Tips til gjennomføring av simulert phishing

Mange virksomheter sender ut falske e-poster til egne ansatte, såkalt simulert phishing, til tross for at dette også kan få noen negative konsekvenser. Her kommer noen tips som øker sannsynligheten for positivt resultat – for både IT-avdelingen og resten av virksomheten.


Her er vår pedagogiske leder Ragnhild som prøver ut et simulert phishing-angrep.

Før man sender ut simulert phishing, er det avgjørende å ha et tydelig avklart mål for tiltaket. Et simulert phishing-angrep fungerer svært dårlig uten planlegging og oppfølging, og god kommunikasjon med brukerne. Dette forutsetter et avklart forhold til hva man ønsker å oppnå, inkludert en vurdering av kost/nytte med tanke på kollegers verdifulle arbeidstid. Aller første punkt er derfor å bestemme seg hvorfor man ønsker å sende ut falsk e-post til egne medarbeidere:

  • «Show, don't tell»: Med simulert phishing kan man demonstrere internt i virksomheten at det beviselig finnes risiko relatert til bruk av e-post, slik at ingen skal kunne si at "dette rammer ikke oss" – noen ble jo lurt (det skjer alltid).
  • Teste spesifikke scenarier: En godt planlagt øvelse kan for eksempel avdekke hvorvidt ansatte kan lures til å oppgi jobbpassordet sitt til en falsk nettside, eller om man kan lykkes med å kjøre potensielt skadelig kode på ansattes enheter.
  • Forankre nye sikkerhetstiltak: Dersom det viser seg at man er sårbar for spesifikke scenarier, kan simulert phishing bidra til å skaffe intern støtte til målrettede tiltak som reduserer relatert risiko, for eksempel to-faktorpålogging.
  • Øve på rapportering: For økt innsikt i hvilke trusler som passerer spamfilteret, er det nyttig å lære opp folk til å rapportere inn mistenkelig e-post til IT-ansvarlige eller sikkerhetsovervåkingssenter. En "opplagt" falsk e-post kan effektivt friske opp rutinen for mange, og kartlegge ressursene man finner blant ansatte.
  • Lag en snakkis: Simulert phishing er snarveien som gjør sikkerhet til et stort samtaletema blant ansatte. Med mindre man gjør dette jevnlig, kan oppmerksomheten brukes til å underbygge andre opplæringstiltak og kampanjer.
  • "Teachable moments": Ansatte som tror de aldri ville bli lurt av en falsk e-post, kan oppnå innsikt om det motsatte gjennom simulert phishing. Dersom den helhetlige opplevelsen er positiv, kan den konkrete erfaringen av å ha blitt lurt ha en positiv læringseffekt for mange.

Opplæringseffekt

I tillegg vil flere argumentere for at opplæring i seg selv er en viktig motivasjon for å gjøre simulert phishing. "Teachable moments" har blitt et salgbart uttrykk blant flere i sikkerhetsbransjen den siste tiden. Her må vi imidlertid innvende at pedagogikken rundt simulert phishing har sine åpenbare utfordringer. For det er jo ingen som liker å bli lurt! Og dette er egentlig et dårlig utgangspunkt for læring.

Ansatte som allerede er positivt innstilt til sikkerhet og opplæringstiltak, vil imidlertid også kunne tilgi lureri fra sin egen IT-avdeling. Særlig gjelder dette dersom man opplevde å ha lært noe nytt om seg selv, eller kolleger, og datasikkerhet. Vurder like fullt om dette er ansatte som i utgangspunktet hadde vært like positiv til andre opplæringstiltak de fikk servert. Er det samtidig disse brukerne som utgjør størst risiko, eller burde vi heller fokusere innsatsen vår på andre brukergrupper?

På den andre siden, for ansatte som ikke har noe positivt forhold til sikkerhetsopplæring fra før, fungerer simulert phishing nemlig like dårlig som andre opplæringstiltak. I tillegg risikerer man at den negative opplevelsen av å bli lurt fører til enda flere negative følelser relatert til sikkerhet og IT. Negative følelser som dette er et problem, fordi det både fører til lavere etterlevelse av sikkerhetsregler, og større bruk av skygge-IT.

Glem ikke menneskene

Igjen er det viktig å huske på hvorfor man gjør dette tiltaket. Er meningen at det skal være så realistisk ut som mulig, eller holder det at man klarer å skape litt oppmerksomhet? Hvilke hint skal vi legge i e-posten, om at den er falsk? En grei regel er at man ikke sender fra en intern server, slik at angrepet hadde vært umulig å gjennomføre fra utsiden. Send altså ikke ut en falsk lønnsslipp fra økonomisystemet som kun er tilgjengelig fra innsiden, med mindre den kan forfalskes fra utsiden også.

Det viktigste er å ta høyde for folk som blir lurt av den falske e-posten. For at ingen av disse skal sitte igjen med negative følelser, er det avgjørende å tilby en kanal for tilbakemelding og eventuell frustrasjon som måtte følge av øvelsen. Ikke minst må man følge opp alle med respektfulle svar, selv når det kanskje kommer en hårføner fra andre enden. "Dere kaster bort tiden min!", er for eksempel en helt normal reaksjon – og vi kan skjønne det godt. Noen kan også bli redd for å åpne e-post på generell basis, dersom de ikke forstår hva som skjer både før og etterpå.

Samtidig må man huske på de ansattes personvern i samband med simulert phishing. Ved hjelp av innebygd personvern har vi derfor utviklet en phishing-simulator som tar høyde for nye personvernkrav i GDPR. Denne løsningen er tilgjengelig for alle våre kunder og partnere, og vi bruker den aktivt i samband med lansering av MailRisk i nye virksomheter. Dermed kan flest mulig prøve ut MailRisk-knappen for første gang, og man måler straks hvor mange som kan bidra ved å rapportere magefølelsen sin.

Kommunikasjon er avgjørende

Som nevnt innledningsvis er det viktig å forklare hvorfor man gjennomfører simulert phishing. Husk alltid å varsle internt om at det kommer et simulert phishing-angrep. Forklar gjerne også hvorfor dette gjøres, og beskriv hva som er ønsket utfall av tiltaket. Det aller beste eksempelet vi kan nevne her, er når simuleringen brukes for å få flest mulig til å ta i bruk MailRisk-knappen. "Trykk på MailRisk-knappen når e-posten kommer", er handlingen folk skal huske. Dette er enkelt å gjøre, og vi tilbyr dessuten målrettet kampanjemateriell for å understøtte budskapet.

Les også: Infotekst til nye MailRisk-brukere

Etterpå er det viktig å kommunisere noen resultater internt fra simuleringen. Trekk likevel aldri fram enkeltpersoner som dårlige eksempler. Sørg heller for å bygge en positiv stemning rundt tiltaket, slik at det alltid kan støtte opplæringsarbeidet videre. Dersom målet var å se hvor mange som rapporterte den mistenkelige e-posten, er det for eksempel virksningsfullt å vise fram en utvikling over hvor mange som bidrar til sikkerhetsarbeidet internt. Dette gjør at folk opplever å være del av et større fellesskap, i møte med svindlere og forsøk hacking. Folk bryr seg om hverandre, også når det gjelder digital sikkerhet, og dette kan vi bli enda flinkere til å få fram i virksomheten.

Til slutt er det ingen grunn til å tro at alle ansatte noen gang vil være i stand til å avsløre alle typer svindelforsøk som havner i innboksen, basert på sikkerhetsopplæringen de fikk i fjor. Det er helt menneskelig å glemme, og vanlig å gå glipp av detaljer. Dessuten kommer det stadig nye svindelteknikker, og det er håpløst for folk flest å holde seg oppdatert på de siste cybertruslene til enhver tid – det er derfor vi har lagd MailRisk.

Sammen med grundig veiledning og godt personvern tror vi altså det mulig å gjennomføre phishing-simuleringer med positivt utfall for de fleste. Bare ikke glem å behandle egne kolleger med omtanke, også de som er godtroende til det meste.

Last updated:

18 January 2021

Share this:

Language:

Norwegian

Show translation:

Contact the author:

Erlend Andreas Gjære

Co-founder / CEO

(+47) 90 61 24 35

erlend@securepractice.co

Vil duhjelpe folk med å oppdage falsk e-post, og ikke bare lure dem?

Oppdag hvordan MailRisk gir større sikkerhet på lang sikt.

Continue reading

Simulated phishing: How to design a suitable scam

How do you prepare the most effective phishing email to serve the goal of your exercise? In the third part of this series on simulated phishing, we describe various approaches to designing phishing content.

How to succeed with security behavior change

To stay safe online, people need to care more about the security decisions they face every day. But unless the obvious gains obviously exceed the required effort, change is often avoided. Luckily, behavior change in general has been subject to a lot of research, and here are some takeaways for information security professionals.

Simulated phishing: Communications strategy

How do you prepare an organization for you to try and trick them? In the second part of this series on simulated phishing, we provide the outline for a communications plan.

See all posts →

Human security sensors ebook cover

Ready to get started?

We have written a guide for you to get started with human-centered security. Access our free resource now, and learn:

  • How to nurture drivers for employee engagement
  • How to avoid common obstacles for reporting
  • Practical examples and steps to get started

Download free PDF →