A legolcsóbb módja annak, hogy tudja, hányan kattintanának.
Élő, etikus phishing-kampányt indítunk a cég dolgozói ellen — pontosan úgy, mint egy valódi támadó. Majd workshop a tanulságokkal. A statisztika nem jóslat lesz, hanem tény: hány %-ot tévedett meg, ki, mi alapján.
3 fázis, valódi eredmények
A teljes program 2-3 hetet vesz igénybe. A személyes workshop egy alkalom, de a hatás hónapokig megmarad.
Felkészülés & egyeztetés
Megegyezünk a célzott csoportban (osztály, létszám), a kampány-forgatókönyvben (3-5 különböző phishing-fajta), az időzítésben. Aláírjuk a megbízási és titoktartási szerződést.
Csak a vezérigazgató és HR-vezető tud a kampányról — etikus megközelítés.
Élő kampány indítása
Több hullámban küldünk célzott phishing-leveleket (és/vagy SMS-eket, hívásokat) a kollégáknak — a cégre szabva, valós támadói minták szerint. Mérjük: ki kattint, ki ad meg jelszót, ki jelenti be.
A linkek biztonságosak — csak mérik a reakciót, nem fertőznek.
Workshop & tanulság
Helyszíni workshop a teljes csapatnak. Bemutatjuk az eredményeket (anonim, nem személyeskedő), elmagyarázzuk hogyan ismerhetők fel a támadások, gyakorolunk valós példákon. Tanúsítvány a végén.
Cél: ne legyen szégyenkezés — csak tanulás.
Számszerűsíthető tudatosság-szint
A program végén pontos jelentést kap a cég vezetése — amit lehet összehasonlítani 6 hónap múlva egy ismételt kampánnyal.
Click rate
Hányan kattintottak a gyanús linkre — alapvető tudatosság-mutató.
Credential rate
Hányan adták meg jelszavukat egy hamis bejelentkezési oldalon.
Report rate
Hányan jelentették be a gyanús levelet IT-felé — pozitív érték!
Time to report
Mennyi idő alatt jelentik be — az incidens-reagálási képesség kulcs-mérője.
A jelentésben nincsenek névszintű adatok — csak osztály-szintű és összesített eredmények. A cél fejlesztés, nem büntetés.
Soha nem büntetünk — csak tanítunk
A phishing-szimuláció nem fegyelmező eszköz. A célja, hogy a cég megtudja, hol van a kockázat — nem hogy „leleplezzünk" valakit.
- Aláírt megbízás a cég vezetésével — kiterjedés és határok írásban
- GDPR-konform adatkezelés — egyén-szintű adat nem hagy el a cég kezeléséből
- Anonim jelentés a vezetésnek — csak osztály-szintű százalékok
- Soft landing oldal — aki kattint, nyugodt magyarázatot kap, nem riadalmat
- Nincs „szégyenlevél" — a tanulság a workshopon kerül elő, közösen
Mit szoktunk látni?
Az első kampánynál tipikus értékek (10-50 fős magyar cégeknél, képzés nélküli kontroll-kampány):
| Click rate | 35-50% |
| Credential megadás | 12-25% |
| Bejelentés | 5-12% |
| Time-to-report | ~3 óra |
A workshop utáni 6 hónapos ismétlésnél jellemzően: click rate 5-10%, credential <2%, bejelentés 60%+.
Ne találgasson — mérjen
Egyetlen jól megtervezett phishing-szimuláció többet mond el a cég valódi biztonsági érettségéről, mint 10 belső jelentés. Az eredmény pedig a kollégákkal együtt válik tudássá.