我目前在工作场所的IT安全团队中担任高级职务。最近,我协助管理层设计了网络钓鱼/社会工程学培训活动,通过该活动,IT安全部门将发送网络钓鱼“测试”电子邮件,以了解公司员工如何发现此类电子邮件。

我们拥有不仅根据用户的工作角色,而且还根据此类员工可能看到的内容,采用了高度针对性的策略。内容有所变化,包括要求敏感内容(例如:更新密码)的电子邮件,假冒的社交媒体帖子,针对性的广告。

我们一直在从最终用户那里回避他们没有将他们每天会收到的合法电子邮件与真正的恶意网络钓鱼电子邮件区分开的方法。他们一直要求我们的团队降低这些测试的难度。在分析网络钓鱼模拟的过去结果时,单击的用户倾向于显示某些模式。同样,一个导致网络损失(不必要的在线购买)的成功的网络钓鱼假装为高级管理层成员。

为了回应对定位/ GDPR深度的评论,基于定制的方法有关上市公司数据(即职务)的信息,而不是仅针对该人已知的私人用户数据的信息。 “用户可能看到的内容”基于“典型情况”,而不是我们工作场所中的用户具体看到的内容

问题



何时网络钓鱼教育走得太远了吗?
最终用户的反击表明他们仍然缺乏意识,需要进一步培训,特别是无法从恶意电子邮件中识别合法用户吗?


评论

我将标题从“教育”改为“测试”或“模拟”

在我看来,这个问题似乎缺少关键细节。为什么您的用户声称您发送给他们的网络钓鱼电子邮件与合法电子邮件没有区别?是因为它们确实存在(至少使用正常用户可以使用的工具),还是因为它们搞砸了?从以前没有联系过的人那里收到电子邮件并不是天生可疑的,因此衡量失败的方式很重要。根据他们实际交出的敏感信息?还是仅仅基于他们单击了他们事先无法合理地知道是假的电子邮件中的链接?

评论不作进一步讨论;此对话已移至聊天。

#1 楼

我认为您需要解决一个潜在的问题。用户为什么要担心自己失败了?

网络钓鱼模拟首先应该是一种教育工具,而不是测试工具。

如果失败会带来负面影响,那么可以,您的用户将抱怨测试是否比准备的难度更大。您也可能会抱怨。 ,即应进行的理解测试)。
消除因考试失败而带来的负面影响

这可能不需要对教学材料进行任何内容更改,而只需要重新设计针对用户,管理人员和您的安全团队的网络钓鱼模拟。

另一种尝试的策略是对网络钓鱼模拟进行分级,以便在用户成功响应网络钓鱼后变得更加困难。我已经通过自定义程序做到了这一点。它在后端更加复杂,但是如果您能做到,那么收益是巨大的。

您的关注点必须是组织抵抗网络钓鱼攻击的能力的不断发展成熟,而不是使每个人都变得完美在测试中。一旦您采用了这种观点,围绕这些测试和抱怨的文化就会改变。

做对了,您的用户将要求网络钓鱼模拟变得更加困难而不是那么容易。如果您追求最终结果,那么您将拥有一个更具弹性的组织。

评论


评论不作进一步讨论;此对话已移至聊天。

–Rory Alsop♦
19年4月16日在21:02

#2 楼


我们一直在拒绝最终用户,因为他们无法将每天会收到的合法电子邮件与真正的恶意网络钓鱼电子邮件区分开。


这是有迹象表明,经过培训的安全专业人员可以将那些可能被根除为伪造品的测试用于评估不是这样的人。您可能具有将电子邮件分开并解释标题的技能,但是Accounting部门的Dan可能没有,他的管理层也不太可能同意RFC 822中的主类可以很好地利用他的时间。

必须根据收集到的有关用户和声称的发件人的情报来制作有针对性的电子邮件以提高命中率。这不是网络钓鱼者应该掌握的信息,并且正如迈克尔·汉普顿(Michael Hampton)在其评论中指出的那样,它变成了鱼雷。

如果有对手(真实的或潜在的)能够充分利用鱼雷来破坏您的业务,那么所有的网络钓鱼对策和培训都无济于事。您的工作是部署一些工具,这些工具将使Dan in Accounting能够区分真假与伪造。这可能意味着发送端的安全性,例如加密签名,当某些内容未签名或签名不匹配时,用户的邮件客户端可以检查并发布突出的警告。您不能完全依靠人类来100%地做到这一点,尤其是随着您的组织规模不断扩大以及人们之间彼此之间的了解不甚紧密。

评论


这似乎表明,解决方法是要有一个自动过程,可以检查这些迹象并警告用户。 Gmail会这样做,如果邮件看起来可疑,例如会显示红色横幅警告。假标题。

–user25221
19年4月16日在11:16

RFC8222早已取代RFC822。

–帕特里克·梅夫克(Patrick Mevzek)
19年4月16日在14:48

两者之间存在@PatrickMevzek RFC 2822,但是我们中的一些老怪人会坚持使用这些老数字,直到您将它们从冷死的手中撬出来。

– Blfl
19年4月16日在15:21

这违反了IETF的处理方式。如果一个RFC取代了另一个,则没有理由坚持使用旧版本。除了出于历史原因和展示知识。较新的版本包括错误修正和歧义消除。但这大部分与问题无关。

–帕特里克·梅夫克(Patrick Mevzek)
19年4月16日在15:23

@PatrickMevzek Clingage只是名字而已;我当然不会基于陈旧的RFC来实现某些东西。

– Blfl
19年4月16日在15:49

#3 楼

有一个可能的观点使我没有在其他答案中见过,但在现实世界中见过。

用户说,他们“无法区分他们每天会收到的合法电子邮件。真正的恶意网络钓鱼电子邮件”。这可能会告诉您,有关密码续订,服务更改等的合法电子邮件不遵守用户应遵循的规则。单击电子邮件中的链接,并且绝对不要将其密码输入这些链接所指向的站点或从中安装软件。然后,这些组织的服务团队会发送大量电子邮件,说明需要采取措施的服务更新(例如密码更新,软件安装等),并附上有用的点击链接。

一件可能会有所帮助的事情是为了澄清用户应报告这些合法电子邮件。它可能无法直接帮助用户,但可能有助于提醒服务团队他们的电子邮件具有要遵循的规则,从长远来看,这应该使用户更加清楚。

评论


这个。我曾在一个组织中工作过,该组织发送类似的网络钓鱼测试电子邮件,但随后会定期发送与垃圾邮件/网络钓鱼没有区别的“合法”电子邮件,通常包含指向我公司以前没有联系的外部站点的链接(有时需要登录) 。问题很可能是合法邮件过于垃圾,而不是您的测试远远不够。

– Mohirl
19年4月15日在12:27



这绝对是一个问题。如果组织正在发送希望用户单击链接的合法电子邮件,并且您没有明确地将这些电子邮件标识为合法,并没有教会用户如何识别它们,则您的合法电子邮件正在积极地与您相抗衡,并且正在对您进行培训试图提供。

–科林·杨(Colin Young)
19年4月15日在13:41

我曾经指出,将电子邮件从IT安全性报告到IT安全性是明显的网络钓鱼尝试。他们从不喜欢它。

–麦凯(Michael Kay)
19年4月15日在16:37

@MichaelKay:真的让我感到震惊的是,如此多的组织发出的真实消息与网络钓鱼尝试没有区别。如果Acme的VISA卡从BankCorp转移到MegaBank,它不应通过留下电话信息要求他们访问AcmeViSAupdate.com(客户从未使用过的域名)来告知客户,但我确实做到了这一点(名称更改以保护自己的有罪感),而是告知他们如何使用印在其卡片上的电话号码或网站来获取信息。

–超级猫
19年4月15日在21:25

众所周知,我收到一个以前未知的发件人的采购订单,说“请找到我们的采购订单”。当然,在我必须做出决定之前,垃圾邮件过滤器可能会使它们崩溃。

–麦凯(Michael Kay)
19年4月15日在22:36

#4 楼



网络钓鱼教育什么时候走得太远?




当成本超过收益时。收益通常以较低的点击率和真实的网络钓鱼电子邮件的报告率来衡量。成本可以通过以下方式来衡量:


实施测试的努力
(非)网络钓鱼电子邮件的误报
降低合法电子邮件的参与率
对安全小组有恶意。

最后一个是最难衡量的,通常被忽略,但是如果您的工作是欺骗自己的人,那么当他们开始怀疑您时,您应该不会感到惊讶。



最终用户的回覆是否表明他们的意识仍然缺乏,需要进一步培训,特别是无法识别来自
恶意电子邮件的合法用户? >


嗯,也许吗?

如果他们的点击率仍然很高,那么他们的意识仍然不足,他们需要进一步的培训。

如果总体上点击率下降了,但是测试电子邮件始终在欺骗他们,那么他们对测试的担忧可能是合法的。

听起来您的内容非常适合您的需求用户,甚至他们的工作角色。这可能是产生负面反应的原因。理想情况下,网络钓鱼测试不应该依赖于对内部电子邮件行为的了解或理解,就像攻击者不应该访问这些电子邮件一样。 (请注意,出于相同的原因,您的内部消息传递应该看起来不像外部消息传递。)

您可能需要考虑将网络钓鱼测试外包。致力于提供这项服务的组织对“野外”的外观有更好的感觉,他们用于衡量和报告参与率的工具通常比您自己可以做的更好。

就个人而言,我不喜欢网络钓鱼测试,因为我认为它会破坏用户与安全性之间的信任。但是事实是,这是提高用户防御能力的最佳方法之一。

评论


如果我错了,请原谅我。但是如果有人点击,那会失败吗?

–yeah_well
19年4月14日在17:44

@VipulNair根除不是网络钓鱼培训的现实目标。我相信我已经看到10-20%的点击率被描述为理想的改进。我已经看到组织庆祝将其降至50%以下。

– gowenfawr
19年4月14日17:55

@gowenfawr最近的研究表明,低于10%是不现实的。甚至CISO都单击网络钓鱼电子邮件(我知道一个CISO每天会收到600封电子邮件,有时他会点击精心设计的网络钓鱼)。

– schroeder♦
19年4月14日在19:11

你们从哪里获得有关点击目标的这些统计信息?我不在IS小组中,但在他们的指导小组中,我们通常约有5%-6%的点击率,这是由大约500名员工组成的非技术性工作人员,我认为这是非常现实的测试电子邮件。令您惊讶的是,您的评论似乎暗示我们远远超出平均水平(或者我对模拟电子邮件的难易程度的理解完全错误),我感到惊讶。

– dwizum
19年4月15日在13:23

@dwizum Lance Spitzner是该领域的中小型企业,他称<5%是“好”。但是,我对10%到20%且开始> 50%的评论来自于少数组织的个人经验。我的直觉说,兰斯(Lance)有一个自我选择的人群(“足够关心这一点的人来雇用他”),而10-20%对于好的组织来说是一个现实的流失点。您可能会比平均水平表现更好:)

– gowenfawr
19年4月15日在13:39

#5 楼




我们可以采取一种高度针对性的策略,不仅基于用户的工作角色,而且还基于此类员工可能看到的内容。

您需要问问自己,您公司的员工是否实际上会受到这种程度的欺骗。如果答案是否定的,那么您就太过分了。当然,这完全取决于小组的工作。如果是DNC,则答案为是。

#6 楼

您似乎在我们的安全专家中犯了一个非常常见的错误:您已经深入攻击者的思维,并且正试图击败其他员工,而不是使其成为您的盟友。

您的网络钓鱼活动应基于您的威胁模型和风险分析。您的员工是否有可能成为精心设计的鱼叉式攻击的目标,还是较高的风险是攻击者具有中等技能的更常见的非针对性的大规模网络钓鱼活动?

在后一种情况下,不要根据您的风险分析,对您的员工来说这是极不可能的事情。您根本无法向管理层解释为什么要这样做,而且看来您正试图从显得更聪明和“击败”常规员工中获得更大收益。 (当然,您可以在自己的专业领域中做到这一点,就像它们可以使您在预算,处理客户投诉或供应管理方面不胜一筹)。

如果您有针对性的,高技能的鱼叉式广告活动在您的威胁模型中,则需要分多个步骤逐步升级并计划活动。因为您的目标是教导,而不是失败和尴尬。因此,您需要执行每位老师的工作:从简单的基本练习开始,然后再从难度较高的练习开始。

示例

例如,分三个步骤,您将从一则容易被发现为伪造品的邮件开始,但其中还包含一些较难看到的元素。当用户正确地将其标识为网络钓鱼邮件时,您向他们表示祝贺,然后指出所有线索,包括更好的隐藏线索。这是学习的一部分-他们会从发现的线索中获得积极的帮助,并教给他们错过的其他线索。

在第二轮中,您发送的网络钓鱼邮件大致是针对性的(例如,发给部门或职能部门),并且明显的线索较少,而且很难发现线索。至少有一半应该包括上一封邮件中讲授的内容。
再次,当用户正确发现网络钓鱼尝试时,您要祝贺并指出所有线索,包括您引入的新线索。这加强,教导了新的线索,并提高了人们的认识,即某些线索可能比用户以前认为的要难得多。

在第三轮中,您发送了针对个人的邮件,没有明显的线索,但是至少有一半隐藏的线索必须位于用户之前曾教过的场景中。
再次,如果用户正确识别,您会祝贺并突出显示所有线索,以便他可以再次学习更多。

在所有情况下,如果用户误认了网上诱骗邮件,您也要指出所有线索,然后重复此步骤直到他得到为止。当学习者仍在为当前课程苦苦挣扎时,不要继续上更困难的课程。

这方面的工作很多,但是会为员工提供更强大的支持和更大的参与度方面,最后您要为他们做。

#7 楼

“走得太远”的问题需要背景。哪一部分太过分了?

网络钓鱼测试试图做的事情是使人们怀疑自己的电子邮件,因为如果不这样做,他们就有从字面上邀请未授权用户进入的风险。网络。

因此,不应有过多的电子邮件,以至于它们正在筛选已知的不良电子邮件,以找到他们需要完成工作的电子邮件,但应该足够众所周知,组织中有人在描绘攻击者并试图使他们单击错误的链接,因为组织外部已经有人在试图使他们这样做。

问题就出在当某人确实采取欺骗手段时,您是否为抓住他们而不是恶意演员感到高兴?正如其他人在这里提到的(我认为@BoredToolBox不应被否决),这与教育有关。

如果您在问题的措辞中加上这一点,那么我敢肯定,这并不是说“多少教育走得太远?”是吗?

在大多数组织中,可能发生的事情是对单击彻底的人员的反应,尤其是在惩罚方面,反应尤其严重。当您是一个成功的人时,您应该感到高兴,因为这是您帮助用户了解可能发生的事情以及执行此练习的原因的机会。人们不应受到惩罚或羞辱。

想象一下,这是关于如何预防疾病在工人之间传播的练习。一种致命病毒,它将潜伏直到找到合适的宿主,然后可能杀死所有人,但他们不知道该病毒是由随机进入前门递给他们包裹的人员传播的。

我们有足够的常识,知道不只是接受走进大楼的人的包裹,但是人们看不到的是这正是他们的电子邮件所发生的事情。因此,这是关于文化和观念的改变,当您谈论教育时,我真的看不出这方面的知识有什么过分。

评论


仿冒网站仿冒的目的不是使人们可疑,而是实践攻击的安全仿冒中教导的程序和行为。

– schroeder♦
19年4月14日在19:16

是的...但是,如果他们在不怀疑电子邮件的情况下离开了模拟,那又有什么意义呢?他们应该对任何看起来不同的东西都抱怀疑态度,而培训的重点是使他们变得如此,对吗?

–公鸡
19年4月14日在20:00

不,这是我的全部意思。目的不是怀疑。恐怕要进一步解释,只是重复我的第一条评论。

– schroeder♦
19年4月14日在20:43

我想问题是,当他们不怀疑时,您希望他们如何看待他们的电子邮件收件箱...我知道我对电子邮件很怀疑,让用户分享我的怀疑是主要目标。

–公鸡
19年4月15日在2:13

#8 楼

面对相似的事物,目前是一支运行相似事物的团队的一部分。这是我的两个美分:

教育是一个非常棘手的概念,因为人们的学习方式因人而异。但是我所看到的是,如果您尝试将要传达的信息简明扼要地表达在2-4点之内,则
用尽可能少的话总是有帮助。当涉及到对人的教育时,我们会做类似的事情


每当您收到组织外部某人的电子邮件时,都会提出以下问题:


您个人知道此电子邮件ID吗?
您觉得电子邮件ID和域名看起来像腥吗?
您真的要单击该链接还是要向此人提供您的个人信息?

最后我们总是提到:



如果您不确定,请将此电子邮件转发至{email id,可验证此}}@{yourorg}.com



。由于他们要做的(我想)是忽略该电子邮件,或者将其转发给您的内部安全团队进行审查。



我想这里需要做的是更多关于教育的事情。因为员工需要知道成功的网络钓鱼不仅会伤害公司,而且也会伤害员工。

评论


问题是网上诱骗活动何时进行,以教育员工跨越界限。您正在回答“如何更好地教育他们”

–yeah_well
19年4月14日在17:49



@VipulNair表示拒绝

–凯文·沃恩(Kevin Voorn)
19年4月14日在18:38

@VipulNair“不是无法进行教育”是不是教育太远了?

– BoredToolBox
19年4月15日在4:38

最高的投票者也是如此。

– BoredToolBox
19年4月15日在4:39

#9 楼

我不知道这是否适用于您的情况,但是一个潜在的问题可能是,如果您对用户意识的期望高于所使用的安全规范。例如:


您可以教育用户始终检查https证书,但与此同时,某些内部网站可能使用自签名或过期的证书,甚至要求提交用户名和通过简单的未加密的http密码输入密码。 />虽然第一个示例是基础架构的实际问题,但是第二个示例是安全实践,并附有过时的建议。我已经看到了这两种情况都是在野外发生的,在这种情况下,您尝试教的原理无法应用于日常实践中,并且最终可能导致混乱和不遵守。

#10 楼

我不确定您的组织规模如何,但是我能提供的最实用的建议是,如果您考虑过度,您可能会走得太远。
-制作一些欺骗性的电子邮件,将其发送给用户,查看用户的工作。

我们使用一种工具(KnowBe4)-对用户进行一些试用,并使用该工具来教育他们/使他们意识到。我们捕获谁通过,谁失败,并使用整个过程进行教育并演示我们的教育。

不要用自定义定位来考虑受众;不要进行复杂的数据分析...如果您愿意,则可能是在浪费时间来应对下一个挑战。

如果您发现高管或某些人员身上有鱼叉式钓鱼,请亲自并经常与他们进行交往,并可能要进行一些操作以确保他们被骗了。例如,通过更改操作,如果某人试图让您的CFO释放电汇付款,则CFO最好有一个额外的制造商/检查程序,或者获得第二个非电子邮件确认(语音?),以确认电汇应该发送出去。

#11 楼

在我看来,这可能是两个问题:


用户感到沮丧的是,他们经常因为没有通过测试而被认为是不可能的,因此经常受到批评。
让用户感到烦恼的是,IT正在浪费时间进行无休止的可疑价值测试。对用户的不可能的要求。至少,就您所要求的意义而言,这是不可能的,您必须证明它们具有复杂的水平,远远超出了非安全专家的合理预期。打个比方,合理地要求所有雇员准备进行基本的急救:戴上绷带,给某人服用阿司匹林等。但是,您肯定不会期望所有雇员都能进行紧急心脏手术。如果您开始让他们进行紧急心脏手术的练习演习,并对无法充分描述他们将如何植入支架或无法正确列出心脏移植中所有182步的雇员进行炮弹,显然那是不合理的。提出不切实际的要求,然后指责员工未能满足他们的要求,除了树立怨恨和鼓舞士气之外,什么都做不到。

B:您的期望是完全合理的,并且员工没有得到足够的培训。如果是这样,显而易见的答案是提供培训。如果您从未提供过任何培训,并且现在由于不了解员工从未接受过的培训而斥责员工,那么您又是不合理的。请记住,对计算机安全专业人员“显而易见”的事情对于没有这样背景的人不一定是显而易见的。我敢肯定,会计中有很多事情对专业会计师而言是显而易见的,但对我而言却不是,或者对汽车维修业而言,对于专业技师而言是显而易见的,等等。

C:您的期望是完全合理的,并且员工太懒惰或不负责任,无法做出努力。如果是这样,那就是管理问题。有人必须给员工适当的动力,使其更努力地工作,其范围从鼓舞人心的鼓舞人心的讲话到解雇不认真的人。

RE#2:当我在空军时当然,安全是一个主要问题。我们有想要摧毁我们的飞机并杀死我们的人。但是即使在这种极端情况下,安全人员也清楚地知道,更严格的安全性并不总是最好的。标准是安全性应尽可能有效,以应对现实风险,同时尽可能减少对工作人员的干扰。

在这种情况下,如果某些敌对的黑客掌握了密码并窃取或破坏了您的数据,那当然是一件坏事。这可能会花费您大笔资金,甚至可能使您倒闭。但是,除非威胁是巨大的,否则您不能指望员工花费90%的时间来抵御威胁,而只有10%的工作会为公司带来收入。这也是破产的秘诀。您必须在防范威胁与使任何人无法履行职责之间取得合理的平衡。

#12 楼

我怀疑您的模拟所使用的是关于目标目标的知识,而真正的网络钓鱼者是不会知道的。因此,他们抱怨您的假货很难与真品区分开。一句话,你在作弊。

评论


不一定,组织内可能存在恶意参与者。

–喵喵
19年4月16日在1:39

请查看香农的格言:敌人知道这个系统。

–森林
19年4月16日在2:31

“真正的仿冒者”可能不知道什么?

– schroeder♦
19年4月16日在7:39

除了@meowcat,您还会惊讶地发现可以在线上找到某人的信息(每人各不相同)。

– Alex Probert
19年4月16日在9:23

如果系统内的恶意行为者可以向我发送一封电子邮件,MS Exchange保证我来自我的雇主,但欺骗了该发件人,因此它似乎来自我的经理,但不是,那么,就没有足够的培训了。让我可靠地区分好与坏。我可以全力以赴检查组织外部的电子邮件,以查看它们是否可信任。如果我必须在每个内部电子邮件上花费相同的精力,那么这场战斗已经失败了。

–BoarGules
19年4月16日在10:23