Dipendenti del test

Fornite un ambiente di apprendimento sicuro ai vostri dipendenti

Prepararsi agli attacchi di phishing con simulazioni e corsi di formazione

Lucy consente alle organizzazioni di assumere il ruolo di un aggressore (simulazione di phishing) e di identificare le lacune nell'infrastruttura tecnica e nella consapevolezza della sicurezza e di risolverle attraverso un programma completo di e-learning.

Lucy consente di simulare l'intero panorama delle minacce che va oltre le semplici e-mail di phishing:

  • Attacchi ai supporti portatili
  • SMiShing
  • Attacchi all'inserimento dati
  • Attacchi ai collegamenti ipertestuali
  • Potente toolkit di reindirizzamento degli URL
  • Attacchi misti
  • Attacchi basati su file
  • Attacchi a doppia canna
  • Attacchi basati su Java
  • Attacchi basati su PDF
  • Toolkit di convalida dell'inserimento dati
  • Modello di attacco multilingue
  • Settore e divisione specifici
  • Variazioni dell'URL di attacco
  • Accorciamento URL
  • Clonatore di siti web
  • Attacchi basati sul livello
  • Simulazione di spear phishing
  • Supporto DKIM / S / MIME per le e-mail di phishing
  • Creazione di una homepage personalizzata

Attacchi ai supporti portatili

Gli hacker possono utilizzare le unità multimediali portatili per accedere alle informazioni sensibili memorizzate su un computer o una rete. LUCY offre l'opzione di eseguire attacchi su supporti portatili in cui un modello di file (ad esempio, eseguibile, archivio, documento d'ufficio con macro, ecc.) può essere memorizzato su un dispositivo multimediale portatile come USB, scheda SD o CD. L'attivazione (esecuzione) di questi singoli file può essere tracciata in LUCY.

SMiShing

Lo smishing è, in un certo senso, un "phishing via SMS". Quando i criminali informatici fanno "phishing", inviano e-mail fraudolente che cercano di indurre il destinatario ad aprire un allegato carico di malware o a cliccare su un link dannoso. Lo smishing utilizza semplicemente i messaggi di testo al posto delle e-mail.

Attacchi di inserimento dati

Gli attacchi di inserimento dati possono includere una o più pagine Web che intercettano l'inserimento di informazioni sensibili. Le pagine web disponibili possono essere facilmente personalizzate con l'editor web LUCY. Ulteriori strumenti di editing consentono di impostare rapidamente funzioni quali moduli di accesso, aree di download e così via senza avere conoscenze di HTML.

Attacchi con collegamenti ipertestuali

Una campagna basata su un collegamento ipertestuale invierà agli utenti un'e-mail contenente un URL di tracciamento randomizzato.

Potente toolkit per il reindirizzamento degli URL

Le flessibili funzioni di reindirizzamento di LUCY consentono all'utente di essere guidato, al momento giusto, verso le aree desiderate della simulazione di attacco o della formazione. Ad esempio, dopo aver inserito i primi 3 caratteri di una password in una simulazione di phishing, l'utente può essere reindirizzato a una pagina di formazione speciale sulla protezione delle password.

Attacchi misti

Gli attacchi misti consentono di combinare più tipi di scenari (basati su file, inserimento dati, ecc.) nella stessa campagna.

Attacchi basati su file

Gli attacchi basati su file consentono all'amministratore di LUCY di integrare diversi tipi di file (documenti di Office con macro, PDF, eseguibili, MP3, ecc.) negli allegati di posta o nei siti Web generati su LUCY e di misurarne il tasso di download o di esecuzione.

Attacchi a doppia canna

Questa funzione consente di inviare più e-mail di phishing in ogni campagna, con la prima e-mail benigna (l'esca) che non contiene nulla di dannoso e non richiede una risposta da parte del destinatario.

Attacchi basati su Java

Gli attacchi basati su Java consentono all'amministratore di LUCY di integrare un'applet affidabile all'interno dei modelli di attacco basati su file o misti forniti in LUCY e di misurarne l'esecuzione da parte dell'utente.

Attacchi basati su PDF

Con questo modulo è possibile simulare attacchi di phishing basati su PDF. LUCY consente di "nascondere" file eseguibili come allegati PDF e di misurarne l'esecuzione. Inoltre, è possibile generare link dinamici di phishing all'interno dei PDF.

Toolkit per la convalida dell'inserimento dei dati

Nelle simulazioni di phishing, è necessario evitare i falsi positivi per i campi di accesso (ad esempio, la registrazione con sintassi non valida). Le linee guida aziendali possono anche vietare la trasmissione di dati sensibili come le password. A questo scopo, LUCY fornisce un motore di filtraggio degli input flessibile che offre una soluzione adatta a ogni esigenza.

Libreria di modelli di attacco multilingue

LUCY viene fornito con centinaia di modelli di attacco predefiniti in più di 30 lingue nelle categorie di inserimento dati (modelli con un sito web), basati su file (e-mail o siti web con download di file), hyperlink (e-mail con un link), misti (combinazione di inserimento dati e download) e supporti portatili.

Modelli specifici per settore e divisione

Sono disponibili modelli di attacco per settori o divisioni specifiche.

Variazioni dell'URL di attacco

Take control of the generated URLs to identify the recipients. Use automated short (< 5 characters) or long URL strings or set individual URLs for each user. The manual URL creation allows you to form links that a user can easily remember. In environments where link clicks are disabled in e-mails, this is a must.

Accorciamento URL

Gli accorciatori di URL sono un servizio Internet relativamente nuovo. Poiché molti servizi sociali online impongono limiti di caratteri (ad esempio, Twitter), questi URL sono molto pratici. Gli accorciatori di URL, tuttavia, possono essere utilizzati dai criminali informatici per nascondere il vero obiettivo di un link, come ad esempio siti web di phishing o infetti. Per questo motivo, LUCY offre la possibilità di integrare diversi servizi di abbreviazione all'interno di una campagna di phishing o smishing.

Clonatore di siti web

Create rapidamente pagine di destinazione altamente professionali per le vostre campagne. Clonate siti web esistenti e aggiungete ulteriori livelli con campi di inserimento dati, file da scaricare e altro ancora.

Attacchi basati sul livello

La formazione sul phishing per i dipendenti, basata sui livelli, serve a rendere misurabile il rischio di social hacking. L'analisi scientifica dovrebbe inoltre identificare i fattori di rischio più importanti, in modo da poter offrire automaticamente contenuti formativi personalizzati.

Simulazione di spear phishing

Lo Spear Phish Tailoring funziona con variabili dinamiche (sesso, ora, nome, e-mail, link, messaggi, divisione, paese, ecc.) che possono essere utilizzate nei modelli di landing e di messaggio.

Supporto DKIM / S / MIME per le e-mail di phishing

Firme digitali per le e-mail: Inviare e-mail di simulazione di phishing firmate (s/mime). Utilizzate il DKIM per ottenere un miglior punteggio del mittente.

Creazione di una homepage personalizzata

I destinatari con una migliore comprensione tecnica possono utilizzare il proprio browser per chiamare il dominio o l'indirizzo IP associato al link di phishing generato casualmente. Per evitare che vengano visualizzati messaggi di errore o che l'utente finale arrivi all'area di accesso della console di amministrazione, è possibile creare "homepage" generiche all'interno di LUCY per i domini utilizzati nella simulazione di phishing.

Creare modelli di phishing personalizzati in pochi minuti

Create i vostri modelli di phishing con il nostro editor e simulate qualsiasi tipo di attacco di phishing. Non sono necessarie particolari competenze tecniche.

Come funziona un attacco di phishing simulato? attacco di phishing?

FASE UNO: Discutere le proprie esigenze

Discutete i vostri requisiti

Le simulazioni di phishing forniscono risultati quantificabili e misurabili. Le simulazioni disponibili includono SMS Phishing, Corporate Phishing (e-mail simulate che sembrano provenire "dall'interno" della vostra organizzazione), Board Member Spear Phishing (mirate a una manciata di persone di alto livello in una posizione di influenza), Simulazione di Ransomware, Personal Phishing (simulazioni mirate a utilizzare marchi noti come Amazon, Apple, eBay, ecc. Queste misurazioni consentono di identificare e monitorare i miglioramenti. L'approccio consulenziale del nostro team garantisce che tutte le simulazioni e le campagne di phishing siano adeguate alle minacce che incombono sulla vostra organizzazione. Prima della simulazione di phishing, le esigenze e gli obiettivi vengono chiariti e coordinati con le attività pianificate. L'obiettivo è definire gli elementi chiave della campagna:

  • Attaccare o educare prima? Un test di simulazione può iniziare con una formazione introduttiva in cui i dipendenti vengono istruiti sulla sicurezza delle e-mail e sulle implicazioni del phishing. Un'organizzazione può anche creare un account di posta elettronica anti-phishing in cui i dipendenti possono condividere facilmente le loro esperienze, i loro sospetti e altri requisiti relativi alle minacce informatiche prima di iniziare la simulazione.
  • Frequenza della simulazione: La frequenza delle simulazioni deve essere regolata in base alle minacce percepite. La copertura degli utenti e la frequenza delle simulazioni devono essere determinate in relazione al rischio percepito (ad esempio, Finanza e pagamenti - 2 temi / X mesi, alta dirigenza - 1 tema / X mesi). Le funzioni/reparti ad alto rischio e gli individui che ricoprono ruoli importanti nell'organizzazione dovrebbero essere coperti più frequentemente come parte della simulazione.
  • Durata della simulazione: La maggior parte dei test di simulazione di phishing è solitamente pianificata su un periodo di 12 mesi. Tuttavia, possono esserci alcune campagne ad hoc che hanno carattere situazionale.
  • Tempistica: quando inviare le e-mail? Quando si pianifica la campagna per ogni funzione/reparto o individuo, le e-mail di phishing dovrebbero essere innescate con gli elementi "Giorno della settimana" e "Ora del giorno".
  • Seguito: Una campagna di simulazione di phishing può essere seguita da e-mail pertinenti da parte del reparto IT che informano i dipendenti coinvolti sulla realtà delle e-mail di phishing e su ciò che ci si aspetta da loro in cambio. Se gli utenti falliscono ripetutamente, pianificate una discussione con loro per capire quali difficoltà stanno incontrando e perché. Di conseguenza, organizzare sessioni di sensibilizzazione/formazione per questi utenti.
  • Coerenza con le politiche attuali: Una volta implementato, il processo deve essere eseguito in modo uniforme da tutti coloro che ne fanno parte. L'integrazione nelle politiche e nelle procedure di sicurezza delle informazioni esistenti contribuirà a dare ulteriore importanza alla campagna.
  • Scegliete il tema di phishing giusto: Vedere la sezione successiva.
  • Comunicazione aziendale: Prima di avviare la campagna di simulazione di phishing, elaborate un piano di comunicazione sulla simulazione di phishing con il responsabile della funzione/reparto. I dipendenti devono essere informati del nuovo processo, delle aspettative, delle conseguenze della mancata osservanza e della data di entrata in vigore.
  • Gruppo mirato: Se la campagna si rivolge a un ampio gruppo di utenti appartenenti alla stessa funzione/reparto, questi potrebbero informare gli altri membri del gruppo. Pertanto, le e-mail di phishing non dovrebbero essere inoltrate a tutta l'azienda, perché ciò suscita sospetti. Il processo deve invece essere organico e deve essere rivolto a un piccolo gruppo di dipendenti selezionati in una sola volta.
  • Garantire l'impegno dei massimi livelli: Il sostegno della direzione è fondamentale per garantire l'efficacia del processo. Pertanto, gli utenti di livello superiore devono essere disposti a seguire il processo.
  • Preparativi tecnici: La creazione di una lista bianca di domini di phishing, la creazione di account di prova, i test di consegna della posta sono alcune delle attività che devono essere attentamente pianificate.
FASE DUE: Selezionare il tema dell'attacco simulato

In ogni attività di simulazione di phishing, il tema gioca un ruolo importante per raggiungere l'obiettivo finale di educare gli utenti alle minacce reali. Per fornire un'esperienza e una consapevolezza del mondo reale, il tema della simulazione di phishing selezionato deve essere in linea con un evento o un contesto rilevante per l'individuo o il gruppo target. Ecco alcuni punti da considerare per un'attività di simulazione efficace:

  • Qualsiasi tema scelto per una simulazione di phishing deve essere allineato al contesto aziendale e al rischio percepito per il ruolo/funzione/reparto dell'utente.
  • Il tema scelto per la simulazione di phishing deve essere rilevante per l'individuo o il gruppo preso di mira.
  • Per ottenere risultati ed esperienze di apprendimento migliori, la complessità del tema selezionato dovrebbe essere gradualmente portata a un livello superiore.
  • Iniziare con un tema di phishing molto complesso farà sì che molti falliscano e non raggiungano l'obiettivo finale.
  • Ogni elemento ingannevole di un'e-mail di phishing deve essere combinato con altri trucchi tipicamente utilizzati dagli aggressori (ad esempio, dominio sosia con collegamento ipertestuale camuffato, dominio spoofed con file a doppia estensione, ecc.)
  • Ogni attività di simulazione deve essere limitata nel tempo; i temi contestuali svolti al di fuori di una linea temporale definita perderanno il loro valore.
FASE TRE: Selezionare i servizi aggiuntivi

La simulazione di phishing LUCY può essere combinata con servizi che aiutano l'azienda a valutare meglio il rischio. Ecco alcuni esempi:

  • Formazione individuale: Ogni dipendente può essere addestrato individualmente in anticipo o direttamente a seguito della simulazione dell'attacco. I contenuti dei corsi di formazione possono essere adattati alle politiche aziendali esistenti. Test interattivi possono registrare il livello di conoscenza.
  • Test dei filtri di posta e web: Fornisce un'analisi tecnica dei possibili canali di ingresso del malware. Quali tipi di file possono essere consegnati via e-mail? Quali tipi di file pericolosi possono essere scaricati?
  • Test di sicurezza locale: Qual è il rischio effettivo se un dipendente esegue un tipo di file pericoloso? Quanto funziona la protezione tecnica per prevenire la fuga di dati?
  • Analisi del potenziale di attacco: Quali informazioni sensibili dei dipendenti possono essere visualizzate su Internet? Cosa comunicano i dipendenti tramite un indirizzo e-mail aziendale quando sono in Internet?
  • Analisi della cultura della sicurezza: L'attuale cultura della sicurezza deve essere rilevata e valutata mediante interviste, sondaggi e analisi delle linee guida esistenti.
  • Analisi della darknet: Cerchiamo nella Darknet le fughe di dati esistenti e mostriamo così un quadro completo dei rischi, che non comprende solo la visione interna.
  • Campagne ricorrenti completamente gestite: Preferite campagne ricorrenti completamente gestite da noi? Siete invitati a esternalizzare completamente l'argomento IT Security Awareness a noi.
FASE QUATTRO: iniziare!

Iniziate oggi stesso con Lucy

Demo

protezione dei dati

Indirizzo: Europa
Lucy Security AG
Hammergut 6 | 6330 Cham | Svizzera

Indirizzo: Nord America
Lucy Security USA
13785 Research Blvd
Suite 125
Austin, TX 78750

RICERCA

Collegare

Tutti i diritti riservati 2022

cybersecurity_award_2021_Winner_Gold-1-1 logo4 2021-CSGEA-Gold-PNG-2-e1618372246427 logo6 logo7 Cyber-Essentials-Badge-Medium-72dpi-2 d cv-premio image_2021_06_09T14_55_37_887Znew Lucy-Security-Award-Logo-sizee-update