A formação de sensibilização para a segurança com base na função adapta os materiais de formação e os mecanismos de entrega de acordo com a função de um funcionário e reduz o risco cibernético associado a essa função.

O mundo é um lugar complexo e diversificado e as pessoas que o compõem são um caldeirão de capacidades, competências e atitudes. Dentro de uma empresa, esta diversidade é muitas vezes bem aproveitada através da criação de funções específicas que potenciam estas diferentes capacidades e competências.

O facto de as pessoas trabalharem em funções específicas numa organização não passa despercebido aos cibercriminosos. Os autores de fraudes adaptam frequentemente os seus ataques com base no alvo. Por exemplo, os ataques de BEC (Business Email Compromise) centram-se normalmente em funcionários com cargos superiores e na função de contabilistas. Os autores de fraudes adaptam as campanhas de phishing ou outros ataques de engenharia social de modo a refletir o cargo de um indivíduo, aproveitando assim caraterísticas humanas intrínsecas, como a confiança, para garantir o sucesso.

No entanto, se os autores de fraudes utilizarem a engenharia social e o phishing com base em funções para melhorar o sucesso dos seus ciberataques, então dois podem jogar esse jogo.

Formação de sensibilização para a segurança com base em funções para impedir o phishing com base em funções

Os cibercriminosos gostam de ter a certeza de que qualquer campanha que concebam será um sucesso: sabem que quanto mais adaptado for um e-mail de phishing, maior é a probabilidade de o alvo acreditar que o e-mail é real e clicar numa ligação maliciosa ou agir de acordo com o pedido do e-mail para mudar de banco e enviar dinheiro urgentemente, etc.

O spear-phishing é frequentemente a arma de eleição quando um cibercriminoso visa uma função específica numa organização. Esta forma de phishing apresenta mensagens altamente personalizadas para manipular certos tipos de funcionários. As funções típicas que estão sujeitas a ataques de spear-phishing são:

  • Executivos de nível C e assistentes executivos

  • Folha de pagamento

  • RH

  • Finanças e contas a pagar

  • Utilizadores privilegiados

Executivos de nível C e assistentes executivos: As fraudes “Whaling” e BEC(Business Email Compromise) centram-se nos executivos de nível C de uma organização alvo. Os fraudadores podem também visar os assistentes executivos, utilizando engenharia social e spear-phishing para obter acesso à conta de correio eletrónico do CEO ou a outras informações pessoais. Os e-mails comprometidos ou falsos do CXO são utilizados para iniciar a fraude BEC.

Departamento de salários: os burlões têm como alvo os funcionários que gerem os pagamentos dos salários dos empregados, para redirecionar o dinheiro para a conta bancária do burlão. Por exemplo, o burlão pode falsificar o correio eletrónico de um empregado pedindo-lhe que altere os dados da sua conta bancária.

Recursos Humanos (RH): os RH têm a seu cargo informações altamente confidenciais e pessoais. Isto faz com que essa função corra o risco de campanhas de spear-phishing que procuram obter acesso a dados que podem depois ser aproveitados em outros ataques. Os RH passam então a fazer parte de uma tentativa de fraude mais complexa, em várias etapas, como a fraude BEC e a fraude nos salários; um funcionário dos RH pode ser induzido a revelar informações sobre um executivo de nível C ou outro funcionário para obter a informação necessária para efetuar a fraude.

Finanças e contas a pagar: o departamento que detém os cordões à bolsa é um alvo óbvio para os cibercriminosos. A fraude BEC, por exemplo, acaba muitas vezes à porta das contas a pagar. Mas há muitos tipos de fraude que se concentram nesta função. A fraude nas contas a pagar está generalizada e um relatório concluiu que 50% das pequenas empresas do Reino Unido estavam expostas a este tipo de fraude, quer devido a ameaças internas quer externas.

Utilizadores privilegiados: os cibercriminosos visam os utilizadores privilegiados, uma vez que estes têm as “chaves do castelo da empresa”. Os utilizadores privilegiados têm direitos de acesso a áreas sensíveis de uma rede e, como tal, oferecem uma via direta de acesso a essa rede a qualquer cibercriminoso que os consiga enganar para que entreguem as suas credenciais ou descarreguem malware. Um relatório concluiu que 63% das organizações consideram que os utilizadores privilegiados representam o maior risco de ameaça interna.

Simulação de phishing em programas de formação de sensibilização para a segurança com base em funções

O phishing simulado é uma óptima forma de educar os empregados sobre phishing e ciberameaças. Ao adaptar as mensagens de phishing simuladas às funções da tua força de trabalho, podes simular as mesmas tácticas utilizadas pelos cibercriminosos quando visam um grupo específico dentro de uma organização. Isto torna a simulação de phishing mais real e específica para a função do indivíduo.

Para efetuar simulações de phishing baseadas em funções, uma plataforma tem de suportar modelos de phishing que possam ser personalizados por função. Por exemplo, os títulos de phishing baseados em funções reflectem os tipos de funções que são frequentemente alvo de spear-phishing.

Exemplos de ataques de phishing baseados em funções

Alvo do utilizador privilegiado: O grupo de hackers Lazarus é famoso pelo ataque de ransomware WannaCry em 2017. Mais recentemente, o grupo tem usado campanhas de phishing direcionadas, baseadas em ofertas de emprego falsas, que se concentram em utilizadores privilegiados. Uma das mais recentes foi o ataque a um administrador de sistemas de uma plataforma de criptomoeda. O administrador do sistema recebeu um documento de phishing disfarçado de oferta de emprego através da sua conta pessoal do LinkedIn.

Contas a pagar: O Facebook e a Google foram burlados em mais de 100 milhões de dólares por um burlão que visava os empregados dos dois gigantes tecnológicos através de e-mails de spear-phishing dirigidos a determinadas funções de utilizador.

Fraude no pagamento de saláriosAs campanhas de phishing que envolvem o roubo de cheques de ordenado dos empregados são um terreno ideal para os burlões com motivações financeiras. Muitas vezes, os burlões enviam mensagens de correio eletrónico aos RH ou ao pessoal dos pagamentos com um pedido de alteração da conta bancária. O e-mail de phishing muitas vezes imita um funcionário real e inclui a sua assinatura de e-mail e parece ser de um domínio interno da empresa. Se a alteração for efectuada, o salário do empregado é pago para a conta bancária do burlão.

Razões para adaptar a formação de sensibilização para a segurança

O spear-phishing é um dos favoritos do fraudador centrado na função e tem muito sucesso devido à natureza direcionada deste tipo de phishing. De acordo com um relatório da Symantec, o spear-phishing é utilizado como o principal vetor em 65% dos ataques informáticos. Ao visar funções específicas dos empregados, os cibercriminosos podem criar esquemas complexos e em várias etapas que funcionam.

Os programas de formação com base em funções e o phishing simulado associado com base em funções proporcionam um programa de formação personalizado que vence os cibercriminosos no seu próprio jogo. Ensinar os funcionários sobre a natureza exacta do phishing e dos esquemas de engenharia social que visam especificamente a sua função, dá a esses funcionários o conhecimento necessário para examinarem cuidadosamente os e-mails e outras comunicações.  

As vantagens da personalização da formação de sensibilização para a segurança

A personalização da formação de sensibilização para a segurança oferece vantagens significativas ao abordar os riscos e desafios únicos enfrentados pelas diferentes funções dentro de uma organização. Os programas de formação genéricos muitas vezes não preparam adequadamente os funcionários para as ciberameaças específicas com que provavelmente se deparam nas suas tarefas diárias. A formação personalizada garante que os funcionários recebem formação relevante e direcionada que fala diretamente dos tipos de ataques de phishing, tácticas de engenharia social e outros riscos cibernéticos que são mais pertinentes para as suas funções.

Ao adaptar a formação a departamentos e funções individuais, as organizações podem criar uma força de trabalho mais empenhada e informada, melhorando a eficácia global do programa de segurança. A principal vantagem da personalização da formação de sensibilização para a segurança é o facto de reforçar a capacidade dos funcionários para reconhecerem as ameaças específicas das suas funções, reduzindo a possibilidade de violações de segurança dispendiosas. Garante também a conformidade com os regulamentos específicos do sector e promove uma cultura de segurança proactiva em toda a empresa.

A MetaCompliance oferece programas de formação personalizados, com base nas funções, concebidos para se orientarem para os riscos de segurança específicos de cada função e de cada departamento. Explora a forma como a nossa formação de sensibilização para a segurança departamental pode fornecer os conhecimentos especializados de que as suas diferentes equipas necessitam para se manterem seguras.

Formação de sensibilização para a segurança para fornecedores terceiros