Cómo realizar con éxito una campaña de simulación de phishing

Campañas de simulación dephishing son un medio eficaz para enseñar a los empleados a detectar los mensajes engañosos y ayudar a combatir phishing. El éxito de estas campañas requiere planificación, comunicación y análisis. Envíe un correo electrónico a phishing es la principal causa de robo de datos de acceso credenciales y es un método utilizado con éxito para infectar redes informáticas con ransomware. En Segundo trimestre de 2021, phishing fue una de las dos técnicas más populares y eficaces utilizadas por los ciberdelincuentes para piratear las redes de las empresas. Phishing tiene éxito porque los ciberdelincuentes pueden ocultar contenidos maliciosos para evitar ser detectados por las herramientas de seguridad. También tiene éxito porque engaña y manipula a los empleados, convirtiéndolos en informadores involuntarios. He aquí algunas pautas para empezar y asegúrese de que su simulación de phishing la campaña funciona.

Pasos para el éxito de una campaña de simulación dephishing

Ataques de phishing simulados están diseñados para automatizar formación sobre phishing y ofrecer experiencias de aprendizaje directamente a los empleados. Estos phishing simulado paquetes de formación ofrecen correos electrónicos de phishingque rastrean el mundo real phishing campañas. Sin embargo, para sacar el máximo partido a un simulación de phishing campaña debe planificar, ser consciente de la phishing de las amenazas, comunicarse con los empleados y comprender cómo se relacionan los objetivos de su empresa con los suyos. ciberseguridad necesidades. Para sacar el máximo partido a un prueba de phishing debes seguir estos pasos:

Planifique su estrategia de campaña de simulación dephishing

Todo bien pruebas de phishing se basan en un sólido trabajo de preparación. La preparación debe abarcar las siguientes áreas:

1. 1. Investigue las tendencias actuales del correo electrónico de phishing para enviar mensajes de phishing simulados más realistas: Pregunta a tu equipo o a tus asesores qué tipo de correos electrónicos se están utilizando para atacar tu industria o sector. ¿Son populares las aplicaciones y marcas específicas, por ejemplo, Microsoft 365, como objetivos falsos en las campañas de phishing? Recopila estos datos para utilizarlos durante la parte de "construcción" de tu campaña.

2. 2. ¿Con qué frecuencia se enviarán los correos electrónicos de phishing simulado? Puede ser semanal, mensual, trimestral, etc. La frecuencia de las campañas debe estar en consonancia con su estrategia global de riesgos de ciberseguridad.

3. 3. Comuníquese con los empleados. Desarrolle un conjunto de instrucciones claras para los empleados sobre cómo informar de cualquier correo electrónicode phishing identificado y/o ataques de ingeniería social asociados. Esto debe incluir detalles sobre cómo capturar los detalles de la amenaza.

4. 4. Decidir cómo seguir formando a los empleados que no detectan los correos electrónicosde phishing. Para ello, se debería explorar el uso de la educación "en el punto de necesidad" para centrarse en una formación reforzada.

5. 5. Esté preparado para ajustar su estrategia y el trabajo de preparación asociado a medida que cambie el panorama del phishing.

Construya su campaña de phishing

En plataforma de automatización de campañas de simulación dephishing le permite generar los elementos necesarios para realizar la campaña; esto incluye la creación de phishing plantillas. A phishing simulado automatización ofrecerá plantillas que se basan en mundo real phishing amenazas utilizando las marcas falsificadas más comunes. Dado que determinados sectores presentan amenazas específicas, estas plantillas debe ser modificable para reflejar esas especificidades. Lo importante es tener en cuenta que plantillas debe ser fácil de ajustar y configurar por el administrador de la campaña mediante una consola de gestión centralizada.

Crear experiencias de aprendizaje que hagan que la formación se mantenga

El objetivo de simulación de phishing campañas es educar a los empleados sobre cómo detectar un phishing estafa y para cambiar el 'ganas de hacer clic". comportamiento en el que se basan los defraudadores. Para garantizar una experiencia de aprendizaje memorable y eficaz, un simulación de phishing debe proporcionar una experiencia de aprendizaje "en el punto de necesidad". Los elementos típicos de este tipo de aprendizaje interactivo son la presentación de un aviso de advertencia, una infografía relevante, una encuesta para capturar métricas para una mayor adaptación de la formación, etc., a cualquier empleado que no detecte una phishing correo electrónico. En este punto se explicará lo sucedido y los peligros asociados a un phishing estafa. Algunos sistemas avanzados van un paso más allá y educan al empleado en estrategias de prevención para ayudar a prevenir futuros accidentes. phishing intentos.

Recoger y analizar las métricas

Como el phishing simulado de la campaña, se debe animar a los empleados a que informen de los casos observados. correos electrónicos de phishing. El conjunto de instrucciones que elabore durante la fase de planificación es la base para que los empleados informen de phishing intentos. Algunos automatizado simulación de phishing ofrecen un panel de métricas que utiliza los datos phishing simulado datos de la campaña para analizar el índice de éxito de la misma. Estas métricas son una parte importante para garantizar la optimización de la formación. Las métricas también le dan la munición necesaria para demostrar al nivel C y a la junta directiva que La formación sobre concienciación en materia de seguridad es eficaz. Algunas plataformas de simulación proporcionan datos sobre el porcentaje de usuarios vulnerables a los ataques y el tipo de dispositivo utilizado para acceder al phishing correo electrónico. Un mayor nivel de granularidad de los datos métricos facilita la realización de campañas más personalizadas. Estas métricas también le permiten mejorar continuamente la eficacia de una phishing simulado campaña para centrarse en los cada vez más sofisticados phishing contenido del correo electrónico.

Enjuague y repita la campaña de phishing simulada

El phishing El panorama cambia constantemente, ya que los defraudadores se esfuerzan por eludir la detección. Para adaptarse a este cambio, phishing simulado las campañas también deben actualización en consonancia con estos cambios. Esto significa que su simulación de phishing campaña cambiará probablemente para reflejar phishing paisaje, con regularidad y a lo largo del tiempo. La frecuencia viene determinada por el análisis global de los riesgos de seguridad. Las recomendaciones sobre los periodos entre campañas varían, pero cada 4-6 semanas es una buena regla general. Sin embargo, los plazos de entrega de las campañas también deben ajustarse si se producen cambios significativos en la phishing paisaje aparecen, como ocurrió durante la pandemia de Covid-19.

Hora de pescar

Una revisión bibliográfica de investigadores de la Agencia Sueca de Investigación para la Defensa encontró que el 24% de phishing de los destinatarios de correo electrónico hacen clic en un enlace y el 21% introducen sus contraseñas en sitios falsos. Esta alarmante cifra pone de manifiesto la importancia vital de utilizar mensajes pertinentes y específicos. phishing educación para los empleados. Pero para que esta formación sea eficaz es necesario un plan de acción. Siguiendo las sugerencias de MetaCompliance, podrá asegurarse de que sus simulación de phishing campaña tenga éxito y detenga los phishing intentos antes de que perjudiquen a su empresa.