At gennemføre simulerede phishing-kampagner ved hjælp af specialiseret phishing-simuleringssoftware er en effektiv metode til at uddanne medarbejdere i at genkende bedrageriske beskeder, hvilket bidrager til kampen mod phishing. E-mailbaseret phishing er stadig den primære årsag til stjålne loginoplysninger og en effektiv metode til at infiltrere IT-netværk med ransomware. Succesfuld udførelse af disse phishing-simuleringskampagner involverer strategisk planlægning, klar kommunikation og grundig analyse. Phishing er blandt de to mest populære og effektive teknikker, som cyberkriminelle bruger til at infiltrere virksomheders netværk. Succesen skyldes de cyberkriminelles evne til at skjule skadeligt indhold for at undgå sikkerhedsværktøjer, samt deres manipulation af medarbejdere, så de bliver til utilsigtede insidere. Her er nogle retningslinjer til at starte og sikre, at din phishing-simuleringskampagne virker.
Trin til en succesfuld simuleret phishing kampagne
Simulerede phishing-angreb er designet til at automatisere phishing-træning og levere læringsoplevelser direkte til medarbejderne. Disse simulerede phishing-træningspakker leverer realistisk udseende phishing-e-mails, der følger phishing-kampagner fra den virkelige verden.
Men for at få mest muligt ud af en phishing-simuleringskampagne skal du planlægge, være opmærksom på phishing-trusselslandskabet, kommunikere med medarbejderne og forstå, hvordan dine forretningsmål passer til dine cybersikkerhedsbehov.
For at få mest muligt ud af en phishing-test bør du følge disse trin:
Planlæg din strategi for en Phishing-simuleringskampagne
Alle gode phishing-tests er baseret på et solidt forberedelsesarbejde. Forberedelsen bør omfatte følgende områder:
- Undersøg aktuelle tendenser inden for phishing-e-mails for at levere mere realistiske simulerede phishing-meddelelser: Spørg dit team eller dine rådgivere, hvilke typer e-mails der bruges til at ramme din branche eller sektor? Er specifikke apps og mærker, f.eks. Microsoft 365, populære som falske mål i phishingkampagner? Indsaml disse data til brug under "opbygningsdelen" af din kampagne.
- Hvor ofte vil de simulerede phishing-e-mails blive leveret? Det kan være ugentligt, månedligt, kvartalsvis osv. Frekvensen af kampagnerne bør være i overensstemmelse med din overordnede strategi for cybersikkerhedsrisici.
- Kommunikere med medarbejderne. Udarbejd et sæt klare instruktioner til medarbejderne om, hvordan de skal rapportere identificerede phishing-e-mails og/eller tilhørende social engineering-angreb. Dette bør omfatte oplysninger om, hvordan man registrerer detaljerne om truslen.
- Beslut, hvordan du skal videreuddanne medarbejdere, der ikke kan opdage phishing-e-mails. Her bør man undersøge brugen af "point-of-need"-uddannelse med henblik på at fokusere på forbedret uddannelse.
- Vær forberedt på at justere din strategi og det tilhørende forberedelsesarbejde, efterhånden som phishing-landskabet ændrer sig.
Byg din simulerede phishing kampagne
En automatiseret phishing-simuleringssoftware giver dig mulighed for at generere de elementer, der er nødvendige for at levere kampagnen; dette inkluderer oprettelse af phishing skabeloner. En automatiseret platform til phishing-simulering vil tilbyde skabeloner, der er baseret på phishing-trusler fra den virkelige verden med de mest almindelige spoofede brands. Da visse sektorer har specifikke trusler, bør disse skabeloner kunne ændres, så de afspejler de specifikke forhold.
Det er vigtigt at bemærke, at skabeloner skal være nemme at justere og konfigurere for kampagneadministratoren ved hjælp af en centraliseret administrationskonsol.
Skab læringsoplevelser, der gør, at træningen bliver husket
Målet med phishing-simulationskampagner er at uddanne medarbejderne i at opdage phishing-svindel og ændre den "klik-adfærd", som svindlere er afhængige af. For at sikre en mindeværdig og effektiv læringsoplevelse bør en phishing-simuleringsplatform give en "point-of-need"-læringsoplevelse.
Typiske elementer i denne type interaktiv læring er præsentation af en advarselsmeddelelse, relevant infografik, en undersøgelse for at indsamle data med henblik på yderligere skræddersyet uddannelse osv. til enhver medarbejder, der ikke opdager en phishing-e-mail.
Dette punkt vil forklare, hvad der er sket, og hvilke farer der er forbundet med phishing-svindel. Nogle avancerede systemer tager dette et skridt videre og underviser medarbejderen i strategier til at undgå phishingforsøg i fremtiden.
Indsamling og analyse af målinger
Efterhånden som den simulerede phishing-kampagne skrider frem, bør medarbejderne opfordres til at rapportere observerede phishing-e-mails. Det sæt instruktioner, som du udvikler i planlægningsfasen, er grundlaget for medarbejdernes indberetning af phishingforsøg.
Nogle automatiserede phishing-simuleringsplatforme tilbyder et instrumentbræt med målinger, der bruger data fra simulerede phishing-kampagner til at analysere kampagnens succesrate.
Disse målinger er en vigtig del af at sikre, at træningen er optimeret. Målinger giver dig også den nødvendige ammunition til at vise C-niveauet og bestyrelsen, at Security Awareness Training er effektiv.
Nogle simuleringsplatforme giver data om procentdelen af brugere, der er sårbare over for angreb, og hvilken type enhed der anvendes til at få adgang til phishing-e-mailen. En større granularitet af metriske data gør det nemmere at skræddersy kampagnerne mere præcist. Disse metrikker giver dig også mulighed for løbende at forbedre effektiviteten af en simuleret phishingkampagne for at fokusere på stadig mere sofistikeret phishing-e-mailindhold.
Skyl og gentag den simulerede phishing kampagne
Phishing-landskabet ændrer sig hele tiden, efterhånden som svindlere forsøger at undgå at blive opdaget. For at tilpasse sig disse ændringer skal simulerede phishing-kampagner også opdateres i takt med disse ændringer. Det betyder, at din phishing-simuleringskampagne sandsynligvis vil ændre sig regelmæssigt og over tid for at afspejle phishing-landskabet.
Hvor ofte du gør det, afhænger af din overordnede sikkerhedsrisikoanalyse. Anbefalingerne om perioder mellem kampagnerne varierer, men hver 4-6 uge er en god tommelfingerregel. Tidspunkterne for levering af kampagner bør dog også justeres, hvis der sker væsentlige ændringer i phishing-landskabet, som det var tilfældet under Covid-19-pandemien.
Tid til at starte phishing-simuleringen
En litteraturgennemgang foretaget af forskere fra det svenske forsvarsforskningsagentur viste, at 24 % af modtagerne af phishing-e-mails klikker på et link, og 21 % indtaster deres adgangskoder på falske websteder. Dette alarmerende tal viser, hvor vigtigt det er at bruge relevant og målrettet phishinguddannelse til medarbejderne.
Men for at gøre denne uddannelse effektiv kræver det en handlingsplan. Ved at følge MetaCompliance's forslag kan du sikre, at din phishing-simuleringskampagne er vellykket og stopper de virkelige og ondsindede phishing-forsøg, før de skader din virksomhed.