Προσομοιώσεις Phishing: Τι Λειτουργεί και Τι Όχι
Το Phishing είναι μια από τις παλαιότερες και πιο αποτελεσματικές τεχνικές που χρησιμοποιούν οι κυβερνοεγκληματίες . Κανείς δεν είναι απρόσβλητος, ακόμη και οι ειδικοί στην ασφάλεια του Διαδικτύου, όπως φάνηκε στην περίπτωση του Troy Hunt, ο οποίος πρόσφατα έπεσε θύμα ενός email phishing . Πριν η τεχνητή νοημοσύνη (AI) γίνει mainstream, τα email phishing συχνά πρόδιδαν τον εαυτό τους . Ήταν γεμάτα γραμματικά λάθη και αδόκιμη διατύπωση, καθιστώντας τα ευκολότερα στον εντοπισμό . Αυτό έχει αλλάξει . Οι σημερινές επιθέσεις phishing είναι πολύ πιο πειστικές, συχνά μοιάζουν ακριβώς με πραγματικά μηνύματα .
Για αυτόν τον λόγο, πολλές εταιρείες χρησιμοποιούν προσομοιώσεις phishing για να εκπαιδεύσουν τους υπαλλήλους να αναγνωρίζουν και να αποφεύγουν αυτού του είδους τις επιθέσεις . Οι ομάδες HR συχνά εμπλέκονται στην ανάπτυξη αυτών των προγραμμάτων, ειδικά όταν πρόκειται για την εκπαίδευση των εργαζομένων, τη συμμόρφωση και την ευαισθητοποίηση . Ενώ οι ομάδες IT ή ασφάλειας συνήθως χειρίζονται την τεχνική πλευρά, το HR διαδραματίζει βασικό ρόλο στην εδραίωση της εκπαίδευσης .
Ωστόσο, η αποτελεσματικότητα αυτών των προσομοιώσεων αμφισβητείται . Ερευνητές διεξήγαγαν μια μελέτη σχετικά με την πραγματική αποτελεσματικότητα των κοινών μεθόδων εκπαίδευσης για το phishing . Διαπίστωσαν ότι η απόλυτη διαφορά στα ποσοστά αποτυχίας μεταξύ των εκπαιδευμένων και των μη εκπαιδευμένων χρηστών ήταν μικρή σε διάφορους τύπους εκπαιδευτικού περιεχομένου . Ωστόσο, θα πρέπει να το λάβουμε αυτό με προσοχή, καθώς η μελέτη διεξήχθη σε έναν μόνο οργανισμό υγειονομικής περίθαλψης και επικεντρώθηκε μόνο στα ποσοστά κλικ ως μέτρο επιτυχίας ή αποτυχίας . Δεν αποτυπώνει την πλήρη εικόνα .
Ο Matt Linton, διευθυντής ασφαλείας της Google, δήλωσε ότι οι δοκιμές phishing είναι ξεπερασμένες και συχνά προκαλούν περισσότερη απογοήτευση στους υπαλλήλους παρά βελτιώνουν τις συνήθειες ασφαλείας τους . Από την άλλη πλευρά, οι εταιρείες που χρησιμοποιούν προσαρμοστικές προσομοιώσεις phishing και εκπαίδευση βάσει συμπεριφοράς, ειδικά κατά την ένταξη, έχουν δει τον κίνδυνο phishing να μειώνεται κατά 30% μεταξύ των νέων προσλήψεων .
Ενώ καμία εκπαίδευση δεν είναι τέλεια, η εκπαίδευση των εργαζομένων να αναγνωρίζουν το phishing παραμένει βασικό μέρος μιας καλής στρατηγικής ασφάλειας . Η αλήθεια είναι ότι οι τακτικές phishing εξελίσσονται συνεχώς . Μια προσομοίωση που φαινόταν σχετική πριν από λίγους μήνες μπορεί να είναι ήδη ξεπερασμένη . Εάν η εκπαίδευση δεν συμβαδίζει με τις νέες απειλές, οι εργαζόμενοι ενδέχεται να μην είναι έτοιμοι για αυτό που υπάρχει . Γι' αυτό οι προσομοιώσεις phishing λειτουργούν καλύτερα όταν αποτελούν μέρος μιας ευρύτερης στρατηγικής . Για το HR, αυτό σημαίνει εστίαση στη συνεχή εκπαίδευση, την επικοινωνία και τη δημιουργία μιας εργασιακής κουλτούρας όπου η αναφορά ύποπτων email είναι ασφαλής .
Η τεχνητή νοημοσύνη (AI) έχει καταστήσει ευκολότερο για τους εγκληματίες του κυβερνοχώρου να πραγματοποιούν επιθέσεις phishing, συντάσσοντας πειστικά μηνύματα phishing, μιμούμενοι τις φωνές των ανθρώπων, ερευνώντας στόχους και δημιουργώντας deepfakes . Οι επιθέσεις phishing συμβαίνουν όταν οι εγκληματίες του κυβερνοχώρου εξαπατούν τα θύματά τους ώστε να μοιραστούν προσωπικές πληροφορίες, όπως κωδικούς πρόσβασης ή αριθμούς πιστωτικών καρτών, προσποιούμενοι ότι είναι κάποιος που δεν είναι . Χρησιμοποιώντας την τεχνητή νοημοσύνη σε αυτές τις επιθέσεις, οι εγκληματίες του κυβερνοχώρου μπορούν να φαίνονται πιο αξιόπιστοι, οδηγώντας περισσότερα θύματα να τους στείλουν ιδιωτικές πληροφορίες ή χρήματα .
Με τη γενετική AI, οι απατεώνες μπορούν πλέον να στέλνουν email phishing για να καταργήσουν τα γλωσσικά εμπόδια, να απαντούν σε πραγματικό χρόνο και να αυτοματοποιούν σχεδόν αμέσως μαζικές εξατομικευμένες καμπάνιες που διευκολύνουν την πλαστογράφηση τομέων και την απόκτηση πρόσβασης σε ευαίσθητα δεδομένα .
Είναι σημαντικό να σημειωθεί ότι οι προσομοιώσεις phishing έχουν σχεδιαστεί για να αυτοματοποιούν την εκπαίδευση phishing και να παρέχουν μαθησιακές εμπειρίες απευθείας στους υπαλλήλους . Για να αξιοποιήσετε στο έπακρο μια δοκιμή phishing, θα πρέπει να ακολουθήσετε αυτά τα βήματα: Όλες οι καλές δοκιμές phishing βασίζονται σε σταθερή προπαρασκευαστική εργασία . Ο στόχος των καμπανιών προσομοίωσης phishing είναι να εκπαιδεύσουν τους υπαλλήλους σχετικά με τον τρόπο εντοπισμού μιας απάτης phishing και να αλλάξουν τη συμπεριφορά «παρόρμησης για κλικ» στην οποία βασίζονται οι απατεώνες .
Συμπερασματικά, οι προσομοιώσεις phishing είναι ένα κρίσιμο εργαλείο στο οπλοστάσιο της κυβερνοασφάλειας, ικανό να ενισχύσει ή να βλάψει σημαντικά την κουλτούρα και τη στάση ασφάλειας ενός οργανισμού . Όταν διεξάγονται υπεύθυνα, αυτές οι προσομοιώσεις μπορούν να ενισχύσουν την οργανωτική κουλτούρα, να ενισχύσουν την ευαισθητοποίηση για την ασφάλεια και να εξοπλίσουν τους υπαλλήλους με τις δεξιότητες που απαιτούνται για την καταπολέμηση των πραγματικών απειλών .