Det går fort nu. Generativa AI-verktyg gör snabbt phishingmejl mer avancerade, svårare att upptäcka och betydligt farligare. Ny forskning som nyligen presenterats i en artikel i Harvard Business Review visar att 60 % av deltagarna i en studie föll offer för AI-automatiserad phishing, vilket är jämförbart med phishingmejl skapade av människor.
Den stora AI-vinsten för kriminella aktörer verkar framför allt vara att så kallade LLM:er (Large Language Models) kraftigt sänker kostnaderna för att skapa stora mängder spearphishing-mejl – phishing som riktar in sig på specifika roller i en organisation.
Människor är extra sårbara
Forskarna bakom studien pekar på att både kriminella aktörer och de som arbetar med cybersäkerhet drar samma nytta av AI – comparative benefits to both attackers and defenders. Men de konstaterar också att till skillnad från mjukvarusystem kan inte den mänskliga hjärnan bli patchad eller uppdaterad lika enkelt. Det innebär att AI-förstärkta cyberattacker som riktar in sig på oss människor fortsätter att vara en stor risk. Därför bör alla typer av organisationer se till att ha både strategier och rutiner för skydd mot phishing-attacker på plats.
Studien bekräftar också att organisationer befinner sig på väldigt olika nivåer i arbetet med att öka riskmedvetenheten kring phishing och cybersäkerhet. De delar in organisationer i fyra olika stadier eller nivåer:
Nivå 1 Ingen utbildning:
Organisationen bedriver ingen phishingsimulering och har ingen som är ansvarig för phishing eller utbildning i informations- och cybersäkerhetfrågor. Det finns inga rutiner för att rapportera phishingattacker eller någon åtgärdsplan för incidenter.
Nivå 2 Grundläggande medvetenhet:
Viss utbildning för att öka riskmedvetenheten kring phishing genomförs, till exempel vid introduktion av nya medarbetare, och det finns en utsedd person som är ansvarig för phishingrelaterade frågor. Grundläggande policyer och rutiner för att identifiera och rapportera misstänkta phishingförsök finns på plats, liksom en enkel åtgärdsplan för incidenter.
Nivå 3 Engagemang på medelnivå:
Träning för ökad riskmedvetenhet om phishing genomförs kvartalsvis och över 75 % av medarbetarna är nöjda med utbildningen. En person är dedikerat ansvarig för strategin mot phishing Organisationen har etablerat en regelbunden kommunikation om hotet från phishing och uppmuntrar aktivt medarbetare att rapportera misstänkt phishing och tillsammans med en noggrann åtgärdsplan för incidenter.
Nivå 4 Avancerad och god beredskap:
Träning för ökad riskmedvetenhet om phishing genomförs varje månad och över 85% av medarbetarna är nöjda med utbildningen. En chef med över fem års erfarenhet av phishing och cybersäkerhet är ansvarig för strategin mot phishing. Organisationen har etablerat regelbunden kommunikation om phishinghot och använder proaktivt system för att rapportera misstänkt phishing. Der finns enn noggrann, stresstestad och inövad åtgärdsplan vid incidenter på plats.
Phishingsimulering som en del av en helhet
Även vi på Junglemap har kunder som befinner sig på olika nivåer i sin mognadstrappa när det gäller cybersäkerhet och phishingsimulering. Oavsett hur organisationens cybersäkerhet ser ut är det viktigt att phishingsimulering görs till en integrerad del av den övergripande utbildningsplanen för att öka riskmedvetenheten inom cybersäkerhet. I vår rapport Förstå phishingsimulering – medvetenhet bortom klickfrekvens ger vi flera tips om hur en organisation skall tänka för att få bästa möjliga effekt.
Lika viktigt är att phishingsimuleringarna återkommer året runt. Med vårt integrerade verktyg för phishingsimulering är det enkelt att sätta upp en distributionsplan för hela året, med olika typer av simuleringar riktade till specifika roller inom organisationen.