הדרך הנכונה לבצע סימולציה להתקפות פישינג

מה זה פישינג וBEC?

פישינג היא התקפת הנדסה חברתית. פושעי סייבר ששולחים הודעה לא אמיתית שמנסה להפיל בפח
אנשים/עובדים בכדי שימסרו מידע רגיש ו/או להשיג גישה לחשבונות חברה או פרטיים על מנת למנף זאת
לביצוע התקפת סייבר.


יש כל מיני סוגים של פישינג. אימייל, סמס (סמישינג), שיחות טלפון (וישינג) ולאחרונה גם בQR .

התקפת BEC (Business Email Compromise) היא התקפת אימייל יותר ממוקדת אשר מנסה לתקוף
אנשים בארגון כדי ליצור נזק תדמיתי, כלכלי או כל תעלת אחרת לפושעי הסייבר. התקפה זאת מובילה
לעיתים רבות למתקפת כופר על הארגון.

 

האם יש עובדים מסוימים שנתקפים יותר?

כל אחד/ת יכול/ה להיות מטרה למתקפת פישינג. כל עובד יכול בעצם לפתוח דלת לתוך הארגון.

אף אחד אינו חסין ולכל אדם יש נקודות לחץ. כל אחד יכול להיות לחוץ או לא לשים לב במצבים מסוימים.

עם זאת, ישנם עובדים שיכולים להוות מטרה יותר נחשקת לתוקפים.

עובדים עם גישה למידע רגיש, לכסף, לספקי משנה לסביבת הפיתוח ובכלל למשאבי החברה , ודאי
יקרבו את פושעי הסייבר לנזק פוטנציאלי גדול במידה ויפרצו.

מחלקת הכספים, רכש, כוח אדם, פיתוח, אדמינס וכמובן ההנהלה.

בתרגול פישינג יש להתייחס לקבוצות השונות ולהתאים את סוג ההתקפה האפשרית לקהל היעד.

אז מה זאת סימולציית פישינג ולמה היא כל כך חשובה?

מערכת שמתרגלת את העובדים ע"י שליחת הודעות אימייל וסמס, המדמות הודעות פישינג של תוקפים
המנסים לחדור לארגון.
ההודעות מגוונות מאוד ומנסות להפעיל רגש חזק אצל העובדים. לחץ, דחייה, פחד, אושר, הפתעה.

התרעה על חסימת חשבון, החלפת סיסמה, איום באיבוד כסף, חבילה שהגיעה שתקועה בדואר ועוד...
 
ישנן מערכות שלומדות את הפעילות של אותם עובדים, מסווגת אתם לאוכלוסיות וכך ניתן ללמוד מי
מהעובדים מהווה סיכון רב יותר וצריך לעבור הדרכות נוספות בנושא.
 
המערכת בודקת מי "נופל בפח", מי מדווח, מי שם לב ומי לא.
 
תרגול פישינג חשוב מאוד כי הגורם האנושי יכול בעצם להכניס את התוקפים לתוך הארגון.
 
הארגון חייב לקבוע מהי מטרת התרגול, מהם קהלי היעד ומה הסיכון שרוצים למזער ולמדוד.
 
אין תועלת בשליחת הודעות סתם, חשוב להבין מה אנחנו מנסים למנוע.
 
התאמת התוכן לקהלי היעד תהיה אפקטיבית יותר להדמיית התקפות מתוחכמות.
 
לצוות האבטחה יש יתרון יש יתרון כי הוא מחזיק במידע פנימי שיכול לעזור לו להטעות את העובדים לפי
אופי העבודה הרלבנטי לכל מחלקה, ההקשרים העסקיים, שמות פרויקטים ועוד.
 
ככל שנחשוב כמו התוקפים, התרגול יהיה מותאם ואפקטיבי לבחינת מקרים ריאליים.
 
בד בבד, מייל אחיד לכל החברה יכול לתת נקודת השוואה טובה יותר וריבוי הדמיות יקשה על ניהול
העניין.
 
בכל מקרה חשוב לתרגל ולתרגל כדי לבנות עמידות. שהעובדים יוכלו לזהות ולדווח על התקפות פישינג
בזמן אמת.
 

רגע, זאת לא אחריות צוות האבטחה למנוע את כל התקיפות האלו?

צוות האבטחה ינסה למזער את המתקפות אך לא קיים ארגון שחסין במאת האחוזים.

ממש כמו בחיים הפיזיים, אנחנו משתמשים במכונות אשר אמורות להיות בטיחותיות אבל עדיין
משתמשים בתמרורי אזהרה ברורים.

לא ניתן לילדים שלנו לחצות את הכביש ככה סתם כי משרד התחבורה אמור להגן עלינו.

חייב להיות שילוב של טכנולוגיה ובני אדם. העובדים יכולים לעזור לצוות האבטחה ולייעל את מערכות
המיגון.

דבר חשוב לזכור שתרגול כזה תורם רבות לעובד להתמודד עם אותם איומים בחיים הפרטיים.

פושעי סייבר תוקפים אנשים פרטיים בתדירות דומה לתקיפת ארגונים.

זהו בעצם שירות של צוות ההדרכה שמעניק לעובדים כלים אפקטיביים לחיים בסביבה הביתית.

התהליך צריך להיות חיובי ובשיתוף פעולה עם העובדים וההנהלה.

שילוב משחקים (GAMING) ותחרויות בין המחלקות יוצר בד"כ מעורבות גדולה בנושא ומונע את עייפות
החומר והתנגדויות.

רתימת ראשי המחלקות ושיתוף פעולה יובילו לחוויה טובה יותר.

תמריצים במידה והכרה בהצלחות ימנפו את יעילות התרגול.

חשוב להתחשב בתרבות הארגונית, גודל הארגון והפריסה הגאוגרפית.

מה עושים לפני, הדרכה או סימולציית פישינג?

אין דעה אחת בנושא.

יש ארגונים שיעדיפו לעשות תרגול לפני הדרכה ולבדוק אם יש שיפור אחרי ההדרכה.

אחרים יעדיפו לערוך הדרכה מוקדמת כדי לא להכשיל את העובדים.

שילוב בין השניים לאורך זמן ובצורה מתמדת יוביל למודעות הגבוהה ביותר.

חשוב ליידע את העובדים שמתקיימים תרגילי פישינג בכדי למנוע מרמור וכעסים וליצור שיתוף פעולה
פורה.

לתוקפים אין גבולות, האם ככה צריכה להראות גם ההדמיה?

ההדמיה ממש כמו שהיא נשמעת צריכה לדמות התקפה אמיתית אך יש להיזהר ולא לפגוע יותר מדי
בעובדים.

ניצול ציני ע"י הודעות כמו כרטיסי מתנה מזוייפים, בדיקות קורונה ועוד תרחישים שיבהילו או יבאסו את
העובדים צריכים להיות מבוקרים והשימוש בהם צריך להיות מושכל.

הדרכות על אופי התקפות כאלו לעיתים יהיה יותר יעיל.

עם זאת יש לזכור שפושעי סייבר אינם מתחשבים ברגשות העובדים לכן ההדמיות חייבות להית אוטנטיות
ככל הניתן תוך כדי שקיפות לפני ואחרי התרגול. יש להתחשב בתרבות הארגונית ולשאוף לשיתוף פעולה
עם העובדים.

התרגול הוא למען העובדים ולא נגדם!

אפשר לעלות את "רמת הקושי" לאורך זמן ולא להתחיל עם תרחישים קיצונים מהתרגול הראשון.

כמה פעמים בשנה יש לערוך הדמיות פישינג?

אין תשובה נכונה.

ככל שנתרגל יותר העובדים אמורים להיות יותר מיומנים.

במקביל, תרגול יתר עלול לגרום לעייפות החומר וחוסר אכפתיות.

אנחנו לא רוצים להטריד את העובדים כל הזמן וליצור "טרור" בארגון.

עובדים עלולים לפתח אדישות וגרוע מזה לפחד מכל אימייל נכנס.

שמירת האיזון והקשבה למשוב מהעובדים יובילו לכמות הנכונה לכל חברה.

מה עושים עם העובדים שנכשלים?

בוודאי שלא לכעוס ולא להעניש. הדרך צריכה להיות חיובית.

"קשה באימונים, קל בקרב".

אמנם אנחנו לא רוצים שעובדים יפלו בפח התרגול אבל יש לזכור שזה כמעט בלתי אפשרי שכולם יהיו
חסינים.

לכן, רצוי לעודד את אותם עובדים ולחזק אותם בהדרכות רלבנטיות.

יש לזכור שזה אימון לאורך טווח ולא תקיפה אמיתית.

בנוסף, יש לבדוק תהליכים לא מותאמים שמהווים בסיס להונאה ולשפר אותם על מנת למזער את הסיכון
למרמה.

מהם המדדים המרכזיים שיש לבדוק?

חשוב לבדוק את אזורי הסיכון בארגון.

אלו עובדים נוטים להקליק ואלו עובדים לא מדווחים ובמקומות האלו להגביר את ההדרכות והמודעות.

כמה עובדים הקליקו וכמה עובדים דיווחו.

לשאוף להוריד את כמות המקליקים ולעלות את כמות המדווחים.

כמות הדיווחים לגבי התקפות או סיכונים אמיתיים מהווים אינדיקציה לרמת המודעות ואפקטיביות
ההדמיות.

חשוב לבדוק את הנושא לאורך זמן ולבחון את מגמת השיפור.

המאבק בפישינג הוא ארוך ולא נפסק.

תמיד יהיו התקפות חדשות, עובדים חדשים המצטרפים לארגון ועובדים ותיקים שקצת יתעייפו.

מה חשוב לזכור?

תרגול פישינג הוא למען העובדים ולא נגדם.

העובדים יכולים להשתמש בכלים הנלמדים כדי להגן על עצמם והקרובים להם בסביבה הביתית.

הגנה מקיפה דורשת תרגול והדרכה.

שיתוף פעולה עם ההנהלה והעובדים הכרחי.

חשוב להבליט את המטרות, האיומים הרלבנטיים ואת המשמעות של התרגול.

לתכנן מראש, לדעת מה רוצים לבדוק, מי קהלי היעד, מהם הסיכונים ומהן המטרות של התרגול.

להתחיל ולהתקדם לאורך זמן.

תודה רבה לצוות הפאנל שלנו:

יוגב נחום – מנחה

דוד חבושה -סמנכל מוצר IRONSCALES

מיטל בן וקיל מנהלת מודעות אבטחת מידע GRC בנק דיסקונט

איתמר שלו - מנהל גלובלי מודעות אבטחת מידע וסייבר, AMDOCS

גבריאל פרידלנדר – מייסד ומנכ"ל WIZER.

 

משאבים נוספים

 

 

 

מחפשים הדרכת מודעות קצרה, רלוונטית ומרתקת?

בדקו את ספריית הווידאו החינמית של Wizer למודעות אבטחה.