这七个错误损害网络钓鱼模拟程序

和 60% 的网络违规事件由于涉及人为错误，各组织正在加大对网络钓鱼培训计划的投资，以加强其第一道防线。

这 最有效的方法网络钓鱼培训涉及运行 正在进行的网络钓鱼模拟计划，其中涉及运行一系列模仿现实社会工程尝试的受控网络安全练习。其想法是测试员工的反应方式，并随着时间的推移教会他们如何更好地识别和报告潜在的攻击，以便您可以建立长期的安全性 劳动力的意识。

如果构建得当，网络钓鱼模拟有助于降低实际与网络钓鱼相关的违规行为的可能性，因为它们解决了问题的核心；人为错误和对网络犯罪分子使用的欺骗手段的无知。

尽管采用率不断提高，但许多网络钓鱼模拟程序未能带来持久的行为改变。以下是七个最常见的错误。

错误#1：使用不切实际或过时的场景

网络犯罪分子已经远离了明显的诈骗和损坏的英文电子邮件，这些电子邮件经常提供明显的迹象表明某些事情“不对劲”。

今天的网络钓鱼诱饵 使用生成式人工智能，它具有完美的语法，可以以令人印象深刻的准确性模仿可信的个人。如果您的培训计划仍然侧重于发现丢失的标点符号，那么您正在培训员工检测不再存在的威胁。

除了与时俱进之外，场景还必须切合实际。员工可能会面临不同类型的网络钓鱼，具体取决于他们的角色或部门。 IT 员工不太可能收到有关向供应商付款的网络钓鱼诱惑，因为他们很可能会自动拒绝它。但是，他们可能会收到授予某人系统访问权限的请求，如果他们没有接受过考虑此类请求的培训，他们可能会考虑这样做。

错误#2：将网络钓鱼培训视为一次性活动

网络钓鱼培训计划的主要问题之一是，它们通常被视为年度复选框练习，通常是为了满足合规性要求。但人类的行为在一次训练后不会改变。

就像学习任何其他技能一样，发现网络钓鱼尝试需要定期暴露并随着时间的推移进行强化。

每年一次的方法的另一个问题是威胁行为者不会停滞不前。他们总是在改变策略，因此年初的训练计划可能到三月份就变得过时了。理想情况下，网络钓鱼模拟应该持续运行。模拟攻击内容需要每月刷新，因此员工会定期接触到他们可能实际面临的技术。

错误#3：不提供即时反馈

反馈是有效网络钓鱼模拟的最重要元素。这就是学习发生的地方，决定员工是否在了解网络钓鱼后离开，或者只是忘记他们曾经参与过。

为了最大限度地提高学习效果，必须立即根据具体情况提供反馈。员工应立即了解他们错过了哪些具体的危险信号以及将来如何验证此类消息。

微学习模块在这里非常有效，因为它们只需要几分钟，但会引导员工了解他们可能陷入的场景，解释其背后的心理，并帮助他们下次做出正确的反应。

错误#4：没有让高层参与

许多组织都犯了将高管排除在培训计划之外的错误。这是一种疏忽，因为最高管理层是网络钓鱼活动中最有针对性的群体之一。

商业电子邮件泄露 (BEC) 和鱼叉式网络钓鱼攻击是最流行和最有效的骗局之一，其前提是冒充或针对高管，以促进欺诈性付款的授权、泄露敏感数据或批准“紧急”请求。

高管的支持传达了一个强烈的信息：网络安全是每个人的责任。当整个团队看到他们的上级积极参与网络钓鱼模拟时，他们更有可能参与其中。

错误#5：羞辱那些失败的人

破坏网络钓鱼模拟程序的最快方法之一是羞辱遭受模拟攻击的员工。目标不是揭露谁失败了，而是帮助每个人认识到危险行为并学习如何在未来避免它们。

从一开始就清楚地传达这一目标非常重要。对于网络钓鱼模拟，不应该有任何责备或内疚感。

错误揭示了在受控环境中的意识差距，员工可以安全地学习，而不是通过陷入实际的网络钓鱼攻击来艰难地学习。

错误#6：忽视数据洞察

网络钓鱼模拟提供各种有价值的数据，从点击率和报告率到对惯犯、高风险部门和整体改进趋势的洞察。然而，许多组织未能充分利用这些信息，从而使他们的计划变得更智能、更有针对性。

这些指标是安全意识进展情况（如果有的话）的指标。跟踪每个部门的数据可能会发现某个部门的表现比其他部门差，这表明需要更具体或更现实的培训场景。

数据驱动的小调整会随着时间的推移而复合，并确保模拟程序随着时间的推移不断改进并提供最大价值。

错误#7：只关注电子邮件网络钓鱼

虽然电子邮件是最流行的网络钓鱼传递方法，但它远非唯一的一种。

攻击者很有创造力，会使用多种形式的通信来欺骗受害者。其他流行的格式和渠道包括短信（短信钓鱼）、二维码（钓鱼）、语音通话（语音钓鱼）以及借助 Deepfake 技术的视频电话会议。

在培训计划中忽视这些方法中的任何一种都会在员工的意识中留下很大的差距。电子邮件仍然应该是一个优先事项，因为它们仍然是最常见的，但雇主应该包括涉及其他发送方法的场景，以便员工至少意识到此类威胁的存在。

最后的想法

网络钓鱼模拟培训是准备和防止最常见的安全漏洞入口点（人为错误）的最佳方法。但这并不是说任何计划都会自动使组织变得更安全。为了使网络钓鱼模拟发挥作用，它们必须是有条理的、实用的和连续的，而不是安全团队用来满足合规性要求或审计员的复选框。

图片来源：未飞溅