usecure Blog

Comment créer une simulation de phishing bien ficelée qui teste réellement la réaction des employés ?

Rédigé par Alex Legeay | 24 août 2021 9:35

Les cybercriminels ont plus d'un tour dans leur sac pour inciter leurs victimes à cliquer sur les liens contenus dans les messages de phishing.

Voici comment vous pouvez tester avec précision les réactions de vos utilisateurs finaux grâce à une simulation de phishing bien conçue qui s'appuie sur des techniques réelles.

Vous pourrez également évaluer la résistance de vos employés aux arnaques sophistiquées grâce à une simulation gratuite de phishing à l'aide de l'outil de usecure, uPhish.

Comment créer une simulation de phishing réussie pour les employés

Voici nos cinq principaux conseils :

  1. La carotte ou le bâton.

    Un utilisateur final ne cliquera sur un lien dans un courrier électronique que s'il a quelque chose à gagner en cliquant dessus - ou quelque chose à perdre en ne cliquant pas. Plus la promesse est bonne, ou plus la menace est effrayante, plus l'utilisateur est susceptible de cliquer.

    Il faut toujours se demander : Qu'est-ce que l'utilisateur a à gagner en cliquant sur le lien ?

  2. Familiarité.

    De nos jours, la plupart des utilisateurs finaux ont suffisamment de connaissances pour y réfléchir à deux fois avant de cliquer sur des liens dans des e-mails provenant de personnes qu'ils ne connaissent pas. Un e-mail est censé provenir de leur propre PDG, ou d'un outil logiciel qu'ils utilisent ? Ils cliqueront avant d'avoir fini de lire tout le message.

    Posez-vous la question : L'e-mail se fait-il passer pour une personne, une équipe ou un service que l'utilisateur connaît ? À défaut, ajoutez le nom de l'entreprise pour que l'e-mail soit suffisamment personnalisé pour inciter l'utilisateur à cliquer.

  3. Autorité.

    Si le email est présenté comme provenant d'une personne en position d'autorité, il est plus susceptible d'attirer l'attention et d'inciter l'utilisateur à agir immédiatement.

    Réfléchissez : Pourriez-vous écrire un e-mail en vous faisant passer pour le PDG de l'entreprise ou un directeur général ?

  4. Urgence.

    Le moyen le plus probable pour qu'un utilisateur ne se compromette pas dans une simulation de phishing est qu'on lui laisse le temps de réfléchir - ou qu'il entende parler de la simulation par ses collègues. Pour éviter cela, rendez l'e-mail urgent.

    Réfléchissez : L'e-mail est-il soumis à une limite de temps ? L'e-mail pourrait offrir quelque chose aux dix premiers utilisateurs qui cliquent - ou demander à tous les employés de le remplir avant la fin de la journée de travail sous peine de pénalité.

  5. Timing.

    Les utilisateurs finaux sont beaucoup plus susceptibles de cliquer sur les e-mails qui arrivent pendant les heures de travail. Mieux encore, ils sont susceptibles de cliquer immédiatement sur les e-mails lorsqu'ils sont au travail et à la recherche de distraction - comme le vendredi après-midi.

    Réfléchissez : Les utilisateurs seront-ils au travail lorsque l'e-mail sera envoyé ? Seront-ils occupés ou à la recherche d'une distraction ?

Exemple d'email de phishing

Le modèle d'e-mail ci-dessous, créé à l'aide de l'outil de simulation de phishing de usecure, a été utilisé dans de nombreuses simulations de phishing réussies, avec un taux de compromission moyen de 39 % !

L'e-mail promet au destinataire des informations sur la nouvelle charte de l'entreprise relative aux congés et aux vacances. Qui ne cliquerait pas dessus immédiatement ?

L'email réussit grâce aux éléments suivants :

  • Promet quelque chose d'intéressant - informations concernant les vacances

  • Connu des utilisateurs - L'email mentionne le nom de l'entreprise

  • Provoque l'urgence - The titre indique "Action immédiate nécessaire" puis mentionne les vacances

 

Commencez à tester la résistance humaine de votre organisation au phishing.

Lancez une simulation de phishing gratuite avec l'outil de simulation uPhish de usecure pour détecter quels employés sont vulnérables aux arnaques courantes.

  • Calculez le risque en lançant une simulation gratuite de phishing.
  • Identifiez le risque en suivant qui a ouvert, cliqué sur l'email et s'est compromis
  • Démarrez facilement grâce à une bibliothèque de modèles faciles à utiliser.

Regardez une démo ou lancez une simulation de phishing gratuite dès aujourd'hui.