Cómo hacer una prueba de phishing gratuita para su organización
Por lo tanto, desea evaluar las vulnerabilidades de su organización con un suplantación de identidad prueba, pero no quiere pagar por un software de simulación de phishing que hará que suba la factura?
Si esto es cierto para ti, entonces sigue leyendo.
Este artículo cubre las formas en que un ingeniero técnico de seguridad o un analista de seguridad no técnico puede configurar y ejecutar una simulación de phishing de forma gratuita o casi gratuita.
¿Por qué necesito ejecutar una prueba de phishing?
Según Verizon 2022 Informe de investigaciones de vulneración de datos de más de 23,000 5,200 incidentes y XNUMX vulneraciones confirmadas en todo el mundo, el phishing es uno de los cuatro caminos clave para comprometer una organización y ninguna organización está segura sin un plan para manejar el phishing.
Las simulaciones de phishing son la segunda línea de defensa y una extensión de la conciencia de phishing. Es una forma de reforzar la capacitación de los empleados y ayudarlo a comprender su propio riesgo y mejorar la capacidad de recuperación de la fuerza laboral. La experiencia es el mejor maestro de todos, y una prueba de phishing es la forma más efectiva de reforzar la capacitación y la concienciación sobre seguridad cibernética.
¿Cómo ejecuto una campaña de phishing en mi organización?
Ejecutar una simulación de phishing en una organización puede activar las alarmas (en el mal sentido) si no se realiza correctamente.
Desea asegurarse de tener un plan para la implementación técnica y la comunicación organizacional.
- Planifique su estrategia de comunicación (planifique cómo vender esto a los ejecutivos y cómo marcar la pauta con los empleados. Recuerde: atrapar a alguien en su organización que cae en su prueba de phishing no debe tratarse de un castigo, debe tratarse de capacitación).
- Comprenda cómo analizar sus resultados (Tener una tasa de éxito del 100 % no se traduce en éxito. Tener una tasa de éxito del 0 % tampoco).
- Comience con una prueba de referencia (esto le dará un número para medir)
- Enviar mensualmente (Esta es la frecuencia recomendada para las pruebas de phishing)
- Envíe una variedad de pruebas (no se copie a sí mismo con demasiada frecuencia. Nadie caerá en la trampa).
- Envíe un mensaje relevante (utilice las noticias actuales fuera de la empresa o internamente para obtener una tasa de apertura más alta para su campaña)
¿Quiere conocer más detalles sobre lo que se debe y no se debe hacer al realizar una prueba de phishing gratuita?
>>>Consulte nuestra Guía definitiva para comprender el phishing AQUÍ. <<
¿Por qué debería usar un software de simulación de phishing gratuito o económico?
La respuesta simple a esta pregunta es porque no tiene que optar por soluciones costosas como KnowBe4 para ejecutar una buena campaña de phishing.
También es cierto en este caso que el software más caro no es necesariamente el mejor software para ejecutar su campaña.
¿Qué necesitas para una campaña de phishing efectiva?
Bueno, la verdad es que realmente no necesitas muchas campanas y silbatos para ejecutar una campaña de phishing.
Tampoco necesita 1,000 plantillas para realizar una campaña.
Después de todo, la mayoría de las campañas de phishing no envían más de 1 correo electrónico de phishing por mes.
También, la mejor manera de ejecutar una gran campaña es personalizar sus propias plantillas que estén orientadas a su organización.
Por lo tanto, en realidad es mejor elegir un software de simulación de phishing que sea personalizable y fácil de usar, no demasiado complicado y repleto de funciones que nunca usará.
¿Cuál es el mejor software gratuito de prueba de phishing?
GoPhish se destaca como el código abierto más fuerte phish prueba de software en el mercado.
De hecho, nos gustó tanto que preparamos una copia en Hailbytes con las plantillas y las páginas de destino que usa nuestro equipo. Puedes consultar nuestro Marco de phishing GoPhish en AWS.
GoPhish es un marco de phishing simple, rápido y extensible que es de código abierto y se actualiza con frecuencia.
¿Cómo empiezo con GoPhish Framework?
Hay dos opciones diferentes sobre cómo debe comenzar. Para averiguar qué opción debe elegir, debe hacerse algunas preguntas.
¿Estoy técnicamente capacitado cuando se trata de configurar una infraestructura de seguridad?
Si la respuesta es sí, entonces probablemente estés bien configura Gophish por tu cuenta. Tenga en cuenta que configurar este tipo de infraestructura puede llevar mucho tiempo y ser un desafío si desea configurarlo correctamente.
Si la respuesta es no, entonces querrás ir por la ruta fácil y use la instancia del marco GoPhish que está disponible en el mercado de AWS. Esta instancia permite una prueba gratuita y cargos por uso medido. No es gratis, pero es más asequible que KnowBe4 y es mucho más fácil de configurar.
¿Quiero configurar GoPhish como infraestructura en la nube?
Si la respuesta es sí, entonces puedes use la versión preparada de GoPhish en AWS. El beneficio de esto es que puede escalar sus campañas de phishing con facilidad desde cualquier ubicación. También puede administrar su suscripción junto con su otra infraestructura en la nube en AWS.
Si no es así, es posible que desee configure GoPhish usted mismo.
Cómo configurar GoPhish con AWS (LA MANERA FÁCIL):
Cómo instalar la última versión de GoPhish en Kali Linux:
Cómo hacer pruebas de penetración con GoPhish:
¿Listo para empezar?