Tak, w usłudze Cash App występuje kilka rodzajów oszustw, w tym przerzucanie gotówki, przypadkowe płatności i wiadomości wyłudzające informacje. Oszustwa w usłudze Cash App są szkodliwe, ponieważ prowadzą do pozbawienia...
Zaktualizowano 11 kwietnia 2023 r.
Phishing to problem, który musi być traktowany poważnie przez wszystkie firmy, bez względu na ich rodzaj i rozmiar. Najlepszym sposobem ochrony firmy przed nieuniknionym atakiem phishingowym jest przygotowanie się z wyprzedzeniem. Szkolenie pracowników i przeprowadzanie testów phishingowych zapewnia, że pracownicy będą w stanie wykryć próby phishingu.
Aby przeprowadzić udany test kampanii phishingowej, należy najpierw poszukać narzędzia phishingowego, które umożliwi przygotowanie i zastosowanie testu, a następnie analizę jego wyników. W tym poradniku omówimy, jak przeprowadzić test phishingowy w środowisku pracy, aby pracownicy byli przygotowani na wykrycie tych ataków, zanim padną ofiarą prawdziwego oszustwa phishingowego.
Czym jest phishing?
Phishing to rodzaj cyberataku, w którym atakujący próbuje uzyskać poufne informacje, podszywając się pod osobę lub organizację znaną ofierze. Ataki phishingowe najczęściej odbywają się za pośrednictwem wiadomości e-mail lub wiadomości tekstowych i często posługują się tonem, który nakłada na ofiarę presję natychmiastowego działania.
Na przykład, powiedzmy, że otwierasz skrzynkę odbiorczą i zauważasz wiadomość e-mail od banku Chase dotyczącą aktualizacji Twojego konta bankowego. E-mail wydaje się ważny, a szablon wygląda podobnie jak wiadomości e-mail, które zwykle otrzymujesz od Chase, więc klikasz link. Jednak jest to złośliwy link, który przekierowuje Cię na sfałszowaną stronę. Sfałszowana strona jest stworzona w sposób przypominający legalną, ale w rzeczywistości nią nie jest. Po wprowadzeniu danych logowania w tej witrynie przekazujesz swoje dane uwierzytelniające hakerowi, nawet o tym nie wiedząc. Teraz haker ma wszystkie informacje potrzebne do zalogowania się na legalne konto Chase.
W miejscu pracy wiadomość phishingowa może mieć postać e-maila od przełożonego z jedną literówką lub od współpracownika z nieco innej domeny niż zwykle. Zazwyczaj wiadomość e-mail będzie zawierać prośbę o podanie poufnych informacji, które atakujący wykorzysta następnie do kradzieży lub zaszkodzenia firmie w jakiś sposób.
Czym jest test phishingowy?
Test phishingowy to program, który pozwala firmom wysyłać realistyczne, symulowane wiadomości phishingowe do pracowników, aby sprawdzić, jak na nie zareagują. Testy phishingowe pozwalają firmom sprawdzić, jak dobrze ich pracownicy są przeszkoleni w zakresie wykrywania ataków phishingowych i zapewniają szkolenie w zakresie phishingu, jeśli pracownicy wchodzą w interakcję z tymi wiadomościami. Pracownicy poddawani symulacjom ataków phishingowych, nauczą się, jak lepiej je rozpoznawać w przypadku prawdziwego ataku – chroniąc w ten sposób firmę.
Jak przygotować pracowników do testu phishingowego?
Przed rozpoczęciem wdrożenia testu phishingowego należy znaleźć narzędzie phishingowe, którego można użyć do przeprowadzenia testu. Dostępnych jest wiele opcji, w tym bezpłatne programy open source, takie jak Gophish. Alternatywnie można rozważyć produkty komercyjne, takie jak KnowBe4 i Infosec IQ.
Po wybraniu narzędzia, czas powiadomić i przeszkolić pracowników – w końcu celem jest edukowanie ich na temat zagrożeń związanych z phishingiem, a następnie przetestowanie ich skuteczności.
Jeśli przeprowadzisz test przed powiadomieniem pracowników, ryzykujesz utratę ich zaufania i sprawisz, że poczują się, jakby byli lekceważeni przez dział IT. Jeśli jednak ich ostrzeżesz i przeszkolisz, zwiększysz szanse, że potraktują to jako cenne doświadczenie edukacyjne, a nie żenującą i niespodziewaną porażkę.
Konieczne będzie również zmobilizowanie kierowników i liderów działów w celu ustalenia parametrów testu. Wielu przestępców stosuje taktyki socjotechniczne, takie jak udawanie współpracownika lub przełożonego, aby zwiększyć szanse na oszukanie swoich ofiar. Dlatego dobrym pomysłem jest współpraca z liderami działów, aby dowiedzieć się, jak celować w konkretnych pracowników, tak jak zrobiłby to prawdziwy przestępca.
Ważne jest, aby wyjaśnić, w jaki sposób pracownicy mogą zgłaszać próby phishingu. Na przykład, czy powinni przekazać e-mail do działu IT? Zgłosić ją swojemu przełożonemu? Pracownicy są bardziej skłonni do zgłaszania wiadomości e-mail, gdy nie zakłóca to ich przepływu pracy, więc proces ten powinien być tak bezproblemowy, jak to tylko możliwe. Proces raportowania różni się w zależności od narzędzia, więc pamiętaj o tym podczas wybierania narzędzia phishingowego dla swojej firmy.
Jak zaprojektować test phishingowy?
Po opracowaniu planu można rozpocząć ustalanie niektórych szczegółów testu, takich jak czas jego trwania, jakie rodzaje phishingu będą testowane, jakie pomiary będą analizowane i kto będzie testowany.
Najbardziej wnikliwe testy phishingowe nigdy się nie kończą, ponieważ do firm stale dołączają nowi pracownicy, którzy muszą zostać przeszkoleni i przetestowani. Każdy nowy pracownik będzie na początku testowany za pomocą jednej fałszywej wiadomości phishingowej w miesiącu z wyraźnym szablonem phishingowym. Następnie będzie to wiadomość z wykorzystaniem socjotechniki wyglądająca, jakby była wysłana przez współpracownika. Powolny proces pomaga pracownikom systematycznie zwiększać pewność siebie i nie zniechęca ich po zbyt szybkiej porażce.
Przed rozpoczęciem testu ważne jest, aby wspólnie z zespołem zdecydować, jakie rodzaje ataków phishingowych zostaną wykorzystane. Na przykład, czy użyjesz spear phishingu, aby skierować atak na konkretne osoby? Whale phishingu, aby zaatakować dyrektora generalnego i innych członków kadry zarządzającej? Czy uwzględnisz również clone phishing? Zazwyczaj warto użyć kilku różnych ataków phishingowych, aby przetestować zdolność członków zespołu do rozpoznawania każdego z nich.
Aby dokładnie zmierzyć i zinterpretować to, co dzieje się podczas testu, należy również wybrać wskaźniki, które będą monitorowane. Zazwyczaj warto śledzić te trzy wskaźniki:
- liczbę pracowników, którzy padli ofiarą phishingu i przyczynili się do wycieku danych;
- liczbę pracowników, którzy pomyślnie rozpoznali i zgłosili próbę phishingu;
- współczynnik klikalności linków.
Podczas przeprowadzania testu nie zapomnij uwzględnić kierowników wyższego szczebla, kadry zarządzającej, a nawet zarządu. Te osoby są często jednymi z największych celów ataków phishingowych, więc również muszą być przygotowani.
Po opracowaniu wszystkich szczegółów dotyczących projektu testu czas na jego realizację. Najważniejszą rzeczą, o której należy pamiętać, jest to, że dokładny harmonogram przeprowadzania testu powinien pozostać tajemnicą. Jeśli pracownicy zbyt dobrze znają harmonogram, będą oczekiwać wiadomości phishingowych, co zakłóci wyniki.
Co należy zrobić po otrzymaniu wyników testu phishingowego?
Praca nie kończy się po zakończeniu testu. Po przeprowadzeniu testu czas, aby przejrzeć dane i zobaczyć, jak Twoja firma sobie poradziła.
Najpierw należy sprawdzić, czy osiągnięto założone cele. Czy z czasem coraz mniej pracowników daje się nabrać na wiadomości phishingowe? Czy współczynnik klikalności linków spadł? Czy zwiększyła się liczba pracowników zgłaszających podejrzane e-maile?
Po zapoznaniu się ze wszystkimi danymi czas na podjęcie decyzji o dalszych działaniach. Zazwyczaj dobrym pomysłem jest przedstawienie wyników firmie, aby każdy mógł zobaczyć, gdzie potrzebna jest poprawa. Ważne jest jednak, aby nie wyróżniać publicznie konkretnych działów lub pracowników.
Nieuniknione jest, że niektórzy pracownicy nie będą skuteczni, dlatego ważne jest, aby podchodzić do nich z taktem i zrozumieniem. Test ma być doświadczeniem edukacyjnym, więc nie ma powodu, by być nieuprzejmym lub protekcjonalnym wobec osób osiągających słabe wyniki. Ważne jest natomiast, aby zapewnić im dodatkowe szkolenie, aby mogli się poprawić. Większość narzędzi phishingowych ma opcję zastosowania dalszego szkolenia z zakresu phishingu dla osób, które mogą tego potrzebować.
Zwiększenie cyberbezpieczeństwa zaczyna się od pracowników
Przeprowadzenie testu phishingowego to tylko jeden z elementów większej układanki cyberbezpieczeństwa. Aby zapewnić firmie bezpieczeństwo w dłuższej perspektywie, ważne jest, aby wszyscy pamiętali o cyberbezpieczeństwie dzięki okresowym szkoleniom i ciągłym inicjatywom testowym.
Ponadto pomocne może być ulepszanie innych obszarów bezpieczeństwa firmy poprzez wdrożenie zarządzania uprzywilejowanym dostępem i wymaganie od pracowników korzystania z menedżerów haseł. Menedżery haseł pomagają pracownikom z łatwością utrzymywać bezpieczne hasła, chroniąc firmę przed typowymi atakami na hasła. Ponadto mogą one bezpośrednio chronić przed próbami phishingu, ponieważ będą automatycznie wypełniać hasła tylko w przypadku bezpośredniego dopasowania adresu URL, a nie fałszywych adresów URL z witryny phishingowej.