Phishing simulation یا شبیه‌سازی فیشینگ چیست ؟

Phishing simulation چیست ؟

شبیه‌سازی فیشینگ (Phishing Simulation) یک تکنیک امنیت سایبری است که به سازمان‌ها کمک می‌کند تا از طریق شبیه‌سازی حملات فیشینگ، نقاط ضعف و آسیب‌پذیری‌های احتمالی در رفتار کارکنان خود را شناسایی کنند. در این فرایند، حملات فیشینگ به‌طور کنترل‌شده و با هدف آموزشی طراحی و اجرا می‌شوند تا کارکنان بتوانند در شرایط واقعی‌تر، توانایی خود را در شناسایی و پاسخ به این تهدیدات تقویت کنند.

ویژگی‌های کلیدی شبیه‌سازی فیشینگ:

1. طراحی سناریوها:
   • سناریوهای شبیه‌سازی می‌توانند شامل ایمیل‌های جعلی، پیام‌های متنی یا وب‌سایت‌های تقلبی باشند که به‌طور مشابه با حملات واقعی طراحی شده‌اند.
2. آموزش و آگاهی‌سازی:
   • این شبیه‌سازی‌ها به کارکنان کمک می‌کند تا مهارت‌های لازم برای شناسایی فیشینگ را بیاموزند و در برابر آن‌ها مقاومت کنند.
3. ارزیابی عملکرد:
   • سازمان‌ها می‌توانند با تحلیل نتایج شبیه‌سازی، سطح آگاهی و واکنش کارکنان را ارزیابی کنند و در صورت لزوم آموزش‌های بیشتری ارائه دهند.
4. بهبود امنیت سازمان:
   • با شناسایی نقاط ضعف و رفتارهای پرخطر، سازمان‌ها می‌توانند راهکارهای امنیتی بهتری را پیاده‌سازی کنند و فرهنگ امنیت سایبری را تقویت کنند.

اهداف شبیه‌سازی فیشینگ:

• شناسایی نقاط ضعف: تشخیص کارکنانی که ممکن است به سادگی فریب بخورند.
• آموزش و یادآوری: یادآوری اهمیت امنیت سایبری و نحوه مقابله با تهدیدات.
• ایجاد آگاهی: افزایش آگاهی عمومی در مورد انواع مختلف فیشینگ و تکنیک‌های مورد استفاده توسط مهاجمان.

تعریف Phishing و اهمیت آن

تعریف فیشینگ (Phishing)

فیشینگ یک نوع حمله سایبری است که در آن مهاجم با استفاده از تکنیک‌های فریبنده، سعی می‌کند اطلاعات حساس و شخصی افراد یا سازمان‌ها را به‌دست آورد. این اطلاعات می‌تواند شامل نام کاربری، رمز عبور، اطلاعات مالی، یا هر نوع داده‌ای باشد که می‌تواند به‌نفع مهاجم استفاده شود. فیشینگ معمولاً از طریق ایمیل، پیامک، یا وب‌سایت‌های جعلی انجام می‌شود و هدف اصلی آن فریب دادن کاربر برای کلیک بر روی یک لینک مخرب یا وارد کردن اطلاعات حساس در یک فرم جعلی است.

اهمیت فیشینگ

1. تهدید گسترده برای امنیت سایبری:
   • فیشینگ یکی از رایج‌ترین و مؤثرترین روش‌های حمله به سازمان‌ها و افراد است. این نوع حملات به‌راحتی می‌توانند به اطلاعات حساس دسترسی پیدا کنند و عواقب جدی برای امنیت سایبری داشته باشند.
2. افزایش هزینه‌های مالی:
   • موفقیت در حملات فیشینگ می‌تواند منجر به خسارت‌های مالی سنگین برای سازمان‌ها شود. این خسارت‌ها می‌تواند شامل هزینه‌های مستقیم ناشی از سرقت اطلاعات، هزینه‌های مربوط به بازسازی سیستم‌ها و تقویت امنیت، و از دست دادن اعتماد مشتریان باشد.
3. تخریب اعتبار برند:
   • اگر یک سازمان هدف حمله فیشینگ قرار گیرد و اطلاعات مشتریان یا کارکنان آن فاش شود، اعتبار برند به شدت آسیب می‌بیند. این می‌تواند منجر به کاهش وفاداری مشتریان و کاهش درآمد شود.
4. تأثیر بر حریم خصوصی:
   • فیشینگ می‌تواند منجر به نقض حریم خصوصی افراد شود. اطلاعات شخصی به‌دست‌آمده از حملات فیشینگ می‌تواند برای مقاصد نادرست، مانند هویت‌دزدی، مورد استفاده قرار گیرد.
5. آگاهی و آموزش:
   • فیشینگ اهمیت زیادی در افزایش آگاهی و آموزش در مورد امنیت سایبری دارد. درک تهدیدات فیشینگ به افراد و سازمان‌ها کمک می‌کند تا به‌طور موثرتری از خود محافظت کنند و در برابر این نوع حملات مقاومت بیشتری نشان دهند.

انواع Phishing

فیشینگ به چندین نوع مختلف تقسیم می‌شود که هر کدام تکنیک‌ها و روش‌های خاص خود را دارند. در زیر به انواع رایج فیشینگ اشاره می‌شود:

1. فیشینگ ایمیلی (Email Phishing)

• این نوع فیشینگ شامل ارسال ایمیل‌های جعلی است که به نظر می‌رسد از طرف یک سازمان معتبر می‌آید. ایمیل‌ها معمولاً حاوی لینک‌های مخرب یا پیوست‌هایی هستند که کاربر را تشویق به کلیک یا دانلود می‌کند.

2. فیشینگ تلفنی (Vishing)

• در این نوع فیشینگ، مهاجمان از طریق تماس‌های تلفنی سعی می‌کنند اطلاعات شخصی افراد را به‌دست آورند. آن‌ها معمولاً خود را به‌عنوان نمایندگان سازمان‌های معتبر معرفی می‌کنند و از روش‌های فریبنده برای کسب اطلاعات استفاده می‌کنند.

3. فیشینگ متنی (Smishing)

• فیشینگ متنی مشابه فیشینگ ایمیلی است، اما به‌جای ایمیل، از پیامک (SMS) استفاده می‌کند. در این روش، مهاجمان لینک‌های مخرب را از طریق پیامک ارسال می‌کنند و کاربران را ترغیب به کلیک بر روی آن‌ها می‌کنند.

4. فیشینگ وب‌سایت (Website Phishing)

• در این نوع فیشینگ، مهاجمان وب‌سایت‌های جعلی ایجاد می‌کنند که شبیه به وب‌سایت‌های معتبر هستند. کاربران وقتی به این وب‌سایت‌ها مراجعه می‌کنند، ممکن است اطلاعات ورود خود را وارد کنند و این اطلاعات به مهاجمان ارسال می‌شود.

5. فیشینگ اجتماعی (Social Engineering Phishing)

• این نوع فیشینگ از تکنیک‌های اجتماعی برای فریب کاربران استفاده می‌کند. مهاجمان می‌توانند با استفاده از اطلاعات شخصی کاربران، مانند نام، تاریخ تولد یا اطلاعات اجتماعی، اعتماد آن‌ها را جلب کنند و سپس اطلاعات حساس را به‌دست آورند.

6. فیشینگ هدفمند (Spear Phishing)

• در این نوع، مهاجمان به‌طور خاص یک فرد یا سازمان را هدف قرار می‌دهند. ایمیل‌ها و پیام‌ها به‌طور خاص برای قربانی طراحی شده و شامل اطلاعات دقیق درباره او هستند. این نوع فیشینگ معمولاً مؤثرتر از فیشینگ عمومی است.

7. فیشینگ از طریق شبکه‌های اجتماعی (Social Media Phishing)

• مهاجمان از طریق پلتفرم‌های شبکه اجتماعی مانند فیس‌بوک، توییتر یا لینکدین به کاربران پیام می‌دهند یا لینک‌های مخرب را به اشتراک می‌گذارند. این روش می‌تواند شامل ایجاد پروفایل‌های جعلی باشد که کاربران را به ارتباط با خود ترغیب می‌کند.

8. فیشینگ SSL (SSL Phishing)

• در این نوع فیشینگ، مهاجمان از گواهی‌های SSL جعلی برای ایجاد وب‌سایت‌های جعلی استفاده می‌کنند. این وب‌سایت‌ها ممکن است از نظر ظاهری معتبر به نظر برسند، اما هدف آن‌ها سرقت اطلاعات کاربر است.

فرآیند طراحی و اجرای شبیه‌سازی‌های Phishing

فرآیند طراحی و اجرای شبیه‌سازی‌های فیشینگ (Phishing Simulation) به‌منظور شناسایی و آموزش کارکنان درباره تهدیدات فیشینگ شامل چندین مرحله کلیدی است. در زیر مراحل اصلی این فرآیند را بررسی می‌کنیم:

1. تعیین اهداف و مقاصد

• شناسایی اهداف: قبل از هر چیز، مشخص کنید که چرا شبیه‌سازی فیشینگ را اجرا می‌کنید. آیا هدف افزایش آگاهی کارکنان، شناسایی نقاط ضعف در امنیت یا ارزیابی تأثیر آموزش‌های قبلی است؟
• تعیین معیارها: تعیین کنید که چگونه موفقیت شبیه‌سازی را اندازه‌گیری خواهید کرد (مثلاً درصد کارکنانی که به ایمیل‌های جعلی پاسخ می‌دهند).

2. تحلیل مخاطب

• شناسایی گروه هدف: تعیین کنید که کدام بخش‌ها یا گروه‌های کارکنان را هدف قرار خواهید داد. این می‌تواند شامل گروه‌های مختلف مانند کارکنان جدید، مدیران یا بخش‌های خاص باشد.
• تجزیه و تحلیل رفتار: بررسی رفتار گذشته کارکنان نسبت به فیشینگ و شناسایی نقاط ضعف.

3. طراحی سناریوهای شبیه‌سازی

• ایجاد سناریوها: طراحی سناریوهای واقعی و متنوع فیشینگ که شامل ایمیل‌های جعلی، پیامک‌ها یا وب‌سایت‌های تقلبی باشد. این سناریوها باید شامل ویژگی‌هایی باشند که مشابه حملات واقعی هستند.
• استفاده از تکنیک‌های متنوع: می‌توانید از تکنیک‌های فیشینگ عمومی، هدفمند، و حتی فیشینگ تلفنی استفاده کنید.

4. اجرای شبیه‌سازی

• ارسال شبیه‌سازی: سناریوهای طراحی شده را برای گروه هدف ارسال کنید. این می‌تواند شامل ارسال ایمیل، پیامک یا حتی تماس‌های تلفنی باشد.
• ایجاد شرایط واقعی: تلاش کنید تا شرایطی مشابه به واقعی‌ترین حالت فیشینگ ایجاد کنید تا کارکنان احساس کنند که با یک تهدید واقعی مواجه‌اند.

5. جمع‌آوری داده‌ها و تجزیه و تحلیل

• تحلیل رفتار: پس از اجرای شبیه‌سازی، داده‌ها را جمع‌آوری کنید و رفتار کارکنان را تحلیل کنید. بررسی کنید که چند درصد از کارکنان به لینک‌ها کلیک کرده، اطلاعات را وارد کرده یا پاسخ داده‌اند.
• شناسایی نقاط ضعف: نقاط ضعف و آسیب‌پذیری‌ها را شناسایی کنید و مشخص کنید کدام گروه‌ها بیشتر در معرض خطر قرار دارند.

6. آموزش و آگاهی‌سازی

• ارائه بازخورد: به کارکنان نتایج شبیه‌سازی را توضیح دهید و به آن‌ها آموزش‌های لازم برای شناسایی و جلوگیری از حملات فیشینگ را ارائه دهید.
• تنظیم دوره‌های آموزشی: بر اساس نتایج، دوره‌های آموزشی جدید یا تکمیلی طراحی کنید تا نقاط ضعف شناسایی شده را تقویت کنید.

7. بازنگری و بهبود

• ارزیابی روند: پس از اجرای شبیه‌سازی، روند را ارزیابی کنید و ببینید که آیا اهداف اولیه محقق شده‌اند یا خیر.
• تکرار شبیه‌سازی: برنامه‌ریزی برای انجام شبیه‌سازی‌های منظم به‌منظور افزایش آگاهی و تقویت امنیت سایبری در سازمان.

ابزارها و تکنیک‌های مورد استفاده در شبیه‌سازی Phishing

برای طراحی و اجرای شبیه‌سازی‌های فیشینگ مؤثر، از ابزارها و تکنیک‌های مختلفی استفاده می‌شود. این ابزارها می‌توانند به شناسایی آسیب‌پذیری‌ها و آموزش کارکنان کمک کنند. در زیر به برخی از ابزارها و تکنیک‌های رایج اشاره می‌شود:

ابزارهای شبیه‌سازی فیشینگ

1. PhishMe
   • یک پلتفرم کامل برای شبیه‌سازی فیشینگ که به سازمان‌ها اجازه می‌دهد سناریوهای فیشینگ واقعی طراحی و اجرا کنند. این ابزار شامل آموزش‌های تعاملی و گزارش‌های تحلیلی است.
2. KnowBe4
   • یکی از معروف‌ترین پلتفرم‌های شبیه‌سازی فیشینگ که شامل آموزش‌های امنیت سایبری و شبیه‌سازی‌های فیشینگ است. KnowBe4 به سازمان‌ها کمک می‌کند تا سطح آگاهی کارکنان خود را افزایش دهند.
3. CybSafe
   • این ابزار با تمرکز بر آموزش و آگاهی‌سازی، به سازمان‌ها کمک می‌کند تا شبیه‌سازی‌های فیشینگ را طراحی و اجرا کنند و همچنین تجزیه و تحلیل رفتار کاربران را انجام دهند.
4. Gophish
   • یک ابزار متن باز برای شبیه‌سازی فیشینگ که به کاربران این امکان را می‌دهد تا کمپین‌های فیشینگ را با استفاده از وب‌سایت‌های جعلی و ایمیل‌های طراحی‌شده اجرا کنند.
5. PhishingBox
   • این پلتفرم شامل ابزارهای آموزشی و شبیه‌سازی فیشینگ است که به کاربران کمک می‌کند تا تهدیدات فیشینگ را شناسایی کنند و از خود محافظت نمایند.
6. Mailtrap
   • ابزاری برای تست و تحلیل ایمیل‌ها که به توسعه‌دهندگان و تیم‌های امنیتی کمک می‌کند تا ایمیل‌های فیشینگ را شبیه‌سازی و تست کنند.

تکنیک‌های شبیه‌سازی فیشینگ

1. ایمیل‌های جعلی
   • طراحی ایمیل‌هایی که شبیه به ایمیل‌های رسمی سازمان‌ها هستند و شامل لینک‌های مخرب یا درخواست‌های اطلاعاتی می‌باشند.
2. وب‌سایت‌های تقلبی
   • ایجاد وب‌سایت‌های جعلی که شبیه به وب‌سایت‌های معتبر هستند و از کاربران می‌خواهند اطلاعات خود را وارد کنند.
3. پیام‌های متنی (Smishing)
   • ارسال پیام‌های متنی جعلی که شامل لینک‌های مخرب یا درخواست‌های اطلاعاتی هستند.
4. تکنیک‌های هدفمند (Spear Phishing)
   • طراحی حملاتی که به‌طور خاص یک فرد یا گروه را هدف قرار می‌دهند و شامل اطلاعات دقیق درباره آن‌ها می‌باشند.
5. فیشینگ تلفنی (Vishing)
   • تماس‌های تلفنی از طرف مهاجمان که خود را به‌عنوان نمایندگان شرکت‌های معتبر معرفی کرده و از افراد می‌خواهند اطلاعات شخصی خود را ارائه دهند.
6. استفاده از گواهی‌های SSL جعلی
   • ایجاد وب‌سایت‌های جعلی که از گواهی‌های SSL برای نشان دادن اعتبار استفاده می‌کنند و کاربران را فریب می‌دهند.

اهمیت شبیه‌سازی Phishing در سازمان

شبیه‌سازی فیشینگ (Phishing Simulation) به‌عنوان یک ابزار امنیت سایبری، نقش حیاتی در افزایش آگاهی و تقویت امنیت سازمان‌ها ایفا می‌کند. در زیر به برخی از مهم‌ترین دلایل اهمیت شبیه‌سازی فیشینگ در سازمان‌ها اشاره می‌کنم:

1. شناسایی نقاط ضعف

• تحلیل رفتار کارکنان: شبیه‌سازی‌های فیشینگ به سازمان‌ها این امکان را می‌دهند که نقاط ضعف و آسیب‌پذیری‌های کارکنان را شناسایی کنند. این تحلیل می‌تواند به سازمان‌ها کمک کند تا بدانند کدام گروه‌ها بیشتر در معرض خطر هستند و نیاز به آموزش بیشتری دارند.

2. آموزش و آگاهی‌سازی

• افزایش آگاهی کارکنان: با شبیه‌سازی فیشینگ، کارکنان می‌آموزند که چگونه حملات فیشینگ را شناسایی کنند و به‌طور مؤثری از خود محافظت کنند. این آموزش می‌تواند شامل شناسایی ایمیل‌های جعلی، وب‌سایت‌های تقلبی و روش‌های دیگر باشد.
• یادآوری اهمیت امنیت سایبری: این شبیه‌سازی‌ها به کارکنان یادآوری می‌کنند که امنیت سایبری یک مسئولیت جمعی است و هر فرد باید در این زمینه هوشیار باشد.

3. بهبود فرهنگ امنیت سایبری

• تقویت فرهنگ سازمانی: شبیه‌سازی فیشینگ می‌تواند به‌عنوان بخشی از فرهنگ سازمانی مطرح شود و به کارکنان کمک کند تا در مورد امنیت سایبری بیشتر فکر کنند و اقدامات لازم را انجام دهند.

4. کاهش ریسک‌های مالی

• پیشگیری از خسارت‌های مالی: با شناسایی و آموزش کارکنان، شبیه‌سازی فیشینگ می‌تواند به کاهش خسارت‌های مالی ناشی از حملات فیشینگ کمک کند. حملات موفق می‌توانند منجر به سرقت اطلاعات حساس و هزینه‌های مالی بالا شوند.

5. بهبود پاسخگویی به تهدیدات

• آمادگی برای حملات واقعی: شبیه‌سازی فیشینگ کارکنان را برای مواجهه با حملات واقعی آماده می‌کند. وقتی کارکنان در شرایط شبیه‌سازی‌شده تجربه کسب کنند، احتمال اینکه در صورت مواجهه با حمله واقعی به‌راحتی فریب بخورند کمتر می‌شود.

6. تحلیل و ارزیابی مداوم

• بررسی تأثیر آموزش‌ها: سازمان‌ها می‌توانند با اجرای مکرر شبیه‌سازی‌های فیشینگ تأثیر آموزش‌های خود را ارزیابی کنند و در صورت نیاز، برنامه‌های آموزشی را به‌روزرسانی کنند.

7. رعایت قوانین و مقررات

• پشتیبانی از انطباق با مقررات: بسیاری از صنایع تحت نظارت‌های خاصی هستند که امنیت سایبری را الزامی می‌کنند. شبیه‌سازی فیشینگ می‌تواند به سازمان‌ها در رعایت این مقررات کمک کند.

آموزش و آگاهی‌سازی کارکنان درباره تهدیدات Phishing

آموزش و آگاهی‌سازی کارکنان درباره تهدیدات فیشینگ (Phishing) یکی از مهم‌ترین گام‌ها در تقویت امنیت سایبری در سازمان‌ها است. در زیر به روش‌ها، محتوا و نکات کلیدی برای آموزش کارکنان در این زمینه اشاره می‌شود:

1. محتوا و موضوعات آموزشی

• تعریف فیشینگ:
  • توضیح مفهوم فیشینگ و انواع مختلف آن، از جمله فیشینگ ایمیلی، تلفنی (Vishing)، و متنی (Smishing).
• تکنیک‌های فیشینگ:
  • بررسی روش‌های رایج مورد استفاده مهاجمان، از جمله لینک‌های جعلی، وب‌سایت‌های تقلبی و درخواست‌های اطلاعات حساس.
• شناسایی نشانه‌های فیشینگ:
  • آموزش کارکنان به شناسایی ویژگی‌های ایمیل‌ها و پیام‌های مشکوک، مانند نشانی‌های ایمیل غیرمعمول، گرامر و املا نادرست، و لینک‌های نامعتبر.
• اقدامات پیشگیرانه:
  • آموزش روش‌های مقابله با فیشینگ، از جمله عدم کلیک بر روی لینک‌های مشکوک، عدم ارائه اطلاعات شخصی به منابع ناشناخته، و استفاده از نرم‌افزارهای امنیتی.
• نحوه گزارش تهدیدات:
  • توضیح فرآیند گزارش‌دهی به بخش IT یا تیم امنیت سایبری در صورت مواجهه با حملات فیشینگ.

2. روش‌های آموزشی

• دوره‌های آنلاین:
  • برگزاری دوره‌های آموزشی آنلاین با ویدیوها، آزمون‌ها و محتواهای تعاملی که به کارکنان امکان می‌دهد اطلاعات را به‌صورت خودآموز کسب کنند.
• کارگاه‌های آموزشی:
  • برگزاری کارگاه‌های حضوری یا آنلاین که در آن‌ها مباحث امنیت سایبری و فیشینگ به‌صورت عملی آموزش داده می‌شود.
• شبیه‌سازی‌های فیشینگ:
  • اجرای شبیه‌سازی‌های فیشینگ واقعی به‌منظور آموزش و ارزیابی رفتار کارکنان. این شبیه‌سازی‌ها می‌توانند شامل ارسال ایمیل‌های جعلی و بررسی واکنش کارکنان باشند.
• نشرات و بولتن‌های خبری:
  • ارسال نشریات دوره‌ای و بولتن‌های خبری به کارکنان با محتوای آموزشی درباره تهدیدات جدید و نحوه مقابله با آن‌ها.

3. نکات کلیدی برای آگاهی‌سازی

• فراهم کردن فضای باز برای سوالات:
  • تشویق کارکنان به طرح سوالات و نگرانی‌های خود درباره تهدیدات فیشینگ و امنیت سایبری.
• بروزرسانی مداوم:
  • ارائه آموزش‌های به‌روز و اطلاعات جدید در مورد تهدیدات فیشینگ، چرا که روش‌های مهاجمان دائماً در حال تغییر است.
• ایجاد فرهنگ امنیت:
  • ترویج فرهنگ امنیت سایبری در سازمان، به‌طوری که امنیت سایبری بخشی از فعالیت‌های روزمره کارکنان شود.
• مشارکت مدیریت:
  • درگیری و حمایت مدیریت در فرآیند آموزش و آگاهی‌سازی کارکنان. این می‌تواند به ایجاد انگیزه و اهمیت امنیت در میان کارکنان کمک کند.

چالش‌ها و ملاحظات اخلاقی در Phishing Simulation در سازمان ها

اجرای شبیه‌سازی‌های فیشینگ (Phishing Simulation) در سازمان‌ها می‌تواند به شناسایی نقاط ضعف امنیتی و آموزش کارکنان کمک کند، اما این فرآیند همچنین با چالش‌ها و ملاحظات اخلاقی خاصی همراه است. در زیر به این چالش‌ها و ملاحظات اخلاقی اشاره می‌شود:

1. چالش‌ها

الف) مقاومت کارکنان

• برخی از کارکنان ممکن است نسبت به شبیه‌سازی‌های فیشینگ حساسیت نشان دهند یا احساس کنند که به حریم خصوصی آن‌ها تعرض شده است. این ممکن است باعث ایجاد تنش و کاهش روحیه شود.

ب) نتایج منفی

• اگر شبیه‌سازی‌ها به‌درستی طراحی نشوند، ممکن است منجر به نتایج منفی از جمله از دست دادن اعتماد به نفس کارکنان، ایجاد احساس ناامنی و اضطراب در آن‌ها شوند.

ج) مدیریت انتظارات

• کارکنان باید انتظار داشته باشند که شبیه‌سازی‌های فیشینگ واقعی به‌نظر برسند، اما در عین حال باید متوجه شوند که این فرآیند فقط برای آموزش و آگاهی‌سازی است و نه برای تنبیه.

د) آسیب به روابط

• شبیه‌سازی‌های ناکام یا نادرست ممکن است به روابط بین کارکنان و مدیریت آسیب برسانند، به‌ویژه اگر کارکنان احساس کنند که برای جلب توجه از آن‌ها استفاده شده است.

2. ملاحظات اخلاقی

الف) شفافیت و ارتباطات

• قبل از اجرای شبیه‌سازی‌ها، لازم است که سازمان‌ها شفافیت را رعایت کنند و هدف از این شبیه‌سازی‌ها را به‌طور واضح برای کارکنان توضیح دهند. این می‌تواند به کاهش نگرانی‌ها و سوءتفاهم‌ها کمک کند.

ب) اجازه و رضایت

• در برخی موارد، ممکن است بهتر باشد که کارکنان از قبل از اجرای شبیه‌سازی‌ها مطلع شوند و اجازه دهند. این می‌تواند به بهبود سطح اعتماد در سازمان کمک کند.

ج) تنظیمات فرهنگی و اجتماعی

• شبیه‌سازی‌ها باید با توجه به فرهنگ سازمان و حساسیت‌های اجتماعی طراحی شوند. سازمان‌ها باید از تنوع فرهنگی و اعتقادی کارکنان آگاه باشند و محتوای شبیه‌سازی‌ها را با این ملاحظات تطبیق دهند.

د) پاسخگویی و بازخورد

• پس از اجرای شبیه‌سازی، سازمان‌ها باید بازخورد کارکنان را جمع‌آوری کنند و به نگرانی‌ها و پیشنهادات آن‌ها پاسخ دهند. این کار می‌تواند به بهبود فرآیند و تقویت روابط کمک کند.

ه) عدم استفاده از شبیه‌سازی‌ها به‌عنوان ابزار تنبیه

• شبیه‌سازی‌های فیشینگ باید به‌عنوان ابزاری برای آموزش و افزایش آگاهی استفاده شوند و نباید به‌عنوان ابزار تنبیه کارکنان تلقی شوند.