آزمون فیشینگ برای کارکنان سازمانها
شبیه سازی عملیات فیشینگ یا آزمون فیشینگ به یکی از محبوبترین برنامه های آموزش امنیت سایبری در سازمانها در هراندازه کوچک و بزرگ تبدیل شده است. آزمون فیشینگ به کارمندان امنیتی اجازه میدهد تا ایمیلهایی را به صورت یکجا برای کارمندان تهیه و ارسال کنند. این ایمیلها مانند ایمیلهای فیشینگ مخرب واقعی طراحی شده اند و بسیار طبیعی و فریبنده عمل میکنند. این ایمیلها معمولاً شامل حقههایی مانند اطلاعیه تحویل کالا، درخواست پرداخت فاکتور و شایعات مربوط به شخصیتهای مشهورمیباشد.
تحت نظارت و کنترل تیم امنیتی می توان سطح آگاهی امنیتی کارکنان را با استفاده از این آزمونها بررسی نمود. برخی از مواردی که در این آزمون مورد بررسی قرار میگیرد، شامل موارد زیر میباشد:
- کارمندان چه تعداد از فایلهای پیوست را باز نموده و بر روی چند لینک کلیک کردهاند؟
- چه تعداد ایمیل به عنوان ایمیل مشکوک، علامت گذاری شده و کارمندان آنها را نادیده گرفتهاند؟
- چه ترفندهایی نسبت به بقیه موفقیت بیشتری برای فریب کارمندان داشتهاند؟
- آیا بخشها یا کاربران خاصی وجود دارند که احتمال فریب خوردن آنها بیشتر باشد؟
آزمون فیشینگ یک شرکت راه آهن در انگلستان
با توجه به آنچه که در بالا گفته شد، یکسری از عملکردهای خاص امنیتی منجر به ایجاد پرسشهای مهمی درباره روشهای اجرای آزمون فیشینگ شدهاند. به عنوان مثال، یک شرکت راه آهن در انگلستان آزمون فیشینگی را برای کارمندانش اجرا کرد که به خاطر موضوع آن مورد انتقادهای بسیاری قرار گرفت.
آنها ایمیلی را که به ظاهر از سمت بخش امور مالی و حسابداری این شرکت تنظیم شده بود را به کارمندان خود ارسال کرد. آنها در این ایمیل اظهار داشتند: پرسنل به دلیل همکاریهایی که در دوره شیوع بیماری کرونا انجام دادهاند، مشمول دریافت پاداش شدهاند بنابراین برای اطلاع از جزئیات نحوه دریافت آن، بر روی یک لینک مایکروسافت آفیس ۳۶۵ کلیک کنند. این لینک آنها را به سمت وب سایت فیشینگ شبیهسازی شدهای هدایت میکرد. کارمندانی که بر روی این لینک کلیک میکردند یک ایمیل از تیم منابع انسانی شرکت دریافت مینمودند که در آن درباره چنین حملاتی و ضرورت خودداری از ورود اعتبارنامههای دیجیتال (نام کاربری و کلمه عبور) در این سایتها هشدار داده شده بود.
آزمون فیشینگ اخلاقی
پرداخت پول یکی از روشهای پرکاربرد و کارآمد مورد استفاده مجرمان سایبری برای فریب کاربران است اما استفاده از چنین رویکردی در یک آزمون فیشینگ، منجر به ایجاد پرسشهایی درباره آنچه در این آزمون ها اخلاقی محسوب شده است میشود. اما باید اطمینان حاصل کرد که آزمون فیشینگ یک ابزار آموزش کارآمد، مفید و مؤثر برای سازمان و کارمندان است و ضرر آن بیشتر از سود آن نیست.
دکتر Jessica Barker مؤسس، مدیرعامل و مدیر امور اجتماعی فنی شرکت Cygenta در این خصوص میگوید: «سازمانها باید برای آزمون فیشینگ، در محدودههای تعیین شده عمل کنند چون احتمال ایجاد آسیبهای چشمگیر در هنگام شبیهسازی عملیات حملات فیشینگ وجود دارد. استفاده از حقههای احساسی مثل اداعای پرداخت پاداش نقدی و یا مراقبتهای بهداشتی به خصوص در پرتوی شیوع بیماری کرونا نقش مهمی در تخریب سلامت احساسی دریافتکنندگان ایمیل دارد که این موضوع به نوبه خود میتواند بر امنیت، اعتماد و فرهنگ درون محیط کار تأثیرگذار باشد».
این شرایط میتواند صرف نظر از تلاشهای تیم امنیت سایبری، باعث رنجش کارمندان از آنها شود. Barker اظهار داشته است: «مردم معمولاً علاقهای ندارند که فریب داده شوند و به اشخاصی که آنها را فریب میدهند دیگر اعتماد نمیکنند. یکی از استدلالهای تیمهای امنیتی سازمانها این است که وقتی مجرمان در حملات فیشینگ از ترفندهای احساسی استفاده میکنند، چرا ما این کار را نکنیم؟ اما باید به این نکته توجه داشت که ما نباید از لحاظ روانی و اخلاقی کارکنان شرکت را رنجانده و آنها را به خود بی اعتماد کنیم».
سازمانها باید قالب ایمیلهای فیشینگ را با دقت انتخاب کرده و از به کار بردن موضوع هایی که منجر به ناراحتی کارمندان میشوند جداً خودداری کنند. دکتر John Blythe مدیر علوم رفتاری شرکت CybSafe هم با این دیدگاه موافق است.
هدف از انجام آزمونهای فیشینگ
برای اجرای شبیهسازیهای فیشینگی که اخلاقی و کارآمد باشند، در گام اول باید هدف از اجرای این آزمون ها را درک کنید. Barker میگوید: «نکته کلیدی که برای مرحله طراحی شبیهسازیهای فیشینگ توصیه میکنم این است که دلیل اجرای آزمون ها را در نظر بگیرید. اگر شبیهسازی فیشینگ را یک تمرین تصادفی و بیپایه و اساس می دانید توصیه میکنم که یک مرحله به عقب برگشته و بر روی این موضوع فکر کنید؛ چون چنین کاری آموزش نیست بلکه فریب است. اگر این آزمون ها را نوعی آموزش در نظر میگیرید، به این فکر کنید که به دنبال آموزش چه رفتاری هستید؟».
سازمانها باید به این نکته توجه داشته باشند که هدف از اجرای سناریوهای آزمون، ایجاد یک درک کلی درباره ایمیلهای فیشینگ است و اینکه کاربران بتوانند تواناییشان را برای تشخیص حملات فیشینگ محک بزنند. دکتر Barker معتقد است که: «هنوز هم تمرکز اصلی بسیاری از شبیهسازیهای فیشینگ، کاهش میزان کلیک است. افراد همیشه بر روی لینکها کلیک میکنند به خصوص در ایمیلهای فیشینگی که طراحی باکیفیتی نیز داشته باشند. برای کارآمدتر شدن هر چه بیشتر آزمون ها نباید تمرکز اصلی، کاهش میزان کلیک باشد بلکه باید افزایش تعداد گزارش ها باشد. در نهایت، هدف اصلی اجرای شبیهسازی فیشینگ، درک شرایط سازمان و احترام گذاشتن به آن است».
ایجاد اعتماد از طریق برقراری ارتباط
Blythe، شفافیت را عنصر مهم بعدی آزمونهای فیشینگ میداند. او میگوید: «سازمانها باید با کارمندانشان برخوردی شفاف داشته باشند و به آنها اطلاع دهند قرار است یک حمله فیشینگ شبیهسازی شده اجرا کنند و بر اینکه این حمله به عنوان یک ابزار آموزشی طراحی شده است تأکید کنند. بدون ایجاد اعتماد، ممکن است کارمندان دلخور شده و احساس کنند تحت نظارت هستند یا اینکه سازمان به دنبال گیر انداختن آنها است».
اJones نیز اعلام کرد: «کاربران باید به تدریج با ایده فیشینگ آشنا شوند. به آنها آموزش دهید که در حملات فیشینگ به دنبال چه علائمی بوده و چگونه به آنها واکنش نشان دهند. فرهنگ ارتباطی که بر مبنای این فرایند ایجاد میشود، همان چیزی است که باید به دنبال آن باشید».
ارایه بازخوردهای مثبت
ارایه بازخوردهای مثبت نقش مهمی در اثربخشی آزمونهای فیشینگ داشته و بر دیدگاه کاربران نسبت به اخلاقی بودن یا نبودن رویکرد سازمان هم تأثیرگذار است. مثلاً تیمهای امنیتی باید به جای سرزنش یا تنبیه کارمندانی که در آزمون ها شکست میخورند و ممکن است باعث ایجاد حس منفی، تحقیر و ناامیدی در آنها شود، تمرکزشان را معطوف بر تشویق رفتارها و واکنشهایی کنند که به دنبال تقویت و ترویج آنها هستند. بر اساس گفته های Barker: «این رویکرد مثبت تأثیر بسیار بیشتری داشته و منجر به جلب مشارکت مؤثر افراد میشود».
Gary Warner مدیر اطلاعات شرکت DarkTower هم توصیه مشابهی را مطرح میکند و با اشاره به یکی از تجربیات خودش، شرکتها را تشویق به استفاده از سیاست هویج به جای چماق مینماید. او میگوید: «من به رئیسم گفتم که میتوانم با صد دلار میزان گزارش ایمیلهای مشکوک را افزایش دهم. سپس جدیدترین گزارشی را که داشتیم دریافت نموده و یک تحلیل کامل بر روی آن انجام دادم. در نهایت یک ایمیل با متن زیر در سطح کل سازمان ارسال کردم:
“جو در مرکز پشتیبانی یک ایمیل مشکوک دریافت کرد و آن را فورا به ایمیل را به آدرس [email protected] ارسال کرد. اگر به جای این کار بر روی لینک ارسال شده کلیک میکرد، رایانهاش را با ویروس X آلوده میشد که این آلودگی منجر به سرقت اطلاعات ما و ارسال آن برای کشورهای بیگانه میگشت! برای تشکر از این اقدام جو، ما او را با یک همراه، به یک ناهار در رستوران دعوت کردیم. از اینکه از سازمان محافظت کردی، متشکرم جو!
آیا شما تا به حال چنین ایمیلهای مشکوکی را دریافت کردهاید؟ در این صورت لطفاً این ایمیلها را به آدرس [email protected] ارسال کنید. شاید با این اقدام بتوانید از سازمان در برابر یک حمله سایبری حفاظت کرده و خودتان هم برنده جایزه شوید».
«بعد از این اقدام، میزان گزارش ایمیل های فیشینگ هزار درصد افزایش یافت و هزینه این طرح و پاداش آن تنها صد دلار در ماه بود!».
اگرچه ممکن است عدهای ترفند مورد استفاده Garner را به شبیهسازی فیشینگ شرکت WMT شباهت دهند اما روش کلی مورد استفاده او کاملاً متفاوت بود چون Garner این کار را به صورت واضح، آموزنده و بدون استفاده از شیوه بیان احساسی و تشویق کاربر به اقدام فوری انجام داده بود (علاوه بر این، Garner واقعاً به کارمندان پاداش میداد برخلاف شرکت WMT که کاملاً از یک وعده غیرواقعی استفاده کرد). این نمونه بارزی از چگونگی استفاده از رویکرد مثبت برای تشویق کاربران به پرورش عادتهای رفتاری مثبت امنیتی است.
تبدیل شکستهای فیشینگی به پیروزیهای امنیتی
پس از جمعآوری اطلاعات از فرایند شبیهسازی آزمون فیشینگ، کارهایی که توسط تیم امنیتی در مراحل بعدی انجام میشوند هم اهمیت بسیار زیادی دارند. تمرکز تیم امنیت نباید فقط کاربران باشد بلکه باید به این فکر کنند کل سازمان چگونه میتواند از نتایج شبیهسازیها منفعت ببرد.
Jones میگوید: «شاید این شعار، کلیشه ای باشد ولی در حوزه امنیت سایبری، دادهها پادشاه هستند. همه چیز از دادههای فنی گرفته تا گزارشهای امنیتی و اطلاعات کاربران، همگی دانشی مهم و حیاتی را فراهم میکنند. کارمندان اولین خط دفاعی یک سازمان هستند بنابراین تصمیمگیران باید از مخاطرات ایجاد شده توسط آنها آگاه باشند به خصوص با توجه به اینکه اجرای یک حمله فیشینگ موفق میتواند باعث دور زدن تمام ابزارهای امنیتی توسط یک بدافزار شود».
با این حال برای جلب مشارکت اشخاصی که در فرایند آزمون شکست خوردهاند، تشویق و آموزش امنیتی اهمیت بسیار زیادی دارد. Blythe میگوید: «وقتی افراد بر روی یک ایمیل فیشینگ شبیهسازی شده کلیک میکنند باید بازخوردی مفید و به موقع دریافت نمایند. این بازخورد باید مختصر و جذب کننده باشد نه یک تنبیه یا توضیح طولانی. در مجموع، رویکرد ما برای کاهش مخاطره سایبری عامل انسانی باید بیشتر مبتنی بر همراهی و همدلی باشد. در طولانی مدت احتمال موفقیت رویکرد درک و همراهی کارمندان برای کمک به تغییر رفتارشان، در مقایسه با سرزنش و تحقیر آنها بیشتر است».
Jones همچنین گفته: «میتوان از دادههای به دست آمده از شبیهسازیهای فیشینگ هنگام برقراری ارتباط با مقامات دولتی هم استفاده کرد. به این ترتیب کسبوکارها میتوانند اثبات کنند از تهدیدات داخلی مطلع بوده و اقدام های لازم را برای مقابله با آنها انجام میدهند. آشکارسازی سطح مخاطره ای که کارمندان برای سازمان ایجاد میکنند و ارایه شواهد کافی مبنی بر ایجاد تغییر مثبت از طریق برقراری ارتباط و تشویق، یکی از نتایج حیاتی و مهم این شبیهسازیها است».
استفاده از ابزارها در زمان مناسب
آخرین نکته مهمی که سازمانها باید به آن توجه داشته باشند این است که آیا آزمون فیشینگ در زمان مناسب انجام میشود یا خیر؟
یکی از ویژگیهای این عملکرد، استفاده از آزمونهای فیشینگ سادهتر به عنوان مقدمهای برای آشنایی با روشهای خطرناکتر مورد استفاده توسط مجرمان واقعی است. Jones میگوید: «برای اطمینان از اینکه کارمندان از خطر واقعی آگاه هستند میتوان یک جلسه آموزشی درباره روشهای مورد استفاده مجرمان سایبری بدون در معرض قرار دادن کارمندان در چنین آزمونهایی برگذار کرد ».
در هر صورت، برای امنیت و بهبود رفتار کارمندان بسیار کاربردی است که حملات فیشینگ شبیهسازی شده در سازمانها اجرا شود.
تفاوت بین ایمیلهای اسپم و فیشینگ
منبع: csoonline
لطفا جهت مشاوره در انتخاب آنتی ویروس مناسب خود با این شماره 09224971053 تماس بگیرید.
ما را در شبکه های اجتماعی خودتان به اشتراک بگذارید.