Med rollbaserad utbildning för säkerhetsmedvetenhet skräddarsys utbildningsmaterial och leveransmekanismer så att de passar den anställdes roll och minskar den cyberrisk som är förknippad med den rollen.
Världen är en komplex och mångfacetterad plats och människorna i den är en smältdegel av förmågor, färdigheter och attityder. Inom ett företag används denna mångfald ofta på ett bra sätt genom att skapa specifika roller som utnyttjar dessa olika förmågor och färdigheter.
Det faktum att människor arbetar i specifika roller i en organisation är inte bortglömt för cyberkriminella. Bedragare skräddarsyr ofta sina attacker utifrån målgruppen. Till exempel innebär BEC-attacker (Business Email Compromise) vanligtvis att de fokuserar på anställda i ledande befattningar och på anställda som arbetar med leverantörsreskontra. Bedragare skräddarsyr nätfiskekampanjer eller andra sociala konstruktionsangrepp för att spegla en persons yrkestitel. På så sätt utnyttjar de inneboende mänskliga egenskaper, som till exempel tillit, för att säkerställa framgång.
Men om bedragare använder rollbaserad social ingenjörskonst och nätfiske för att öka framgången för sina cyberattacker kan två av dem spela det spelet.
Rollbaserad utbildning för säkerhetsmedvetenhet för att stoppa rollbaserad nätfiske
Cyberkriminella vill vara säkra på att alla kampanjer de utformar kommer att bli framgångsrika: de vet att ju mer skräddarsytt ett nätfiskemeddelande är, desto större är sannolikheten att målgruppen kommer att tro att e-postmeddelandet är äkta och sedan klicka på en skadlig länk eller agera på e-postmeddelandet om att byta bank och skicka pengar snabbt, osv.
Spear-phishing är ofta det bästa vapnet när en cyberkriminell riktar in sig på en specifik roll i en organisation. Denna form av nätfiske har mycket skräddarsydda meddelanden för att manipulera vissa typer av anställda. Typiska roller som utsätts för spear-phishing-attacker är följande:
- Chefer på C-nivå och assistenter
- Lönelista
- HR
- Finansiering och leverantörsreskontra
- Priviligierade användare
Chefer på C-nivå och assistenter: "Whaling" och BEC-bedrägerier(Business Email Compromise) fokuserar på chefer på C-nivå i en målorganisation. Bedragarna kan också rikta in sig på assistenterna och använda social ingenjörskonst och spear-phishing för att få tillgång till VD:s e-postkonto eller annan personlig information. Komprometterad eller förfalskad CXO-e-post används för att inleda BEC-bedrägeriet.
Löneavdelning: Bedragare riktar in sig på lönearbetare som sköter löneutbetalningar för att omdirigera pengar till en bedragares bankkonto. Bedragaren kan till exempel förfalska ett e-postmeddelande från en anställd som ber om att löntagarna ska ändra sina bankkontouppgifter.
Personalresurser (HR): HR har mycket konfidentiell och personlig information. Detta gör att denna roll är i riskzonen för spear-phishing-kampanjer som syftar till att få tillgång till uppgifter som sedan kan utnyttjas i ytterligare attacker. Personalavdelningen blir då en del av ett mer komplext bedrägeriförsök i flera steg, t.ex. BEC- och lönebedrägerier. En personalanställd kan luras att avslöja information om en chef på hög nivå eller en annan anställd för att få den information som behövs för att genomföra bedrägeriet.
Ekonomi och leverantörsreskontra: Avdelningen som håller i pengasnurrorna är ett uppenbart mål för cyberbrottslingar. BEC-bedrägerier, till exempel, hamnar ofta hos leverantörsreskontran. Men det finns många typer av bedrägerier som är inriktade på denna roll. Betalningsbedrägerier är utbredda och en rapport visade att 50 procent av småföretagen i Storbritannien utsattes för denna typ av bedrägerier, antingen från interna eller externa hot.
Privilegierade användare: Cyberbrottslingar riktar in sig på privilegierade användare eftersom de har "nycklarna till företagets slott". Priviligierade användare har åtkomsträttigheter till känsliga områden i ett nätverk och erbjuder därför en direkt väg in i nätverket för alla cyberkriminella som kan lura dem att lämna ut sina inloggningsuppgifter eller ladda ner skadlig kod. En rapport visar att 63 % av organisationerna anser att privilegierade användare utgör den högsta risken för insiderhot.
Simulerad nätfiske i rollbaserade utbildningsprogram för säkerhetsmedvetenhet
Simulerad nätfiske är ett utmärkt sätt att utbilda anställda om nätfiske och cyberhot. Genom att skräddarsy de simulerade nätfiskemeddelandena för olika roller inom din personalstyrka kan du simulera samma taktik som används av cyberbrottslingar när de riktar sig mot en specifik grupp inom en organisation. Detta gör phishing-simuleringen mer verklig och specifik för den enskilda individens roll.
För att utföra rollbaserade phishing-simuleringar måste en plattform stödja phishing-mallar som kan skräddarsys per roll. Rollbaserade phishing-titlar återspeglar till exempel de typer av roller som ofta är måltavlor för spear-phishing.
Exempel på rollbaserade nätfiskeattacker
Mål för privilegierad användare: Lazarus-hackargruppen är ökänd för WannaCry-attacken mot utpressningstrojaner 2017. På senare tid har gruppen använt sig av riktade nätfiskekampanjer, baserade på falska jobberbjudanden, som fokuserar på privilegierade användare. En av de senaste var riktad mot en systemadministratör för en kryptovalutaplattform. Systemadministratören fick ett phishing-dokument i skenet av ett jobberbjudande via sitt personliga LinkedIn-konto.
Skulder: Facebook och Google lurades på över 100 miljoner dollar av en bedragare som riktade in sig på anställda hos de två teknikjättarna genom att använda spear-phishing-e-post som riktade sig till vissa användarroller.
Bedrägeri i samband med löneuppdraget: Phishing-kampanjer som innebär att de anställdas lönecheckar stjäls är en idealisk grogrund för finansiellt motiverade bedragare. Ofta skickar bedragarna e-postmeddelanden till HR- eller lönepersonalen med en begäran om ändring av bankkonto. Fishing-e-postmeddelandet förfalskar ofta en riktig anställd, innehåller dennes e-postsignatur och verkar komma från en intern företagsdomän. Om ändringen görs betalas den anställdes lön ut till bedragarens bankkonto.
Skäl att skräddarsy utbildning i säkerhetsmedvetenhet
Spear-phishing är en favorit för rollfokuserade bedragare och är mycket framgångsrik på grund av att den här typen av nätfiske är målinriktad. Enligt en rapport från Symantec används spear-phishing som huvudmetod i 65 procent av cyberattackerna. Genom att rikta in sig på specifika anställdas roller kan cyberbrottslingar skapa komplexa bedrägerier i flera steg som fungerar.
Rollbaserade utbildningsprogram och tillhörande rollbaserad simulerad nätfiske ger ett skräddarsytt utbildningsprogram som slår cyberkriminella i deras eget spel. Genom att lära de anställda exakt hur nätfiske och social engineering-bedrägerier ser ut, som är specifikt inriktade på deras roll, kan de anställda få kunskap om hur de noggrant kan granska e-post och annan kommunikation.
