ทำไมการจำลอง Phishing จึงสำคัญ
ปัจจัยมนุษย์เกี่ยวข้องกับการถูกเจาะระบบถึง 68% ในรายงาน Verizon DBIR 2024 และเวลาเฉลี่ยที่พนักงานหลงเชื่ออีเมล Phishing อยู่ที่ไม่ถึงหนึ่งนาที Firewall และเครื่องมือป้องกันอุปกรณ์ปลายทางก็ไม่ได้ห้ามพนักงานพิมพ์รหัสผ่านลงในหน้าล็อกอินปลอมที่ดูน่าเชื่อถือ
การจำลอง Phishing คือการทดสอบที่ได้รับอนุญาตและอยู่ในการควบคุม เราส่งล่อที่สมจริงไปยังพนักงานของคุณ แล้ววัดว่าใครคลิก ใครกรอกรหัสผ่าน และใครรายงานความพยายามนั้น ไม่มี Malware ทำงานและไม่มีข้อมูลออกนอกระบบของคุณ เราบันทึกทุกการกระทำไว้เพื่อทำรายงาน แทนการนำไปใช้โจมตี
ผลลัพธ์คือภาพที่ชัดเจนว่าคุณเสี่ยงตรงไหน ทั้งแผนกใด บทบาทใด และล่อแบบใดที่ได้ผลกับคนของคุณ นั่นคือค่าพื้นฐานที่คุณใช้ฝึกอบรมและวัดความก้าวหน้าจากจุดนั้น
สิ่งที่คุณจะได้รับ
- อัตราการคลิก การกรอกรหัสผ่าน และการรายงาน แยกตามแผนก
- ล่อภาษาไทยที่ตรงกับวิธีที่ผู้โจมตีในประเทศใช้งานจริง
- ระบุบทบาทเสี่ยงสูง เช่น ฝ่ายการเงินและผู้บริหาร
- ค่าพื้นฐานที่วัดได้เพื่อติดตามความก้าวหน้าตามช่วงเวลา
- หลักฐานสำหรับ PCI-DSS 12.6, ISO 27001 A.6.3 และ PDPA
- คำแนะนำการแก้ไขที่จัดลำดับความสำคัญและใช้งานได้จริง
ทำไมต้อง Reconix ไม่ใช่เครื่องมือ Phishing สำเร็จรูป
แพลตฟอร์ม Phishing อัตโนมัติทำงานบนแม่แบบสำเร็จรูป นี่คือสิ่งที่เปลี่ยนไปเมื่อมีทีมงานจริงดำเนินแคมเปญ
Reconix
- ล่อที่สร้างด้วยมือเป็นภาษาไทย ตรงกับอุตสาหกรรมและบริบทของคุณ
- ผู้ปฏิบัติงานจริงวิเคราะห์ผลและอธิบายเหตุผลเบื้องหลัง
- สถานการณ์อ้างอิงเทคนิคการโจมตีที่ใช้อยู่ในปัจจุบัน
- รายงานผลรายบุคคล ส่งอย่างเป็นความลับเพื่อฝึกสอนอย่างตรงจุด
- เชื่อมโยงกับการอบรมความตระหนักที่ตรงเป้าโดยตรง
แพลตฟอร์มอัตโนมัติสำเร็จรูป
- แม่แบบภาษาอังกฤษทั่วไปที่คนในพื้นที่จับได้ทันที
- หน้าสรุปผลที่มีแต่ตัวเลข ไม่มีการตีความจากผู้เชี่ยวชาญ
- คลังแม่แบบตายตัว ปรับตามภัยใหม่ได้ช้า
- แคมเปญสำเร็จรูปแบบเดียวใช้กับทุกคน หลอกระบบได้ง่าย
- ได้อัตราการคลิก แต่ไม่มีแนวทางลดมันลงจริง
ตัวเลขที่ไม่มีบริบทไม่ทำให้พฤติกรรมเปลี่ยน
เครื่องมือสำเร็จรูปบอกได้ว่าพนักงาน 30% คลิก แต่บอกไม่ได้ว่าทำไมฝ่ายการเงินถึงหลงเชื่อใบแจ้งหนี้ปลอม หรือเขียนล่อภาษาไทยที่น่าเชื่อพอจะทดสอบพวกเขาได้อย่างเหมาะสม
เราดำเนินแคมเปญ ตีความผล และป้อนผลนั้นเข้าสู่การอบรมที่ลดอัตราการคลิกในรอบถัดไป
สิ่งที่เราจำลอง
ครอบคลุมช่องทางที่ผู้โจมตีจริงใช้กับองค์กรไทย
อีเมล Phishing
แคมเปญหลอกเอารหัสผ่านและลิงก์อันตรายในวงกว้างทั่วทั้งองค์กร
Spear-phishing และ BEC
ล่อที่เจาะจงฝ่ายการเงิน ผู้บริหาร และบทบาทมูลค่าสูงอื่น
การโจมตีผ่าน SMS (Smishing)
ล่อผ่านข้อความที่เลี่ยงตัวกรองอีเมลและเข้าถึงอุปกรณ์ส่วนตัว
การโจมตีทางโทรศัพท์ (Vishing)
การหลอกผ่านโทรศัพท์ตามที่ร้องขอ เพื่อทดสอบกระบวนการของ Help Desk และการรีเซ็ตรหัส
หน้าเก็บรหัสผ่าน
หน้าล็อกอินปลอมที่สมจริงและเก็บข้อมูลที่กรอกอย่างปลอดภัยเพื่อทำรายงาน
ไฟล์แนบและลิงก์ทดสอบ
ไฟล์ทดสอบที่ไม่เป็นอันตรายและติดตามได้ เพื่อวัดว่าใครเปิดและรันอะไร
แคมเปญทำงานอย่างไร
กระบวนการที่ควบคุมและตกลงร่วมกัน ตั้งแต่กำหนดขอบเขตจนถึงสรุปผล
กำหนดขอบเขตและกติกา
เราตกลงเป้าหมาย ช่องทาง ช่วงเวลา และรายชื่อที่ยกเว้น พร้อมกติกาการทดสอบที่ชัดเจน
ออกแบบสถานการณ์
เราสร้างล่อภาษาไทยที่ตรงกับอุตสาหกรรมและบทบาทในขอบเขต
ส่งแบบควบคุม
ส่งแคมเปญแบบลับเพื่อให้ผลสะท้อนพฤติกรรมจริง
ติดตามผล
เราบันทึกการคลิก การกรอกรหัสผ่าน การรายงาน และเวลาที่ใช้รายงานของแต่ละคน
วิเคราะห์
ผู้ปฏิบัติงานตีความข้อมูลแยกตามแผนกและระบุรูปแบบความเสี่ยงสูง
สรุปผลและวางแผน
คุณได้รับตัวชี้วัด ล่อที่ใช้ และแผนการแก้ไขและอบรม
สอดคล้องกับกฎระเบียบ
ข้อกำหนดด้านการปฏิบัติตามกฎหมายที่บริการนี้รองรับ
วิธีการทดสอบของเราออกแบบมาเพื่อตอบสนองข้อกำหนดของกฎระเบียบด้านความปลอดภัยไซเบอร์ที่สำคัญของไทย
พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล
มาตรา 37 กำหนดให้ต้องมีมาตรการรักษาความปลอดภัยที่เหมาะสมในการประมวลผลข้อมูลส่วนบุคคล
ดูเพิ่มเติมการประเมินความปลอดภัย ISO 27001:2022
A.8.8 การจัดการช่องโหว่ทางเทคนิคสนับสนุนการรับรอง ISMS
ดูเพิ่มเติมการปฏิบัติตาม PCI DSS v4.0.1
Requirement 11.4 กำหนดให้ต้องทดสอบเจาะระบบสำหรับสภาพแวดล้อมข้อมูลบัตรชำระเงิน
ดูเพิ่มเติมคำถามที่พบบ่อย
คำถามที่พบบ่อยเกี่ยวกับการจำลอง Phishing และวิธีที่เราดำเนินแคมเปญ
พร้อมที่จะรักษาความปลอดภัยระบบของคุณแล้วหรือยัง?
รับบริการทดสอบเจาะระบบและประเมินความปลอดภัยจากผู้เชี่ยวชาญที่ปรับให้เหมาะกับความต้องการของคุณโดยเฉพาะ ผู้เชี่ยวชาญของเราจะระบุช่องโหว่ก่อนที่ผู้โจมตีจะใช้ประโยชน์
500+ การประเมินตั้งแต่ 2022 • 2000+ ช่องโหว่ที่ค้นพบ • ทีมความปลอดภัยที่ได้รับรางวัล