网络钓鱼教育什么时候走得太远？ [关闭]

#1 楼

我认为您需要解决一个潜在的问题。用户为什么要担心自己失败了？

网络钓鱼模拟首先应该是一种教育工具，而不是测试工具。

如果失败会带来负面影响，那么可以，您的用户将抱怨测试是否比准备的难度更大。您也可能会抱怨。 ，即应进行的理解测试）。
消除因考试失败而带来的负面影响

这可能不需要对教学材料进行任何内容更改，而只需要重新设计针对用户，管理人员和您的安全团队的网络钓鱼模拟。

另一种尝试的策略是对网络钓鱼模拟进行分级，以便在用户成功响应网络钓鱼后变得更加困难。我已经通过自定义程序做到了这一点。它在后端更加复杂，但是如果您能做到，那么收益是巨大的。

您的关注点必须是组织抵抗网络钓鱼攻击的能力的不断发展成熟，而不是使每个人都变得完美在测试中。一旦您采用了这种观点，围绕这些测试和抱怨的文化就会改变。

做对了，您的用户将要求网络钓鱼模拟变得更加困难而不是那么容易。如果您追求最终结果，那么您将拥有一个更具弹性的组织。

#2 楼

我们一直在拒绝最终用户，因为他们无法将每天会收到的合法电子邮件与真正的恶意网络钓鱼电子邮件区分开。


这是有迹象表明，经过培训的安全专业人员可以将那些可能被根除为伪造品的测试用于评估不是这样的人。您可能具有将电子邮件分开并解释标题的技能，但是Accounting部门的Dan可能没有，他的管理层也不太可能同意RFC 822中的主类可以很好地利用他的时间。

必须根据收集到的有关用户和声称的发件人的情报来制作有针对性的电子邮件以提高命中率。这不是网络钓鱼者应该掌握的信息，并且正如迈克尔·汉普顿（Michael Hampton）在其评论中指出的那样，它变成了鱼雷。

如果有对手（真实的或潜在的）能够充分利用鱼雷来破坏您的业务，那么所有的网络钓鱼对策和培训都无济于事。您的工作是部署一些工具，这些工具将使Dan in Accounting能够区分真假与伪造。这可能意味着发送端的安全性，例如加密签名，当某些内容未签名或签名不匹配时，用户的邮件客户端可以检查并发布突出的警告。您不能完全依靠人类来100％地做到这一点，尤其是随着您的组织规模不断扩大以及人们之间彼此之间的了解不甚紧密。

#3 楼

有一个可能的观点使我没有在其他答案中见过，但在现实世界中见过。

用户说，他们“无法区分他们每天会收到的合法电子邮件。真正的恶意网络钓鱼电子邮件”。这可能会告诉您，有关密码续订，服务更改等的合法电子邮件不遵守用户应遵循的规则。单击电子邮件中的链接，并且绝对不要将其密码输入这些链接所指向的站点或从中安装软件。然后，这些组织的服务团队会发送大量电子邮件，说明需要采取措施的服务更新（例如密码更新，软件安装等），并附上有用的点击链接。

一件可能会有所帮助的事情是为了澄清用户应报告这些合法电子邮件。它可能无法直接帮助用户，但可能有助于提醒服务团队他们的电子邮件具有要遵循的规则，从长远来看，这应该使用户更加清楚。

#4 楼

网络钓鱼教育什么时候走得太远？




当成本超过收益时。收益通常以较低的点击率和真实的网络钓鱼电子邮件的报告率来衡量。成本可以通过以下方式来衡量：


实施测试的努力
（非）网络钓鱼电子邮件的误报
降低合法电子邮件的参与率
对安全小组有恶意。

最后一个是最难衡量的，通常被忽略，但是如果您的工作是欺骗自己的人，那么当他们开始怀疑您时，您应该不会感到惊讶。



最终用户的回覆是否表明他们的意识仍然缺乏，需要进一步培训，特别是无法识别来自
恶意电子邮件的合法用户？ >


嗯，也许吗？

如果他们的点击率仍然很高，那么他们的意识仍然不足，他们需要进一步的培训。

如果总体上点击率下降了，但是测试电子邮件始终在欺骗他们，那么他们对测试的担忧可能是合法的。

听起来您的内容非常适合您的需求用户，甚至他们的工作角色。这可能是产生负面反应的原因。理想情况下，网络钓鱼测试不应该依赖于对内部电子邮件行为的了解或理解，就像攻击者不应该访问这些电子邮件一样。 （请注意，出于相同的原因，您的内部消息传递应该看起来不像外部消息传递。）

您可能需要考虑将网络钓鱼测试外包。致力于提供这项服务的组织对“野外”的外观有更好的感觉，他们用于衡量和报告参与率的工具通常比您自己可以做的更好。

就个人而言，我不喜欢网络钓鱼测试，因为我认为它会破坏用户与安全性之间的信任。但是事实是，这是提高用户防御能力的最佳方法之一。

#5 楼

我们可以采取一种高度针对性的策略，不仅基于用户的工作角色，而且还基于此类员工可能看到的内容。

您需要问问自己，您公司的员工是否实际上会受到这种程度的欺骗。如果答案是否定的，那么您就太过分了。当然，这完全取决于小组的工作。如果是DNC，则答案为是。

#6 楼

您似乎在我们的安全专家中犯了一个非常常见的错误：您已经深入攻击者的思维，并且正试图击败其他员工，而不是使其成为您的盟友。

您的网络钓鱼活动应基于您的威胁模型和风险分析。您的员工是否有可能成为精心设计的鱼叉式攻击的目标，还是较高的风险是攻击者具有中等技能的更常见的非针对性的大规模网络钓鱼活动？

在后一种情况下，不要根据您的风险分析，对您的员工来说这是极不可能的事情。您根本无法向管理层解释为什么要这样做，而且看来您正试图从显得更聪明和“击败”常规员工中获得更大收益。 （当然，您可以在自己的专业领域中做到这一点，就像它们可以使您在预算，处理客户投诉或供应管理方面不胜一筹）。

如果您有针对性的，高技能的鱼叉式广告活动在您的威胁模型中，则需要分多个步骤逐步升级并计划活动。因为您的目标是教导，而不是失败和尴尬。因此，您需要执行每位老师的工作：从简单的基本练习开始，然后再从难度较高的练习开始。

示例

例如，分三个步骤，您将从一则容易被发现为伪造品的邮件开始，但其中还包含一些较难看到的元素。当用户正确地将其标识为网络钓鱼邮件时，您向他们表示祝贺，然后指出所有线索，包括更好的隐藏线索。这是学习的一部分-他们会从发现的线索中获得积极的帮助，并教给他们错过的其他线索。

在第二轮中，您发送的网络钓鱼邮件大致是针对性的（例如，发给部门或职能部门），并且明显的线索较少，而且很难发现线索。至少有一半应该包括上一封邮件中讲授的内容。
再次，当用户正确发现网络钓鱼尝试时，您要祝贺并指出所有线索，包括您引入的新线索。这加强，教导了新的线索，并提高了人们的认识，即某些线索可能比用户以前认为的要难得多。

在第三轮中，您发送了针对个人的邮件，没有明显的线索，但是至少有一半隐藏的线索必须位于用户之前曾教过的场景中。
再次，如果用户正确识别，您会祝贺并突出显示所有线索，以便他可以再次学习更多。

在所有情况下，如果用户误认了网上诱骗邮件，您也要指出所有线索，然后重复此步骤直到他得到为止。当学习者仍在为当前课程苦苦挣扎时，不要继续上更困难的课程。

这方面的工作很多，但是会为员工提供更强大的支持和更大的参与度方面，最后您要为他们做。

#7 楼

“走得太远”的问题需要背景。哪一部分太过分了？

网络钓鱼测试试图做的事情是使人们怀疑自己的电子邮件，因为如果不这样做，他们就有从字面上邀请未授权用户进入的风险。网络。

因此，不应有过多的电子邮件，以至于它们正在筛选已知的不良电子邮件，以找到他们需要完成工作的电子邮件，但应该足够众所周知，组织中有人在描绘攻击者并试图使他们单击错误的链接，因为组织外部已经有人在试图使他们这样做。

问题就出在当某人确实采取欺骗手段时，您是否为抓住他们而不是恶意演员感到高兴？正如其他人在这里提到的（我认为@BoredToolBox不应被否决），这与教育有关。

如果您在问题的措辞中加上这一点，那么我敢肯定，这并不是说“多少教育走得太远？”是吗？

在大多数组织中，可能发生的事情是对单击彻底的人员的反应，尤其是在惩罚方面，反应尤其严重。当您是一个成功的人时，您应该感到高兴，因为这是您帮助用户了解可能发生的事情以及执行此练习的原因的机会。人们不应受到惩罚或羞辱。

想象一下，这是关于如何预防疾病在工人之间传播的练习。一种致命病毒，它将潜伏直到找到合适的宿主，然后可能杀死所有人，但他们不知道该病毒是由随机进入前门递给他们包裹的人员传播的。

我们有足够的常识，知道不只是接受走进大楼的人的包裹，但是人们看不到的是这正是他们的电子邮件所发生的事情。因此，这是关于文化和观念的改变，当您谈论教育时，我真的看不出这方面的知识有什么过分。

#8 楼

面对相似的事物，目前是一支运行相似事物的团队的一部分。这是我的两个美分：

教育是一个非常棘手的概念，因为人们的学习方式因人而异。但是我所看到的是，如果您尝试将要传达的信息简明扼要地表达在2-4点之内，则
用尽可能少的话总是有帮助。当涉及到对人的教育时，我们会做类似的事情


每当您收到组织外部某人的电子邮件时，都会提出以下问题：


您个人知道此电子邮件ID吗？
您觉得电子邮件ID和域名看起来像腥吗？
您真的要单击该链接还是要向此人提供您的个人信息？

最后我们总是提到：



如果您不确定，请将此电子邮件转发至{email id，可验证此}}@{yourorg}.com



。由于他们要做的（我想）是忽略该电子邮件，或者将其转发给您的内部安全团队进行审查。



我想这里需要做的是更多关于教育的事情。因为员工需要知道成功的网络钓鱼不仅会伤害公司，而且也会伤害员工。

#9 楼

我不知道这是否适用于您的情况，但是一个潜在的问题可能是，如果您对用户意识的期望高于所使用的安全规范。例如：


您可以教育用户始终检查https证书，但与此同时，某些内部网站可能使用自签名或过期的证书，甚至要求提交用户名和通过简单的未加密的http密码输入密码。 />虽然第一个示例是基础架构的实际问题，但是第二个示例是安全实践，并附有过时的建议。我已经看到了这两种情况都是在野外发生的，在这种情况下，您尝试教的原理无法应用于日常实践中，并且最终可能导致混乱和不遵守。

#10 楼

我不确定您的组织规模如何，但是我能提供的最实用的建议是，如果您考虑过度，您可能会走得太远。
-制作一些欺骗性的电子邮件，将其发送给用户，查看用户的工作。

我们使用一种工具（KnowBe4）-对用户进行一些试用，并使用该工具来教育他们/使他们意识到。我们捕获谁通过，谁失败，并使用整个过程进行教育并演示我们的教育。

不要用自定义定位来考虑受众；不要进行复杂的数据分析...如果您愿意，则可能是在浪费时间来应对下一个挑战。

如果您发现高管或某些人员身上有鱼叉式钓鱼，请亲自并经常与他们进行交往，并可能要进行一些操作以确保他们被骗了。例如，通过更改操作，如果某人试图让您的CFO释放电汇付款，则CFO最好有一个额外的制造商/检查程序，或者获得第二个非电子邮件确认（语音？），以确认电汇应该发送出去。

#11 楼

在我看来，这可能是两个问题：


用户感到沮丧的是，他们经常因为没有通过测试而被认为是不可能的，因此经常受到批评。
让用户感到烦恼的是，IT正在浪费时间进行无休止的可疑价值测试。对用户的不可能的要求。至少，就您所要求的意义而言，这是不可能的，您必须证明它们具有复杂的水平，远远超出了非安全专家的合理预期。打个比方，合理地要求所有雇员准备进行基本的急救：戴上绷带，给某人服用阿司匹林等。但是，您肯定不会期望所有雇员都能进行紧急心脏手术。如果您开始让他们进行紧急心脏手术的练习演习，并对无法充分描述他们将如何植入支架或无法正确列出心脏移植中所有182步的雇员进行炮弹，显然那是不合理的。提出不切实际的要求，然后指责员工未能满足他们的要求，除了树立怨恨和鼓舞士气之外，什么都做不到。

B：您的期望是完全合理的，并且员工没有得到足够的培训。如果是这样，显而易见的答案是提供培训。如果您从未提供过任何培训，并且现在由于不了解员工从未接受过的培训而斥责员工，那么您又是不合理的。请记住，对计算机安全专业人员“显而易见”的事情对于没有这样背景的人不一定是显而易见的。我敢肯定，会计中有很多事情对专业会计师而言是显而易见的，但对我而言却不是，或者对汽车维修业而言，对于专业技师而言是显而易见的，等等。

C：您的期望是完全合理的，并且员工太懒惰或不负责任，无法做出努力。如果是这样，那就是管理问题。有人必须给员工适当的动力，使其更努力地工作，其范围从鼓舞人心的鼓舞人心的讲话到解雇不认真的人。

RE＃2：当我在空军时当然，安全是一个主要问题。我们有想要摧毁我们的飞机并杀死我们的人。但是即使在这种极端情况下，安全人员也清楚地知道，更严格的安全性并不总是最好的。标准是安全性应尽可能有效，以应对现实风险，同时尽可能减少对工作人员的干扰。

在这种情况下，如果某些敌对的黑客掌握了密码并窃取或破坏了您的数据，那当然是一件坏事。这可能会花费您大笔资金，甚至可能使您倒闭。但是，除非威胁是巨大的，否则您不能指望员工花费90％的时间来抵御威胁，而只有10％的工作会为公司带来收入。这也是破产的秘诀。您必须在防范威胁与使任何人无法履行职责之间取得合理的平衡。

#12 楼

我怀疑您的模拟所使用的是关于目标目标的知识，而真正的网络钓鱼者是不会知道的。因此，他们抱怨您的假货很难与真品区分开。一句话，你在作弊。