Имитация фишинга или фишинговый тест — это когда организация рассылает своим сотрудникам обманные письма , похожие на вредоносные, чтобы оценить их реакцию на фишинг и подобные атаки по электронной почте. Сами письма часто являются формой обучения, но такое тестирование обычно проводится в сочетании с предшествующим обучением; и часто сопровождается дополнительными элементами обучения. Это особенно касается тех, кто «проваливается», открывая вложения электронной почты, нажимая на включенные веб-ссылки или вводя учетные данные.
В сфере ИТ-безопасности широко распространено мнение, что технические меры сами по себе не могут остановить все вредоносные атаки по электронной почте, и что необходима хорошая подготовка персонала. [ требуется ссылка ] [1] Имитация фишинга позволяет напрямую измерить соответствие персонала требованиям, а при регулярном запуске может измерить прогресс в поведении пользователей. Имитация фишинга рекомендуется различными официальными агентствами, которые часто предоставляют рекомендации по разработке таких политик. [2] Имитация фишинга иногда сравнивается с пожарными учениями , поскольку дает персоналу регулярную практику правильного поведения. [3]
Такие кампании должны быть авторизованы на соответствующем уровне [4] и проводиться профессионально. [5] Если такой метод используется небрежно, он может нарушить законы, повлечь за собой судебные иски, а также вызвать недовольство или травмировать персонал.
Однако, если сотрудники уведомлены об изменении политики, например, что «компания оставляет за собой право время от времени отправлять сотрудникам обманчивые «имитированные фишинговые» электронные письма для оценки осведомленности и соответствия сотрудников требованиям безопасности», а также заранее проведено обучение и предоставлены инструкции, то таких проблем возникнуть не должно. Некоторые организации могут решить потребовать от пользователей давать свое согласие путем согласия [6] , а другие могут предоставить сотрудникам возможность отказаться. [7]
Стандартный совет заключается в том, что «неудачливых» сотрудников никоим образом не следует стыдить, но целесообразно и разумно предоставить им поддерживающее последующее обучение. [8] [9] [10]
Некоторые методы, которые могут быть эффективными и использоваться злоумышленниками, обычно избегаются в имитации фишинга по этическим или юридическим причинам. К ним относятся электронные письма с содержанием, которое может вызвать стресс у получателя, или использование сторонних товарных знаков, [5] [8] хотя иногда также утверждается, что это покрывается добросовестным использованием . [11]
Такое тестирование можно провести несколькими способами.
Поскольку организации обычно используют комплекс многоуровневых мер защиты для предотвращения реального вредоносного фишинга, при моделировании часто требуется вводить определенные белые списки на шлюзах электронной почты, в антивирусном программном обеспечении и веб-прокси, чтобы электронная почта могла попадать на рабочие столы и устройства пользователей и принимать по ней меры.
Большинство рекомендаций сводятся к тому, что тестирование следует проводить несколько раз в год, чтобы дать сотрудникам возможность попрактиковаться в правильном реагировании и предоставить руководству обратную связь о прогрессе в выявлении сотрудниками потенциально опасных электронных писем и сообщении о них.