Phishing Deep Dive: How to Effectively Phish Employees
Phishing is not about tricking employees into falling for your latest phishing simulation. Instead, phishing should be viewed as an opportunity to educate and prepare your employees to catch and report suspected phish. In this blog we’ll cover when employees are most susceptible to falling for phishing attacks and the 5 Rs of phishing to better ensure your phishing security awareness program will prepare employees to be your best first line of defense against cyber risk.
When are Employees Most Susceptible to Phishing Attacks?
When an employee receives a phishing email, they’re not falling for the phish because they don’t know how to identify it - they’re falling for phishing simulations due to the circumstances surrounding receiving that email.
Employees are most susceptible to falling for phishing simulations in the morning, after hours and when catching up. Let’s break down how each affects an employee’s ability to recognize a phish.
Morning
Before the first cup of coffee or starting their morning routine, employees are typically less alert and more prone to clicking on a phish. Advise employees to try to avoid checking their email until after they’ve had their first cup of coffee or half an hour after starting the workday.
After hours
Staying late to finish a project may be necessary at times, however it adds additional stress and can limit an employee’s ability to think clearly when being phished. Advise employees to try to avoid checking emails after hours unless absolutely necessary.
Catching up
Catching up after a well-deserved vacation or trying to cram everything in before a vacation can lead to mistakes, like clicking on an obvious phish. Lifestyle changes like changing careers or getting a promotion can also be huge stressors that can leave employees less alert to phishing tactics. Taking a moment or two between tasks can help reduce anxiety and keep employees alert.
The 5 Rs of Phishing
Realistic
People have developed a perception of what phishing looks like. While the traditional phishing scams still exist, and employees most likely will receive them, try to challenge employees with emails that resemble real and difficult to identify phish. Incorporate clear call to actions, and branding that closely resembles actual brands.
Relevant
Sending an employee in marketing a payroll phish won’t mimic legitimate phish they may receive. Craft phish that are relevant to the employee and their role.
Regular
Based on our research, we recommend phishing employees monthly to avoid frustration and best track results.
Randomized
Sending the same email to everyone in the office is not effective since not everyone is going to get the same email from cybercriminals. To best simulate a real phishing experience, phish employees on different days and at different times with different phish specific to their role!
Remediation
It’s important to give employees the opportunity to redeem themselves after falling for a phish. By assigning remedial training such as a course specific to the phish they fell for and rewarding them for completing that training, employees are left feeling empowering and ready to defend the organization.
Explorer l’hameçonnage en profondeur : comment utiliser efficacement les simulations d’hameçonnage avec vos employés
L’hameçonnage ne consiste pas à inciter les employés à se faire avoir par votre dernière simulation d’hameçonnage. Au lieu de cela, l’hameçonnage devrait être considéré comme une occasion d’éduquer et de préparer vos employés à la détection et au signalement des communications qu’ils soupçonnent être des tentatives d’hameçonnage. Dans ce billet de blogue, nous couvrirons les moments où les employés sont les plus susceptibles de tomber pour les attaques d’hameçonnage ainsi que les 5 caractéristiques principales d'une bonne simulation d’hameçonnage pour mieux vous assurer que votre programme de sensibilisation à la sécurité contre l’hameçonnage préparera les employés à être votre meilleure première ligne de défense contre les cyberrisques.
Quand les employés sont-ils les plus susceptibles d’être victimes d’hameçonnage?
Lorsqu’un employé reçoit un courriel d’hameçonnage, il ne clique généralement pas sur celui-ci parce qu’il ne sait pas comment l’identifier; ce sont généralement les circonstances entourant la réception du courriel qui expliquent pourquoi cet employé est tombé dans le panneau.
Les employés sont plus susceptibles de cliquer sur des simulations d’hameçonnage le matin, après les heures de travail et lorsqu’ils rattrapent leur retard. Examinons comment chacune de ces situations affecte la capacité d’un employé à reconnaître une tentative d’hameçonnage.
Matin
Avant la première tasse de café ou au début de leur routine matinale, les employés sont généralement moins alertes et plus enclins à cliquer sur une tentative d’hameçonnage. Conseillez aux employés d’essayer d’éviter de vérifier leurs courriels jusqu’à ce qu’ils aient pris leur première tasse de café ou une demi-heure après avoir commencé la journée de travail.
Après les heures de bureau
Rester plus tard au travail pour terminer un projet peut parfois être nécessaire, mais cela ajoute du stress supplémentaire et peut limiter la capacité d’un employé à penser avec des idées claires lorsqu’il reçoit une tentative d’hameçonnage. Conseillez aux employés d’éviter de vérifier leurs courriels après les heures de bureau, sauf si c’est absolument nécessaire.
Rattrapage
Rattraper son retard après des vacances bien méritées ou essayer de tout faire avant de partir en vacances peut entraîner des erreurs, comme cliquer sur une tentative évidente d’hameçonnage. Les changements de style de vie comme un changement de carrière ou l’obtention d’une promotion peuvent également créer d'importants facteurs de stress qui peuvent rendre les employés moins attentifs aux tactiques d’hameçonnage. Prendre un moment ou deux entre les tâches peut aider à réduire l’anxiété et à garder les employés alertes.
Les 5 éléments centraux de l’hameçonnage
Réaliste
Les individus sont généralement en mesure de percevoir ce à quoi ressemble une tentative d’hameçonnage. Bien que les escroqueries traditionnelles par hameçonnage existent toujours et que les employés les recevront très probablement, essayez de créer un défi pour vos employés avec des courriels qui ressemblent à des hameçons réels et difficiles à identifier. Intégrez un appel clair à l’action et une image de marque qui ressemble beaucoup à des marques réelles.
Pertinent
Envoyer un employé du département de marketing un courriel d’hameçonnage sur les modes de paiement n’imitera pas efficacement le type d’hameçonnage qu’il pourrait recevoir. Fabriquez des courriels d'hameçonnage qui sont pertinents pour l’employé et son rôle.
Régulier
Sur la base de nos recherches, nous recommandons d’envoyer des simulations d’hameçonnage aux employés mensuellement pour éviter la frustration et assurer un meilleur suivi des résultats.
Randomisé
Envoyer le même courriel à tout le monde au bureau n’est pas efficace, car en réalité, ils ne recevront pas tous les mêmes courriels de la part de cybercriminels. Pour mieux simuler une véritable expérience d’hameçonnage, envoyez des simulations d’hameçonnage à des jours différents et à des moments différents, avec différents hameçons selon le rôle des employés.
Mesures correctives
Il est important de donner aux employés la possibilité de se racheter après avoir cliqué sur une simulation d’hameçonnage. En leur attribuant une formation de rattrapage, comme un cours spécifique sur l’hameçonnage pour lequel ils sont tombés et en les récompensant pour avoir terminé cette formation, les employés se sentent responsabilisés et prêts à défendre l’organisation.
Phishing Deep Dive: Cómo lograr que los empleados caigan en intentos de phishing
El phishing no se trata de engañar a los empleados para que caigan en su última simulación de phishing. Más bien, los intentos de phishing deben verse como una oportunidad para educar y preparar a sus empleados para detectar y denunciar sospechas de phishing reales. En este blog, veremos cuándo los empleados son más susceptibles a caer en ataques de phishing y las 5 R del phishing para garantizar que su programa de concientización sobre seguridad de phishing prepare a los empleados para ser su mejor primera línea de defensa contra el riesgo cibernético.
¿Cuándo son los empleados más susceptibles a los ataques de phishing?
Cuando un empleado recibe un correo electrónico de phishing, no cae en el phishing porque no sepa cómo identificarlo, cae en simulaciones de phishing debido a las circunstancias que rodean la recepción de ese correo electrónico.
Los empleados son más susceptibles a caer en simulaciones de phishing por la mañana, fuera del horario laboral y cuando se están poniendo al corriente. Analicemos cómo cada cosa afecta la capacidad de un empleado para reconocer un phishing.
Mañanas
Antes de la primera taza de café o de comenzar su rutina matutina, los empleados suelen estar menos alertas y más propensos a hacer clic en un intento de phishing. Aconseje a los empleados que traten de evitar revisar su correo electrónico hasta después de haber tomado su primera taza de café o media hora después de comenzar la jornada laboral.
Fuera del horario laboral
Quedarse hasta tarde para terminar un proyecto puede ser necesario a veces, sin embargo, agrega estrés adicional y puede limitar la capacidad de un empleado para pensar con claridad cuando es víctima de phishing. Aconseje a los empleados que traten de evitar revisar los correos electrónicos después del horario de atención a menos que sea absolutamente necesario.
Ponerse al corriente
Ponerse al corriente después de unas merecidas vacaciones o tratar de terminar todo antes de unas vacaciones puede llevar a cometer errores, como hacer clic en un phishing evidente. Los cambios en el estilo de vida, como cambiar de carrera u obtener un ascenso, también pueden ser grandes factores estresantes que pueden dejar a los empleados menos alertas ante las tácticas de phishing. Tomarse un momento o dos entre tareas puede ayudar a reducir la ansiedad y mantener a los empleados alerta.
Las 5 R del phishing
Realista
Las personas han desarrollado una percepción de cuál es la apariencia del phishing. Si bien las estafas de phishing tradicionales todavía existen, y lo más probable es que los empleados las reciban, enfrente a los empleados con correos electrónicos que se parezcan al phishing real y difícil de identificar. Incorpore una clara llamada a la acción y una marca que se parezca mucho a las marcas reales.
Relevante
Enviar a un empleado del departamento de marketing un phishing de nómina no imitará el phishing legítimo que pueda recibir. Cree un phishing que sea relevante para el empleado y su puesto.
Regular
Según nuestra investigación, recomendamos presentar intentos de phishing a los empleados mensualmente para evitar frustraciones y realizar un mejor seguimiento de los resultados.
Aleatorios
Enviar el mismo correo electrónico a todo el personal no es efectivo ya que no todos recibirán el mismo correo electrónico de los ciberdelincuentes. Para simular mejor una experiencia de phishing real, ¡envíe intentos de phishing a los empleados en diferentes días y en diferentes momentos con diferentes phishing específicos para su puesto!
Remediación
Es importante dar a los empleados la oportunidad de redimirse después de caer en un intento de phishing. Al asignarles una capacitación correctiva, como un curso específico para el phishing del que fueron víctimas y recompensarlos por completar esa capacitación, los empleados se sentirán empoderados y listos para defender a la organización.