Att genomföra simulerade phishing-kampanjer med hjälp av specialiserad programvara för phishing-simulering är en effektiv metod för att utbilda medarbetare i att känna igen bedrägliga meddelanden, vilket bidrar till kampen mot phishing. E-postbaserad nätfiske är fortfarande den främsta orsaken till stulna inloggningsuppgifter och en effektiv metod för att infiltrera IT-nätverk med ransomware. För att lyckas med dessa simuleringskampanjer för nätfiske krävs strategisk planering, tydlig kommunikation och noggrann analys. Nätfiske är en av de två mest populära och effektiva teknikerna som cyberbrottslingar använder för att infiltrera företagsnätverk. Framgången beror på cyberbrottslingarnas förmåga att dölja skadligt innehåll för att undvika säkerhetsverktyg, samt på att de manipulerar anställda och förvandlar dem till oavsiktliga insiders. Här är några riktlinjer för att starta och säkerställa att din phishing-simuleringskampanj fungerar.
Steg för en framgångsrik simulerad phishing-kampanj
Simulerade nätfiskeattacker är utformade för att automatisera nätfiskeutbildning och ge lärdomar direkt till de anställda. Dessa simulerade utbildningspaket för nätfiske ger realistiska nätfiskemeddelanden som följer verkliga nätfiskekampanjer.
Men för att få ut det mesta av en simuleringskampanj för nätfiske måste du planera, vara medveten om hotbilden mot nätfiske, kommunicera med de anställda och förstå hur dina affärsmål överensstämmer med dina behov av cybersäkerhet.
För att få ut det mesta av ett phishing-test bör du följa de här stegen:
Planera strategin för din Phishing-simuleringskampanj
Alla bra phishing-tester bygger på ett gediget förberedelsearbete. Förberedelserna bör omfatta följande områden:
- Undersök aktuella trender för phishing-e-post för att kunna leverera mer realistiska simulerade phishing-meddelanden: Fråga ditt team eller dina rådgivare vilken typ av e-postmeddelanden som används för att rikta in sig på din bransch eller sektor? Är specifika appar och varumärken, t.ex. Microsoft 365, populära som falska mål i nätfiskekampanjer? Samla in dessa uppgifter för att använda dem under "build"-delen av din kampanj.
- Hur ofta kommer de simulerade phishing-meddelandena att levereras? Det kan vara veckovis, månadsvis, kvartalsvis osv. Kampanjernas frekvens bör ligga i linje med din övergripande strategi för cybersäkerhetsrisker.
- Kommunicera med medarbetarna. Ta fram tydliga instruktioner till medarbetarna om hur de ska rapportera identifierade phishing-meddelanden och/eller tillhörande social engineering-attacker. Detta bör inkludera information om hur man fångar upp detaljerna i hotet.
- Bestäm hur du ska vidareutbilda anställda som inte upptäcker phishing-meddelanden. Detta bör utforska användningen av "point-of-need"-utbildning för att fokusera på förbättrad utbildning.
- Var beredd att justera din strategi och dina förberedelser i takt med att phishing-landskapet förändras.
Skapa din simulerade phishing-kampanj
En automatiserad phishing-simulering programvara kan du generera de element som behövs för att leverera kampanjen; detta inkluderar skapandet av phishing mallar. En automatiseringsplattform för simulerat nätfiske kommer att erbjuda mallar som är baserade på verkliga nätfiskehot med de vanligaste falska varumärkena. Eftersom vissa sektorer har specifika hot bör dessa mallar kunna ändras för att återspegla dessa detaljer.
Det viktiga är att mallarna ska vara lätta att justera och konfigurera för kampanjadministratören med hjälp av en centraliserad hanteringskonsol.
Skapa inlärningsupplevelser som gör att utbildningen fastnar
Målet med nätfiskesimuleringskampanjer är att utbilda medarbetarna i hur man upptäcker nätfiskebedrägerier och att förändra det "klickbeteende" som bedragarna förlitar sig på. För att säkerställa en minnesvärd och effektiv inlärningsupplevelse bör en plattform för phishing-simulering ge en "point-of-need"-inlärningsupplevelse.
Typiska inslag i denna typ av interaktivt lärande är att presentera en varning, relevant infografik, en undersökning för att samla in mätvärden för ytterligare anpassning av utbildningen etc. för varje anställd som misslyckas med att upptäcka ett phishingmejl.
I denna punkt förklaras vad som har hänt och vilka faror som är förknippade med nätfiskebedrägerier. Vissa avancerade system tar detta ett steg längre och utbildar den anställde i strategier för att undvika nätfiske för att förhindra framtida nätfiskeförsök.
Samla in och analysera mätvärden
När den simulerade phishingkampanjen fortskrider bör de anställda uppmuntras att rapportera observerade phishingmejl. De instruktioner som du tar fram under planeringsfasen utgör grunden för de anställdas rapportering av nätfiskeförsök.
Vissa plattformar för automatiserad simulering avnätfiske erbjuder en instrumentpanel för mätvärden som använder data från simulerade nätfiskekampanjer för att analysera kampanjens framgång.
Dessa mätvärden är en viktig del i arbetet med att säkerställa att utbildningen optimeras. Mätningarna ger dig också den ammunition som behövs för att visa ledningen och styrelsen att utbildningen i säkerhetsmedvetenhet är effektiv.
Vissa simuleringsplattformar tillhandahåller data om hur många procent av användarna som är sårbara för angrepp och vilken typ av enhet som används för att komma åt phishing-e-postmeddelandet. En högre grad av granularitet i mätdata underlättar mer skräddarsydda kampanjer. Dessa mätvärden gör det också möjligt att kontinuerligt förbättra effektiviteten hos en simulerad phishingkampanj för att fokusera på allt mer sofistikerat innehåll i phishingmejl.
Skölj och upprepa den simulerade nätfiskekampanjen
Phishing-landskapet förändras ständigt när bedragare försöker undvika att upptäckas. För att kartlägga denna förändring måste simulerade phishingkampanjer också uppdateras i linje med dessa förändringar. Detta innebär att din simuleringskampanj för nätfiske sannolikt kommer att ändras för att återspegla nätfiskeområdet, regelbundet och över tid.
Hur ofta du gör detta bestäms av din övergripande säkerhetsriskanalys. Rekommendationerna för perioderna mellan kampanjerna varierar, men var 4-6:e vecka är en bra tumregel. Tidpunkterna för leverans av kampanjer bör dock också justeras om det sker betydande förändringar i phishinglandskapet, vilket var fallet under Covid-19-pandemin.
Dags att fiska
En litteraturstudie av forskare vid Försvarets forskningsanstalt visade att 24 % av mottagarna av nätfiskemejl klickar på en länk och 21 % går vidare och anger sina lösenord på falska webbplatser. Denna alarmerande siffra visar hur viktigt det är att använda relevant och fokuserad phishingutbildning för anställda.
Men för att denna utbildning ska vara verkligt effektiv kräver den ett strategiskt tillvägagångssätt. Genom att följa MetaCompliance's expertrekommendationer kan du se till att din phishing-simuleringskampanj är framgångsrik - vilket hjälper till att förhindra verkliga, skadliga phishing-attacker innan de äventyrar din organisation.
Läs mer i dessa artiklar:
- Phishing training för anställda: Hur det fungerar
- De bästa tipsen för att genomföra ett framgångsrikt phishing-test i din organisation
- Vad är Anti-Phishing och varför är det viktigt för medarbetarna?
Eller kontakta oss för en gratis demo av vår programvara för phishing-simulering.
