Vi har nyligen fått uppdrag att köra phishing-tester för ett företag. Låt oss kalla det ett företag men i grunden är de enligt lag skyldiga att bedöma säkerheten i deras miljö med nätfiske-kampanjer.
Vi körde våra första kampanjer för inte så länge sedan och resultaten var ganska dåliga. Över 70% av deras användare litade på de "skadliga e-postmeddelandena" som vi skickade och gjorde vad e-postmeddelandet bad dem.
När det var över hade vi naturligtvis en kortfattad beskrivning av våra resultat. Lång historia kort, de ville inte ~ några ~ Identifierare (e-post, användarnamn, vad som helst) av vem som föll för phishen. De ville att "X av 300" kunde inte identifiera e-postmeddelandet. Deras anledning var att de inte ville förolämpa någon. (Jag ville säga att dina kunders känslor kommer att skadas när dina anställda faller för en potentiell attack och läcka information) Jag anklagade artigt dem för att ha markerat en ruta och faktiskt inte var intresserade av att utbilda sina användare. De var inte särskilt nöjda. Jag borde utarbeta genom att säga att de inte ens ville ha två rapporter, en som visar e-postmeddelandena och en annan som inte visar dem. Jag erbjöd dem det eftersom de åtminstone kan se hur dessa enskilda människor reagerar på olika kampanjer övertid. Detta skulle absolut hjälpa om användaren "Sam" klickar på varje länk i ett e-postmeddelande varje gång under tio kampanjer. Visst skulle du vilja utbilda Sam annorlunda än andra användare?
Min fråga är, besegrar detta inte syftet med phishing-kampanjer och förbättrar säkerheten för information i ditt nätverk? Är det till och med normalt?