Mô phỏng lừa đảo là một an ninh mạng bài tập kiểm tra khả năng của tổ chức trong việc nhận biết và ứng phó với một cuộc tấn công lừa đảo.

A Tấn công lừa đảo là một email, tin nhắn văn bản hoặc tin nhắn thoại lừa đảo được thiết kế để lừa mọi người tải xuống phần mềm độc hại (Chẳng hạn như ransomware), tiết lộ thông tin nhạy cảm (chẳng hạn như tên người dùng, mật khẩu hoặc chi tiết thẻ tín dụng) hoặc gửi tiền nhầm người.

Trong quá trình mô phỏng lừa đảo, nhân viên sẽ nhận được email lừa đảo mô phỏng (hoặc tin nhắn hoặc cuộc gọi điện thoại) bắt chước các nỗ lực lừa đảo trong thế giới thực. Các tin nhắn sử dụng giống nhau kỹ thuật xã hội các chiến thuật (ví dụ: mạo danh người mà người nhận biết hoặc tin tưởng, tạo cảm giác cấp bách) để lấy được lòng tin của người nhận và lôi kéo họ thực hiện hành động thiếu sáng suốt. Sự khác biệt duy nhất là người nhận đã mắc bẫy (ví dụ: nhấp vào liên kết độc hại, tải xuống tệp đính kèm độc hại, nhập thông tin vào trang đích lừa đảo hoặc xử lý hóa đơn giả) chỉ cần trượt bài kiểm tra mà không gây ảnh hưởng xấu đến tổ chức.

Trong một số trường hợp, nhân viên nhấp vào liên kết giả mạo độc hại sẽ được đưa đến một trang đích cho biết rằng họ đã trở thành nạn nhân của một cuộc tấn công lừa đảo mô phỏng, kèm theo thông tin về cách phát hiện tốt hơn các hành vi lừa đảo lừa đảo và các hành vi lừa đảo khác. Tấn công mạng trong tương lai. Sau khi mô phỏng, các tổ chức cũng nhận được số liệu về tỷ lệ nhấp chuột của nhân viên và thường tiếp tục đào tạo bổ sung về nhận thức lừa đảo.

Tại sao mô phỏng lừa đảo lại quan trọng 

Số liệu thống kê gần đây cho thấy các mối đe dọa lừa đảo tiếp tục gia tăng. Kể từ năm 2019, số vụ tấn công lừa đảo đã tăng 150% mỗi năm-với Nhóm công tác chống lừa đảo (APWG) báo cáo mức độ lừa đảo cao nhất mọi thời đại vào năm 2022, ghi lại hơn 4.7 triệu trang web lừa đảo. Theo Proofpoint, 84% tổ chức vào năm 2022 đã trải qua ít nhất một cuộc tấn công lừa đảo thành công.

Bởi vì ngay cả các cổng email và công cụ bảo mật tốt nhất cũng không thể bảo vệ tổ chức khỏi mọi chiến dịch lừa đảo nên các tổ chức ngày càng chuyển sang mô phỏng lừa đảo. Mô phỏng lừa đảo được thiết kế tốt giúp giảm thiểu tác động của các cuộc tấn công lừa đảo theo hai cách quan trọng. Mô phỏng cung cấp cho các nhóm bảo mật thông tin nhu cầu đào tạo nhân viên để nhận biết tốt hơn và tránh các cuộc tấn công lừa đảo trong đời thực. Chúng cũng giúp các nhóm bảo mật xác định chính xác các lỗ hổng, cải thiện khả năng ứng phó sự cố tổng thể và giảm nguy cơ vi phạm dữ liệu và tổn thất tài chính từ các nỗ lực lừa đảo thành công.

Mô phỏng lừa đảo hoạt động như thế nào?

Các cuộc kiểm tra lừa đảo thường là một phần của chương trình đào tạo nâng cao nhận thức bảo mật rộng hơn do bộ phận CNTT hoặc nhóm bảo mật chủ trì.

Quá trình này thường bao gồm năm bước:

1. Lập kế hoạch: Các tổ chức bắt đầu bằng việc xác định mục tiêu và phạm vi, quyết định loại email lừa đảo nào sẽ sử dụng và tần suất mô phỏng. Họ cũng xác định đối tượng mục tiêu, bao gồm phân khúc các nhóm hoặc phòng ban cụ thể và thường là các giám đốc điều hành. 
2. Soạn thảo: Sau khi lập kế hoạch, các nhóm bảo mật sẽ tạo các email lừa đảo mô phỏng thực tế gần giống với các mối đe dọa lừa đảo thực tế, thường được mô phỏng theo các mẫu lừa đảo và bộ công cụ lừa đảo có sẵn trên web đen. Họ chú ý đến các chi tiết như dòng chủ đề, địa chỉ người gửi và nội dung để tạo ra các mô phỏng lừa đảo thực tế. Chúng cũng bao gồm các chiến thuật lừa đảo qua mạng—thậm chí mạo danh (hoặc 'giả mạo') giám đốc điều hành hoặc đồng nghiệp làm người gửi—để tăng khả năng nhân viên nhấp vào email. 
3. Gửi: Sau khi hoàn thiện nội dung, nhóm CNTT hoặc nhà cung cấp bên ngoài sẽ gửi email lừa đảo mô phỏng đến đối tượng mục tiêu thông qua các phương tiện an toàn có lưu ý đến quyền riêng tư.
4. Giám sát: Sau khi gửi các email độc hại giả, các nhà lãnh đạo theo dõi và ghi lại chặt chẽ cách nhân viên tương tác với các email mô phỏng, theo dõi xem họ có nhấp vào liên kết, tải xuống tệp đính kèm hay cung cấp thông tin nhạy cảm hay không.
5. Phân tích: Sau thử nghiệm lừa đảo, các nhà lãnh đạo CNTT sẽ phân tích dữ liệu từ mô phỏng để xác định các xu hướng như tỷ lệ nhấp chuột và lỗ hổng bảo mật. Sau đó, họ theo dõi những nhân viên không thực hiện được mô phỏng bằng phản hồi ngay lập tức, giải thích cách họ có thể xác định chính xác nỗ lực lừa đảo và cách tránh các cuộc tấn công thực sự trong tương lai. 

Sau khi hoàn thành các bước này, nhiều tổ chức sẽ biên soạn một báo cáo toàn diện tóm tắt kết quả của mô phỏng lừa đảo để chia sẻ với các bên liên quan. Một số cũng sử dụng thông tin chuyên sâu để cải thiện quá trình đào tạo nâng cao nhận thức về bảo mật trước khi lặp lại quy trình này thường xuyên nhằm nâng cao nhận thức về an ninh mạng và đón đầu các mối đe dọa mạng đang gia tăng.

Những điều cần cân nhắc đối với mô phỏng lừa đảo

Khi chạy chiến dịch mô phỏng lừa đảo, các tổ chức nên tính đến những điều sau.

• Tần suất và sự đa dạng của thử nghiệm: Nhiều chuyên gia đề nghị tiến hành mô phỏng lừa đảo thường xuyên trong suốt cả năm bằng cách sử dụng các loại kỹ thuật lừa đảo khác nhau. Tần suất và sự đa dạng ngày càng tăng này có thể giúp nâng cao nhận thức về an ninh mạng đồng thời đảm bảo tất cả nhân viên luôn cảnh giác trước các mối đe dọa lừa đảo ngày càng gia tăng.
• Nội dung và phương pháp: Khi nói đến nội dung, các tổ chức nên phát triển các email lừa đảo mô phỏng giống với các nỗ lực lừa đảo thực tế. Một cách để thực hiện điều này là sử dụng các mẫu lừa đảo được mô phỏng theo các kiểu tấn công lừa đảo phổ biến để nhắm mục tiêu vào nhân viên. Ví dụ: một mẫu có thể tập trung vào thỏa hiệp email doanh nghiệp (BEC)—còn được gọi là gian lận của CEO—một loại giáo lừa đảo trong đó tội phạm mạng mô phỏng email từ một trong những giám đốc điều hành cấp C của tổ chức để lừa nhân viên tiết lộ thông tin nhạy cảm hoặc chuyển số tiền lớn cho một nhà cung cấp có mục đích. Giống như tội phạm mạng thực hiện các vụ lừa đảo BEC trong đời thực, các nhóm bảo mật thiết kế mô phỏng phải nghiên cứu cẩn thận người gửi và người nhận để khiến email trở nên đáng tin cậy.
• thời gian: Thời điểm lý tưởng để các tổ chức thực hiện mô phỏng lừa đảo vẫn là nguồn tranh luận tiếp tục. Một số người thích triển khai thử nghiệm lừa đảo trước khi nhân viên hoàn thành bất kỳ khóa đào tạo nhận thức lừa đảo nào nhằm thiết lập điểm chuẩn và đo lường hiệu quả của các giải pháp mô phỏng lừa đảo trong tương lai. Những người khác muốn đợi cho đến sau khi đào tạo nhận thức về lừa đảo để kiểm tra tính hiệu quả của mô-đun và xem liệu nhân viên có báo cáo chính xác các sự cố lừa đảo hay không. Thời điểm một tổ chức quyết định chạy mô phỏng lừa đảo phụ thuộc vào nhu cầu và mức độ ưu tiên của tổ chức đó. 
• Theo dõi giáo dục: Bất kể khi nào các tổ chức quyết định thực hiện kiểm tra lừa đảo, thì đó thường là một phần của chương trình đào tạo nhận thức bảo mật lớn hơn và toàn diện hơn. Chương trình đào tạo tiếp theo giúp những nhân viên không vượt qua bài kiểm tra cảm thấy được hỗ trợ thay vì bị lừa, đồng thời cung cấp kiến ​​thức và động lực để xác định các email đáng ngờ hoặc các cuộc tấn công thực sự trong tương lai.
• Theo dõi tiến độ và xu hướng: Sau khi mô phỏng, các tổ chức nên đo lường và phân tích kết quả của từng thử nghiệm mô phỏng lừa đảo. Điều này có thể xác định các lĩnh vực cần cải thiện, bao gồm cả những nhân viên cụ thể có thể cần đào tạo bổ sung. Các nhóm bảo mật cũng nên cập nhật các xu hướng và chiến thuật lừa đảo mới nhất để lần sau khi chạy mô phỏng lừa đảo, họ có thể kiểm tra nhân viên về các mối đe dọa thực tế phù hợp nhất.

Nhận thêm trợ giúp trong cuộc chiến chống lại các cuộc tấn công lừa đảo

Mô phỏng lừa đảo và đào tạo nâng cao nhận thức về bảo mật là các biện pháp phòng ngừa quan trọng, nhưng các nhóm bảo mật cũng cần khả năng phát hiện và ứng phó mối đe dọa hiện đại để giảm thiểu tác động của các chiến dịch lừa đảo thành công.

Áp dụng IBM Security® QRadar® SIEM học máy và phân tích hành vi người dùng (UBA) đối với lưu lượng truy cập mạng cùng với nhật ký truyền thống để phát hiện mối đe dọa thông minh hơn và khắc phục nhanh hơn. Trong một nghiên cứu gần đây của Forrester, QRadar SIEM đã giúp các nhà phân tích bảo mật tiết kiệm hơn 14,000 giờ trong 3 năm bằng cách xác định các kết quả dương tính giả, giảm 90% thời gian điều tra sự cố và giảm 60% nguy cơ gặp phải vi phạm bảo mật nghiêm trọng.* Với QRadar SIEM, các nhóm bảo mật có nguồn lực hạn chế có khả năng hiển thị và phân tích mà họ cần để phát hiện các mối đe dọa nhanh chóng và thực hiện hành động ngay lập tức, sáng suốt để giảm thiểu tác động của một cuộc tấn công.

Tìm hiểu thêm về IBM QRadar SIEM

*Các Tác động kinh tế tổng thể của IBM Security QRadar SIEM là một nghiên cứu được ủy quyền do Forrester Consulting thay mặt cho IBM thực hiện, vào tháng 2023 năm XNUMX. Dựa trên kết quả dự kiến ​​của một tổ chức tổng hợp được mô hình hóa từ bốn khách hàng IBM được phỏng vấn. Kết quả thực tế sẽ khác nhau tùy theo cấu hình và điều kiện của khách hàng, do đó, nhìn chung không thể cung cấp kết quả như mong đợi.