91% من الهجمات تبدأ برسالة تصيد احتيالي.
محاكاة تصيد احتيالي مُتحكَّم بها ومبنية على الأدلة، تكشف المخاطر السلوكية الحقيقية وتوفر لك البيانات اللازمة لمعالجتها. نقدم تقييم مخاطر الأقسام في غضون 7-12 يومًا.
لنتحدث
الوضع الراهن
تستثمرون في جدران الحماية وحماية نقاط النهاية، لكنكم تتركون العنصر البشري دون اختبار.
الأرقام تتحدث
91% من الهجمات السيبرانية تبدأ برسالة تصيد احتيالي (Deloitte, 2024).
يتم إرسال 3.4 مليار رسالة تصيد احتيالي يوميًا (AAG IT, 2024).
60% من الموظفين ينقرون على روابط التصيد الاحتيالي دون تدريب (Proofpoint, 2024).
4.9 مليون دولار متوسط تكلفة اختراق البيانات الناتج عن خطأ بشري (IBM Security, 2024).
الفجوة
التدريب السنوي العام للتوعية الأمنية يخبر فريقك بوجود التصيد الاحتيالي. لكنه لا يوضح لك أي الأقسام معرضة للخطر فعليًا، أو من هم الأفراد الأكثر عرضة للمخاطر، أو ما إذا كان تدريبك يحقق تأثيرًا قابلاً للقياس.
يطلب المدققون بيانات سلوكية ملموسة، لا مجرد شهادة إتمام.
ما ستعرفه
مؤشر المخاطر التنظيمية: مدى تعرض القوى العاملة لديكم للخطر، مصنفًا حسب القسم والدور الوظيفي.
تتبع معدلات النقر، وإدخال بيانات الاعتماد، وتنفيذ المرفقات لكل فرد.
تحديد الأقسام والأدوار الوظيفية الأكثر عرضة للمخاطر.
مقاييس تفاعل دقيقة توضح من تفاعل، وبأي عمق، ومتى.
خارطة طريق لتدريب التوعية الأمنية ذات أولويات محددة.
توصيات خاصة بكل دور وظيفي يمكن لفرق الموارد البشرية والأمن لديكم تنفيذها فورًا.
لوحة تحكم المخاطر التنفيذية مع مقارنات الأداء قبل وبعد.
جاهز للعرض على مجلس الإدارة وللتدقيق منذ اليوم الأول.
آلية العمل
تحديد النطاق
تحديد النطاق المستهدف، تأكيد قوائم الموظفين، والمواءمة على نواقل الهجوم وجهات الاتصال للطوارئ.
تصميم الحملة
قوالب تصيد احتيالي موجه (Spear-phishing)، بوابات جمع بيانات الاعتماد، وسيناريوهات استهداف كبار الشخصيات (Whaling) مصممة خصيصًا لمؤسستكم.
المحاكاة المباشرة
تنفيذ حملة مُتحكَّم بها عبر جميع المجموعات المستهدفة. يتم تسجيل كل تفاعل.
إعداد التقارير
تقديم تقييم مخاطر الأقسام، ولوحة تحكم المخاطر التنفيذية، وخارطة طريق التدريب العلاجي.
النطاق
ما يشمله العمل
حملات محاكاة تصيد احتيالي موجه (Spear-phishing) مصممة لكل قسم.
تقييم جمع بيانات الاعتماد باستخدام بوابات وهمية واقعية.
استهداف كبار المسؤولين (Whaling) لأقسام المالية والموارد البشرية والإدارة العليا (C-Suite).
تتبع عمق السلوك: نقرات الروابط، تنفيذ المرفقات، إدخال البيانات.
تقرير استخبارات المخاطر البشرية مع مؤشر المخاطر لكل قسم.
مقاييس معدل النقر والتفاعل لكل فرد.
خارطة طريق التدريب العلاجي ذات الأولويات المحددة.
لوحة تحكم المخاطر التنفيذية لتقارير مجلس الإدارة.
ما لا يشمله العمل
تقديم تدريب التوعية الأمنية (يتم توفير خارطة الطريق، لا التنفيذ).
اختبار الاختراق التقني (راجع اختبار اختراق تطبيقات الويب).
المراقبة المستمرة (راجع تقييم الثغرات المدار).
الهندسة الاجتماعية خارج نطاق البريد الإلكتروني (مثل الهجمات المادية، عبر الهاتف، أو الرسائل النصية القصيرة).
من يقوم بالعمل
Phuoc Pham، مهندس أمن سيبراني
اختبار الاختراق وبحوث الثغرات الأمنية. متخصص في فرق الاختراق الحمراء (Red Team) معتمد بشهادة OSWE وعضو في فريق Synack Red Team المستوى 4، يركز على أمن تطبيقات الويب وبحوث CVE.
الخبرات
اختبار اختراق تطبيقات الويب: بمنهجيات الصندوق الأبيض (white-box)، والصندوق الرمادي (grey-box)، والصندوق الأسود (black-box). بحوث الثغرات الأمنية واكتشاف CVE. مراجعة الكود الآمن في Java و.NET وPHP وJavaScript. اختبار أمن واجهات برمجة التطبيقات (API) وسيناريوهات إساءة استخدام منطق الأعمال. تطوير استغلال إثبات المفهوم (Proof-of-concept) وتقديم إرشادات المعالجة.
الخبرة الصناعية
القطاع الحكومي. المصارف. تقنيات الشركات الكبرى. البرمجيات كخدمة (SaaS).
سجل الإنجازات
عضو في فريق Synack Red Team المستوى 4 مع سجل ثابت في اكتشاف الثغرات عالية الخطورة. قاد تقييمات أمنية بمنهجية الصندوق الأبيض (white-box) لتطبيقات مصرفية على مستوى وطني، مع عدم وجود أي ثغرات حرجة بعد المعالجة. اكتشف وأفصح بمسؤولية عن العديد من ثغرات CVE.
لماذا Gradion
مصممة خصيصًا لكل عميل، وليست حلولًا جاهزة.
قوالب تصيد احتيالي، وبوابات لجمع بيانات الاعتماد، وسيناريوهات استهداف كبار المسؤولين، كلها مصممة خصيصًا لقطاع عملكم، ومجموعة أدواتكم التقنية، وملف موظفيكم. لا نستخدم حملات عامة مكررة.
ذكاء سلوكي، لا مجرد معدلات نقر
نتجاوز مجرد النجاح أو الفشل. تكشف التقارير من نقر، ومتى، ولماذا، وبأي عمق. نقدم لكم ذكاءً عمليًا حول المخاطر البشرية، لا مجرد إحصائيات.
أدلة جاهزة للتدقيق
لوحة تحكم المخاطر التنفيذية وخارطة طريق التدريب العلاجي مقبولة كأدلة لمعايير NIS2 و ISO 27001 و SOC 2، وللتقارير على مستوى مجلس الإدارة.
حملة محاكاة التصيد الاحتيالي
سعر ثابت. لا مفاجآت.
قياسي
حملة محاكاة تصيد احتيالي متكاملة. قوالب مخصصة. تستغرق من 7 إلى 12 يومًا.
- قوالب تصيد احتيالي موجه (spear-phishing) مخصصة
- تقييم جمع بيانات الاعتماد
- استهداف كبار المسؤولين (whaling)
- تقييم المخاطر على مستوى الأقسام
- لوحة تحكم المخاطر التنفيذية
- خارطة طريق التدريب العلاجي
أسئلة شائعة
نجري بالفعل تدريبًا سنويًا للتوعية الأمنية. هل هذا ذو صلة؟
التدريب السنوي العام لا يوضح لكم أي الأقسام معرضة للخطر أو ما إذا كان تدريبكم له تأثير. محاكاتنا تزودكم ببيانات سلوكية، وهي نوع الأدلة التي يرغب مدققكم في رؤيتها بالفعل.
هل سيسبب هذا ذعرًا أو يضر بالروح المعنوية؟
جميع المحاكاة غير عقابية وذات طابع تعليمي. عندما ينقر الموظف، يتلقى رسالة توعية فورية وداعمة. المؤسسات التي تتعامل مع الأمر بشكل صحيح ترى تحسنًا في المشاركة، لا تدهورًا.
نحن فريق صغير. هل هذا يستحق العناء؟
هجمات التصيد الاحتيالي لا تفرق بين الشركات حسب حجمها. غالبًا ما تمتلك الفرق الأصغر مرونة أقل لاستيعاب اختراق بيانات الاعتماد. تبدأ الخدمة من 5,999 يورو ويمكن أن تشمل عددًا قليلًا يصل إلى 20 موظفًا.
ما مدى واقعية المحاكاة؟
واقعية جدًا. يتم تصميم القوالب لتعكس قطاع عملكم، وأدواتكم الداخلية، وأنماط تواصلكم. هذا هو الهدف: إذا كانت حملات التصيد الاحتيالي العامة تخدع الموظفين، فإن الهجمات الموجهة ستفعل ذلك أيضًا.
الخطوات التالية
تتكامل بيانات محاكاة التصيد الاحتيالي مباشرة مع مراجعة الامتثال الأمني (من 9,999 إلى 12,999 يورو) كدليل على ضوابط الأمن البشري لمعايير ISO 27001 و SOC 2.
لتغطية الجانب التقني، يمكنكم دمجها مع اختبار اختراق تطبيقات الويب (من 4,999 إلى 6,999 يورو) لتغطية كل من نقاط الهجوم البشرية والتطبيقية.
لا يوجد التزام بالمتابعة. تقرير المحاكاة يقدم قيمة مستقلة بحد ذاته.
محاكاة التصيد الاحتيالي: ابتداءً من 6,000 يورو
املأ النموذج. نؤكد لكم التوفر والنطاق في غضون 48 ساعة.
- لا التزام. لا عروض بيع مباشرة.
- رد في غضون 48 ساعة.
- خبير تقني رفيع المستوى في المكالمة.