Προσαρμοσμένα σενάρια προσομοίωσης smishing: Τι πρέπει να ελέγχουν οι ομάδες ασφάλειας
Πώς να αξιολογήσετε τις ροές εργασίας ευαισθητοποίησης σχετικά με το phishing μέσω SMS χωρίς να δημιουργείτε επικίνδυνα μηνύματα, προβλήματα απορρήτου ή επιπλέον χειροκίνητη εργασία.

Πηγή εικόνας εξωφύλλου: Αρχικό πρόχειρο υλικό του AutoPhish.
Τα προσαρμοσμένα σενάρια προσομοίωσης smishing επιτρέπουν στις ομάδες ασφάλειας να εκπαιδεύουν τους υπαλλήλους σε θέματα SMS, chat και κοινωνικής μηχανικής με έμφαση στα κινητά, χωρίς να βασίζονται σε γενικά πρότυπα. Η αξία δεν έγκειται στο να γίνουν τα μηνύματα πιο παραπλανητικά. Έγκειται στην προσαρμογή σε ρεαλιστικό επιχειρηματικό πλαίσιο, στον καθορισμό ορίων ασφαλείας, στη μέτρηση της συμπεριφοράς αναφοράς και στην παροχή γρήγορης και ασφαλούς ανατροφοδότησης στους χρήστες.
Αυτή η διάκριση έχει σημασία όταν συγκρίνετε πλατφόρμες προσομοίωσης smishing. Η σωστή ερώτηση δεν είναι απλώς: «Μπορούμε να γράψουμε τα δικά μας σενάρια μηνυμάτων κειμένου;» Μια καλύτερη ερώτηση είναι: «Μπορούμε να προσαρμόσουμε τα σενάρια με τρόπο που να εμπνέει εμπιστοσύνη στους τομείς της προστασίας προσωπικών δεδομένων, της πληροφορικής, των ανθρώπινων πόρων, της συμμόρφωσης και στους υπαλλήλους;»
Ο παρών οδηγός έχει αποκλειστικά αμυντικό χαρακτήρα. Δεν περιλαμβάνει κείμενα phishing, τακτικές αποστολής, τεχνικές παράκαμψης, βήματα συλλογής διαπιστευτηρίων ή οδηγίες για πραγματικές επιθέσεις.
Γιατί τα προσαρμοσμένα σενάρια SMS έχουν σημασία
Η γενική εκπαίδευση για το smishing γίνεται γρήγορα παρωχημένη. Οι εργαζόμενοι μπορούν να μάθουν να εντοπίζουν ένα προφανές μήνυμα, ενώ εξακολουθούν να παραβλέπουν τις ροές εργασιών στο κινητό που χρησιμοποιούν στην πραγματικότητα καθημερινά: ενημερώσεις παράδοσης, αλλαγές στο ημερολόγιο, ειδοποιήσεις επαναρύθμισης κωδικού πρόσβασης, ειδοποιήσεις από το helpdesk, υπενθυμίσεις παροχών, ειδοποιήσεις ταξιδιού ή εγκρίσεις οικονομικών.
Τα προσαρμοσμένα σενάρια βοηθούν τις ομάδες ασφάλειας να κάνουν την εκπαίδευση σχετική με τον οργανισμό. Ένας χρήστης του τμήματος οικονομικών μπορεί να χρειάζεται διαφορετική καθοδήγηση από έναν υπάλληλο που εργάζεται στο πεδίο. Ένα γραφείο στη Γερμανία μπορεί να χρειάζεται διαφορετική γλώσσα και διαφορετικά βήματα ελέγχου από ένα γραφείο στις ΗΠΑ. Μια ομάδα υποστήριξης πελατών μπορεί να χρειάζεται διαφορετικά μέτρα προστασίας από την ομάδα των εκτελεστικών βοηθών.
Για τους αγοραστές, η προσαρμογή αποτελεί επίσης ένδειξη της ωριμότητας της πλατφόρμας. Ένα εργαλείο smishing που προσφέρει μόνο έτοιμα πρότυπα SMS μπορεί να είναι εύκολο στην εκκίνηση, αλλά δύσκολο στη διαχείριση. Μια πιο ισχυρή πλατφόρμα θα πρέπει να υποστηρίζει την αναθεώρηση σεναρίων, τη στόχευση κοινού, τα όρια ασφαλείας, την αναφορά προσαρμοσμένη σε κινητές συσκευές και αποδεικτικά στοιχεία ότι η εκπαίδευση βελτίωσε τη συμπεριφορά.
Εάν δημιουργείτε ένα ευρύτερο πρόγραμμα για κινητά, η σελίδα προσομοίωσης smishing της AutoPhish αποτελεί το σημείο εκκίνησης που σχετίζεται άμεσα με το προϊόν. Για το πλαίσιο πολιτικής σχετικά με SMS, WhatsApp και QR, ανατρέξτε στον οδηγό της AutoPhish σχετικά με τις πολιτικές phishing για κινητά για ΜΜΕ.
Ξεκινήστε με τη διαχείριση των σεναρίων, όχι με τη σύνταξη μηνυμάτων
Τα προσαρμοσμένα σενάρια smishing απαιτούν μια ροή εργασιών έγκρισης. Χωρίς αυτήν, η προσαρμογή μπορεί να οδηγήσει σε επικίνδυνα θέματα, ασυνεπή τοπική προσαρμογή ή ασκήσεις που μοιάζουν με παγίδες.
Μια πρακτική ροή εργασιών πρέπει να καθορίζει:
- ποιος μπορεί να ζητήσει ένα προσαρμοσμένο σενάριο
- ποιος ελέγχει το σενάριο πριν από τη δημοσίευσή του
- ποια θέματα απαγορεύονται
- ποιες ομάδες εργαζομένων εξαιρούνται ή αντιμετωπίζονται διαφορετικά
- αν απαιτείται έλεγχος από τις νομικές υπηρεσίες, το τμήμα προστασίας προσωπικών δεδομένων, το τμήμα ανθρώπινου δυναμικού ή το συμβούλιο εργαζομένων
- πώς εγκρίνονται η ταυτότητα του αποστολέα και η επωνυμία
- τι συμβαίνει αν ένας εργαζόμενος αναφέρει το μήνυμα ως ύποπτο
- ποια αποδεικτικά στοιχεία διατηρούνται μετά την άσκηση
Αυτό δεν χρειάζεται να μετατραπεί σε μια χρονοβόρα διαδικασία επιτροπής. Για πολλούς οργανισμούς, αρκεί ένας σύντομος κατάλογος ελέγχου. Το σημαντικό είναι τα προσαρμοσμένα σενάρια να αντιμετωπίζονται ως μια ελεγχόμενη ροή εργασιών ευαισθητοποίησης σε θέματα ασφάλειας, και όχι ως ελεύθερη σύνταξη μηνυμάτων.
Θέστε αυστηρά όρια ασφάλειας
Οι προσομοιώσεις smishing είναι χρήσιμες μόνο αν παραμένουν σαφώς αμυντικές. Μια ασφαλής πλατφόρμα πρέπει να δυσχεραίνει τη δημιουργία εκστρατειών που συλλέγουν ευαίσθητα δεδομένα, υποδύονται ανεύθυνα άλλα άτομα ή εκπαιδεύουν τους υπαλλήλους να μην εμπιστεύονται τα νόμιμα εσωτερικά κανάλια υποστήριξης.
Πριν επιλέξετε ένα εργαλείο προσομοίωσης smishing, ρωτήστε αν υποστηρίζει τα ακόλουθα μέτρα προστασίας:
- καμία συλλογή πραγματικών κωδικών πρόσβασης, κωδικών MFA, στοιχείων καρτών πληρωμής, token ή ευαίσθητων προσωπικών δεδομένων
- καμία συνημμένη κακόβουλης φύσης, συνδέσμους εκμετάλλευσης ευπαθειών ή οδηγίες που αποδυναμώνουν την ασφάλεια της συσκευής
- καμία πλαστοπροσωπία πραγματικών υπαλλήλων χωρίς ρητή έγκριση
- καμία κατάταξη βάσει ντροπής ή τιμωρητικές διαδικασίες για τους διευθυντές
- καμία χρήση θεμάτων που προκαλούν έντονο άγχος, όπως απολύσεις, ιατρικές καταστάσεις έκτακτης ανάγκης, μεταναστευτικό καθεστώς ή απειλές σχετικά με τον μισθό
- σαφής δυνατότητα εξαίρεσης ή διαχείριση εξαιρέσεων για ευαίσθητες ομάδες, όταν απαιτείται
- μια σύντομη εκπαιδευτική ενότητα μετά την αλληλεπίδραση, η οποία εξηγεί την ασφαλή συμπεριφορά αναφοράς
Το Εθνικό Ινστιτούτο Προτύπων και Τεχνολογίας των ΗΠΑ (NIST) παρέχει πρακτικές οδηγίες για το phishing σε μικρές επιχειρήσεις, συμπεριλαμβανομένης της βασικής υπενθύμισης ότι οι χρήστες πρέπει να είναι προσεκτικοί με ύποπτα μηνύματα και συνδέσμους. Οι οδηγίες τους για το phishing αποτελούν μια χρήσιμη εξωτερική πηγή αναφοράς όταν εξηγούμε γιατί η εκπαίδευση σχετικά με την ευαισθητοποίηση στη χρήση κινητών συσκευών πρέπει να εντάσσεται σε ένα ευρύτερο πρόγραμμα ασφάλειας.
Ελέγξτε αν η προσαρμογή υποστηρίζει ρόλους και περιοχές
Τα καλύτερα προσαρμοσμένα σενάρια προέρχονται συνήθως από πραγματικές επιχειρηματικές ροές εργασίας, αλλά πρέπει να προσαρμόζονται ανάλογα με τον ρόλο και την περιοχή, αντί να διανέμονται αδιακρίτως σε όλους.
Χρήσιμες διαστάσεις προσαρμογής περιλαμβάνουν:
- τμήμα ή θέση εργασίας
- αρχαιότητα και έκθεση σε διευθυντικά στελέχη και βοηθούς
- τοποθεσία γραφείου και γλώσσα
- ρόλους με έντονη χρήση κινητών συσκευών, όπως η εξυπηρέτηση πελατών στο πεδίο ή οι πωλήσεις
- εξωτερικούς συνεργάτες, εποχιακό προσωπικό και χρήστες κοινόχρηστων συσκευών
- υπαλλήλους που προσλήφθηκαν πρόσφατα
- χρήστες που χρειάζονται επιπλέον καθοδήγηση μετά από επαναλαμβανόμενες επικίνδυνες αλληλεπιδράσεις
Ο στόχος δεν είναι να στοχοποιηθούν άδικα ορισμένα άτομα. Ο στόχος είναι να δοθεί σε κάθε ομάδα-στόχο σχετική εξάσκηση και, στη συνέχεια, να μετρηθεί αν βελτιώνεται η υποβολή αναφορών. Μια ομάδα οικονομικών μπορεί να χρειάζεται ευαισθητοποίηση σχετικά με τιμολόγια και εγκρίσεις. Το τμήμα πληροφορικής μπορεί να χρειάζεται ευαισθητοποίηση σχετικά με την ανάκτηση λογαριασμών. Τα στελέχη μπορεί να χρειάζονται καθοδήγηση σχετικά με επείγοντα αιτήματα μέσω κινητών συσκευών. Οι υπάλληλοι σε περιοχές με απαιτήσεις εκπροσώπησης των εργαζομένων μπορεί να χρειάζονται διαφορετικούς κανόνες ειδοποίησης και αναφοράς.
Εάν χρειάζεστε ένα ευρύτερο μοντέλο τμηματοποίησης, ο οδηγός της AutoPhish για προσομοιώσεις phishing βάσει ρόλων παρέχει μια χρήσιμη δομή.
Αξιολογήστε την αναφορά και την ανατροφοδότηση, όχι μόνο την παράδοση
Πολλοί αγοραστές εστιάζουν υπερβολικά στο αν μια πλατφόρμα μπορεί να στέλνει μηνύματα SMS. Η παράδοση έχει σημασία, αλλά η πραγματική λειτουργική αξία προκύπτει αφού το μήνυμα φτάσει στον εργαζόμενο.
Ρωτήστε τους προμηθευτές πώς χειρίζονται:
- την αναφορά ύποπτων μηνυμάτων με ένα πάτημα ή χωρίς δυσκολίες
- την ταξινόμηση των αναφερόμενων μηνυμάτων SMS ή συνομιλιών
- την άμεση ανατροφοδότηση αφού ένας χρήστης αναφέρει ή αλληλεπιδρά με μια προσομοίωση
- συνοπτικές αναφορές φιλικές προς τους διευθυντές που αποφεύγουν τη δημόσια ταπείνωση
- ελέγχους απορρήτου για αποτελέσματα σε ατομικό επίπεδο
- αναφορές τάσεων σε όλα τα τμήματα και τους κύκλους καμπανιών
- εξαγωγή αποδεικτικών στοιχείων για ελέγχους ή αξιολογήσεις από τη διοίκηση
Τα προσαρμοσμένα σενάρια πρέπει να δημιουργούν καλύτερους κύκλους μάθησης. Αν η πλατφόρμα σας λέει μόνο ποιος έκανε κλικ, σας δίνει ένα αδύναμο σήμα. Οι πιο αναλυτικές αναφορές δείχνουν αν οι υπάλληλοι ανέφεραν το μήνυμα, αν βελτιώθηκε ο χρόνος απόκρισης, ποιες ενδείξεις παραβλέφθηκαν και ποιες ομάδες χρειάζονται επιπλέον καθοδήγηση.
Διατηρήστε τα πρότυπα επεξεργάσιμα αλλά με περιορισμούς
Οι ομάδες ασφάλειας συχνά επιθυμούν επεξεργάσιμα πρότυπα, επειδή ο οργανισμός τους διαθέτει συγκεκριμένα συστήματα, εμπορικά σήματα ή ροές εργασίας. Αυτό είναι λογικό. Η πλήρης ελευθερία, ωστόσο, δημιουργεί κίνδυνο διακυβέρνησης.
Μια ώριμη πλατφόρμα προσομοίωσης smishing θα πρέπει να προσφέρει περιορισμένη δυνατότητα προσαρμογής:
- εγκεκριμένες κατηγορίες σεναρίων
- πεδία κειμένου που υπόκεινται σε έλεγχο
- υποστήριξη τοπικής προσαρμογής
- ασφαλείς σελίδες προορισμού και ανατροφοδότησης
- διαμορφώσιμες ετικέτες αποστολέα, όπου αυτό είναι τεχνικά και νομικά κατάλληλο
- έλεγχοι απαγορευμένων λέξεων ή θεμάτων
- προεπισκόπηση και έγκριση πριν από την έναρξη
- ιστορικό εκδόσεων για δυνατότητα ελέγχου
Αυτό παρέχει στις ομάδες επαρκή ευελιξία ώστε να κάνουν την εκπαίδευση σχετική, χωρίς να μετατρέπουν κάθε καμπάνια σε μεμονωμένο έργο.
Τι να ρωτήσετε πριν αγοράσετε μια πλατφόρμα προσομοίωσης smishing
Χρησιμοποιήστε αυτές τις ερωτήσεις κατά την αξιολόγηση των προμηθευτών:
- Μπορούμε να δημιουργήσουμε προσαρμοσμένα σενάρια SMS χωρίς να συλλέγουμε πραγματικά διαπιστευτήρια ή ευαίσθητα δεδομένα;
- Μπορούν τα σενάρια να ελέγχονται και να εγκρίνονται πριν από τη δρομολόγηση;
- Μπορούμε να προσαρμόσουμε τα σενάρια ανά γλώσσα και περιοχή;
- Μπορούμε να ταξινομήσουμε ανά ρόλο χωρίς να εκθέτουμε περιττά προσωπικά δεδομένα;
- Μπορούν οι εργαζόμενοι να αναφέρουν εύκολα ύποπτα μηνύματα SMS;
- Μπορεί η πλατφόρμα να παρουσιάζει τη συμπεριφορά αναφοράς, και όχι μόνο τα ποσοστά αλληλεπίδρασης;
- Μπορούμε να εξάγουμε αποδεικτικά στοιχεία για ελέγχους συμμόρφωσης χωρίς να υπερεκτιμούμε τη συμμόρφωση;
- Μπορούμε να χρησιμοποιούμε τα SMS παράλληλα με το ηλεκτρονικό ταχυδρομείο, τα QR και άλλα κανάλια ευαισθητοποίησης;
- Μπορούμε να διατηρούμε μαζί το ιστορικό σεναρίων, το ιστορικό εγκρίσεων και το ιστορικό αποτελεσμάτων;
- Μπορούμε να απενεργοποιήσουμε επικίνδυνα θέματα βάσει πολιτικής;
Για ομάδες που συγκρίνουν πολλαπλά κανάλια, το άρθρο της AutoPhish σχετικά με τα εργαλεία προσομοίωσης phishing πολλαπλών καναλιών μπορεί να βοηθήσει στο να ενταχθεί το SMS ως μέρος ενός ευρύτερου προγράμματος ευαισθητοποίησης.
Συχνές ερωτήσεις
Είναι ασφαλή τα προσαρμοσμένα σενάρια προσομοίωσης smishing;
Μπορούν να είναι ασφαλή όταν η πλατφόρμα αποτρέπει τη συλλογή διαπιστευτηρίων, αποφεύγει επιβλαβή θέματα, περιλαμβάνει ροές εργασίας έγκρισης και εστιάζει στην αναφορά και την εκπαίδευση. Η προσαρμογή πρέπει να κάνει την εκπαίδευση πιο σχετική, όχι πιο επιθετική.
Πρέπει οι προσομοιώσεις smishing να χρησιμοποιούν πραγματικά ονόματα εταιρειών ή εσωτερικά εργαλεία;
Μόνο με σαφή έγκριση. Ορισμένοι οργανισμοί χρησιμοποιούν ελαφρώς προσαρμοσμένο εσωτερικό πλαίσιο, ώστε οι εργαζόμενοι να αναγνωρίζουν ρεαλιστικές ροές εργασιών. Άλλοι αποφεύγουν τα πραγματικά ονόματα συστημάτων για να μειώσουν τη σύγχυση. Η σωστή επιλογή εξαρτάται από τις απαιτήσεις σχετικά με την προστασία της ιδιωτικής ζωής, τα νομικά θέματα, το ανθρώπινο δυναμικό, το συμβούλιο εργαζομένων και την επικοινωνία.
Ποιοι δείκτες έχουν σημασία για την εκπαίδευση ευαισθητοποίησης σχετικά με το phishing μέσω SMS;
Παρακολουθήστε το ποσοστό αναφορών, τον χρόνο αναφοράς, τις τάσεις επαναλαμβανόμενου κινδύνου, την ολοκλήρωση της επακόλουθης εκπαίδευσης και τη βελτίωση με την πάροδο του χρόνου. Τα ποσοστά κλικ ή πατήματος από μόνα τους μπορούν να δημιουργήσουν παραπλανητικά κίνητρα.
Πόσο συχνά πρέπει οι ομάδες ασφάλειας να διεξάγουν προσομοιώσεις smishing;
Οι περισσότερες ομάδες πρέπει να ξεκινήσουν με έναν προβλέψιμο ρυθμό που μπορούν να κατανοήσουν οι εργαζόμενοι και, στη συνέχεια, να τον προσαρμόσουν με βάση τον κίνδυνο και την ωριμότητα του συστήματος αναφορών. Τα SMS δεν πρέπει να γίνουν «θόρυβος». Χρησιμοποιήστε τα όταν ο κίνδυνος από κινητά είναι σημαντικός και όταν η ομάδα μπορεί να διαχειριστεί σωστά τις αναφορές.
Δημιουργήστε προσαρμοσμένα σενάρια smishing που να μπορούν να αιτιολογηθούν
Αξίζει να αξιολογήσετε προσαρμοσμένα σενάρια προσομοίωσης smishing όταν τα SMS, το chat, τα QR και οι ροές εργασιών σε κινητά αποτελούν μέρος της πραγματικής εικόνας κινδύνου που αντιμετωπίζετε. Το κλειδί είναι η προσαρμογή να γίνεται με τρόπο ελεγχόμενο, με σεβασμό στην ιδιωτικότητα και βασισμένη σε αποδεικτικά στοιχεία.
Το AutoPhish βοηθά τις ομάδες να εκτελούν ασφαλέστερες ροές εργασιών ευαισθητοποίησης για το phishing και το smishing, με ενσωματωμένα μέτρα προστασίας, αναφορές και επακόλουθη εκπαίδευση. Για να εξερευνήσετε μια απλή εγκατάσταση, Εγγραφείτε.