כרגע אני עובד בצוות אבטחת ה- IT במקום העבודה שלי בתפקיד בכיר. לאחרונה סייעתי להנהלה בתכנון מסעות ההכשרה בנושא דיוג / הנדסה חברתית, שבאמצעותם אבטחת IT תשלח הודעות דוא"ל בנושא "דיוג" כדי לראות עד כמה עובדי החברה מודעים לאיתור מיילים כאלה.
אימצנו אסטרטגיה ממוקדת ביותר המבוססת לא רק על תפקיד העבודה של המשתמש אלא גם על התוכן שעובדים כאלה עשויים לראות. התוכן מגוון כדי לכלול הודעות דוא"ל המבקשות תוכן רגיש (למשל: עדכון סיסמה) לפוסטים מזויפים של מדיה חברתית, לפרסום ממוקד.
קיבלנו דחיפה חזרה ממשתמשי הקצה שאין להם דרך של הבחנה בין אימייל לגיטימי שהם יקבלו מיום ליום לבין הודעות אימייל של דיוג זדוני באמת. הצוות שלנו ביקש להקטין את הקושי שבמבחנים אלה.
ערוך כדי להתייחס לתגובות האומרות כי סימולציות פישינג של חנית הן עיצוב קיצוני / רע מדי של סימולציות
בניתוח התוצאות הקודמות של הדמיות פישינג, המשתמשים שלחצו נטו להציג דפוסים מסוימים. כמו כן, phish אחד מוצלח במיוחד שהביא להפסד כספי (רכישה מקוונת מיותרת) העמיד פנים שהוא חבר בהנהלה הבכירה.
כדי להגיב להערות על עומק המיקוד / GDPR, שיטות ההתאמה האישית מבוססות על נתוני חברה ציבורית (כלומר: פונקציית עבודה), ולא נתוני משתמשים פרטיים הידועים לאותו אדם בלבד. "התוכן שמשתמשים אוהבים לראות" מבוסס על " תרחישים אופייניים ", לא מה שמשתמשים בתוכן במקום העבודה שלנו רואים ב ספציפי
שאלות
-
מתי חינוך פישינג הולך רחוק מדי?
-
האם דחיפה חוזרת ממשתמשי הקצה הוכיחו כי המודעות שלהם עדיין חסרה וזקוקים להדרכה נוספת, במיוחד חוסר היכולת לזהות לגיטימי ממיילים זדוניים?