آزمون فیشینگ برای کارکنان سازمان‌ها

 

شبیه سازی عملیات  فیشینگ یا آزمون فیشینگ  به یکی از محبوب‌ترین برنامه های آموزش امنیت سایبری در سازمانها در هر‌اندازه کوچک و بزرگ تبدیل شده است. آزمون فیشینگ به کارمندان امنیتی اجازه می‌دهد تا ایمیل‌هایی را به صورت یکجا برای کارمندان تهیه و ارسال کنند. این ایمیل‌ها مانند ایمیل‌های فیشینگ مخرب واقعی طراحی شده اند  و بسیار طبیعی و فریبنده عمل می‌کنند. این ایمیل‌ها معمولاً شامل حقه‌هایی مانند اطلاعیه تحویل کالا، درخواست پرداخت فاکتور و شایعات مربوط به شخصیت‌های مشهورمی‌باشد.

تحت نظارت و کنترل تیم امنیتی می توان سطح آگاهی امنیتی کارکنان را با استفاده از این آزمون‌ها بررسی نمود. برخی از مواردی که در این آزمون مورد بررسی قرار می‌گیرد، شامل موارد زیر می‌باشد:

• کارمندان چه تعداد از فایل‌های پیوست را باز نموده و بر روی چند لینک کلیک کرده‌اند؟
• چه تعداد ایمیل به عنوان ایمیل مشکوک، علامت گذاری شده و کارمندان آنها را نادیده گرفته‌اند؟
• چه ترفندهایی نسبت به بقیه موفقیت بیشتری برای فریب کارمندان داشته‌اند؟
• آیا بخش‌ها یا کاربران خاصی وجود دارند که احتمال فریب خوردن آنها بیشتر باشد؟

آزمون فیشینگ یک شرکت راه آهن در انگلستان

با توجه به آنچه که در بالا گفته شد، یکسری از عملکردهای خاص امنیتی منجر به ایجاد پرسش‌های مهمی درباره روش‌های اجرای آزمون فیشینگ شده‌اند. به عنوان مثال، یک شرکت راه آهن در انگلستان آزمون فیشینگی را برای کارمندانش اجرا کرد که به خاطر موضوع آن مورد انتقادهای بسیاری قرار گرفت.

آن‌ها ایمیلی را که به ظاهر از سمت بخش امور مالی و حسابداری این شرکت تنظیم شده بود را به کارمندان خود ارسال کرد.  آن‌ها در این ایمیل اظهار داشتند: پرسنل به دلیل همکاری‌هایی که در دوره شیوع بیماری کرونا انجام داده‌اند، مشمول دریافت پاداش شده‌اند بنابراین برای اطلاع از جزئیات نحوه دریافت آن، بر روی یک لینک مایکروسافت آفیس ۳۶۵ کلیک کنند. این لینک آنها را به سمت وب سایت فیشینگ شبیه‌سازی شده‌ای هدایت می‌کرد. کارمندانی که بر روی این لینک کلیک می‌کردند یک ایمیل از تیم منابع انسانی شرکت دریافت می‌نمودند که در آن درباره چنین حملاتی و ضرورت خودداری از ورود اعتبارنامه‌های دیجیتال (نام کاربری و کلمه عبور) در این سایت‌ها هشدار داده شده بود.

آزمون فیشینگ اخلاقی

پرداخت پول یکی از روش‌های پرکاربرد و کارآمد مورد استفاده مجرمان سایبری برای فریب کاربران است اما استفاده از چنین رویکردی در یک آزمون فیشینگ، منجر به ایجاد پرسش‌هایی درباره آنچه در این آزمون ها اخلاقی محسوب شده است می‌شود. اما باید اطمینان حاصل کرد که آزمون فیشینگ یک ابزار آموزش کارآمد، مفید و مؤثر برای سازمان و کارمندان است و ضرر آن بیشتر از سود آن نیست.

دکتر Jessica Barker مؤسس، مدیرعامل و مدیر امور اجتماعی فنی شرکت Cygenta در این خصوص می‌گوید: «سازمان‌ها باید برای آزمون فیشینگ، در محدوده‌های تعیین شده عمل کنند چون احتمال ایجاد آسیب‌های چشمگیر در هنگام شبیه‌سازی عملیات حملات فیشینگ وجود دارد. استفاده از حقه‌های احساسی مثل اداعای پرداخت پاداش نقدی و یا مراقبت‌های بهداشتی به خصوص در پرتوی شیوع بیماری کرونا نقش مهمی در تخریب سلامت احساسی دریافت‌کنندگان ایمیل دارد که این موضوع به نوبه خود می‌تواند بر امنیت، اعتماد و فرهنگ درون محیط کار تأثیرگذار باشد».

این شرایط می‌تواند صرف نظر از تلاش‌های تیم امنیت سایبری، باعث رنجش کارمندان از آنها شود. Barker اظهار داشته است: «مردم معمولاً علاقه‌ای ندارند که فریب داده شوند و به اشخاصی که آنها را فریب می‌دهند دیگر اعتماد نمی‌کنند. یکی از استدلال‌های تیم‌های امنیتی سازمان‌ها این است که وقتی مجرمان در حملات فیشینگ از ترفندهای احساسی استفاده می‌کنند، چرا ما این کار را نکنیم؟ اما باید به این نکته توجه داشت که ما نباید از لحاظ روانی و اخلاقی کارکنان شرکت را رنجانده و آن‌ها را به خود بی اعتماد کنیم».

سازمان‌ها باید قالب ایمیل‌های فیشینگ را با دقت انتخاب کرده و از به کار بردن موضوع هایی که منجر به ناراحتی کارمندان می‌شوند جداً خودداری کنند. دکتر John Blythe مدیر علوم رفتاری شرکت CybSafe هم با این دیدگاه موافق است.

 

 

هدف از انجام آزمون‌های فیشینگ 

برای اجرای شبیه‌سازی‌های فیشینگی که اخلاقی و کارآمد باشند، در گام اول باید هدف از اجرای این آزمون ها را درک کنید. Barker می‌گوید: «نکته کلیدی که برای مرحله طراحی شبیه‌سازی‌های فیشینگ توصیه می‌کنم این است که دلیل اجرای آزمون ها را در نظر بگیرید. اگر شبیه‌سازی فیشینگ را یک تمرین تصادفی و بی‌پایه و اساس می دانید توصیه می‌کنم که یک مرحله به عقب برگشته و بر روی این موضوع فکر کنید؛ چون چنین کاری آموزش نیست بلکه فریب است. اگر این آزمون ها را نوعی آموزش در نظر می‌گیرید، به این فکر کنید که به دنبال آموزش چه رفتاری هستید؟».

سازمان‌ها باید به این نکته توجه داشته باشند که هدف از اجرای سناریوهای آزمون، ایجاد یک درک کلی درباره ایمیل‌های فیشینگ است و اینکه کاربران بتوانند توانایی‌شان را برای تشخیص حملات فیشینگ محک بزنند. دکتر Barker معتقد است که: «هنوز هم تمرکز اصلی بسیاری از شبیه‌سازی‌های فیشینگ، کاهش میزان کلیک است. افراد همیشه بر روی لینک‌ها کلیک می‌کنند به خصوص در ایمیل‌های فیشینگی که طراحی باکیفیتی نیز داشته باشند. برای کارآمدتر شدن هر چه بیشتر آزمون ها نباید تمرکز اصلی، کاهش میزان کلیک باشد بلکه باید افزایش تعداد گزارش ها باشد. در نهایت، هدف اصلی اجرای شبیه‌سازی فیشینگ، درک شرایط سازمان و احترام گذاشتن به آن است».

 

ایجاد اعتماد از طریق برقراری ارتباط

Blythe، شفافیت را عنصر مهم بعدی آزمون‌های فیشینگ می‌داند. او می‌گوید: «سازمان‌ها باید با کارمندان‌شان برخوردی شفاف داشته باشند و به آنها اطلاع دهند قرار است یک حمله فیشینگ شبیه‌سازی شده اجرا کنند و بر اینکه این حمله به عنوان یک ابزار آموزشی طراحی شده است تأکید کنند. بدون ایجاد اعتماد، ممکن است کارمندان دلخور شده و احساس کنند تحت نظارت هستند یا اینکه سازمان به دنبال گیر انداختن آنها است».

اJones نیز اعلام کرد: «کاربران باید به تدریج با ایده فیشینگ آشنا شوند. به آنها آموزش دهید که در حملات فیشینگ به دنبال چه علائمی بوده و چگونه به آنها واکنش نشان دهند. فرهنگ ارتباطی که بر مبنای این فرایند ایجاد می‌شود، همان چیزی است که باید به دنبال آن باشید».

 

ارایه بازخوردهای مثبت

ارایه بازخوردهای مثبت نقش مهمی در اثربخشی آزمون‌های فیشینگ داشته و بر دیدگاه کاربران نسبت به اخلاقی بودن یا نبودن رویکرد سازمان هم تأثیرگذار است. مثلاً تیم‌های امنیتی باید به جای سرزنش یا تنبیه کارمندانی که در آزمون ها شکست می‌خورند و ممکن است باعث ایجاد حس منفی، تحقیر و ناامیدی در آنها شود، تمرکزشان را معطوف بر تشویق رفتارها و واکنش‌هایی کنند که به دنبال تقویت و ترویج آنها هستند. بر اساس گفته های Barker: «این رویکرد مثبت تأثیر بسیار بیشتری داشته و منجر به جلب مشارکت مؤثر افراد می‌شود».

Gary Warner مدیر اطلاعات شرکت DarkTower هم توصیه مشابهی را مطرح می‌کند و با اشاره به یکی از تجربیات خودش، شرکت‌ها را تشویق به استفاده از سیاست هویج به جای چماق می‌نماید. او می‌گوید: «من به رئیسم گفتم که می‌توانم با صد دلار میزان گزارش ایمیل‌های مشکوک را افزایش دهم. سپس جدیدترین گزارشی را که داشتیم دریافت نموده و یک تحلیل کامل بر روی آن انجام دادم. در نهایت یک ایمیل با متن زیر در سطح کل سازمان ارسال کردم:

“جو در مرکز پشتیبانی یک ایمیل مشکوک دریافت کرد و آن را فورا به ایمیل را به آدرس [email protected] ارسال کرد. اگر به جای این کار بر روی لینک ارسال شده کلیک می‌کرد، رایانه‌اش را با ویروس X آلوده می‌شد که این آلودگی منجر به سرقت اطلاعات ما و ارسال آن برای کشورهای بیگانه می‌گشت! برای تشکر از این اقدام جو، ما او را با یک همراه، به یک ناهار در رستوران دعوت کردیم. از اینکه از سازمان محافظت کردی، متشکرم جو!

آیا شما تا به حال چنین ایمیل‌های مشکوکی را دریافت کرده‌اید؟ در این صورت لطفاً این ایمیل‌ها را به آدرس [email protected] ارسال کنید. شاید با این اقدام بتوانید از سازمان در برابر یک حمله سایبری حفاظت کرده و خودتان هم برنده جایزه شوید».

«بعد از این اقدام، میزان گزارش ایمیل های فیشینگ هزار درصد افزایش یافت و هزینه این طرح و پاداش آن تنها صد دلار در ماه بود!».

اگرچه ممکن است عده‌ای ترفند مورد استفاده  Garner را به شبیه‌سازی فیشینگ شرکت WMT شباهت دهند اما روش کلی مورد استفاده او کاملاً متفاوت بود چون Garner این کار را به صورت واضح، آموزنده و بدون استفاده از شیوه بیان احساسی و تشویق کاربر به اقدام فوری انجام داده بود (علاوه بر این، Garner واقعاً به کارمندان پاداش می‌داد برخلاف شرکت WMT که کاملاً از یک وعده غیرواقعی استفاده کرد). این نمونه‌ بارزی از چگونگی استفاده از رویکرد مثبت برای تشویق کاربران به پرورش عادت‌های رفتاری مثبت امنیتی است.

 

تبدیل شکست‌های فیشینگی به پیروزی‌های امنیتی

پس از جمع‌آوری اطلاعات از فرایند شبیه‌سازی آزمون فیشینگ، کارهایی که توسط تیم امنیتی در مراحل بعدی انجام می‌شوند هم اهمیت بسیار زیادی دارند. تمرکز تیم امنیت نباید فقط کاربران باشد بلکه باید به این فکر کنند کل سازمان چگونه می‌تواند از نتایج شبیه‌سازی‌ها منفعت ببرد.

Jones می‌گوید: «شاید این شعار، کلیشه ای باشد ولی در حوزه امنیت سایبری، داده‌ها پادشاه هستند. همه چیز از داده‌های فنی گرفته تا گزارش‌های امنیتی و اطلاعات کاربران، همگی دانشی مهم و حیاتی را فراهم می‌کنند. کارمندان اولین خط دفاعی یک سازمان هستند بنابراین تصمیم‌گیران باید از مخاطرات ایجاد شده توسط آنها آگاه باشند به خصوص با توجه به اینکه اجرای یک حمله فیشینگ موفق می‌تواند باعث دور زدن تمام ابزارهای امنیتی توسط یک بدافزار شود».

با این حال برای جلب مشارکت اشخاصی که در فرایند آزمون شکست خورده‌اند، تشویق و آموزش امنیتی اهمیت بسیار زیادی دارد. Blythe می‌گوید: «وقتی افراد بر روی یک ایمیل فیشینگ شبیه‌سازی شده کلیک می‌کنند باید بازخوردی مفید و به موقع دریافت نمایند. این بازخورد باید مختصر و جذب کننده باشد نه یک تنبیه یا توضیح طولانی. در مجموع، رویکرد ما برای کاهش مخاطره سایبری عامل انسانی باید بیشتر مبتنی بر همراهی و همدلی باشد. در طولانی مدت احتمال موفقیت رویکرد درک و همراهی کارمندان برای کمک به تغییر رفتارشان، در مقایسه با سرزنش و تحقیر آنها بیشتر است».

Jones همچنین گفته: «می‌توان از داده‌های به دست آمده از شبیه‌سازی‌های فیشینگ هنگام برقراری ارتباط با مقامات دولتی هم استفاده کرد. به این ترتیب کسب‌وکارها می‌توانند اثبات کنند از تهدیدات داخلی مطلع بوده و اقدام های لازم را برای مقابله با آنها انجام می‌دهند. آشکارسازی سطح مخاطره ای که کارمندان برای سازمان ایجاد می‌کنند و ارایه شواهد کافی مبنی بر ایجاد تغییر مثبت از طریق برقراری ارتباط و تشویق، یکی از نتایج حیاتی و مهم این شبیه‌سازی‌ها است».

 

استفاده از ابزارها در زمان مناسب

آخرین نکته مهمی که سازمان‌ها باید به آن توجه داشته باشند این است که آیا آزمون فیشینگ در زمان مناسب انجام می‌شود یا خیر؟

یکی از ویژگی‌های این عملکرد، استفاده از آزمون‌های فیشینگ ساده‌تر به عنوان مقدمه‌ای برای آشنایی با روش‌های خطرناک‌تر مورد استفاده توسط مجرمان واقعی است. Jones می‌گوید: «برای اطمینان از اینکه کارمندان از خطر واقعی آگاه هستند می‌توان یک جلسه آموزشی درباره روش‌های مورد استفاده مجرمان سایبری بدون در معرض قرار دادن کارمندان در چنین آزمون‌هایی برگذار کرد ».

در هر صورت، برای امنیت و بهبود رفتار کارمندان بسیار کاربردی است که حملات فیشینگ شبیه‌سازی شده در سازمان‌ها اجرا شود.

تفاوت بین ایمیل‌های اسپم و فیشینگ

منبع: csoonline

لطفا جهت مشاوره در انتخاب آنتی ویروس مناسب خود با این شماره 09224971053 تماس بگیرید.

 ما را در شبکه های اجتماعی خودتان به اشتراک بگذارید.