يمثل البريد الإلكتروني الطريقة الرئيسة للتواصل في مجال العمل، وفي الوقت ذاته يمثل الوسيلة الأولى التي يسعى قراصنة الإنترنت لاستغلالها لشن هجماتهم على الشركات وموظفيها بهدف الاحتيال أو سرقة البيانات أو الوصول إليها، ومع انتشار هذه الهجمات وبطرق مختلفة تعمل الشركات على رفع وعي موظفيها ومساعدتهم في التعرف على المخاطر التي تحيط بهم، لذلك تعمل الشركات كافة من وقت لآخر على الاعتماد على أدوات محاكاة لهجمات التصيد عبر البريد الإلكتروني. أظهرت بيانات حديثة من أدوات محاكاة التصيد أن الموظفين يميلون إلى عدم ملاحظة الأخطار المخفية في رسائل البريد الإلكتروني المخصصة لقضايا الشركة والإشعارات المتعلقة بمشكلات التسليم، فقد أقدم واحد من كل خمسة موظفين تقريبا ممن تبلغ نسبتهم بين 16 و18 في المائة على الضغط على الروابط الموجودة في رسائل بريد إلكتروني تحاكي هجمات التصيد الحقيقية. فوفقا لتقديرات شركة ديلويت فإن 91 في المائة من جميع الهجمات الإلكترونية تبدأ برسالة بريد إلكتروني للتصيد، كما أن لأساليب التصيد دورا في 32 في المائة من جميع عمليات اختراق البيانات الناجحة، وفي الوقت ذاته حددت أداة محاكاة التصيد المدمجة من “كاسبرسكي” خمسة أنواع تمثل الأكثر فاعلية لبريد التصيد، وكانت هي محاولة تسليم فاشلة للبريد مثل “للأسف، تعذر علينا تسليم شحنتكم من المرسل” ويتخفى فيها المجرمون وينتحلون شخصية خدمات البريد، وبلغت نسبة الضغط على الرابط 18.5 في المائة. فيما جاء النوع الثاني معتمدا على سيناريو “العجز عن تسليم رسائل البريد الإلكتروني بسبب زيادة التحميل على خوادم البريد” ويتخفى فيها المجرمون وينتحلون شخصية فريق دعم، وبلغت نسبة الضغط على الرابط 18 في المائة. ثم سيناريو “استبانة الموظفين عبر الإنترنت: ما الذي يمكنك تحسينه في العمل مع الشركة؟” ويتخفى فيها المجرمون وينتحلون شخصية إدارة الموارد البشرية وبلغت نسبة الضغط على الرابط 18.5 في المائة. ثم وسيلة “التذكير بقواعد اللباس المؤسسية الجديدة، ويتخفى فيها المجرمون وينتحلون شخصية إدارة الموارد البشرية وبلغت نسبة الضغط على الرابط 17.5 في المائة، وأخيرا، سيناريو “انتباه لجميع الموظفين: خطة إخلاء المبنى الجديدة”، ويتخفى فيها المجرمون وينتحلون شخصية قسم السلامة، وبلغت نسبة الضغط على الرابط 16 في المائة. وشملت رسائل التصيد الأخرى التي أدت إلى عدد كبير من النقرات “تأكيد الحجز من خدمة الحجوزات” بنسبة 11 في المائة، و”إشعار بشأن طلبية مقدمة” بنسبة 11 في المائة، و”إعلان لمسابقة بنسبة 10 في المائة، ومن ناحية أخرى بدا أن رسائل البريد الإلكتروني التي تهدد المتلقي، أو تقدم مزايا فورية، كانت “أقل نجاحا”، إذ بلغت نسبة الضغط على الرابط في نموذج بعنوان “اخترقت حاسوبك وأعرف سجلك الخاص بالبحث” 2 في المائة فقط، في حين أن عروض Netflix المجانية والحصول على 1,000 دولار بالضغط فوق رابط، لم تخدع سوى 1 في المائة فقط من الموظفين. ولمنع حوادث اختراق البيانات وتجنب وقوع أي خسائر مالية أو خسائر متعلقة بالسمعة ناتجة عن هجمات التصيد يجب على الشركات تذكير الموظفين بالدلائل الأساسية لرسائل البريد الإلكتروني التصيدية مثل رسالة بعنوان موضوع درامي، ووجود أخطاء إملائية، وعنوان مرسل غير متسق، وروابط مشبوهة، والحرص ما إذا كان هناك أي شك بشأن رسالة بريد إلكتروني واردة فينبغي التحقق من تنسيق المرفقات قبل فتحها، ومن دقة الرابط وسلامته قبل النقر عليه. يمكن تحقيق ذلك من خلال تمرير مؤشر الماوس فوق هذه العناصر، والتأكد أن العنوان يبدو أصليا والملفات المرفقة ليست بتنسيق قابل للتنفيذ، والإبلاغ دائما عن هجمات التصيد عند اكتشافها إلى قسم أمن تقنية المعلومات، وتجنب فتح البريد الإلكتروني ما أمكن. سيسمح ذلك لفريق الأمن الرقمي بإعادة تشكيل سياسات مكافحة البريد غير المرغوب فيه ومنع وقوع الحوادث. إلى جانب ذلك يجب تزويد الموظفين بالمعرفة الأساسية بالأمن الرقمي، بهدف تغيير سلوكهم وتعليمهم أصول التعامل مع التهديدات، ومن المهم حماية الأجهزة والأنظمة بحلول أمنية موثوق بها، نظرا لأن محاولات التصيد يمكن أن تكون مربكة، وأنه ما من ضمان لتجنب إمكانية الضغط تماما على الروابط الخبيثة.