnen; dette omfatter oprettelsen af phishing-skabeloner. En platform til automatisering af simuleret phishing vil tilbyde skabeloner, der er baseret på aktuelle kendte phishing-trusler ved hjælp af de mest almindelige efterlignede brands. Da visse sektorer har specifikke trusler, bør disse skabeloner kunne ændres, så de afspejler disse specifikke forhold.

Det er vigtigt at bemærke, at skabeloner skal være nemme at justere og konfigurere for kampagneadministratoren ved hjælp af en centraliseret administrationskonsol.

Skab læringsoplevelser, der gør, at træningen bliver husket

Målet med phishing-simuleringskampagner er at uddanne medarbejderne i at opdage en phishing-e-mail og ændre den "klik-adfærd", som svindlere er afhængige af. For at sikre en mindeværdig og effektiv læringsoplevelse bør en phishing-simuleringsplatform give en "point of need"-læringsoplevelse.

Typiske elementer i denne type interaktiv læring er præsentation af en advarselsmeddelelse, relevant infografik, en undersøgelse for at indsamle data med henblik på yderligere skræddersyet uddannelse osv. til enhver medarbejder, der ikke opdager en phishing-e-mail.

Dette punkt vil forklare, hvad der er sket, og hvilke farer der er forbundet med en phishing-e-mail. Nogle avancerede systemer tager dette et skridt videre og underviser medarbejderen i strategier til at undgå phishing-forsøg i fremtiden.

Indsamling og analyse af målinger

Efterhånden som den simulerede phishing-kampagne skrider frem, bør medarbejderne opfordres til at rapportere observerede phishing-e-mails. Det sæt instruktioner, som du udvikler i planlægningsfasen, er grundlaget for medarbejdernes indberetning af phishing-forsøg.

Nogle automatiserede phishing-simuleringsplatforme tilbyder et instrumentbræt med målinger, der bruger data fra simulerede phishing-kampagner til at analysere kampagnens succesrate.   

Disse målinger er en vigtig del af at sikre, at træningen er optimeret. Målinger giver dig også den nødvendige dokumentation til at vise ledelsen og bestyrelsen, at cybersikkerheds-awareness-træning er effektivt.

Nogle simuleringsplatforme giver data om procentdelen af brugere, der er sårbare over for angreb, og hvilken type enhed der bruges til at få adgang til phishing-e-mailen. En større granularitet af metriske data gør det nemmere at skræddersy kampagnerne mere præcist. Disse metrikker giver dig også mulighed for løbende at forbedre effektiviteten af en simuleret phishing-kampagne for at fokusere på stadig mere sofistikeret phishing-e-mailindhold.

Lær af resultaterne og gentag den simulerede phishing-kampagne

Phishing-landskabet ændrer sig hele tiden, efterhånden som svindlere forsøger at undgå at blive opdaget. For at kunne følge disse ændringer skal simulerede phishing-kampagner også opdateres i takt med disse ændringer. Det betyder, at din phishing-simuleringskampagne sandsynligvis vil ændre sig regelmæssigt og over tid for at afspejle phishing-landskabet.

Hvor ofte du gør det, afhænger af din overordnede sikkerhedsrisikoanalyse. Anbefalingerne om perioder mellem kampagnerne varierer, men hver 4-6 uge er en god tommelfingerregel. Tidspunkterne for levering af kampagner bør dog også justeres, hvis der opstår væsentlige ændringer i phishing-landskabet, som det var tilfældet under Covid-19-pandemien.

Tid til at starte phishing-simuleringen

En litteraturgennemgang foretaget af forskere fra det svenske forsvarsforskningsagentur viste, at 24 % af modtagerne af phishing-e-mails klikker på et link, og 21 % indtaster deres adgangskoder på falske websteder. Dette alarmerende tal viser, hvor vigtigt det er at bruge relevant og målrettet phishing-uddannelse til medarbejderne.

Men det kræver en handlingsplan at gøre denne uddannelse effektiv. Ved at følge MetaCompliance's forslag kan du sikre, at din phishing-simuleringskampagne er vellykket og stopper de virkelige og ondsindede phishing-forsøg, før de skader din organisation.

Risiko for ransomware
blog cta fransk

Måske vil du også gerne læse disse