Phishing-træning

DKCERT hjælper institutioner på forskningsnettet med træning i at undgå at falde i phishingfælden.

Som en del af den awareness-træning, der skal uddanne medarbejdere og studerende i god sikkerhedskultur, har DeiC Sikkerhed / DKCERT udviklet et værktøj, som kan aflaste det individuelle besvær, samt samle erfaringer, så du får et endnu større udbytte af dine anstrengelser.

En af de kriminelles mest anvendte og effektive veje ind i et netværk, i pengekonti eller i en bygning, er gennem at lokke nogen indefra til at åbne døren.

Derfor har vi udviklet et værktøj, der skal hjælpe med at teste denne angrebsvinkel, så it-afdelingen bedre kan fokusere træningsmål til medarbejdere, samt teste organisationens håndtering af truslen.

Phishing-mails er en effektiv metode til at ramme mange på en gang, men kan også være skræddersyet til at ramme udvalgte ofre. Langt de fleste medarbejdere modtager og besvarer e-mails i deres daglige arbejde, hvilket betyder, at en phishing-mail på samme tid kan ramme en stor målgruppe, der ellers har mange forskellige arbejdsopgaver. 

Vores værktøj fungerer efter samme principper som en ondsindet phishing-kampagne, men alt foregår i et krypteret og afgrænset miljø. Vi har implementeret en teknisk platform, der gør det nemt for dig at trykprøve sikkerhedsniveauet i din organisation.

I samarbejde med os kan du designe dine egne phishing-kampagner, der på en virkelighedstro måde afsender en defineret mængde mails. Din institution kan frit udforme ”angreb” ud fra eksempelvis behov, antal modtagere eller medarbejdernes vidensniveau.

3 fordele ved at benytte phishing-værktøjet:

  • Dine medarbejdere skal ikke overvåge kollegerne i en kampagne. Igennem en databehandleraftale forpligter vi os til at kryptere alle begivenheder, samt at anonymisere resultater og statistikker, før de bliver sendt til dig.
  • Ved at samle kampagner fra flere af forskningsnettets institutioner på et sted, samler vi samtidig erfaringer, der hele tiden kan forbedre vores design af kampagner og rådgivning.
  • Tjenesten afregnes til kostpris. Fordi man som tilsluttet på forskningsnettet allerede betaler for vores grundlæggende tjenester, er betalingen for en kampagne sat til DeiC Sikkerhed / DKCERTs medgåede timer.

Sådan kommer du i gang

Hvis du gerne vil i gang med vores awareness-værktøj, så anbefaler vi, at du udvælger en teknisk ansvarlig, der kan være bindeled mellem DeiC Sikkerhed / DKCERT og din organisation.

Der arrangeres et forberedende møde, hvor vi i samarbejde gennemgår en kontrolliste over de elementer, der skal klargøres inden en kampagne sætte i gang.

Det omfatter eksempelvis udveksling af en PGP-nøgle, så kampagnens data kan sendes krypteret mellem parterne. Desuden skal phishing-mailens transportrute gennem dit netværket planlægges.

Sidst, men ikke mindst, indeholder denne del også en serviceaftale og databehandleraftale, så der er klarhed over måden, alle data behandles på.

Når det praktiske er på plads, kan du selv være med til at definere indholdet i den mail, der skal indgå i kampagnen eller vælge ud fra en af vores skabeloner.

Hvis du ønsker det, kan du også selv designe den side, som brugeren lander på, hvis vedkommende klikker på en phishing-mail samt det uddannelsesindhold, der skal gøre brugeren klogere for at undgå en gentagelse i en skarp situation.

Med DeiC Sikkerhed / DKCERTs tjeneste har du således stor indflydelse på afviklingen af kampagnen, indholdet i kampagnen samt antallet af udsendelser, der kan varieres fra en enkelt til mange tusinde mail-udsendelser.

Hvis du er interesseret i yderligere information eller opsætning af en kampagne, kan du kontakte os på cert@cert.dk.

 

 

Tjeneste