Phishing er en af de mest almindelige angrebsmetoder for cyberkriminelle. Derfor er det en vigtig del af mange it-sikkerhedsprotokoller at træne sine medarbejdere i at genkende og reagere på phishing e-mails. I dette blogindlæg giver vi dig en guide til, hvordan du implementerer phishing-tests i din organisation samt nogle gratis eksempler på phishing-kampagner, der kan inspirere dig i dit arbejde.
Derfor er phishing-test vigtige
Phishing udgør en af de farligste it-sikkerhedsrisici for enhver virksomhed, og det er også en af de mest almindelige former for angreb, som virksomheder oplever. Derudover er brud på datasikkerheden forårsaget af phishing-angreb ekstremt dyre for virksomheder at håndtere. I år har sikkerhedsbrud som følge af phishing-angreb på virksomheder i gennemsnit kostet 4,65 millioner $. Det er mange penge at tabe på noget, der blot kan virke som en lille e-mail-fejl!
Da phishing udgør en så stor trussel mod organisationer, er det vigtigt, at medarbejderne kan genkende disse e-mails, når de modtager dem, så de ikke falder for dem og afslører følsomme oplysninger. At lære medarbejderne at genkende og reagere på farlige e-mails gennem phishing-tests er en fantastisk måde at lade dine medarbejdere øve sig i et miljø uden samme risiko som i virkeligheden. Resultater fra testene kan også hjælpe dig med at finde ud af, om der er huller i din it-sikkerhedstræning, som bør udbedres.
Vejledning: Sådan implementeres phishing-tests
Hvis du skal opstarte et phishing-træningsprogram i din organisation, skal du bruge lidt tid på at organisere det i starten. Dette sparer dig tid, når du opstarter træningsprogrammet og det sørger for, at alt kører problemfrit. Læs videre for at se vores forslag til, hvordan du kan opstarte dit eget træningsprogram!
Gør phishing-testprogrammet klar
Beslut dig for, om du vil fortælle det til dine medarbejdere
Før du sender phishing-simuleringsmails ud til dine medarbejdere, skal du beslutte dig, hvor meget du vil have dine medarbejdere til at vide om det nye træningsprogram. Afhængigt af dine medarbejdere, kan du vælge ikke at fortælle om programmet, så du kan få et helt realistisk resultat ud fra testmailsne. Men hvis du ved, at dine medarbejdere kan være utilpasse ved at blive testet uden deres viden om det, kan det være bedst at fortælle dem om phishing-simuleringen på forhånd.
Hvis du vælger at holde programmet hemmeligt i starten, kan du i første omgang drage fordel af mere realistiske phishing-testresultater. Da dine medarbejdere ikke forventer en phishing-e-mail, kan du få en mere realistisk fornemmelse af deres opmærksomhed og sårbarhed over for virkelige angreb. Men hvis du holder programmet skjult for medarbejderne, risikerer du at dine medarbejdere kan føle sig dømte eller vildledte - især hvis du bruger testresultaterne til at udpege bestemte personer.
På den anden side, hvis du fortæller om programmet, før du sender den første phishing-testmail, kan fremme bestræbelserne på at opretholde en åben kommunikation blandt dine medarbejdere. Det kan også være et smart tidspunkt at minde alle på dit kontor om sikker it-sikkerhedspraksis, f.eks. hvad phishing er, hvordan de genkender det i deres indbakker, og hvad der kan ske, hvis de sender følsomme data på en uhensigtsmæssig måde.
Det kan være svært at vælge, om du vil fortælle dine medarbejdere om træningsprogrammet, men hvis du tager højde for din kontorkultur og dine medarbejderes trivsel, kan du træffe en beslutning, der passer til netop dit team.
Vi har konstateret, at vores kunder normalt foretrækker ikke at informere deres brugerbase inden den første test, men i stedet fortæller om phishing-testprogrammet efter den første test. Denne kombinerede tilgang kunne også passe godt til dine medarbejdere.
Mind medarbejderne om jeres rapporteringsproces
Hvis du fortæller dine medarbejdere om phishing-testprogrammet på forhånd, er det også et perfekt tidspunkt at opdatere alle om de gældende rapporterings- og svarprocedurer. Sørg for, at alle ved, hvad de skal gøre, hvis de har mistanke om en ondsindet e-mail i deres indbakke: Hvem rapporterer de den til og hvordan? Hvad skal de gøre og IKKE gøre med e-mailen?
Hvis du vælger at holde træningsprogrammet skjult i starten, kan den indledende phishing-testmail give dig vigtig indsigt i, hvor godt dit team forstår jeres rapporteringsprocedure. Nogle gange tror medarbejderne, at der er 3 eller 4 forskellige steder, hvor de skal rapportere mistænkelige e-mails. Det er vores erfaring, at en af de primære indsigter, vores kunder får fra phishing-test er at fastslå, hvor godt medarbejderne har styr på, hvordan de indberetter it-trusler. Når den første phishing-test er afsluttet, kan du indkalde til et møde for at drøfte træningsprogrammet med dine medarbejdere og give en hurtig opdatering på den bedste måde at håndtere phishing på.
Gode råd til at skrive en falsk phishing e-mail
Hvis du ikke samarbejder med en phishing-træningsudbyder, vil du sandsynligvis bruge noget tid på at sammenfatte de phishing-e-mails, der sendes til dine medarbejdere. For at træne dine medarbejdere i at genkende disse e-mails i virkelige scenarier er det vigtigt, at du gør e-mailsne troværdige og bruger de samme metoder, som cyberkriminelle bruger. Inde du begynder at blive bekymret for, hvordan du skaber de perfekte test-e-mails, finder du nedenfor et par råd, du kan bruge til at komme i gang.
Brug typiske phishing-signaler
Selvom phishing-e-mails ofte ser forskellige ud, er der et par fælles egenskaber, som nogle phishing-e-mails har. For eksempel:
-
Brug af forkert grammatik eller forkert stavede ord
-
Standardiserede eller usædvanlige hilsner, der normalt ikke anvendes
-
Et afsenderdomæne eller en mailadresse, der ser mærkelig ud
-
Vedhæftede filer, der har en ukendt filtype
-
Links, der ser underlige ud eller ikke er relateret til den linkede tekst
-
Presserende anmodninger om oplysning af følsomme data (f.eks. loginoplysninger eller kreditkortoplysninger)
Dette er et nogle grundlæggende phishing-signaler, som du kan inkludere i dine e-mails, og de er et godt udgangspunkt, som du kan huske på, når du skriver dine test-e-mails. Hvis dit team har en god forståelse af phishing, kan disse tegn være for nemme for dem at tyde. For eksempel bliver brugen af dårlig grammatik eller stavefejl mindre og mindre tydelig i phishing-e-mails, da cyberkriminelle bliver bedre, og vores spamfiltre samtidig fanger flere åbenlyse phishing-trusler. For at gøre træningen mere effektiv, kan du krydre dem med andre signaler, der gør e-mailsne vanskeligere at opdage.
Gør e-mailsne lokkende
For at et phishing-angreb kan lykkes, skal modtageren føle et behov for at handle. Kombiner nogle af taktikkerne nedenfor med de grundlæggende phishing-signaler for at gøre dine træningsmails endnu mere effektive:
-
Bed om en hurtig eller tidsbegrænset handling
-
Brug følelser (frygt og opstemthed fungerer godt)
-
Tilbyd en tiltrækkende belønning
-
Brug autoriteter til at udnytte deres tillidsfølelser (se vores indlæg om CEO-falskneri)
Ved at tilføje disse teknikker, vil det blive sværere for dine medarbejdere at modstå at klikke på en e-mail. Husk: Jo mere ægte dine e-mails ser ud, jo stærkere bliver dit team i at opdage ondsindede e-mails.
Du bør også holde dig ajour med aktuelle tendenser i phishing-e-mails, så du kan inkludere dem i dine tests.
Her er fire eksempler på phishing-kampagner, som vi har oprettet og testet på vores kunder.
Opret en tidsplan
Du bør også beslutte dig for, hvor ofte du planlægger at sende phishing-testmails ud til din organisation, så du kan oprette en vedvarende træningsplan. Selvfølgelig kan denne tidsplan justeres undervejs i hele træningsprocessen. Afhængigt af dine mål kan du endda sende phishing-tests oftere til medarbejdere, der ikke har bestået tidligere tests.
Men hvor ofte bør man udsende?
Vi anbefaler at sende phishing-test e-mails ud mindst to gange om året, men fire til seks gange om året ville også være godt, hvis du har ressourcerne til det. Det vigtigste du bør huske på, når du vælger, hvor ofte du vil køre dine simuleringer, er, at dine tests skal være hyppige nok til at opretholde en vedvarende bevidsthed, uden at dine medarbejdere bliver "følelsesløse" over for tests eller udbrændte. Det er afgørende at øge bevidstheden, men med for mange tests risikerer du, at dine medarbejdere sidder og venter på den næste phishing-test i stedet for at forbedre deres evner opdagelsesevner.
Afsendelse af dine phishing-testmails
Når du har fortalt om træningsprogrammet, udarbejdet et par e-mails og oprettet en tidsplan, er du klar til at begynde at udsende e-mails!
Den første test-e-mail, du sender, skal være på et mellemsvært niveau. Dette giver dig et realistisk billede på, hvordan dine medarbejdere ville reagere på en reel phishing-e-mail. Afhængigt af dine mål for phishing-testprogrammet kan du også starte med en sværere e-mail. Dette kan være nyttigt, hvis du vil vise dine medarbejdere, hvor farlige phishing-e-mails virkelig kan være. Resultaterne fra denne første test vil tjene som et udgangspunkt, som du kan bruge til at måle dine medarbejderes fremskridt, efterhånden som de lærer.
Undgå, at testen bliver for let
Efterhånden som dine medarbejdere bliver bedre til at genkende phishing-e-mails, kan du gøre testene vanskeligere. En måde at gøre dette på er at få e-mailen til at se ud som om, den kommer fra en intern afsender i stedet for en ekstern afsender. Vi har normalt paraderne nede, når vi tror, at en e-mail er fra en kollega, hvilket gør "interne" e-mails mere troværdige. Denne form for test er vigtig, fordi det at finde navne og interne roller på personer i din organisation normalt er en nem opgave for cyber-kriminelle, især hvis din virksomhed har en "Om os"-side, eller hvis dine medarbejdere bruger LinkedIn. Vi ser anderledes på en anmodning om at udlevere bankoplysninger, når det kommer fra vores økonomiafdeling i stedet for en "nigeriansk prins"! At udskifte afsenderen gør e-mailen mere målrettet og vil lære dine medarbejdere at genkende en farlig type phishing, som kaldes målrettet/spear phishing.
En anden strategi, du kan bruge, er at sende e-mails til kun få medarbejdere af gangen. Dette hjælper med at undgå, at de advarer hinanden, så dine medarbejdere kan teste deres færdigheder på egen hånd. Vi anbefaler også, at du kører forskellige temaer i dine phishing-simuleringer, fordi et tema kan være let for nogle og ikke for andre.
Phishing-testprogrammer er som at gå i fitness
Når phishing-simuleringsprogrammet har været aktivt i et stykke tid, kan det være fristende at lade det glide ud af din opgaveliste. Men det er vigtigt, at du holder programmet kørende, selvom dine medarbejdere bliver ved med at score højt i testene.
På denne måde kan phishing-test sammenlignes med fysisk træning! Hvis du løfter vægte hver dag i et halvt år, vil du sandsynligvis føle dig stærk, og måske tænke, at du ikke behøver at træne mere. Men hvis du pludselig holder op med at træne, vil dine muskler blive svagere, og du bliver nødt til at arbejde virkelig hårdt for at komme tilbage til, hvor du plejede at være. Vores hjerner fungerer på samme måde, og uden konstant øvelse kan dine medarbejdere have svært ved at genkende phishing-forsøg.
At holde træningsprogrammet ved lige er dog ikke kun for at holde dine medarbejdere skarpe. Det er også en måde, hvorpå du kan lære dine medarbejdere om nye phishing-metoder og sikre, at alle nye medarbejdere er blevet trænet lige så godt som resten af dine medarbejdere.
For at opsummere er vedvarende tests den bedste måde at forberede dine medarbejdere på at reagere på et reelt phishing-scenarie.
Brug de data, du indsamler, til at forbedre dine træningsmetoder
De data, du indsamler fra disse phishing-tests, vil være et værdifuldt værktøj til at forme dine it-sikkerhedspraksisser. De data, du skal indsamle fra hver kampagne, er:
-
Antal personer, der har klikket på linket
-
Antal personer, der har udført den ønskede handling (f.eks. delt personlige oplysninger)
-
Antal personer, der har rapporteret e-mailen korrekt
Med disse oplysninger kan du begynde at genkende mønstre. Dataen kan f.eks. bruges til
-
Skabe træningsemner, der forbedrer opmærksomheden yderligere
-
Finde ud af, hvor godt medarbejderne forstår dine interne rapporteringspolitikker
-
Målrette yderligere træning til de personer, der vil have størst gavn af det
Overvej at arbejde med en ekstern partner
Fordi vellykket phishing-tests kan være vedvarende, kan det kræve meget tid at holde træningsprogrammet i gang. Dette er en af grundene til, at det kan give mening at samarbejde med en ekstern træningsudbyder. At samarbejde med en træningsudbyder kan spare dig tid, på at skrive testmails, administrere træningen og analysere resultaterne.
Vores phishing-træning gør netop det. Vi opretter og sender simulerede phishing-e-mails til dine medarbejdere, men du forbliver en del af processen med adgang til en live tracking platform og nøje udvalgt indsigt i, hvordan forskellige teams klarer sig. Hvis du er interesseret i at få mere at vide, så kontakt os endelig.
Komplimenter phishing-tests med andre aktiviteter, der øger opmærksomhed
Phishing-tests er et aktiv for dit hold, men det bør ikke være det eneste, du gør! Du kan se phishing-simuleringer som en del af et større træningsprogram til at øge bevidstheden om it-sikkerhed. Ligesom når man lærer at køre bil, kan man ikke lykkes uden både teori og praksis. Ligesom du har brug for både klasseundervisning og øvelsestimer på vejen for at blive en god fører, har du også brug for generel awareness-træning og simulationsøvelser for at opnå en stærk cybersikkerhedskultur!
Vores arbejde med it-sikkerhed viser os, at et bevidst team er det mest modstandsdygtige over for cyberangreb, og derfor er det vigtigt at opretholde en stærk cybersikkerhedskultur i din organisation. Udover phishing-træning bør du bruge andre initiativer til at forbedre it-sikkerhedsbevidstheden i din virksomhed og træne dine medarbejdere til at blive dit stærkeste forsvar.
