محاكاة التصيّد الاحتيالي عبارة عن تمرين للأمن الإلكتروني يختبر قدرة المؤسسة على التعرف على هجوم التصيد الاحتيالي والرد عليه.

هجوم التصيّد الاحتيالي هو رسالة بريد إلكتروني أو رسالة نصية أو صوتية احتيالية مصممة لخداع الأشخاص لتنزيل برامج ضارة (مثل برمجيات الفدية)، أو الكشف عن معلومات حساسة (مثل أسماء المستخدمين أو كلمات المرور أو تفاصيل بطاقة الائتمان) أو إرسال أموال إلى أشخاص غير مناسبين.

أثناء محاكاة التصيّد الاحتيالي، يتلقى الموظفون رسائل بريد إلكتروني (أو رسائل نصية أو مكالمات هاتفية) تحاكي محاولات التصيّد الاحتيالي في العالم الحقيقي. تستخدم الرسائل نفس أساليب الهندسة الاجتماعية (مثل انتحال شخصية شخص يعرفه المتلقي أو يثق به، وخلق شعور بالإلحاح) لكسب ثقة المتلقي والتلاعب به لاتخاذ إجراءات غير حكيمة. الفرق الوحيد هو أن المستلمين الذين يبتلعون الطعم (على سبيل المثال، النقر على رابط خبيث أو تنزيل مرفق خبيث أو إدخال معلومات في صفحة منتقل إليها احتيالية أو معالجة فاتورة مزيفة) يفشلون ببساطة في الاختبار، دون أن يكون لذلك تأثير سلبي على المؤسسة.

في بعض الحالات، يتم نقل الموظفين الذين ينقرون على الرابط الخبيث الوهمي إلى صفحة مقصودة تشير إلى أنهم وقعوا فريسة لهجوم تصيّد وهمي، مع معلومات حول كيفية اكتشاف عمليات التصيّد الاحتيالي والهجمات الإلكترونية الأخرى بشكل أفضل في المستقبل. بعد المحاكاة، تتلقى المؤسسات أيضا مقاييس حول معدلات نقر الموظفين وغالبًا ما تتابع ذلك بتدريب إضافي للتوعية بالتصيّد الاحتيالي.

تظهر الإحصائيات الأخيرة أن تهديدات التصيّد الاحتيالي تستمر في الارتفاع. منذ عام 2019، ارتفع عدد هجمات التصيّد الاحتيالي بنسبة 150% سنويًا—حيث أبلغت مجموعة عمل مكافحة التصيّد الاحتيالي (APWG) عن أعلى مستوى على الإطلاق للتصيّد الاحتيالي في عام 2022، حيث سجلت أكثر من 4.7 مليون موقع تصيّد احتيالي. وفقًا لـ Proofpoint، تعرضت 84% من المؤسسات في عام 2022 لهجوم تصيّد ناجح واحد على الأقل.

نظرًا لأنه حتى أفضل بوابات البريد الإلكتروني وأدوات الأمان لا يمكنها حماية المؤسسات من كل حملات التصيّد الاحتيالي، فإن المؤسسات تلجأ بشكل متزايد إلى محاكاة التصيّد الاحتيالي. تساعد عمليات محاكاة التصيّد الاحتيالي المصممة جيدًا في التخفيف من تأثير هجمات التصيد الاحتيالي بطريقتين مهمتين. توفر عمليات المحاكاة فرق أمن المعلومات اللازمة لتثقيف الموظفين للتعرف بشكل أفضل على هجمات التصيّد الاحتيالي في الحياة الواقعية وتجنبها. كما أنها تساعد فرق الأمن في تحديد نقاط الضعف وتحسين الاستجابة الشاملة للحوادث وتقليل مخاطر اختراق البيانات والخسائر المالية الناجمة عن محاولات التصيّد الناجحة.

عادة ما تكون اختبارات التصيّد الاحتيالي جزءًا من تدريب أوسع للوعي الأمني بقيادة أقسام تكنولوجيا المعلومات أو فرق الأمان.

تتضمن العملية بشكل عام خمس خطوات:

1. التخطيط: تبدأ المؤسسات بتحديد أهدافها وتعيين نطاقها، وتحديد نوع رسائل البريد الإلكتروني التصيّدية التي ستستخدمها وتكرار عمليات المحاكاة. كما أنها تحدد أيضًا الجمهور المستهدف، بما في ذلك تقسيم مجموعات أو أقسام معينة، وغالبًا ما يكونون المديرين التنفيذيين. 
2. الصياغة: بعد تشكيل الخطة، تقوم فرق الأمن بإنشاء رسائل بريد إلكتروني واقعية وهمية للتصيّد الاحتيالي تشبه إلى حد كبير تهديدات التصيّد الحقيقي، وغالباً ما تكون على غرار نماذج التصيّد الاحتيالي ومجموعات التصيّد المتاحة على الشبكة الخفية. إنهم يولون اهتمامًا شديدًا بالتفاصيل مثل سطور الموضوع وعناوين المرسلين والمحتوى لعمل محاكاة واقعية للتصيّد الاحتيالي. كما أنها تتضمن أيضًا أساليب الهندسة الاجتماعية—حتى انتحال (أو "تزييف") شخصية أحد المديرين التنفيذيين أو الموظفين الزملاء على أنه المرسل—لزيادة احتمالية نقر الموظفين على رسائل البريد الإلكتروني.
3. الإرسال: بمجرد الانتهاء من المحتوى، تقوم فرق تكنولوجيا المعلومات أو البائعين الخارجيين بإرسال رسائل البريد الإلكتروني التصيدية المحاكية إلى الجمهور المستهدف من خلال وسائل آمنة، مع مراعاة الخصوصية.
4. المراقبة: بعد إرسال رسائل البريد الإلكتروني الوهمية الخبيثة، يقوم القادة بتتبع وتسجيل كيفية تفاعل الموظفين مع رسائل البريد الإلكتروني الوهمية عن كثب، ومراقبة ما إذا كانوا ينقرون على الروابط أو يقومون بتنزيل المرفقات أو يقدمون معلومات حساسة.
5. التحليل: بعد اختبار التصيّد الاحتيالي، يقوم قادة تكنولوجيا المعلومات بتحليل البيانات من المحاكاة لتحديد الاتجاهات مثل معدلات النقرات ونقاط الضعف الأمنية. بعد ذلك، يتابعون مع الموظفين الذين فشلوا في المحاكاة بملاحظات فورية، ويشرحون لهم كيف كان بإمكانهم التعرف على محاولة التصيّد الاحتيالي بشكل صحيح وكيفية تجنب الهجمات الحقيقية في المستقبل.

وبمجرد الانتهاء من هذه الخطوات، تقوم العديد من المؤسسات بتجميع تقرير شامل يلخص نتائج محاكاة التصيد الاحتيالي لمشاركته مع الأطراف المعنية. كما يستخدم البعض المعارف لتحسين التدريب على التوعية الأمنية قبل تكرار العملية بانتظام لتعزيز الوعي بالأمن الأمن الإلكتروني والبقاء في المقدمة لمواجهة التهديدات الإلكترونية المتطورة.

عند تشغيل حملة محاكاة التصيّد الاحتيالي، يجب على المؤسسات مراعاة ما يلي.

• تكرار وتنوع الاختبارات: يقترح العديد من الخبراء إجراء عمليات محاكاة التصيّد الاحتيالي بانتظام على مدار العام باستخدام أنواع مختلفة من تقنيات التصيّد الاحتيالي. يمكن أن يساعد هذا التكرار المتزايد والتنوع في تعزيز الوعي بالأمن الإلكتروني مع ضمان بقاء جميع الموظفين يقظين ضد تهديدات التصيّد الاحتيالي المتطورة.
• المحتوى والأساليب: عندما يتعلق الأمر بالمحتوى، يجب على المؤسسات تطوير رسائل بريد إلكتروني تحاكي رسائل التصيّد الاحتيالي تشبه محاولات التصيّد الاحتيالي الواقعية. إحدى طرق القيام بذلك هي استخدام نماذج تصيّد احتيالي على غرار الأنواع الشائعة من هجمات التصيّد الاحتيالي لاستهداف الموظفين. على سبيل المثال، قد يركز أحد النماذج على اختراق البريد الإلكتروني للأعمال (BEC)—ويسمى أيضاً الاحتيال على المدير التنفيذي—وهو نوع من التصيّد الاحتيالي الذي يقوم فيه مجرمو الإنترنت بمحاكاة رسائل البريد الإلكتروني من أحد المديرين التنفيذيين في المؤسسة لخداع الموظفين للإفصاح عن معلومات حساسة أو تحويل مبالغ كبيرة من المال إلى بائع مزعوم. وعلى غرار مجرمي الإنترنت الذين يطلقون عمليات اختراق البريد الإلكتروني للأعمال في الحياة الواقعية، يجب على فرق الأمن التي تصمم المحاكاة أن تبحث بعناية عن المرسل والمستلمين لجعل البريد الإلكتروني ذا مصداقية.
• التوقيت: لا يزال التوقيت المثالي للمؤسسات لإجراء محاكاة التصيّد الاحتيالي مصدر جدل مستمر. يفضل البعض نشر اختبار التصيّد الاحتيالي قبل أن يكمل الموظفون أي تدريب للتوعية بالتصيد الاحتيالي لوضع معيار وقياس كفاءة حلول محاكاة التصيّد الاحتيالي المستقبلية. يفضل البعض الآخر الانتظار حتى بعد التدريب على التوعية بالتصيّد الاحتيالي لاختبار فعالية الوحدة ومعرفة ما إذا كان الموظفون يبلغون عن حوادث التصيّد الاحتيالي بشكل صحيح. يعتمد التوقيت الذي تقرر فيه المؤسسة تشغيل محاكاة التصيد الاحتيالي على احتياجاتها وأولوياتها.
• المتابعة التثقيفية: : بغض النظر عن الوقت الذي تقرر فيه المؤسسات إجراء اختبار التصيّد الاحتيالي، فإنه عادةً ما يكون جزءًا من برنامج تدريب أكبر وأشمل للتوعية الأمنية. يساعد التدريب على المتابعة الموظفين الذين فشلوا في الاختبار على الشعور بالدعم مقابل مجرد الخداع، كما أنه يوفر المعرفة والحوافز لتحديد رسائل البريد الإلكتروني المشبوهة أو الهجمات الحقيقية في المستقبل.
• تتبع التقدم المحرز والاتجاهات: بعد إجراء عمليات المحاكاة، يجب على المؤسسات قياس وتحليل نتائج كل اختبار محاكاة للتصيّد الاحتيالي. يمكن أن يحدد هذا مجالات التحسين، بما في ذلك الموظفين المحددين الذين قد يحتاجون إلى تدريب إضافي. يجب على فرق الأمن أيضاً أن تبقى على اطلاع على أحدث اتجاهات وأساليب التصيّد الاحتيالي حتى يتمكنوا في المرة القادمة التي يجرون فيها محاكاة التصيد الاحتيالي من اختبار الموظفين مع التهديدات الأكثر صلة بالواقع.

تعد عمليات محاكاة التصيّد الاحتيالي وتدريبات الوعي الأمني إجراءات وقائية مهمة، ولكن تحتاج فرق الأمن أيضًا إلى أحدث إمكانات الكشف عن التهديدات والاستجابة لها للتخفيف من تأثير حملات التصيّد الاحتيالي الناجحة.