Google 4,9 (34 recensioner)
Cyber security service för dig
Boka en demo
Tillbaka till resurscenter

Varför de flesta phishing simuleringar gör mer skada än nytta (och hur vi åtgärdar det)

28 december 2023 - Cyber security

Andel

guardey-sprint-möte

Phishing Simuleringar är standard i många organisationer. Och det med rätta.

Antalet phishing -attacker har ökat med över 150% varje år sedan 2019. År 2022 loggade APWG över 4,7 miljoner phishing -attacker. Enligt forskning från FBI står phishing -bedrägerier för nästan 22 procent av alla dataintrång som sker.

För att bekämpa detta väljer många organisationer phishing simuleringar för att testa känsligheten hos sina anställda.

Vi tror dock (och forskning visar nu) att de flesta organisationer inte hjälper sina anställda med sina phishing simuleringar. I själva verket gör de dem till och med mer sårbara för phishing.

I den här artikeln förklarar vi vår syn på varför de flesta phishing -simuleringar gör mer skada än nytta och hur du kan förhindra att det händer.

Problem nr 1: mallar för e-postmeddelanden förbereder inte medarbetarna för spjut phishing

Många säkerhetsansvariga väljer en phishing simuleringsstrategi baserad på regelbundenhet och effektivitet. Det innebär att de vill att deras anställda ska sättas på prov ofta, men att de inte vill lägga ner mycket tid på att sätta ihop simuleringarna. Målet är att automatisera processen så mycket som möjligt.

Om du letar efter phishing simuleringsleverantörer över internet ser du att många av dem spelar in i denna känsla. De erbjuder mallar, AI-genererade phishing e-postmeddelanden och automatiskt skickade e-postmeddelanden. Detta hjälper säkerhetsansvariga att bocka av "phishing -test" från sina att göra-listor utan att svettas. Uppdraget är slutfört.

Dessa mallar förbereder dock inte de anställda för farorna med spjut phishing.

Spear phishing är en phishing metod där phishers undersöker sitt mål noggrant. Attacken verkar därför komma från en betrodd källa i målpersonens liv. De använder den information de har samlat in och tekniker för social ingenjörskonst för att sedan få målgruppen att klicka på en skadlig länk.

Föreställ dig att en cyberbrottsling hackar e-postadressen till en av dina leverantörer. I ett av e-postmeddelandena hittar de exakt vilka produkter de förväntas leverera och hur fakturan ser ut. Allt de behöver göra nu är att kopiera fakturan, ändra bankkontouppgifterna och skicka den till din ekonomiavdelning från en e-postadress som din ekonomiavdelning litar på. Detta är mycket svårare för dina anställda att känna igen som phishing än en standardmall.

Spear phishing e-postmeddelanden är mycket svårare att upptäcka för måltavlorna. Och eftersom mallarna för phishing -simuleringar inte använder dessa tekniker, förbereder de helt enkelt inte dina anställda för de verkliga cyberrisker som de står inför. I bästa fall ger de både säkerhetsansvariga och anställda en falsk känsla av säkerhet. Djävulen ligger i detaljerna när det gäller phishing, och det går inte att automatisera den sortens känsla för detaljer.

Fråga 2: phishing simuleringar i kombination med frivillig utbildning är ineffektiva

Ny forskning visar att kombinationen av en phishing simulering med frivillig utbildning inte gör anställda motståndskraftiga mot phishing, utan oftare gör dem mer mottagliga för att klicka på phishing länkar. Detta motsäger all tidigare forskning och en vanlig branschpraxis.

Så hur ser den gemensamma praxisen ut?

Först skickas ett e-postmeddelande till phishing till alla anställda. När någon klickar på en länk vidarebefordras de till en utbildningssida. Här får de frivillig utbildning (vilket innebär att de helt enkelt kan välja att inte göra det) om vad som just hände och hur de kan upptäcka phishing i framtiden. Tanken är att när någon precis har blivit phisad kommer de att vara mer öppna för utbildning, och kunskapsbevarandet kommer att vara på topp.

Forskning visar dock nu att phishing simuleringar i kombination med frivillig utbildning är ineffektiva. Det finns några möjliga orsaker till detta:

  • Anställda känner att de har "lärt sig läxan" efter en simulering på phishing , men deltar inte i frivillig utbildning
  • Anställda som inte klickar på en länk under en simulering på phishing får ingen som helst säkerhetsutbildning
  • Det kan hända att människor inte behåller utbildningsinformationen så bra direkt efter att de känner sig "fångade" under en simulering phishing
  • Anställda behöver regelbunden utbildning för att bli verkligt medvetna och kunniga om cyberrisker, t.ex. phishing

Hur man gör phishing simuleringar på rätt sätt

Vi har nu konstaterat att det finns två stora problem med hur phishing -simuleringar ofta utförs idag:

  • Standardiserade e-postmeddelanden förbereder inte anställda för spjut phishing
  • Phishing simuleringar i kombination med frivillig utbildning är ineffektiva

Under det senaste året har vi arbetat med företagare, säkerhetsansvariga och andra personer som ansvarar för säkerheten inom organisationer för att lösa detta.

Vi erbjuder nu spear phishing simuleringar. Under denna simulering kommer vi att arbeta med en organisation för att utveckla phishing e-postmeddelanden som kommer att verka autentiska och pålitliga för alla riktade anställda. Detta kan vara genom att emulera ett e-postmeddelande från ett HR-programvaruverktyg som organisationen använder.

Detta är ett mer tidskrävande arbete än att arbeta med mallar. Men vi tror på kvalitet framför kvantitet. Om en cyberbrottsling ska investera tid i att hacka dig bör du ta dig tid att utbilda dina anställda. Du kan inte automatisera allt. Därför rekommenderar vi att man bara gör en spear phishing -simulering en eller två gånger om året.

Utöver detta erbjuder vi en security awareness spel som lär medarbetarna att känna igen och agera vid cyberhot, inklusive phishing. Varje vecka får medarbetarna ta sig an en utmaning på cyber security som tar upp till tre minuter att genomföra. Detta hjälper dem att bygga upp kunskap och hålla sig medvetna om cyberhot varje dag i veckan.

I spelet startar varje användare en fiktiv organisation. Genom att anta utmaningar kan de tjäna pengar till sitt företag och förbättra dess rykte. Men om de ställer fel frågor förlorar de pengar och deras rykte försämras. På topplistan kan de se vilka kollegor som får flest poäng. Det skapar ett roligt tävlingsmoment och ökar deltagandet.

Spelet security awareness tränar ditt teams kunskaper och simuleringen med spjutet phishing testar deras känslighet över tid.

📚 Lär dig hur Roosevelt Kliniek tränar phishing medvetenhet med Guardey

Skydda din organisation från phishing med Guardey

Vi är övertygade om att man inte kan automatisera förebyggandet av phishing . Det krävs regelbunden utbildning och riktade spear phishing simuleringar för att verkligen göra dina medarbetare motståndskraftiga.

Om du är intresserad av att prova vår lösning är du välkommen att boka in en demo.

Resurser som du kanske är intresserad av

Cyber security
De 10 bästa security awareness utvärderingarna för anställda
Om NIS2
Cyber security
Cyber security utbildning för studenter: de 10 bästa lösningarna
Vi tackar
Cyber security
De 16 bästa security awareness spelen för anställda år 2024
Resurscentrum
Anouk CTA Guardeys webbplats
GRATIS 14-DAGARS PROVPERIOD

Upplev Guardey redan idag.

  • Prova helt riskfritt
  • Support dygnet runt
Starta 14 dagars kostnadsfri testperiod