Phishing är ett allvarligt problem för företag av alla storlekar och sektorer. Men genom att använda simuleringsövningar för nätfiske kan en organisation ta kontroll över detta lömska hot.
Cyberkriminella älskar att phisha anställda för att stjäla inloggningsuppgifter och data, och att infektera företag med utpressningstrojaner. Anti-Phishing Working Groups (APWG) Phishing Activity Trends Report visar att phishing nådde en rekordhög nivå under andra kvartalet 2022. Dessutom visade dessa attacker en 7-procentig ökning av stöld av autentiseringsuppgifter mot företagsanställda.
Resultatet blir ofta katastrofalt när ett lösenord eller andra uppgifter stjäls: en nätfiskeattack ledde till att det amerikanska försvarsdepartementet överlämnade 23,5 miljoner dollar (19,3 miljoner pund) till en cyberkriminell; Open University i London drabbades av över en miljon nätfiskeattacker under nio månader, vilket orsakade stora störningar, och listan kan göras lång.
Varför är simuleringsprogram för nätfiske viktiga?
Phishing är utan tvekan ett av de mest framgångsrika verktygen i cyberkriminellas arsenal för att få tag på känslig information. I en rapport från RiskIQ om förluster på grund av cyberbrottslighet konstaterades att 17 700 dollar (14 500 pund) per minut förlorades på grund av phishing-attacker.
Phishing är en smart metod för social ingenjörskonst som lurar anställda och andra användare att göra saker som gynnar hackaren. Cyberkriminella använder sig ofta av nätfiske, och 83 % av organisationerna kommer att utsättas för nätfiskeattacker 2021.
Med tiden blir hackarna bakom phishing-e-postmeddelanden medvetna om de automatiserade programvarusystem som förhindrar phishing, t.ex. plattformar för antispam och e-postgateway. Hackarna ändrar därför hur nätfiskebedrägerierna fungerar och innehållet i e-postmeddelandena så att de kan undgå e-postportaler.
I en rapport som analyserade 55,5 miljoner e-postmeddelanden som skickades till Microsoft Office 365 konstaterades till exempel att 25 % av nätfiskemeddelanden med skadliga bilagor tillåts passera genom den e-postgateway som är inbyggd i Office 365. Resultatet är att det är svårt att förhindra nätfiskemejl, och nätfiskemejlet hamnar i en intet ont anande anställds inkorg, redo att lura dem att lämna ut inloggningsuppgifter eller installera skadlig kod.
Denna intet ont anande anställd kan dock bli en cyberkunnig, kunnig och säkerhetsmedveten anställd med hjälp av regelbundna simulerade nätfiskeövningar.
Vad händer vid en simulering av nätfiske?
Simulerade nätfiskeattacker är utformade för att se ut precis som ett verkligt nätfiskeförsök. En plattform för simulerad nätfiske används för att generera simulerade nätfiskeförsök som en del av en särskild utbildningskampanj för säkerhetsmedvetenhet. Anställda och andra användargrupper som behöver utbildning i säkerhetsmedvetenhet bör få dessa simulerade phishingmejl.
Phishing-testplattformen interagerar med användaren för att utbilda dem i farorna med phishing. Plattformen bör dock också registrera och granska vad som händer när användaren får det simulerade phishing-e-postmeddelandet. Öppnar användaren till exempel e-postmeddelandet, klickar han eller hon på en länk eller laddar ner en bilaga och så vidare?
Dessa händelser loggas och rapporter genereras som kan användas för att bedöma hur framgångsrik utbildningen i säkerhetsmedvetenhet är och vilka områden som behöver förbättras.
Viktiga funktioner i den bästa simuleringsmjukvaran för nätfiske
Avancerad programvara för simulerad nätfiske måste ha flera viktiga funktioner:
Efterliknar riktiga nätfiskemeddelanden
Systemet måste skapa realistiska nätfiskemeddelanden som återspeglar aktuella nätfiskekampanjer som förekommer i verkligheten.
Ett brett urval av mallar
Plattformen för simulering av nätfiske bör ha en stor uppsättning mallar som kan användas för att utforma ett realistiskt nätfiskemeddelande. Mallarna bör kunna konfigureras så att de matchar välkända varumärken och skapar "lookalike"-domännamn och webbadresser.
Kan skräddarsys för att återspegla roller
Bedragare är kända för att rikta in sig på specifika organisatoriska roller, t.ex. HR och leverantörsreskontra. Chefer är också en målgrupp och bör involveras i simulerade phishingövningar eftersom specifika cyberattacker som Business Email Compromise kan påverka C-nivån. Därför bör simulerade phishingmeddelanden anpassas till grupper av anställda.
Inlärning vid behov
Människor lär sig bäst när de är engagerade och har en interaktiv inlärningsupplevelse. Med en plattform som ger möjlighet att lära sig vid behov kan de anställda lära sig av sina misstag. Medarbetarna får till exempel ett varningsmeddelande om de klickar på en skadlig länk.
En interaktiv upplevelse vid behov hjälper till att förklara vad som har hänt och vilka faror som är förknippade med ett phishing-e-postmeddelande. Vissa avancerade system går längre och utbildar den anställde i strategier för att undvika nätfiskeförsök i framtiden.
Ger dig språkalternativ
Många företag har personal som talar engelska som andraspråk eller kontor i icke engelskspråkiga länder. Därför måste simulerade mallar för nätfiskemejl kunna erbjuda stöd på andra språk.
Revision och rapportering
Mätvärdena från en simulerad phishingövning är viktiga eftersom de ger en inblick i hur väl utbildningen i säkerhetsmedvetenhet fortskrider. Dessutom beskriver mätvärdena hur många anställda som är sårbara för nätfiskeattacker.
Vissa avancerade system ger en detaljerad uppdelning av phishingdata för att analysera specifika avdelningar och användargrupper. Rapporter som genereras från dessa mätvärden visar hur effektivt ett simuleringsprogram för nätfiske är och identifierar svaga områden i personalens förståelse för vad nätfiske innebär.
Hur effektiva är simuleringar av nätfiske?
Enligt en undersökning från Cisco är det svårt att upptäcka phishingmejl, och 86 procent av företagen har minst en anställd som klickar på en skadlig länk. Och det räcker med att en anställd klickar på en länk och anger inloggningsuppgifter till en falsk webbplats för att öppna dörrarna till ditt nätverk. Simuleringar av nätfiske är ett sätt att minimera risken för detta enda katastrofala klick.
Hur ofta ska du skicka en simulering för nätfiske?
I en USENIX-studie om hur länge utbildningen i säkerhetsmedvetenhet varar visade det sig att de anställda fortfarande kunde upptäcka phishingmejl fyra månader efter den första utbildningen. Efter sex månader förlorade de anställda dock förmågan att upptäcka skadlig e-post.
I rapporten betonas också att videor och interaktiv utbildning ger de mest långvariga resultaten, eftersom denna utbildningsnivå varar i ytterligare sex månader. I rapporten rekommenderas därför att utbildning bör genomföras var sjätte månad. Dessutom är regelbundna phishing-simuleringar en bra idé eftersom säkerhetslandskapet också tenderar att förändras ofta.