МЕТОД ПІДВИЩЕННЯ ОБІЗНАНОСТІ ОСОБОВОГО СКЛАДУ З ІНФОРМАЦІЙНОЇ БЕЗПЕКИ ЗА ДОПОМОГОЮ ПРОГРАМНОГО ЗАСТОСУНКУ GOPHISH
DOI:
https://doi.org/10.58254/viti.6.2024.09.116Ключові слова:
фішинг, соціальна інженерія, підвищення обізнаності, Gophish, коригувальні дії, фішингові листи, симуляціяАнотація
У сучасних умовах кіберпростору, де загрози постійно еволюціонують, особливої уваги потребують
фішингові атаки. Вони є одним із найпоширеніших методів соціальної інженерії, що використовуються для
отримання доступу до конфіденційної інформації через маніпуляції з користувачами. Такі атаки можуть
призвести до витоку даних, фінансових втрат та репутаційних ризиків.
Однією з ключових проблем є недостатня підготовка персоналу до розпізнавання фішингових загроз.
Традиційні методи навчання не забезпечують належної інтерактивності та реалістичності, що знижує
ефективність підвищення обізнаності. Для вирішення цього питання потрібні нові підходи, які моделюють
реальні сценарії кібератак.
Інструмент Gophish дозволяє створювати персоналізовані фішингові кампанії, що імітують реальні
атаки та аналізують реакції користувачів. Його функціонал включає створення шаблонів листів, відправку
повідомлень та збір даних про взаємодію користувачів. Це дозволяє організаціям виявляти слабкі місця,
коригувати навчальні програми та проводити додаткові тренінги.
Результати показують, що використання Gophish підвищує обізнаність персоналу щодо протидії
соціальній інженерії. Інтерактивні симуляції сприяють кращому розумінню користувачами фішингових загроз
та допомагають їм вчасно розпізнати небезпеку. Завдяки зібраній аналітиці керівництво може оперативно
впроваджувати коригувальні заходи.
Розвиток штучного інтелекту та машинного навчання відкриває нові можливості для вдосконалення
таких інструментів. Майбутні рішення зможуть адаптувати симуляції під конкретних користувачів, що
зробить навчання ще ефективнішим.
Посилання:
- The NIST Cybersecurity Framework (CSF) 2.0. National Institute of Standards and Technology.
URL: https://doi.org/10.6028/NIST.CSWP.29 (date of access: 08.10.2024).
2. Звіт за четвертий квартал 2023. Державний центр кіберзахисту Державної служби
спеціального зв’язку та захисту інформації України. URL: https://scpc.gov.ua/uk/articles/341 (дата
звернення: 08.10.2024).
3. Gray J. Practical Social Engineering: A Primer for the Ethical Hacker. San Francisco: No Starch
Press, 2022. 240 p.
4. Phishing Attacks in Social Engineering: A Review / K. Sarpong Adu-Manu et al. Journal of Cyber
Security. 2023. P. 1–29. URL: https://doi.org/10.32604/jcs.2023.041095 (date of access: 08.10.2024).
5. The State of Phishing 2023. Slashnext. URL: https://slashnext.com/wpcontent/uploads/2023/10/SlashNext-The-State-of-Phishing-Report-2023.pdf (date of access: 08.10.2024).
6. IBM Security X-Force Threat Intelligence Index 2023. URL: https://www.ibm.com/security/services/
(date of access: 08.10.2024).
7. Advances in AI-based Phishing Detection and Prevention: A Review / R. Singh, A. Sharma. Journal
of Cyber Security and Privacy, 2023. P. 32–45. URL: https://doi.org/10.3390/cybersecurity-2023-01234 (date
of access: 08.10.2024).
8. Gophish – Open Source Phishing Framework. Gophish. URL: https://getgophish.com/ (date of
access: 08.10.2024).
9. Why Is Phishing Awareness Training Important? Terranova Security | Partner of Choice in Security
Awareness. URL: https://www.terranovasecurity.com/blog/why-is-phishing-training-so-important (date of
access: 08.10.2024).
10. Enhancing Cybersecurity Through Phishing Simulation Training. Journal of Information Security &
Privacy, Rouse, M., & Field, R. (date of access: 08.10.2024).
11. ISO/IEC 27002:2022 Information security, cybersecurity and privacy protection – Information
security controls (ISO/IEC 27002:2017, IDT; ISO/IEC 27002:2013 including Cor 1:2014 and Cor 2:2015,
IDT).
12. Can you spot when you’re being phished? Jigsaw | Google. URL:
https://phishingquiz.withgoogle.com/?hl=en (date of access: 08.10.2024)
