Ja, Sie können auf verschiedene Weise auf Cash App betrogen werden, einschließlich Cash Flipping, versehentliche Zahlungen und Phishing-Nachrichten. Cash App-Betrügereien sind schädlich, da sie Sie um
Aktualisiert am 11. April 2023.
Phishing ist ein Problem, das von Unternehmen aller Formen und Größen ernst genommen werden muss. Der beste Weg, um Ihr Unternehmen vor einem unvermeidlichen Phishing-Angriff zu schützen, besteht darin, sich vorab vorzubereiten. Die Schulung von Mitarbeitern und die Durchführung von Phishing-Tests stellt sicher, dass Mitarbeiter Phishing-Versuche erkennen können.
Um einen erfolgreichen Phishing-Kampagnen-Test durchzuführen, sollten Sie zuerst nach einem Phishing-Tool suchen, das Ihnen hilft, den Test zu verwalten, den Test zu entwerfen und dann die Ergebnisse zu analysieren. In diesem Leitfaden behandeln wir, wie Sie einen Phishing-Test in der Arbeitsumgebung durchführen, damit Ihre Mitarbeiter bereit sind, diese Angriffe zu erkennen, bevor sie auf einen echten Phishing-Betrug hereinfallen.
Was ist Phishing?
Phishing ist eine Art von Cyberangriff, bei dem der Angreifer versucht, bei dem der Angreifer versucht, sensible Informationen zu erlangen, indem er vorgibt, eine vertrauenswürdige Partei zu sein, die das Opfer kennt. Phishing-Angriffe finden am häufigsten über E-Mail oder Textnachrichten statt und enthalten oft eine dringende Sprache, damit das Zielopfer schnell handelt.
Angenommen, Sie öffnen Ihren Posteingang und sehen eine E-Mail der Bank Chase bezüglich einer Aktualisierung Ihres Bankkontos. Die E-Mail scheint wichtig und die Vorlage sieht genauso aus wie die E-Mails, die Sie normalerweise von Chase erhalten, also klicken Sie auf den Link. Dieser Link ist jedoch bösartig und sendet Sie zu einer gefälschten Website. Eine gefälschte Website ist eine Website, die erstellt wird, um legitim auszusehen, aber tatsächlich nicht ist. Sobald Sie Ihre Anmeldeinformationen in diese Website eingeben, geben Sie im Wesentlichen Ihre Anmeldeinformationen an den Angreifer weiter, ohne es zu wissen. Jetzt hat der Angreifer alle Informationen, die er benötigt, um sich bei Ihrem legitimen Chase-Konto anzumelden.
Am Arbeitsplatz kann eine Phishing-E-Mail in Form einer E-Mail von Ihrem Chef kommen, mit einem leichten Rechtschreibfehler oder von einem Mitarbeiter aus einer etwas anderen Domain als üblich. In der Regel werden Sie in der E-Mail aufgefordert, sensible Daten anzugeben, die der Angreifer dann verwendet, um Ihr Unternehmen auf irgendeine Weise zu stehlen oder zu verletzen.
Was ist ein Phishing-Versuch?
Ein Phishing-Versuch ist ein Programm, mit dem Unternehmen realistische, simulierte Phishing-E-Mails an Mitarbeiter senden können, um zu sehen, wie sie auf sie reagieren würden. Diese Phishing-Tests ermöglichen es Unternehmen, zu sehen, wie gut ihre Mitarbeiter geschult sind, Phishing-Angriffe zu erkennen, und bietet ihnen Phishing-Schulungen, wenn sie mit ihnen interagieren. Indem sie Mitarbeitern simulierte Phishing-Angriffe senden, lernen sie, wie sie sie besser erkennen können, wenn sie einen echten erhalten – und schützen Ihr Unternehmen langfristig.
So bereiten Sie Ihre Mitarbeiter auf einen Phishing-Test vor
Bevor Sie mit der Verwaltung eines Phishing-Tests beginnen können, müssen Sie ein Phishing-Tool finden, das Sie verwenden können, um den Test auszuführen. Es sind viele verfügbar, einschließlich kostenloser Open-Source-Produkte wie Gophish. Alternativ können Sie sich kommerzielle Produkte wie KnowBe4 und Infosec IQ ansehen.
Sobald Sie sich für ein Tool entschieden haben, ist es Zeit, Ihre Mitarbeiter zu benachrichtigen und zu schulen – schließlich besteht das Ziel darin, sie über die Gefahren von Phishing aufzuklären und dann ihre Leistung zu testen.
Wenn Sie Ihren Test durchführen, bevor Sie Ihre Mitarbeiter alarmieren, riskieren Sie, ihr Vertrauen zu verlieren und ihnen das Gefühl zu geben, von der IT-Abteilung herabgesehen zu werden. Wenn Sie Ihre Mitarbeiter jedoch im Voraus alarmieren und schulen, erhöhen Sie die Chancen, dass sie sie als wertvolle Lernerfahrung betrachten und nicht als peinliche und überraschende Fehlschläge auf ihrer Seite.
Sie müssen auch Ihre Manager und Abteilungsleiter gewinnen, um Parameter für den Test festzulegen. Viele Phisher verwenden Social-Engineering-Taktiken, wie das Vorgeben, ein Mitarbeiter oder Manager zu sein, um ihre Chancen zu erhöhen, ihre Ziele auszutricksen. Daher ist es im Allgemeinen eine gute Idee, mit Abteilungsleitern zusammenzuarbeiten, um herauszufinden, wie Sie bestimmte Mitarbeiter anvisieren, wie ein echter Angreifer es tun würde.
Es ist wichtig, deutlich zu machen, wie Mitarbeiter Phishing-Versuche melden können. Sollten sie die E-Mail beispielsweise an die IT weiterleiten? Sie ihrem Manager melden? Mitarbeiter melden eher E-Mails, wenn sie nicht ihren Workflow stören, also sollte Ihr Meldeprozess so schmerzlos wie möglich sein. Der Meldeprozess variiert von Tool zu Tool, also stellen Sie sicher, dass Sie dies im Hinterkopf behalten, bevor Sie ein Phishing-Tool für Ihr Unternehmen auswählen.
So entwerfen Sie einen Phishing-Test
Wenn alle Grundlagen gelegt sind, können Sie damit beginnen, einige Einzelheiten Ihres Tests zu klären, z. B. wie lange er dauern wird, welche Arten von Phishing-Programmen getestet werden, welche Metriken Sie berücksichtigen und wer getestet wird.
Die aufschlussreichsten Phishing-Tests dauern ewig an, da in Unternehmen ständig neue Mitarbeiter hinzukommen, die geschult und getestet werden müssen. Jede neue Person, die beitritt, beginnt mit einer gefälschten Phishing-E-Mail pro Monat mit einer klaren Phishing-Vorlage, die später zu einer durch soziale Netzwerke manipulierten E-Mail eskaliert, die aussieht, als stamme sie von einem Arbeitskollegen. Ein langsamer Aufbau hilft Ihren Mitarbeitern, langsam Vertrauen zu gewinnen, anstatt entmutigt zu werden, nachdem sie zu schnell versagt haben.
Bevor Sie mit dem Test beginnen, ist es wichtig, mit Ihrem Team zu entscheiden, welche Arten von Phishing-Angriffen Sie verwenden werden. Werden Sie beispielsweise Spear-Phishing verwenden, um bestimmte Personen anzusprechen? Wal-Phishing, um den CEO und andere Führungskräfte zu verfolgen? Werden Sie auch Klon-Phishing einbeziehen? In der Regel möchten Sie mehrere verschiedene Phishing-Angriffe verwenden, um die Fähigkeit Ihrer Teammitglieder zu testen, jeden von ihnen zu erkennen.
Um genau zu messen und zu interpretieren, was während des Tests geschieht, müssen Sie auch auswählen, welche Metriken Sie überwachen werden. Im Allgemeinen möchten Sie diese drei Metriken verfolgen:
- Die Anzahl der Mitarbeiter, die Opfer eines Phishing-Versuchs werden und Daten lecken
- Die Anzahl der Mitarbeiter, die einen Phishing-Versuch erfolgreich erkennen und melden
- Link-Klickraten
Wenn Sie Ihren Test durchführen, vergessen Sie nicht, Senior Manager, Führungskräfte und sogar Vorstandsmitglieder einzubeziehen. Diese hochrangigen Teammitglieder sind oft einige der größten Phishing-Ziele, also müssen sie auch vorbereitet werden.
Wenn alle Details des Testdesigns geklärt sind, ist es Zeit, ihn zu starten. Das Wichtigste, was Sie hier beachten sollten, ist, dass der genaue Bereitstellungsplan unter Verschluss bleiben sollte. Wenn Mitarbeiter den Zeitplan zu gut kennen, erwarten sie Phishing-E-Mails, die Ihre Ergebnisse verwirren.
Was Sie tun können, nach dem Erhalt von Phishing-Testergebnissen
Auch wenn der Test vorbei sein mag, ist die Arbeit noch nicht vorbei. Nachdem Sie den Test durchgeführt haben, ist es Zeit, die Daten durchzuschauen und zu sehen, wie Ihr Unternehmen abgeschnitten hat.
Zunächst möchten Sie sehen, ob Sie die Ziele erreichen, die Sie gehofft haben: Sind im Laufe der Zeit weniger Mitarbeiter auf die Phishing-E-Mails hereingefallen? Haben sich Link-Klickraten verringert? Hat sich die Anzahl der Mitarbeiter erhöht, die verdächtige E-Mails gemeldet haben?
Wenn Sie alle Daten durchgesehen haben, ist es Zeit, eine Entscheidung zu treffen, wie Sie vorgehen sollen. Im Allgemeinen ist es eine gute Idee, die Ergebnisse Ihrem Unternehmen zu präsentieren, damit jeder sehen kann, wo Verbesserungen erforderlich sind. Es ist jedoch wichtig, bestimmte Abteilungen oder Mitarbeiter nicht öffentlich herauszufiltern.
Es ist unvermeidlich, dass einige Mitarbeiter mit schlechten Leistungen konfrontiert werden, daher ist es wichtig, sie mit Takt und Verständnis zu erreichen. Der Test soll eine Lernerfahrung sein, daher gibt es keinen Grund, unhöflich oder herablassend gegenüber leistungsschwachen Personen zu sein. Nichtsdestotrotz sollten Sie ihnen zusätzliche Schulungen anbieten, damit sie sich verbessern können. Die meisten Phishing-Tools haben die Möglichkeit, weitere Phishing-Schulungen für Personen zu verwalten, die sie möglicherweise benötigen.
Die Steigerung Ihrer Cybersicherheit beginnt bei Mitarbeitern
Die Durchführung eines Phishing-Tests ist nur ein Teil eines größeren Cybersicherheitspuzzels. Um Ihr Unternehmen langfristig zu schützen, ist es wichtig, die Cybersicherheit durch regelmäßige Schulungen und kontinuierliche Testinitiativen vor Augen zu halten.
Darüber hinaus kann es nützlich sein, andere Bereiche der Sicherheit Ihres Unternehmens zu aktualisieren, indem Sie eine privilegierte Zugriffsverwaltung implementieren und von Mitarbeitern verlangen, Password Manager zu verwenden. Password Manager helfen Mitarbeitern, sichere Passwörter mit Leichtigkeit zu pflegen – und schützen Ihr Unternehmen vor häufigen Passwortangriffen. Außerdem können sie sich direkt vor Phishing-Versuchen schützen, da sie Passwörter nur für direkte URL-Übereinstimmungen automatisch ausfüllen, nicht gefälschte URLs von einer Phishing-Website.