Имитация фишинга

Имитация фишинга или тест на фишинг — это когда организация отправляет обманные электронные письма , похожие на вредоносные электронные письма, своим сотрудникам, чтобы оценить их реакцию на фишинг и подобные атаки по электронной почте. Сами электронные письма часто являются формой обучения, но такое тестирование обычно проводится в сочетании с предварительным обучением; и часто сопровождается дополнительными элементами обучения. Это особенно актуально для тех, кто «терпит неудачу», открывая вложения электронной почты, нажимая на включенные веб-ссылки или вводя учетные данные.

Обоснование

В сфере ИТ-безопасности широко распространено мнение, что одни только технические меры не могут остановить все вредоносные атаки по электронной почте и что необходима хорошая подготовка персонала. ^{[ нужна ссылка ]}^[1] Имитация фишинга позволяет напрямую измерять соблюдение требований сотрудниками, а при регулярном запуске — измерять прогресс в поведении пользователей. Моделирование фишинга рекомендуется различными официальными агентствами, которые часто предоставляют рекомендации по разработке такой политики. ^[2] Моделирование фишинга иногда сравнивают с учениями по пожарной безопасности, поскольку они дают сотрудникам регулярную практику правильного поведения. ^[3]

Этика

Такие кампании должны быть санкционированы на соответствующем уровне. ^[4] и выполнено профессионально. ^[5] Если такой метод используется небрежно, он может нарушить законы, повлечь за собой судебные иски, а также вызвать недовольство или травму персонала.

Однако, если сотрудники уведомлены об изменении политики, например, что «компания оставляет за собой право время от времени рассылать сотрудникам вводящие в заблуждение «имитированные фишинговые» электронные письма для проверки осведомленности персонала о безопасности и соблюдения требований», а обучение и рекомендации были предоставлены в заранее, то таких проблем возникнуть не должно. Некоторые организации могут потребовать от пользователей дать свое согласие, согласившись, ^[6] а другие могут предоставить сотрудникам возможность отказаться. ^[7]

Стандартный совет заключается в том, что «неудачливым» сотрудникам ни в коем случае не стыдно, но уместно и разумно обеспечить поддерживающее последующее обучение. ^[8]^[9]^[10]

Некоторые методы, которые могут быть эффективными и использоваться злоумышленниками, обычно избегаются при имитации фишинга по этическим или юридическим причинам. К ним могут относиться электронные письма, содержание которых может причинить страдания получателю, или использование товарных знаков третьих лиц, ^[5]^[8] хотя иногда также утверждается, что это подпадает под добросовестное использование . ^[11]

Методы

Такое тестирование можно проводить несколькими способами.

Многие поставщики предлагают для этого веб-платформы, а некоторые предоставляют ограниченные бесплатные «тестовые» кампании. ^[12] ^[13]
Широкий спектр свободно доступных инструментов с открытым исходным кодом позволяет большему количеству технических организаций проводить собственное тестирование. ^[14]^[15]^[16]
Некоторые почтовые службы теперь имеют такое тестирование как встроенную опцию. ^[17]^[18]

Поскольку организации, как правило, имеют набор многоуровневой защиты для предотвращения фактического вредоносного фишинга, симуляции часто требуют создания некоторых белых списков на шлюзах электронной почты, антивирусного программного обеспечения и веб-прокси, чтобы электронная почта могла достигать рабочих столов и устройств пользователей и надлежит действовать.

Частота

Большинство советов заключается в том, что тестирование следует проводить несколько раз в год, чтобы дать сотрудникам возможность попрактиковаться в правильном реагировании и предоставить руководству обратную связь о прогрессе в выявлении и сообщении потенциально опасной электронной почты сотрудниками.

См. также

Ссылки

^ Джампен, Дэниел; Гюр, Гюркан; Саттер, Томас; Телленбах, Бернхард (9 августа 2020 г.). «Не кликай: к эффективному тренингу по борьбе с фишингом. Сравнительный обзор литературы» . Человекоцентричные вычисления и информационные науки . 10 (1). дои : 10.1186/s13673-020-00237-7 . hdl : 11475/20346 . ISSN 2192-1962 .
^ «Разработка симуляций фишинга» (PDF) . Центр защиты национальной инфраструктуры . Проверено 12 сентября 2018 г.
^ Фишбейн, Джонатан. «Сообщение Совета: Решения кибернового года на 2021 год» . Форбс . Проверено 3 октября 2021 г.
^ Ковач, Эдуард (23 августа 2018 г.). «Атака на DNC — часть симулированного теста на фишинг» . Неделя безопасности . Проверено 12 сентября 2018 г.
^ Перейти обратно: ^а ^б Ченг, Джоуи (18 марта 2014 г.). «Вышедшие из-под контроля армейские испытания на фишинг привели к новым рекомендациям» . Оборонные системы . Проверено 12 сентября 2018 г.
^ «Имитация фишинга» . Лаборатория Беркли . Проверено 12 сентября 2018 г.
^ «Имитация фишинговой кампании по электронной почте» . Калифорнийский университет в Санта-Крус . Проверено 12 сентября 2018 г.
^ Перейти обратно: ^а ^б Прендергаст, Том. «Все ли честно в симуляции фишинга?» . www.csoonline.com . Проверено 9 сентября 2018 г.
^ Мейдам, Катриен. «Фишинг как услуга: разработка этического способа имитации целевых фишинговых атак для обучения сотрудников» . Проверено 10 сентября 2018 г.
^ Р, Кейт. «Проблема с фишингом» . Национальный центр кибербезопасности . ЦПС . Проверено 12 сентября 2018 г.
^ Каларко, Дэниел. «Остановим фишинг с помощью плохой поддельной наживки» . EDUCAUSEобзор . Проверено 12 сентября 2018 г.
^ Салла, Себастьян. «бесплатные тестовые кампании по фишингу» . КанИПиш . Проверено 10 октября 2022 г.
^ Королева, Мария. «10 компаний, которые могут помочь вам в борьбе с фишингом» . ЦСО онлайн . Проверено 12 сентября 2018 г.
^ например, GoPhish, King Phisher, The SocialEngineer Toolkit
^ Паули, Даррен (4 февраля 2016 г.). «Займитесь фишингом собственных сотрудников: Dev создает инструмент для проверки дураков с открытым исходным кодом» . Регистр . Проверено 12 сентября 2018 г.
^ «Симуляторы фишинговых кампаний» . Меры борьбы с фишингом . Проверено 12 сентября 2018 г.
^ Гош, Дебрадж. «GA симулятора атак для Office 365 Threat Intelligence» . Техническое сообщество Microsoft . Проверено 12 сентября 2018 г.
^ Лардинуа, Фредерик. «Microsoft запускает симулятор фишинговых атак и другие инструменты безопасности» . ТехКранч . Проверено 12 сентября 2018 г.

[1] Джампен, Дэниел; Гюр, Гюркан; Саттер, Томас; Телленбах, Бернхард (9 августа 2020 г.). «Не кликай: к эффективному тренингу по борьбе с фишингом. Сравнительный обзор литературы» . Человекоцентричные вычисления и информационные науки . 10 (1). дои : 10.1186/s13673-020-00237-7 . hdl : 11475/20346 . ISSN 2192-1962 .

[2] «Разработка симуляций фишинга» (PDF) . Центр защиты национальной инфраструктуры . Проверено 12 сентября 2018 г.

[3] Фишбейн, Джонатан. «Сообщение Совета: Решения кибернового года на 2021 год» . Форбс . Проверено 3 октября 2021 г.

[4] Ковач, Эдуард (23 августа 2018 г.). «Атака на DNC — часть симулированного теста на фишинг» . Неделя безопасности . Проверено 12 сентября 2018 г.

[army-5] Перейти обратно: ^а ^б Ченг, Джоуи (18 марта 2014 г.). «Вышедшие из-под контроля армейские испытания на фишинг привели к новым рекомендациям» . Оборонные системы . Проверено 12 сентября 2018 г.

[6] «Имитация фишинга» . Лаборатория Беркли . Проверено 12 сентября 2018 г.

[7] «Имитация фишинговой кампании по электронной почте» . Калифорнийский университет в Санта-Крус . Проверено 12 сентября 2018 г.

[fair-8] Перейти обратно: ^а ^б Прендергаст, Том. «Все ли честно в симуляции фишинга?» . www.csoonline.com . Проверено 9 сентября 2018 г.

[9] Мейдам, Катриен. «Фишинг как услуга: разработка этического способа имитации целевых фишинговых атак для обучения сотрудников» . Проверено 10 сентября 2018 г.

[GCHQ-10] Р, Кейт. «Проблема с фишингом» . Национальный центр кибербезопасности . ЦПС . Проверено 12 сентября 2018 г.

[11] Каларко, Дэниел. «Остановим фишинг с помощью плохой поддельной наживки» . EDUCAUSEобзор . Проверено 12 сентября 2018 г.

[12] Салла, Себастьян. «бесплатные тестовые кампании по фишингу» . КанИПиш . Проверено 10 октября 2022 г.

[13] Королева, Мария. «10 компаний, которые могут помочь вам в борьбе с фишингом» . ЦСО онлайн . Проверено 12 сентября 2018 г.

[14] например, GoPhish, King Phisher, The SocialEngineer Toolkit

[15] Паули, Даррен (4 февраля 2016 г.). «Займитесь фишингом собственных сотрудников: Dev создает инструмент для проверки дураков с открытым исходным кодом» . Регистр . Проверено 12 сентября 2018 г.

[16] «Симуляторы фишинговых кампаний» . Меры борьбы с фишингом . Проверено 12 сентября 2018 г.

[17] Гош, Дебрадж. «GA симулятора атак для Office 365 Threat Intelligence» . Техническое сообщество Microsoft . Проверено 12 сентября 2018 г.

[18] Лардинуа, Фредерик. «Microsoft запускает симулятор фишинговых атак и другие инструменты безопасности» . ТехКранч . Проверено 12 сентября 2018 г.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]