Projektowanie skutecznych kampanii

Rozdział 4 pokazuje, gdzie kliknąć w kreatorze kampanii. Ten przewodnik wyjaśnia, co tam wpisać — jak zaprojektować symulację, która zachowuje się jak prawdziwy atak, poprawnie personalizuje treść, śledzi każdą interakcję i kończy się momentem edukacyjnym. Zakładamy, że znasz już rozdział Kampanie, i skupiamy się na decyzjach projektowych w obrębie każdego kroku.

Kampania w PhishSpot składa się z pięciu elementów, a dobry projekt to dopasowanie ich do siebie:

1. Tożsamość nadawcy — nazwa i adres, z których pozornie pochodzi e-mail.
2. E-mail — temat i treść HTML, personalizowane dla każdego odbiorcy.
3. Strona docelowa — to, co odbiorca widzi po kliknięciu (opcjonalna).
4. Akcja końcowa — „moment edukacyjny” po kliknięciu lub wysłaniu formularza.
5. Odbiorcy — kto otrzymuje wiadomość i jak jest ona do nich dopasowana.

Kolejne sekcje omawiają każdy z tych elementów, ze szczególnym naciskiem na mechanikę platformy — tagi scalające i klucze śledzenia — która do tej pory nie była szczegółowo opisana.

30.1 Personalizacja za pomocą tagów scalających („klucze”)

Tagi scalające to {{symbole}}, które wstawiasz w treść, a PhishSpot zastępuje je prawdziwymi danymi każdego odbiorcy w chwili wysyłki. To najskuteczniejsza dźwignia, jaką masz: wiadomość zaadresowana do „Jana” od „Twojego działu IT w [Twojej firmie]” jest znacznie bardziej przekonująca niż masowa, bezosobowa wysyłka.

Składnia. Otocz nazwę tagu podwójnymi nawiasami klamrowymi: {{first_name}}. Tagi nie rozróżniają wielkości liter i tolerują spacje — {{First_Name}} oraz {{ first_name }} działają tak samo. Tag, którego PhishSpot nie rozpoznaje, pozostaje w wiadomości dosłownie, więc literówka typu {{frist_name}} trafi do odbiorcy jako widoczny tekst. Zawsze wyślij test (zob. §30.6), aby je wychwycić.

Dostępne tagi różnią się między e-mailem a stroną docelową, ponieważ każde z nich renderowane jest w innym kontekście. Używaj tylko tagów dozwolonych w danym miejscu — edytor to weryfikuje i nie pozwoli zapisać e-maila odwołującego się do tagu dostępnego wyłącznie na stronie docelowej.

Temat i treść e-maila — dostępne tagi:

Tag	Zastępowany przez	Przykład
{{first_name}}	Imię odbiorcy	Jan
{{last_name}}	Nazwisko odbiorcy	Kowalski
{{full_name}}	Imię i nazwisko	Jan Kowalski
{{email}}	Adres e-mail odbiorcy	jan.kowalski@firma.pl
{{position}}	Stanowisko odbiorcy	Starszy Analityk
{{department}}	Dział odbiorcy	Finanse
{{company}}	Nazwa Twojego konta	Acme Sp. z o.o.
{{campaign_name}}	Nazwa kampanii	Test faktur Q2
{{landing_url}}	Śledzony link odbiorcy	https://officelogin.in/l/ab12cd34?d=…

Strona docelowa i wiadomość edukacyjna — dostępne tagi:

Tag	Zastępowany przez
{{first_name}}, {{last_name}}, {{full_name}}, {{email}}	Jak wyżej
{{company}}	Nazwa Twojego konta
{{landing_url}}	Śledzony link odbiorcy
{{elearning_url}}	Link szkoleniowy odbiorcy (używany na stronie edukacyjnej)

Notatka

{{landing_url}} to śledzony link phishingowy — nie istnieje tag {{phishing_url}}. {{company}} zwraca nazwę Twojego konta (organizacji prowadzącej symulację), dzięki czemu działają preteksty typu „wiadomość od Twojej własnej firmy”. Pełny wykaz znajdziesz w rozdziale Zmienne szablonów.

Wskazówki projektowe:

• Personalizuj temat, nie tylko treść — Jan, wymagane działanie na Twoim koncie podnosi współczynnik otwarć bardziej niż ogólny temat.
• Umieść {{landing_url}} za realistycznym przyciskiem lub linkiem, nigdy jako surowy adres URL. Odbiorcy rzadko klikają widoczny link.
• Używaj {{department}} / {{position}}, aby dopasować pretekst do roli (faktura dla Finansów, informacja o świadczeniach dla HR). Strategię targetowania opisuje Socjotechnika i perswazja.
• Lepiej pominąć tag, niż ryzykować, że będzie pusty — niezręczne „Szanowny ,” (bez imienia) zdradza symulację. Puste wartości renderują się jako pusty tekst, więc upewnij się, że dane kontaktów są kompletne dla pól, na których polegasz.

30.2 Jak działa śledzenie i jak wpływa na projekt

PhishSpot rejestruje drogę każdego odbiorcy przez lejek kampanii — Wysłano → Dostarczono → Otwarto → Kliknięto → Przesłano → Przeszkolono. Zrozumienie, jak wykrywany jest każdy etap, pomaga zaprojektować treść, która mierzy to, na czym faktycznie Ci zależy.

• Otwarto wykrywane jest przez niewidzialny piksel śledzący 1×1, automatycznie osadzany w każdym e-mailu. Klient poczty odbiorcy ładuje go przy wyświetleniu wiadomości. Ponieważ wiele klientów (zwłaszcza Apple Mail Privacy Protection i niektóre bramy korporacyjne) blokuje lub wstępnie pobiera zdalne obrazy, traktuj współczynnik otwarć jako sygnał miękki — nie projektuj kampanii, której sukces zależy wyłącznie od śledzenia otwarć.

• Kliknięto wykrywane jest, gdy odbiorca odwiedzi swój spersonalizowany link. Link zawiera nieprzejrzysty klucz przypisany do odbiorcy — identyfikator deliverable — jako parametr d:

  https://<Twoja-domena-docelowa>/l/<losowa-ścieżka>?d=<id-deliverable>

  To właśnie wartość kryjąca się za {{landing_url}}. Klucz identyfikuje dokładnie jedną parę (kampania, odbiorca), dzięki czemu PhishSpot przypisuje kliknięcie konkretnej osobie, nie umieszczając jej adresu e-mail w adresie URL. Nigdy nie edytuj ręcznie ani nie wpisuj linku na sztywno — zawsze wstawiaj {{landing_url}}, aby zachować klucz odbiorcy. Statyczny adres URL przypisałby każde kliknięcie do nikogo.

• Przesłano wykrywane jest, gdy odbiorca wyśle formularz na Twojej stronie docelowej (§30.3). Każde wpisane pole jest przechwytywane, z wyjątkiem pól routingu i zabezpieczeń — mierzysz więc nie tylko to, że ktoś wysłał formularz, lecz także co był gotów ujawnić.

Kampanie wyłącznie śledzące. Jeśli chcesz jedynie zmierzyć, kto kliknie — bez hostowania fałszywego logowania — możesz wyłączyć stronę docelową (Krok 3). Link nadal rejestruje kliknięcie dzięki kluczowi, a następnie od razu uruchamia akcję końcową (np. przejście wprost do strony edukacyjnej). To najmniej inwazyjny projekt, który w ogóle nie przechwytuje danych logowania.

30.3 Projektowanie strony docelowej

Włączona strona docelowa jest celem {{landing_url}}. To zwykły HTML, który kontrolujesz, hostowany na wybranej domenie platformy. Typowe wzorce:

• Klon logowania — kopia ekranu logowania Microsoft 365, Google lub portalu wewnętrznego. Klasyczny test wyłudzania danych logowania.
• Udostępnianie pliku / dokument — „udostępniono Ci dokument, zaloguj się, aby go wyświetlić”.
• Powiadomienie / strona akcji — „potwierdź swoje dane”, „zapoznaj się z polityką”.

Formularze. Nie musisz konfigurować akcji formularza — PhishSpot automatycznie przepisuje każdy <form> na stronie tak, by wysyłał dane z powrotem na adres śledzący. Dowolne pola, które dodasz (login, hasło itp.), są przy wysyłce przechwytywane do rekordu zdarzeń odbiorcy, z pominięciem wewnętrznych pól routingu i zabezpieczeń. Zaprojektuj formularz tak, by odzwierciedlał to, co imitujesz.

Możesz tu również używać tagów scalających dostępnych dla strony docelowej (§30.1) — np. wstępne wypełnienie pola loginu wartością {{email}} to mocny akcent realizmu.

Uwaga

Świadomie zdecyduj, czy przechwytywać hasła. Zarejestrowanie samego faktu przesłania formularza zwykle wystarcza, by uruchomić szkolenie, a przechowywanie prawdziwych haseł — nawet na krótko, nawet własnych pracowników — podnosi stawkę ćwiczenia. Wiele programów rejestruje przesłanie bez zapisywania wartości hasła. Dostosuj to do polityki bezpieczeństwa i HR.

Techniczną stronę poprawnego renderowania strony (a zwłaszcza e-maila) opisuje Kompatybilność z klientami poczty.

30.4 Moment edukacyjny (akcja końcowa)

To, co dzieje się po kliknięciu lub przesłaniu formularza przez odbiorcę, decyduje, czy symulacja zamieni się w szkolenie. PhishSpot oferuje cztery akcje końcowe (Krok 4):

Akcja końcowa	Działanie	Stosuj, gdy
Nic	Pusta strona	Wystarczy zarejestrowanie kliknięcia/przesłania; minimalne zakłócenie
Przekierowanie do kursu	Kieruje odbiorcę do przypisanego kursu e-learningowego	Chcesz natychmiastowego szkolenia w kontekście — najsilniejszy moment edukacyjny
Strona z wiadomością edukacyjną	Pokazuje własną stronę „to była symulacja” (HTML, który piszesz, obsługuje tagi scalające)	Chcesz markowego, uspokajającego wyjaśnienia bez pełnego kursu
Przekierowanie do adresu URL	Kieruje do dowolnego zewnętrznego adresu URL	Chcesz, by odbiorca trafił np. na prawdziwy portal lub wewnętrzną politykę

Najskuteczniejszy projekt to przekierowanie do kursu: odbiorca jest najbardziej otwarty na naukę w sekundach po tym, jak zorientuje się, że dał się nabrać. Połącz kampanię z krótkim, trafnym kursem — zob. Kursy.

Na stronie edukacyjnej możesz użyć {{first_name}}, by zwrócić się do odbiorcy, oraz {{elearning_url}}, by zaproponować dodatkową lekcję. Utrzymaj ton niekarzący (więcej w Socjotechnika i perswazja §32.7).

30.5 Tożsamość nadawcy i dostarczalność

Najstaranniej przygotowany e-mail jest bezwartościowy, jeśli trafi do spamu. Nadawcę definiują dwa pola (Krok 1):

• Nazwa wyświetlana (from_name) — to, co widnieje jako nadawca, np. IT Security.
• E-mail nadawcy (from_email) — adres, który musi należeć do domeny platformy wybranej dla kampanii.

Kilka realiów, które warto uwzględnić w projekcie:

• Domena wysyłkowa musi być aktywna i nie zablokowana, aby uruchomić kampanię. Wybierz domenę, której nazwa wspiera pretekst — officelogin.in czyta się zupełnie inaczej niż losowy-ciag.xyz. Zobacz Domeny, aby poznać proces provisioningu i konfigurację BYOD.
• Dostarczalność zależy od SPF/DKIM/DMARC domeny i jej reputacji, konfigurowanych podczas konfiguracji domeny. Zupełnie nowa domena bez rozgrzewki może trafiać do spamu niezależnie od treści.
• Jeśli test trafia do spamu, zajrzyj do Whitelist filtra antyspamowego — być może administrator poczty odbiorców musi dopuścić źródło symulacji.

Dopasuj nazwę wyświetlaną i domenę do pretekstu: e-mail „od Microsoftu” z acme-internal.com jest niespójny i uczy odbiorców rozpoznawania niewłaściwego sygnału.

30.6 Test i weryfikacja przed uruchomieniem

Nigdy nie uruchamiaj kampanii, której nie widziałeś wyrenderowanej. Przed Krokiem 6:

1. Wyślij testowy e-mail do siebie (Akcje kampanii → Wyślij testowy e-mail). Sprawdź: czy tagi scalające się rozwinęły (brak osieroconych {{…}}), czy link działa i prowadzi na właściwą stronę, czy obrazy się ładują i czy formatowanie się trzyma.
2. Sprawdź wersję na komputer i na telefon. Po uruchomieniu podgląd per odbiorca w Raporty i analityka §11.5 pokazuje dokładny e-mail, który otrzymała każda osoba, z przełącznikiem desktop/mobile — użyj go do weryfikacji renderowania i personalizacji.
3. Przejdź całą ścieżkę — kliknij własny testowy link, wyślij formularz i potwierdź, że akcja końcowa (kurs, strona edukacyjna lub przekierowanie) uruchamia się zgodnie z zamierzeniem.

Szybka lista kontrolna przed uruchomieniem:

• Temat i treść personalizują się poprawnie (testowy e-mail dotarł i został odczytany)
• {{landing_url}} jest pod przyciskiem/linkiem, kliknięcie jest śledzone
• Strona docelowa się renderuje; formularz wysyła dane; przesłanie zarejestrowane
• Akcja końcowa uruchamia się i wskazuje właściwy kurs/stronę/URL
• Domena nadawcy jest aktywna; test nie trafił do spamu
• E-mail renderuje się poprawnie na komputerze i telefonie

---

Zobacz też: Kampanie · Zmienne szablonów · Kompatybilność z klientami poczty · Socjotechnika i perswazja · Domeny · Raporty i analityka