ابتكر الباحثون في “المعهد الوطني للمعايير والتقنية” بالولايات المتحدة(NIST) طريقة جديدة يمكن استخدامها لتقييم بدقة سبب نقر الموظفين على بعض رسائل البريد الإلكتروني الاحتيالية. تستخدم الأداة التي يطلق عليها اسم “مقياس التصيد”Phish Scale ، بيانات حقيقية لتقييم مدى تعقيد وجودة هجمات التصيد الاحتيالي لمساعدة المؤسسات و الشركات على فهم مكامن ضعفها “البشرية”.
إليك تنشيط سريع للمعلومات: التصيد الاحتيالي في أبسط أشكاله، هو رسالة بريد إلكتروني غير مرغوب فيها أو أي شكل آخر من أشكال الاتصال الإلكتروني حيث ينتحل المجرمون السيبرانيون شخصية شركة موثوقة ويحاولون سرقة بياناتك. يمكن بعد ذلك إساءة استخدام معلومات مثل بيانات اعتماد الوصول لمزيد من الهجمات أو بيعها على “الإنترنت المظلم” واستخدامها لارتكاب عمليات احتيال أو سرقة الهوية.
لذلك، فإن أي شركة أو مؤسسة تأخذ الأمن السيبراني على محمل الجد تجري تدريبات منتظمة على التصيد لمعرفة ما إذا كان بإمكان موظفيها التمييز بين رسائل البريد الإلكتروني الحقيقية ورسائل التصيد الاحتيالي. تهدف هذه التدريبات إلى زيادة يقظة الموظفين بالإضافة إلى تعليمهم اكتشاف علامات وأشكال هجمات التصيد الاحتيالي التي تتنكر في شكل رسائل بريد إلكتروني شرعية، والتي بدورها تمنعهم من التورط وتحمي شركاتهم من الأضرار المالية والاضرار المتعلقة بسمعتهم.
عادة ما يتم الإشراف على هذه التمارين من قبل كبار مسؤولي أمن المعلومات (CISOs)، الذين يقومون بتقييم نجاح أو فشل هذه التمارين بناءً على عدد المرات التي ينقر فيها الموظفون على بريد إلكتروني للتصيد الاحتيالي.
ما هو “مقياس التصيد” من NIST؟
صرحت “ميشيل ستيفز”، الباحثة في “المعهد الوطني للمعايير والتقنية ” (NIST)، في البيان الصحفي للإعلان عن الأداة الجديدة، وقالت: “يهدف مقياس التصيد إلى المساعدة في توفير فهم أعمق لما إذا كان اكتشاف بريد إلكتروني احتيالي معين أمر صعب أو سهل على جمهور محدد ومستهدف”.
ويبحث في عنصرين رئيسيين عند تقييم مدى صعوبة اكتشاف بريد إلكتروني احتيالي محتمل. العنصر الأول الذي تقيمه الأداة هو “إشارات البريد الإلكتروني المخادعة” – وهي علامات يمكن ملاحظتها، مثل الأخطاء الإملائية، أو استخدام عناوين البريد الإلكتروني الشخصية بدلاً من رسائل البريد الإلكتروني الخاصة بالعمل، أو استخدام تقنيات الضغط على الوقت.
وفي الوقت نفسه، فإن العنصر الثاني “محاذاة سياق البريد الإلكتروني للمستخدم” تستفيد من نظام التصنيف لتقييم ما إذا كان السياق وثيق الصلة وملائم للهدف – وكلما كان أكثر ملاءمة، أصبح من الصعب تحديده كبريد إلكتروني للتصيد الاحتيالي. استنادًا إلى مجموعة من هذه العوامل، يصنف “مقياس التصيد” الصعوبة في اكتشاف التصيد إلى ثلاث فئات: الأقل صعوبة، والمتوسط، والصعب جدًا.
يمكن أن يوفر ذلك نظرة ثاقبة حول هجمات التصيد نفسها، بالإضافة إلى المساعدة في التأكد من سبب زيادة أو انخفاض احتمالية نقر الأشخاص على رسائل البريد الإلكتروني هذه.
يهدف “مقياس التصيد” إلى تزويد كبار مسؤولي أمن المعلومات بفهم أفضل لبيانات معدل النقر الخاصة بهم، بحيث لا يعتمدون فقط على الناتج الرقمي التقليدي. وذكر “المعهد الوطني للمعايير والتقنية”: “يمكن أن يكون لمعدل النقر المنخفض لبريد إلكتروني معين للتصيد الاحتيالي مؤشر غير دقيق لعدة أسباب: منها ان رسائل البريد الإلكتروني المخصصة للتدريب على التصيد الاحتيالي سهلة أو لا توفر سياقًا ذا صلة للمستخدم، أو أن البريد الإلكتروني للتصيد الاحتيالي يشبه تمرينًا سابقًا. يمكن لبيانات مثل هذه أن تخلق إحساسًا زائفًا بالأمان إذا تم تحليل معدلات النقر من تلقاء نفسها دون فهم صعوبة البريد الإلكتروني للتصيد الاحتيالي”.
في حين أن جميع البيانات التي تم إدخالها إلى “مقياس التصيد” قد نشأت من NIST، ويأمل المعهد في اختبار الأداة على المؤسسات والشركات الأخرى لمعرفة ما إذا كانت تعمل وفقًا للمعايير. لمزيد من المعلومات حول الأداة والأبحاث التي تقوم عليها، يمكنك الاطلاع على المقالة التي نشرها الباحثون “ميشيل ستيفز” و”كريستين جرين” و”ماري ثيوفانوس”، تحت عنوان: “تصنيف صعوبة التصيد “العنصر البشري”: مقياس التصيد”.