Come eseguire un test di phishing gratuito per la tua organizzazione
Quindi, vuoi valutare le vulnerabilità della tua organizzazione con a phishing test, ma non vuoi pagare per un software di simulazione di phishing che ti farà lievitare il conto?
Se questo è vero per te, allora continua a leggere.
Questo articolo illustra i modi in cui un ingegnere della sicurezza tecnica o un analista della sicurezza non tecnico può impostare ed eseguire una simulazione di phishing gratuitamente o quasi senza alcun costo.
Perché devo eseguire un test di phishing?
Secondo Verizon 2022 Rapporto sulle indagini sulla violazione dei dati di oltre 23,000 incidenti e 5,200 violazioni confermate in tutto il mondo, il phishing è uno dei quattro percorsi chiave per compromettere un'organizzazione e nessuna organizzazione è sicura senza un piano per gestire il phishing.
Le simulazioni di phishing rappresentano la seconda linea di difesa e un'estensione della consapevolezza del phishing. È un modo per rafforzare la formazione dei dipendenti e aiutarti a comprendere i tuoi rischi e migliorare la resilienza della forza lavoro. L’esperienza è il miglior insegnante di tutti e un test di phishing è il modo più efficace per rafforzare la formazione e la consapevolezza sulla sicurezza informatica.
Come posso eseguire una campagna di phishing nella mia organizzazione?
L'esecuzione di una simulazione di phishing in un'organizzazione può far scattare gli allarmi (in modo negativo) se non eseguita correttamente.
Vuoi assicurarti di avere un piano per l'implementazione tecnica e la comunicazione organizzativa.
- Pianifica la tua strategia di comunicazione (pianifica come venderlo ai dirigenti e come impostare il tono con i dipendenti. Ricorda: catturare qualcuno nella tua organizzazione che cade per il tuo test di phishing non dovrebbe riguardare la punizione, dovrebbe riguardare la formazione.)
- Comprendere come analizzare i risultati (avere una percentuale di successo del 100% non si traduce in successo. Nemmeno avere una percentuale di successo dello 0%).
- Inizia con un test di riferimento (questo ti darà un numero su cui misurare)
- Invia su base mensile (questa è la frequenza consigliata per i test di phishing)
- Invia una varietà di test (non copiarti troppo spesso. Nessuno ci casca).
- Invia un messaggio pertinente (usa le notizie attuali al di fuori dell'azienda o internamente per ottenere un tasso di apertura più elevato per la tua campagna)
Vuoi conoscere maggiori dettagli sulle cose da fare e da non fare nell'eseguire un test di phishing gratuito?
>>> Dai un'occhiata alla nostra guida definitiva per comprendere il phishing QUI. <<
Perché dovrei utilizzare un software di simulazione di phishing gratuito o economico?
La semplice risposta a questa domanda è perché non è necessario utilizzare soluzioni costose come KnowBe4 per eseguire una buona campagna di phishing.
È anche vero in questo caso che il software più costoso non è necessariamente il miglior software per gestire la tua campagna.
Di cosa hai bisogno per una campagna di phishing efficace?
Bene, la verità è che non hai davvero bisogno di molti campanelli e fischietti per eseguire una campagna di phishing.
Inoltre, non sono necessari 1,000 modelli per realizzare una campagna.
Dopotutto, la maggior parte delle campagne di phishing non invia più di 1 email di phishing al mese.
Inoltre il modo migliore per eseguire un'ottima campagna è personalizzare i propri modelli orientati alla propria organizzazione.
Quindi, in realtà è meglio scegliere un software di simulazione di phishing che sia personalizzabile e facile da usare, non troppo complicato e pieno di funzioni che non utilizzerai mai.
Qual è il miglior software di test di phishing gratuito?
GoPhish si distingue come il più potente open-source phishing software di test sul mercato.
In effetti, ci piace così tanto che abbiamo preparato una copia su Hailbytes piena dei modelli e delle pagine di destinazione utilizzate dal nostro team. Puoi dare un'occhiata al nostro Framework di phishing GoPhish su AWS.
GoPhish è un framework di phishing semplice, veloce ed estendibile che è open source e viene aggiornato frequentemente.
Come posso iniziare con il framework GoPhish?
Ci sono due diverse opzioni su come dovresti iniziare. Per capire quale opzione dovresti scegliere, dovresti farti alcune domande.
Sono tecnicamente esperto quando si tratta di configurare un'infrastruttura di sicurezza?
Se la risposta è sì, allora probabilmente sei d'accordo imposta Gophish da solo. Tieni presente che la configurazione di questo tipo di infrastruttura può richiedere molto tempo e può essere impegnativa se vuoi che sia configurata correttamente.
Se la risposta è no, allora vorrai seguire il percorso facile e utilizza l'istanza del framework GoPhish disponibile sul marketplace AWS. Questa istanza consente una prova gratuita e addebiti per l'utilizzo misurato. Non è gratuito, ma è più economico di KnowBe4 ed è molto più facile da configurare.
Voglio configurare GoPhish come infrastruttura cloud?
Se la risposta è sì, allora puoi usa la versione già pronta di GoPhish su AWS. Il vantaggio è che puoi aumentare facilmente le tue campagne di phishing da qualsiasi luogo. Puoi anche gestire il tuo abbonamento insieme alla tua altra infrastruttura cloud in AWS.
In caso contrario, potresti volerlo configura tu stesso GoPhish.
Come configurare GoPhish con AWS (THE EASY WAY):
Come installare l'ultima versione di GoPhish su Kali Linux:
Come eseguire il Penetration Test con GoPhish:
Pronto per iniziare?