Gå til innhold

Erfaringer med pris for phishing-kampanje?


Anbefalte innlegg

Hei

Jeg har en kunde med ca. 150 ansatte som har bedt om pris på phishing-kampanje.

Jeg har hentet inn et tilbud fra en profesjonell aktør som sier de tar ca. 30 000 kroner for å simulere et phishing-angrep og gjennomføre et oppfølgende webinar etter fullendt test. I webinaret vil de demonstrere til brukerne hva som skjer i bakhånd når bedriften blir rammet av et angrep.

Kunden syntes dette var en dyr pris og de lurte på om vi kunne sjekke nærmere om dette er 'vanlig pris'.

Er det noen som har erfaring med hva det koster å hyre inn eksterne sikkerhetsleverandører til å simulere et phishing-angrep?

Jeg synes selv at 30 000 var nokså forventet, men hører gjerne hva andre har opplevd.

Lenke til kommentar
Videoannonse
Annonse

Hva ligger konkret i dette tilbudet? 

Det mest vanlige for en liten bedrift er vel falske fakturaer og epost-phishing vil jeg tro. Ikke verre enn at man kan utføre en slik test selv. 

Sist jeg ble vitne til en slik "test", var ved juletider i fjor... En middels stor bedrift med ganske mange ingeniører og høyt udannet folk fikk epost med beskjed om at bedriften hadde julegaver å gi til alle ansatte, alt du trengte å gjøre var å trykke på en link, velge gave, og deretter sannsynligvis gi fra deg noe info. ;P Overraskende nok var det rundt 80% som klikket seg inn, der ca 20% av dem igjen la igjen sensitiv info på denne fiktive nettsiden.....

Sier litt om hvor naive vi er. Så kanskje er det verd 200 kr,- pr ansatte, og at 30 000 kr,- er vel brukte penger.

Den største konstanden er vel uansett i de ansatte, dersom 150 ansatte bruker 1 time på å lære om dette, utgjør det 500 x 150 = 75 000 kr,- bare i arbeid... (med skatt og alt annet). Så da er jo 30 000 ikke så alt for mye? 

Lenke til kommentar

Jeg vet ikke hva slags selskap det er og hvorfor de vil dette. Hadde det ikke vært mer praktisk med et mer generelt kurs der de lærer å skille mellom hva som er ekte og hva som er falskt? Enten det gjelder nettsider, e-poster, fakturaer, nyheter, bilder, videoer osv. Da har folk bredere kunnskap og er forberedt på mange flere situasjoner.

Min bedrift tilbyr også datakurs. Jeg tror det kan være mye mer nyttig for kunden og ansatte å lære det grunnleggende godt, i stedet for bare spesifikk phishing. Men som sagt, jeg kjenner ikke situasjonen. Kanskje det er logisk og nyttig for dette selskapet å fokusere spesifikt på phishing.

Lenke til kommentar
joandreas skrev (31 minutter siden):

mener man ikke bør betale for sånne ting. er nok å ikke klikke på linker i epost.

Det finnes mange lenker i e-poster som man kan klikke på uten problemer.
Det er ikke så nyttig hvis folk blir redde for "alle" lenker i e-poster (og på andre steder på internett) .
Det er bedre å lære folk hvilke lenker de kan klikke på, og når det er bedre å ikke klikke på en lenke.

Lenke til kommentar

Spørsmålet er hvor langt man vil gå, og om man f.eks. tilrettelegger forskjellige "budskap" mot forskjellige deler av bedriften eller spesifikke ansatte. Og hvor stopper man - er det bare f.eks. at man skal se at de klikker, at de klikker og legger igjen brukernavn og passord, eller skal man også prøve å få dem til å installere noe?

Lenke til kommentar
Salvesen. skrev (2 timer siden):

Men klikke på lenke på forum det er ok?😂

De er mer beskyttet at de ikke forandres når man trykker på den. da feks vg.no kan linke til svindel.no

er linken lang bør man unngå klikke på den

Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
×
×
  • Opprett ny...