Utiliser des scénarios versatiles dans un test de phishing permet de cibler efficacement un large effectif avec peu de personnalisation.
Une fausse alerte de sécurité vis-à-vis d’un compte Google peut par exemple cibler des personnes de services différents tout en restant cohérent. Au contraire, un scénario d’alerte Covid qui demande de vérifier si les différentes mesures sanitaires sont appliquées dans l'entreprise est plus adapté à une cible RH qu’à d’autres.
En règle générale, il n’est pas conseillé de tester tout son effectif avec un même scénario. Le faire par groupes de collaborateurs vous permettra de choisir des scénarios plus pertinents.
En revanche, des scénarios comme les alertes de sécurité permettent d’utiliser l’urgence, la curiosité et la peur et s’appliquent à une grande quantité de collaborateurs, sans discrimination particulière.
De même pour les messages d’applications demandant des droits d’accès pour une raison urgente : ces applications sont souvent utilisées par un grand nombre de personnes et ne nécessitent pas un contexte particulier.
Les scénarios usurpant l’identité des réseaux sociaux comme par exemple une fausse invitation de connexion LinkedIn bénéficient également de cette polyvalence. Ils sont populaires et permettent de varier les prétextes ainsi que les leviers de manipulations.
Il est important d’entraîner ses collaborateurs face au vol d’identifiants de plateformes comme LinkedIn : pour un hacker, obtenir des identifiants de connexion d’un réseau social permet de potentiellement se connecter à de nombreux autres services en utilisant par exemple l’identification SSO que ces comptes peuvent avoir ou juste tester si les mêmes mots de passe ne sont pas réutilisés sur d’autres pages de connexion.
Vous découvrirez dans cette vidéo :
- Pourquoi utiliser des scénarios versatiles
- Des exemples de scénarios versatiles disponibles sur la plateforme Arsen
- L’intérêt de prétexter des alertes de sécurité dans vos simulations de phishing
- Les bénéfices de prétexter une demande d’autorisation pour une application
- Pourquoi les hackers usurpent l’identité des réseaux sociaux
