يمكن أن تساعد أداة NIST المؤسسات على تحسين اختبار براعة موظفيها في اكتشاف التصيد الاحتيالي
ابتكر الباحثون في المعهد الوطني الأمريكي للمعايير والتكنولوجيا (NIST) طريقة جديدة يمكن استخدامها لتقييم سبب نقر الموظفين على بعض رسائل البريد الإلكتروني المخادعة بدقة. الأداة مدبلجة مقياس فيش، يستخدم بيانات حقيقية لتقييم مدى تعقيد وجودة هجمات التصيد الاحتيالي لمساعدة المؤسسات على فهم مكامن ضعفها (البشرية).
إليك تحديث سريع: في أبسط أشكاله ، التصيد هو بريد إلكتروني غير مرغوب فيه أو أي شكل آخر من أشكال الاتصال الإلكتروني حيث ينتحل المجرمون الإلكترونيون شخصية منظمة موثوقة ويحاولون سرقة بياناتك. يمكن بعد ذلك إساءة استخدام معلومات مثل بيانات اعتماد الوصول لمزيد من الهجمات أو بيعها على الويب المظلم واستخدامها لارتكاب الاحتيال أو سرقة الهوية.
لذلك ، فإن أي شركة أو مؤسسة تأخذ الأمن السيبراني على محمل الجد تجري تدريبات منتظمة على التصيد لمعرفة ما إذا كان بإمكان موظفيها التمييز بين رسائل البريد الإلكتروني الحقيقية ورسائل التصيد الاحتيالي. تهدف هذه التدريبات إلى زيادة يقظة الموظفين وكذلك تعليمهم لاكتشاف علامات هجمات التصيد التنكر كرسائل بريد إلكتروني شرعية ، وهذا بدوره يمنعهم من الارتباط ويحمي مؤسساتهم من الأضرار المالية والسمعة.
عادة ما يتم الإشراف على هذه التمارين من قبل كبار مسؤولي أمن المعلومات (CISOs) ، الذين يقومون بتقييم نجاح أو فشل هذه التمارين بناءً على معدلات النقر – عدد المرات التي ينقر فيها الموظفون على بريد إلكتروني للتصيد الاحتيالي. ومع ذلك ، فإن النتائج ليست رمزية للمشكلة برمتها.
قالت ميشيل ستيفز ، باحثة المعهد الوطني للمعايير والتقنية (NIST) في قسم خبر صحفى الإعلان عن الأداة الجديدة.
يبحث Phish Scale في عنصرين رئيسيين عند تقييم مدى صعوبة اكتشاف بريد إلكتروني احتيالي محتمل. المتغير الأول الذي تقيمه الأداة هو “إشارات البريد الإلكتروني المخادعة” – وهي علامات يمكن ملاحظتها ، مثل الأخطاء الإملائية ، أو استخدام عناوين البريد الإلكتروني الشخصية بدلاً من رسائل البريد الإلكتروني الخاصة بالعمل ، أو استخدام تقنيات الضغط على الوقت.
وفي الوقت نفسه ، تستفيد المواءمة الثانية لسياق البريد الإلكتروني مع المستخدم من نظام تصنيف لتقييم ما إذا كان السياق وثيق الصلة بالهدف – وكلما كان أكثر ملاءمة ، أصبح من الصعب تحديده على أنه بريد إلكتروني تصيد. استنادًا إلى مجموعة من هذه العوامل ، يصنف مقياس التصيد صعوبة اكتشاف المخادع إلى ثلاث فئات: الأقل ، والمتوسط ، والصعب جدًا.
يمكن أن توفر هذه المعلومات نظرة ثاقبة حول هجمات التصيد نفسها ، فضلاً عن المساعدة في التأكد من سبب احتمال نقر الأشخاص على رسائل البريد الإلكتروني هذه أو أقل.
يهدف Phish Scale إلى تزويد CISOs بفهم أفضل لبيانات معدل النقر الخاصة بهم ، بحيث لا يعتمدون فقط على إخراج الرقم. “يمكن أن يكون لمعدل النقر المنخفض لبريد إلكتروني معين للتصيد الاحتيالي عدة أسباب: رسائل البريد الإلكتروني الخاصة بالتدريب على التصيد الاحتيالي سهلة للغاية أو لا توفر سياقًا ذا صلة للمستخدم ، أو أن البريد الإلكتروني للتصيد الاحتيالي يشبه تمرين سابق. يمكن لبيانات مثل هذه أن تخلق إحساسًا زائفًا بالأمان إذا تم تحليل معدلات النقر من تلقاء نفسها دون فهم صعوبة البريد الإلكتروني للتصيد الاحتيالي ، “قال NIST.
في حين أن جميع البيانات التي تم إدخالها إلى مقياس Phish قد نشأت من NIST ، يأمل المعهد في اختبار الأداة على المؤسسات والشركات الأخرى لمعرفة ما إذا كانت تعمل وفقًا للمعايير. لمزيد من المعلومات حول الأداة والأبحاث التي تقوم عليها ، يمكنك الخوض في المقالة ، تصنيف صعوبة التصيد البشري: مقياس احتيالي، الذي نشره الباحثون ميشيل ستيفز وكريستين جرين وماري ثيوفانوس.