Les cybercriminels ont plus d'un tour dans leur sac pour inciter leurs victimes à cliquer sur les liens contenus dans les messages de phishing.
Voici comment vous pouvez tester avec précision les réactions de vos utilisateurs finaux grâce à une simulation de phishing bien conçue qui s'appuie sur des techniques réelles.
Vous pourrez également évaluer la résistance de vos employés aux arnaques sophistiquées grâce à une simulation gratuite de phishing à l'aide de l'outil de usecure, uPhish.
Voici nos cinq principaux conseils :
La carotte ou le bâton.
Un utilisateur final ne cliquera sur un lien dans un courrier électronique que s'il a quelque chose à gagner en cliquant dessus - ou quelque chose à perdre en ne cliquant pas. Plus la promesse est bonne, ou plus la menace est effrayante, plus l'utilisateur est susceptible de cliquer.
Il faut toujours se demander : Qu'est-ce que l'utilisateur a à gagner en cliquant sur le lien ?
Familiarité.
De nos jours, la plupart des utilisateurs finaux ont suffisamment de connaissances pour y réfléchir à deux fois avant de cliquer sur des liens dans des e-mails provenant de personnes qu'ils ne connaissent pas. Un e-mail est censé provenir de leur propre PDG, ou d'un outil logiciel qu'ils utilisent ? Ils cliqueront avant d'avoir fini de lire tout le message.
Posez-vous la question : L'e-mail se fait-il passer pour une personne, une équipe ou un service que l'utilisateur connaît ? À défaut, ajoutez le nom de l'entreprise pour que l'e-mail soit suffisamment personnalisé pour inciter l'utilisateur à cliquer.
Autorité.
Si le email est présenté comme provenant d'une personne en position d'autorité, il est plus susceptible d'attirer l'attention et d'inciter l'utilisateur à agir immédiatement.
Réfléchissez : Pourriez-vous écrire un e-mail en vous faisant passer pour le PDG de l'entreprise ou un directeur général ?
Urgence.
Le moyen le plus probable pour qu'un utilisateur ne se compromette pas dans une simulation de phishing est qu'on lui laisse le temps de réfléchir - ou qu'il entende parler de la simulation par ses collègues. Pour éviter cela, rendez l'e-mail urgent.
Réfléchissez : L'e-mail est-il soumis à une limite de temps ? L'e-mail pourrait offrir quelque chose aux dix premiers utilisateurs qui cliquent - ou demander à tous les employés de le remplir avant la fin de la journée de travail sous peine de pénalité.
Timing.
Les utilisateurs finaux sont beaucoup plus susceptibles de cliquer sur les e-mails qui arrivent pendant les heures de travail. Mieux encore, ils sont susceptibles de cliquer immédiatement sur les e-mails lorsqu'ils sont au travail et à la recherche de distraction - comme le vendredi après-midi.
Réfléchissez : Les utilisateurs seront-ils au travail lorsque l'e-mail sera envoyé ? Seront-ils occupés ou à la recherche d'une distraction ?
Le modèle d'e-mail ci-dessous, créé à l'aide de l'outil de simulation de phishing de usecure, a été utilisé dans de nombreuses simulations de phishing réussies, avec un taux de compromission moyen de 39 % !
L'e-mail promet au destinataire des informations sur la nouvelle charte de l'entreprise relative aux congés et aux vacances. Qui ne cliquerait pas dessus immédiatement ?
L'email réussit grâce aux éléments suivants :
Promet quelque chose d'intéressant - informations concernant les vacances
Connu des utilisateurs - L'email mentionne le nom de l'entreprise
Provoque l'urgence - The titre indique "Action immédiate nécessaire" puis mentionne les vacances
Lancez une simulation de phishing gratuite avec l'outil de simulation uPhish de usecure pour détecter quels employés sont vulnérables aux arnaques courantes.
Regardez une démo ou lancez une simulation de phishing gratuite dès aujourd'hui.