هل الموظفون هم الحلقة الأضعف في إستراتيجيتك الأمنية؟

البريد الإلكتروني هو ناقل التهديد رقم واحد. لا يوجد استثناء ، حتى مع وجود جائحة عالمي ، على العكس من ذلك: تم استخدام COVID-19 كخطاف جذاب من قبل مجرمي الإنترنت. تُظهر البيانات من شبكة Trend Micro Smart Protection Network أنه خلال الأشهر الخمسة الأولى من عام 2020 ، كانت 92 في المائة من جميع التهديدات الإلكترونية التي تستفيد من COVID-19 عبارة عن رسائل بريد عشوائي أو رسائل بريد إلكتروني تصيدية.

يمكن أن يكون لعمليات الاحتيال عبر البريد الإلكتروني تأثير كبير ، سواء على المؤسسة أو على الفرد. تم تسليط الضوء على هذا في تقرير حديث من بي بي سي نيوز حيث تم استهداف خبير مالي من جلاسكو ، اسكتلندا من خلال عملية احتيال عبر البريد الإلكتروني للأعمال. تنكر المتسللون على أنهم الرئيس التنفيذي للموظفة ، وتمكنوا من إقناعها بتحويل 200 ألف جنيه إسترليني إلى حسابهم المصرفي. عندما أدركت المنظمة ما حدث ، تمكنت من استرداد نصف الخسارة. ومع ذلك ، تم فصل الموظف ثم تمت ملاحقته في المحاكم مقابل المبلغ المتبقي. جادل محاموها بنجاح بأنها لم تتلق أي تدريب لتحديد عمليات الاحتيال هذه ورُفضت القضية لاحقًا. كان لهذا أثر شخصي كبير على الموظفة التي لم تفقد وظيفتها فحسب ، بل كانت قلقة أيضًا من فقدان منزلها. عانى صاحب العمل مالياً وتضررت سمعتهم أيضًا. لم يكن هناك فائزون في هذه الحالة ، لكنها أكدت بالفعل على أهمية الوعي الأمني ؛ تحتاج الشركات إلى تسليح موظفيها بالمعرفة لحماية الأعمال التجارية ، وفي النهاية أنفسهم.

يمكن أن يحظر حل أمان البريد الإلكتروني الرائع غالبية التهديدات ، ولكن لا يمكن لأي منتج اكتشاف 100٪ من عمليات الاحتيال عبر البريد الإلكتروني. هذا يعني أن البشر هم خط دفاعنا الأخير. تساعدك خدمة Trend Micro Phish Insight على زيادة وعي موظفيك برسائل البريد الإلكتروني المخادعة والتهديدات الإلكترونية الأخرى. والأفضل من ذلك كله ، أنه مجاني تمامًا ، مما يسمح لك بزيادة الأمن السيبراني أثناء استخدام هذه الميزانية لمبادرات مهمة أخرى.

دعنا نلقي نظرة:

أطلق أحد عملاء Phish Insight في الولايات المتحدة حملتين لمحاكاة التصيد الاحتيالي لـ 1500 موظف في النصف الأول من عام 2020. تفصل بين الحملتين أربعة أشهر واستهدفتا نفس الموظفين.
كانت الحملة الأولى عبارة عن بريد إلكتروني مزيف من مركز السيطرة على الأمراض (CDC) به رابط يدعي التحقق من حالات COVID-19 الجديدة. طلبت معلومات تسجيل دخول المستخدم بعد النقر على الرابط.

الحملة الثانية عبارة عن بريد إلكتروني يتظاهر بأنه من قسم تكنولوجيا المعلومات في المؤسسة. طلبت من المستخدمين التحقق من حساباتهم بسبب قيود تخزين علبة الوارد في Office 365.

كلا رسالتي البريد الإلكتروني واقعية للغاية بالنظر إلى موضوعات مهمة وجذابة يهتم بها المستخدمون.

إذن ، كيف تبدو النتائج؟

بين الموظفين الذين يتلقون رسائل البريد الإلكتروني ، تظهر نتيجة الحملتين تغييرًا إيجابيًا في السلوك في التعرف على رسائل البريد الإلكتروني المخادعة.

	انخفضت النسبة المئوية للموظفين الذين نقروا على عنوان URL المضمن في البريد الإلكتروني بشكل ملحوظ (11٪ مقابل 7٪) زادت النسبة المئوية للموظفين الذين أبلغوا عن رسائل البريد الإلكتروني المخادعة إلى قسم تكنولوجيا المعلومات بشكل كبير (11٪ مقابل 24٪)

ومع ذلك ، عند تقديم هجوم تصيد أكثر تحديًا (2و الحملة) ، فإن النسبة المئوية للموظفين الذين نشروا بيانات اعتمادهم على موقع التصيد قد زادت بشكل ملحوظ (0.3 في المائة مقابل 3.4 في المائة). في الوقت الذي زاد فيه الوعي العام بالتصيد لدى الشركة (نقرات أقل) ، كان لدى أولئك الذين وقعوا ضحية فرصة أكبر لإعطاء أوراق اعتمادهم.

تظهر النتيجة أيضًا أن فرق المكتب الخلفي لديها نسبة أعلى من الموظفين المخادعين وأهمية التدريب المستمر. بالإضافة إلى التدريب المستمر على التوعية بالتصيد الاحتيالي لجميع الموظفين ، سيركز قسم تكنولوجيا المعلومات بشكل أكبر على فرق المكتب الخلفي.

باستخدام Phish Insight ، نجحت الشركة في زيادة وعي الموظفين مع القدرة على استهداف مجموعات مستخدمين أكثر عرضة للخطر وتحديد أولئك الذين يحتاجون إلى مزيد من المساعدة.

تريد تدريب منظمتك؟

لبدء محاكاة التصيد للمستخدمين ، تحتاج إلى ميزانية قدرها 0 دولار أمريكي وخمس دقائق فقط. من خلال تجربة مستخدم بسيطة حقًا ، يمكنك بدء تشغيل أول محاكاة لك اليوم.