Vuoden 2021 loppuun mennessä lunnasohjelmahyökkäykset olivat lisääntyneet niin, että niitä yritettiin tehdä yksi joka 11. sekunti. Myös tietomurrot jatkuvat hurjaa vauhtia, ja vuoden 2021 ensimmäisellä puoliskolla murtauduttiin lähes 19 miljardiin tietueeseen .
Monet näistä hyökkäyksistä käyttävät jossain vaiheessa hyökkäystä tietojenkalastelua tai väärennettyjä tietoja, ja tilastot todistavat tämän, sillä tietojenkalastelu on hyökkäysvektori numero yksi, ja sen määrä kasvaa 161 prosenttia vuonna 2021.
Miksi Phishing Your Users?
Phishing käyttää hyväkseen ihmisten virheellisyyttä ja käyttäytymistä, mikä tekee taktiikasta salakavalan ja vaikeasti torjuttavan. Tutkimusten mukaan 96 prosenttia tietomurroista alkaa phishing-sähköpostilla. Phishing-sähköposti ei ole niinkään kuin pommi, joka räjähtää, vaan pikemminkin kuin hitaasti palava sytytyslanka; phishing johtaa varastettuihin kirjautumistietoihin, haittaohjelmatartuntoihin ja voi jättää verkon alttiiksi hitaalle tietovarkaudelle ja tietotekniikkatuhoille useiden kuukausien ajan.
Eräässä raportissa todettiin, että 74 prosenttia phishing-sähköpostiviesteistä käytettiin varastamaan tunnukset, joita työntekijäsi käyttävät kirjautuakseen yrityssovelluksiin.
Phishing toimii, koska se huijaa ihmisiä tekemään asioita, jotka hyödyttävät haitallisen sähköpostin lähettänyttä verkkorikollista. Esimerkiksi sähköpostin phishingissä käytetään tyypillisesti sellaisia keinoja kuin se, että vastaanottaja pelkää, että jos hän ei napsauta linkkiä, hän voi joutua vaikeuksiin töissä. Pelkoa, epävarmuutta ja epäilyksiä herättävät olosuhteet sekä kiireellisyys ja muut psykologiset temput tekevät phishingistä ykkösmenetelmän verkkohyökkäyksen aloittamiseen.
Työntekijöiden on ymmärrettävä nämä ovelat phishing-temput, jotta heillä on mahdollisuus vastustaa tarvetta napsauttaa haitallista linkkiä tai ladata saastunut liitetiedosto.
Voit estää yritystäsi joutumasta numeroksi phishing-tilastojen joukossa käyttämällä phishing-simulaatioalustaa, jonka avulla voit phishingata käyttäjiäsi. Saat syvällisemmän katsauksen siihen, miten phishing toimii, ja voit lukea MetaCompliance Ultimate Guide to Phishing -oppaasta, joka auttaa sinua pääsemään alkuun.
Mikä on Phishing-simulaatio?
Phishing-simulaatiot ovat pilvipalveluja, jotka luovat simuloituja phishing-sähköposteja. Nämä sähköpostit heijastavat käynnissä olevia ja uusia phishing-uhkia. Simuloidut phishing-sähköpostit lähetetään vastaanottajille koko organisaatiossa osana yrityksen järjestämää kampanjaa, usein kokeneen tietoturvatietoisuutta edistävän organisaation avustuksella.
Simuloidut phishing-sähköpostiviestit auttavat kouluttamaan henkilöstöä huomaamaan phishing-taktiikat.
Miten Phishing-simulaatio toimii?
Phishing-simulointityökalut toimivat osana laajempaa tietoturvatietoisuuskampanjaa. Ne sopivat hyvin osaksi organisoitua koulutus- ja tiedotusstrategiaa, joka toimii sopusoinnussa sähköpostin turvallisuuden parantamiseksi ja organisaatioon kohdistuvien verkkohyökkäysten vähentämiseksi.
Phishing-simulointityökalut, kuten MetaPhish, ovat pilvipohjaisia, ja niitä voidaan konfiguroida ja hallita keskitetysti hallinta- ja raportointikonsolista. Phishing-simulointi aloitetaan määrittelemällä valmiita malleja, jotka kuvastavat tunnettua tai uutta phishing-hyökkäystä.
Mallit on suunniteltu käyttämään tunnettuja tuotemerkkejä, joita käytetään usein todellisissa phishing-kampanjoissa. Esimerkiksi Microsoftin kaltaiset tuotemerkit ovat säännöllisesti phishing-kampanjoissa eniten käytettyjä väärennettyjä tuotemerkkejä.
Phishing-simulaatiomalli sisältää phishing-sähköpostin ja kaikki siihen liittyvät väärennetyt aloitussivut, joita tarvitaan käyttäjän viemiseksi phishing-elinkaaren läpi. Kun työntekijä vastaanottaa simuloidun phishing-sähköpostin, jos sähköpostiviesti sisältää haitallisen linkin ja työntekijä napsauttaa linkkiä, työntekijä siirtyy tälle liitetylle aloitussivulle.
Tärkeää on, että phishing-simulointityökalujen on oltava hyvin konfiguroitavissa. Phishing-mallien pitäisi olla muokattavissa eri toimialojen tarkkaan ympäristöön sopiviksi.
Joissakin phishing-simulointityökaluissa, kuten MetaPhishissä, on mukana kolmannen osapuolen asiantuntija-apua, jolla varmistetaan, että mallien suunnittelu vastaa tarkasti todellisia phishing-kampanjoita. Näin varmistetaan, että ne vastaavat mahdollisimman hyvin todellista phishingiä. Näin simuloidun phishing-harjoituksen tulokset ovat tarkempia.
Phishing-simulaation tekeminen oppimiskokemukseksi
On yksi asia huijata käyttäjiä, mutta sen varmistaminen, että he oppivat kokemuksesta, voi olla monimutkaista. Siksi kalastelua simuloivissa työkaluissa on käytettävä aktiivista oppimista. Jos työntekijä lankeaa simuloidun phishing-sähköpostin temppuihin, tapahtuma on käännettävä positiiviseksi.
Point-of-need-oppiminen vetää käyttäjän pois phishingin elinkaaresta korostaakseen, missä hän meni pieleen ja mitkä ovat hänen haavoittuvuutensa. Tyypillisesti tämä tapahtuu jossakin vaiheessa, esimerkiksi kun työntekijä napsauttaa phishing-linkkiä tai syöttää kirjautumistiedot phishing-sivustolle.
Kun phishing-huijaus tapahtuu, työntekijälle näytetään varoitusviesti, infografiikka tai kysely, jossa käyttäjälle selitetään, mitä on tapahtunut, mitä voisi tapahtua, jos kyseessä olisi todellinen phishing-sähköposti, ja miten varmistaa, ettei hän enää lankea kyseiseen temppuun.
Phishing-simulaation tulosten tallentaminen
Mittarit ovat tärkeä osa tietoturvatietoisuuskoulutusta ja phishing-simulaatiota. Turvallisuustietoisuuskoulutusohjelman onnistumisen mittaaminen antaa organisaatiolle mahdollisuuden hienosäätää materiaalin toimittamista tulosten parantamiseksi.
MetaPhishin kaltaiset phishing-simulaatioalustat tarjoavat raportointipaneelin, joka näyttää phishing-simulaatioiden tulokset: esimerkiksi kuinka moni työntekijöistäsi napsautti linkkiä simuloidussa phishing-sähköpostissa.
Tuotetut raportit voidaan rakeistaa phishing-sähköpostiviestiin pääsemiseen käytetyn laitteen tasolle, mikä mahdollistaa tarkemman kohdentamisen seuraavien phishing-simulaatiokampanjoiden luomisessa. Yksittäiset osastot tai käyttäjäryhmät voivat myös keskittyä koulutukseen, jolloin organisaatiosi voi keskittyä tiettyihin liiketoiminnan osa-alueisiin, jotka työskentelevät arkaluonteisten tai taloudellisten tietojen parissa, kuten kirjanpitovelvollisiin tai henkilöstöhallintoon.
Phishing-simulaatio on käytännönläheinen tapa kouluttaa henkilöstöäsi phishingin vaaroista ja verkkorikollisten käyttämistä nokkelista sosiaalisen manipuloinnin taktiikoista. Tietoturvastandardit, kuten ISO 27001, tunnustavat myös tämän tekniikan, jolla työntekijöitä koulutetaan tietoturvatietoisuudesta.
Käyttämällä pilvipohjaista phishing-simulaatioalustaa sinulla on mahdollisuus pelata verkkorikollisia heidän omassa pelissään ja voittaa.